架构解析

OpenBait 实际是怎么运作的

首页展示了 3 大战线,本页深入解读每条线在生产环境的运作机制,并把 4 类典型用户场景拆成具体步骤。

进攻线 · 找出

进攻线 — 先于攻击者发现

OpenBait 不等举报。CT log / NRD feed / dnstwist 24 小时连续扫描,攻击者一注册新仿冒域名就进队列。

机制

  • Certificate Transparency 日志按分钟级摄取,所有品牌相关的新 SSL 证书都会被抓取
  • 新注册域名(NRD)feed 与 dnstwist 变形(同形字 / TLD 替换 / 字符替换)交叉,覆盖多层
  • AI 分类器为每个候选标记登录页 / 凭据窃取信号,辅助分析师快速分流

结果

  • 新仿冒域名注册后 24 小时内进入视野
  • 生产环境每 30 天分析 1,000+ 候选
  • 队列已按严重度 / LIVE 状态 / 行动优先度排序
防御线 · 捕获

防御线 — 克隆瞬间触发

在正规站点埋入 Canary token,攻击者一抓取或克隆页面就触发。再加 JS SDK 在用户落地仿冒页时浏览器侧弹警告 — 最后一道防线。

机制

  • 6 种 token 类型 — beacon / DNS / QR / 邮件 / pixel / 克隆检测,按攻击者 TTPs 选择
  • 每次触发 控制台 + webhook + 邮件通知,token 级路由可单独配置 (重要 token 走 PagerDuty 等)
  • 用户侧 JS SDK 检测 phishing referrer 后弹警告,部署的是你的正规站点 (一行 JS)

结果

  • 最早预警 — 攻击者抓取页面瞬间触发,活动尚未开始
  • 最后里程保护 — 即使邮件钓鱼成功,浏览器仍会警告
  • Memcyco 级 deception layer,中坚价位,自家运营
辅助 · 下架

辅助线 — 6 通道并行处置

确认仿冒后,OpenBait 把通报扇出到 Phish.Report / Google Web Risk / Microsoft SmartScreen / Safe Browsing / VirusTotal / abuse.ch — 一个 case 页面,6 条通道状态同步。

机制

  • 1 个 case ID 同时提交到 6 个通道,各通道状态自动同步
  • RDAP + Abusix 自动解析注册商和主机的 abuse 联系人 (Cloudflare 等代理也能识别穿透)
  • 公开免登录 endpoint /report/takedown 支持 URL 粘贴即时举报 — 应急时无需先注册账号

结果

  • 处置速度比单通道快 2-3 倍 — 6 通道并行
  • 省去人工抽取 abuse 联系人的步骤
  • 可分享的 case 页面带完整时间线,方便交接 CSIRT 或合规审计
用户旅程

4 种心境、4 条最短路径

你今天来 OpenBait 的目的,应该正好对应 4 种心境之一。每种都附了最短行动手册。

紧急

手上有 URL,立即举报

  1. 1打开 /report/takedown,粘 URL + 邮箱,提交。Phish.Report 几秒内开始多通道扇出。
  2. 2case ID 和跟踪 URL 邮件回执 — 把 URL 转给团队或审计就能看进度。
  3. 3再次出现可同流程举报;持续就升级到工作区 + 监控 + Canary 防御。
立即举报
主动

提前发现自家品牌仿冒

  1. 1把品牌域名放到 /report,30 秒内看到候选 + 严重度 + LIVE 状态。
  2. 2高优先级单独举报,或创建免费工作区把扫描转为持续监测。
  3. 3监测开启后,新候选注册时邮件 + Slack + webhook 通知。
免费扫描试用
防御

克隆瞬间就要知道

  1. 1控制台创建 Canary token (推荐 beacon),正规站点贴一行 HTML。
  2. 2攻击者抓取或克隆页面瞬间触发 token,控制台 + 邮件 + webhook 通知。
  3. 3通过通知打开对应 case,从辅助线扇出到 6 个处置通道。
查看 Canary 套餐
用户保护

想在用户端给警告

  1. 1控制台创建 SDK token,正规站点贴一行 JS (npm 或 CDN 都行)。
  2. 2钓鱼 referrer 来访的用户,浏览器端立即弹警告,最后一道阻断。
  3. 3触发事件入 SDK 事件日志,方便归类攻击 campaign 并决策下一步。
SDK 部署指南
下一步

先小步起步,按需逐步加厚防御

先用免费档,按业务节奏逐条战线开启。无需信用卡,可随时停止。

OpenBait 工作机制 — 进攻 × 防御 × 辅助 三线架构