サイト権限まで奪い取られたdefaceサイト、titleフィルターで検知 (title:"hacked by")
ハッカーがサーバーの権限を乗っ取りした後、ウェブサイトの画面を改ざんする攻撃を指し、ディフェイス(deface、ウェブサイト改竄 )(リンク:ディフェイスに関する説明)と呼びます。ホームページにアクセスした時、元の画面ではなく、ハッカーが作った偽の画面が出るようにする改竄は、故意に「私がこのサイトを乗っ取りした」という証跡を残すための行為です。ディフェイス( deface )攻撃は画面だけを変えたので、大きな被害がないと感じられるが、実際にはハッカーがサイトの管理者権限を獲得した、完全に掌握された状態といえるでしょう。
世界中でこのようなハッキング攻撃を受けたサイトは毎日発生しており、世界各国の政府機関はこのようにハッキングされたサイトを見つけて措置する専門部署があるほど被害は少なくないです。このようにディフェイス(deface)されたサイトを検出する基本的な方法は、ハッカーがよく使用する文字列を見つけることです。ディフェイス(deface)攻撃を敢行するハッカーは、自分がサイトを乗っ取りしたことを誇示するために 「hacked by XXXX」 という文字列をサイト内に入れておいたり、ブラウザのタイトル内に表記したりします。
ディフェイス(deface)攻撃を誇示する文字列
titleフィルターを介したDefaceサイトの検知方法
[Criminal IP Youtube – titleフィルターでDefaceサイトを検知する方法]
title:hackedtitle:”hacked by”
Criminal IP の title フィルターを介したフィッシングサイトの検知方法
title 検索はフィッシングサイトを検知するうえでも有用です。もし、HELLO WORLD BANK という銀行があるとして、そのネットバンキングサイトの title が銀行名の同様に適用されている場合、フィッシングサイトも当然、同じ title または、類似する文字列が含まれているタイトルでサイトを作っておいた可能性が非常に高いです。従って、この場合は title:HELLO WORLD BANK または、title:BANK などのフィルターを検索すると、銀行のサイトの中で、フィッシングサイトを検知する上でとても役に立つでしょう。
データの提供
- Criminal IP
▶ https://www.criminalip.io/ja