PhishEye

概述

网络钓鱼是犯罪分子用于攻击和数据泄露的最常见和最昂贵的手段之一。据反钓鱼工作组称，几乎每个季度新钓鱼域名的数量都在增加。很有可能，你的公司、你的员工和你的客乐动体育官网下载户都成为了目标。在许多情况下，这些攻击中涉及的域名是为了模仿您自己的品牌名称或域名，以诱使受害者陷入攻击。

DomainTools PhishEye是一个强大的新工具，在您的战斗，这些邪恶的域名和罪犯谁操作他们。利用DomainTools对超过3.15亿当前域名(同类数据库中最大的数据库)的独特可见性，phisheye可以发现模仿您的属性的域名，无论是通过拼写错误还是通过将您的品牌与其他术语组合在一起(如“帐户”、“登录”、“在线”或无数其他术语)。

PhishEye很简单，但功能强大。输入一个关键字，phiisheye将显示一个模拟该术语的现有域的示例。然后，您可以设置警报，以通知任何符合相同条件的新域注册。DomainTools每天处理大约500万条新的Whois记录，这使得钓鱼者几乎不可能从您的PhishEye警报中隐藏他们的行为。

开始

一旦你的账户已经配置了phiheye，你可以在这里找到这个工具:

https://research.domaintools.com/phisheye

确保您已登录，或在提示时登录。

PhishEye有两个主要功能领域:配置和告警．对于大多数用户来说，警报是优先级。

通过搜索相关域来设置PhishEye警报。PhishEye使用了一些算法来找到与你的关键字相关的域:

• 键入错误，如字符替换或重复字符(例如domaint00ls.com或domaintoools.com)和其他几种类型的键入错误
• 更多的技术变体，如bitflip
• 子字符串包含(例如domaintools-account.com)
• .．.还有其他几种变体

PhishEye会在DomainTools数据库中搜索与关键字相关的域。当您查看搜索结果时，您可以选择设置有关该术语的警报。或者，您可以基于另一个关键字运行不同的搜索。

输入搜索词

您每次搜索一个关键字，然后决定是否要监视该术语。如果您认为您的术语将导致不相关的“噪音”领域，您可以进行排除。这尤其适用于既简短又通用的单词;例如，对于“追逐”这个词，phiisheye会在任何包含“购买”、“追逐”等词的域中找到匹配。要排除某些匹配项，请使用连字符来排除:

• 追逐-购买-追逐

注意:您的搜索词必须只包含域名有效的字符:(a-z, 0-9， -)

配置警报

运行搜索后，您可以通过单击“+开始监控”按钮。警报以两种方式传递:通过电子邮件，以及(可选的)通过phiheye API(稍后介绍)。

电子邮件选项

输入要发送警报的电子邮件地址。phiisheye最多允许十个电子邮件收件人。如果需要查看警报的人员较多，则可能需要配置一个包含所有用户的电子邮件别名。

有两种格式总结与详细．详细的视图非常适合快速浏览PhishEye发现的域，但是请注意，某些电子邮件过滤系统可能会触发警报电子邮件，因为其中包含的域的性质．如果您关心这一点，请选择Summary视图。这两个视图都告诉您对于正在监视的每个关键字发现了多少个域。

查看告警报表

当PhishEye发现与您监控的关键字相对应的新域时，您可以在每日报告界面中查看有关域的详细信息。

当你点击查看我最近的每日报告， PhishEye展示了最近一天的报告，它发现了您的一个或多个术语的结果。可能有些日子过去了，没有任何新的域名，所以这个报告可能不总是显示“今天”。

当您配置了警报并收到结果后，无论何时登录PhishEye，您都会转到每日报告页面。

报告是按关键字组织的。该表包括以下字段:

• 域名(链接到域名的Whois页面)
• TLD
• 风险评分(由领域风险评分计算)
• 创建日期
• 注册商
• 注册人邮件
• IP地址(链接到IP Whois页面)
• 知识产权的国家
• 域名服务器

您可以对任何列进行排序，以确定感兴趣的域。

报表表中的控件

• 今天或日期:单击此项，在左侧表格上方，会弹出一个菜单，允许您选择以前的每日报告。报告追溯到7天前。
• 回来:这将带您回到phiheye主配置页面
• 出口:允许您将PhishEye域导出为.csv或DomainTools虹膜(详细信息如下)
• 扩大:这个控件，在右上方，在紧凑视图和全宽视图之间切换表。注意:即使在展开时，在某些屏幕上，您可能需要水平滚动以查看所有数据。
• 关键字(在表节标题中):单击该关键字可显示该关键字最近7天的报告
• 每个关键字导出(向下箭头图标):该控件为您提供了仅导出与此关键字匹配的域的.csv或Iris选项
• 隐藏/显示:在显示和隐藏每个关键字的域之间切换

导出到Iris或.csv

如果您需要了解更多关于PhishEye发现的域的信息，只需单击，就可以将它们导出到DomainTools虹膜为了更深入地探索域，它们的基础设施，以及控制它们的威胁参与者。有两种选择:

• 创建新的调查:在新选项卡中打开Iris，并用PhishEye中的域作为查询实例化一个新的调查
• 增加现有调查:提供一个散列，可以与Iris的高级视图中的Import函数一起使用，将phiheye域添加到现有的Iris调查中

许多PhishEye用户希望在电子邮件或消息安全系统中阻止发现的域，或者在SIEM或其他警报或取证工具中查询它们。的.csv导出函数以可广泛使用的格式提供域，以支持自定义阻塞或查询。

搜索和警告使用限制;PhishEye API

PhishEye搜索和警报是分开计算的。基本的phiisheye包支持15个搜索和5个监视器。这可以让你感觉到你的关键字可能需要最密切的关注。

当一个帐户上有多人可以访问PhishEye时，了解访问限制和PhishEye UI中显示的术语之间的关系非常重要。

• 使用是共享的:该帐户的任何成员进行的任何搜索和警告都将计入总使用量。如果Alice和Bob都拥有PhishEye的组成员权限，Alice搜索3个术语并为其中一个设置警报，Bob将有12个剩余搜索和4个警报。
• 用户只能看到他们自己监视的术语: Bob和Alice将不会在phiheye UI中看到对方的术语。由于使用是共享的，这意味着警报的使用可能比任何给定用户在其监视术语中看到的要高。在上面的场景中，如果Alice配置了一个警报，那么Bob将在5个警报中的1个看到他的使用情况，即使他在“Monitored terms”窗口中看不到任何术语。如果Bob随后又设置了两个术语(Alice仍然使用她原来的一个术语)，那么她将看到5个术语中的3个，但在监视术语窗口中只有一个术语。
• API和Web UI: phiheye API纯粹用于警报。它不包括搜索功能。具体来说，API为拥有API密钥的帐户持有人提取术语警报。在上面的场景中，如果Alice的DomainTools登录是API密钥所绑定的，那么API将收到与Alice配置的术语匹配的域的警报，而不是Bob配置的术语。因此，如果一个组帐户上有多个用户可以访问phiheye，并且您希望使用API，则必须在组成员之间进行协调，以确保具有API密钥的用户是在phiheye UI中设置警报的用户。

关于phiheye API的信息在这里://www.xylmmw.com/resources/api-documentation/phisheye