performing-brand-monitoring-for-impersonation

监控域名、社交媒体、移动应用和暗网渠道中的品牌仿冒攻击,检测针对组织的网络钓鱼活动、虚假站点和未授权品牌使用行为。

9 stars

Best use case

performing-brand-monitoring-for-impersonation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

监控域名、社交媒体、移动应用和暗网渠道中的品牌仿冒攻击,检测针对组织的网络钓鱼活动、虚假站点和未授权品牌使用行为。

Teams using performing-brand-monitoring-for-impersonation should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/performing-brand-monitoring-for-impersonation/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/performing-brand-monitoring-for-impersonation/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/performing-brand-monitoring-for-impersonation/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How performing-brand-monitoring-for-impersonation Compares

Feature / Agentperforming-brand-monitoring-for-impersonationStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

监控域名、社交媒体、移动应用和暗网渠道中的品牌仿冒攻击,检测针对组织的网络钓鱼活动、虚假站点和未授权品牌使用行为。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行品牌仿冒监控

## 概述

品牌仿冒攻击通过仿冒域名、虚假社交媒体账号、假冒移动应用和模仿合法品牌的网络钓鱼站点来利用消费者信任。2025 年,品牌仿冒仍是代价最高的网络威胁之一,AI 生成的网络钓鱼邮件点击率高达 54%。本技能涵盖构建综合品牌监控计划,使用自动化扫描和告警检测域名抢注、社交媒体仿冒、虚假移动应用、未授权 Logo 使用和暗网品牌提及。

## 前置条件

- Python 3.9+,安装 `dnstwist`、`requests`、`beautifulsoup4`、`Levenshtein`、`tweepy` 库
- API 密钥:VirusTotal、Google Safe Browsing、Twitter/X API、Shodan
- 品牌资产清单:域名、商标、Logo、高管姓名
- 证书透明度监控(Certstream 或 crt.sh)
- 了解域名注册和 TLD 生态

## 核心概念

### 攻击面

品牌仿冒跨越多个渠道:域名抢注(错字抢注、同形字、TLD 变体)、网络钓鱼站点(克隆使用被盗品牌的网站)、社交媒体(仿冒高管或公司的虚假账号)、移动应用(应用商店中的假冒应用)、电子邮件欺骗(显示名和域名仿冒)以及暗网(论坛和市场中的品牌提及)。

### 检测方法

有效的品牌监控结合了:主动扫描(使用 dnstwist 的域名置换、CT 日志监控)、Web 爬取(截图对比、Logo 检测)、社交媒体监控(账号名匹配、帖子内容分析)、应用商店监控(名称和图标相似度检测)以及暗网监控(论坛爬取、市场跟踪)。

### 风险优先级

并非所有仿冒都是恶意的。风险因素包括:活跃的 Web 内容(尤其是登录页面)、存在 SSL 证书、已配置 MX 记录(具备接收邮件能力)、与合法站点视觉高度相似、近期注册日期,以及托管在与网络犯罪相关的地区。

## 操作步骤

### 步骤 1:多渠道品牌监控系统

```python
import subprocess
import requests
import json
from datetime import datetime
from urllib.parse import urlparse
import Levenshtein

class BrandMonitor:
    def __init__(self, brand_config):
        self.brand_name = brand_config["name"]
        self.domains = brand_config["domains"]
        self.keywords = brand_config["keywords"]
        self.executive_names = brand_config.get("executives", [])
        self.logo_hash = brand_config.get("logo_hash", "")
        self.findings = []

    def scan_domain_squatting(self):
        """检测错字抢注和仿冒域名。"""
        all_results = []
        for domain in self.domains:
            cmd = ["dnstwist", "--registered", "--format", "json",
                   "--nameservers", "8.8.8.8", "--threads", "30", domain]
            try:
                result = subprocess.run(cmd, capture_output=True, text=True, timeout=300)
                if result.returncode == 0:
                    domains = json.loads(result.stdout)
                    registered = [d for d in domains if d.get("dns_a") or d.get("dns_aaaa")]
                    all_results.extend(registered)
                    print(f"[+] {domain} 域名抢注扫描:发现 {len(registered)} 个已注册仿冒域名")
            except (subprocess.TimeoutExpired, Exception) as e:
                print(f"[-] 扫描 {domain} 时出错:{e}")

        for entry in all_results:
            self.findings.append({
                "type": "domain_squatting",
                "indicator": entry.get("domain", ""),
                "fuzzer": entry.get("fuzzer", ""),
                "dns_a": entry.get("dns_a", []),
                "ssdeep_score": entry.get("ssdeep_score", 0),
                "detected_at": datetime.now().isoformat(),
            })
        return all_results

    def check_google_safe_browsing(self, urls, api_key):
        """通过 Google Safe Browsing API 检查 URL。"""
        url = f"https://safebrowsing.googleapis.com/v4/threatMatches:find?key={api_key}"
        body = {
            "client": {"clientId": "brand-monitor", "clientVersion": "1.0"},
            "threatInfo": {
                "threatTypes": ["MALWARE", "SOCIAL_ENGINEERING", "UNWANTED_SOFTWARE"],
                "platformTypes": ["ANY_PLATFORM"],
                "threatEntryTypes": ["URL"],
                "threatEntries": [{"url": u} for u in urls],
            },
        }
        resp = requests.post(url, json=body, timeout=15)
        if resp.status_code == 200:
            matches = resp.json().get("matches", [])
            print(f"[+] Google Safe Browsing:发现 {len(matches)} 个威胁")
            return matches
        return []

    def monitor_social_media_impersonation(self, platform="twitter"):
        """检测仿冒品牌或高管的社交媒体账号。"""
        suspicious_profiles = []
        # 搜索具有相似名称的账号
        for name in self.executive_names + [self.brand_name]:
            # 通用搜索方法
            search_url = f"https://api.twitter.com/2/users/by/username/{name.replace(' ', '')}"
            # 注意:生产环境中需使用已认证的 Twitter API
            suspicious_profiles.append({
                "search_term": name,
                "platform": platform,
                "note": "完整搜索需要已认证的 API 访问",
            })
        return suspicious_profiles

    def monitor_app_stores(self):
        """检查应用商店中仿冒品牌的虚假移动应用。"""
        fake_apps = []
        for keyword in self.keywords:
            # Google Play Store 搜索(非官方)
            url = f"https://play.google.com/store/search?q={keyword}&c=apps"
            try:
                resp = requests.get(url, timeout=15, headers={
                    "User-Agent": "Mozilla/5.0"
                })
                if resp.status_code == 200:
                    # 解析结果,匹配品牌名称
                    from bs4 import BeautifulSoup
                    soup = BeautifulSoup(resp.text, "html.parser")
                    app_links = soup.find_all("a", href=lambda h: h and "/store/apps/details" in h)
                    for link in app_links:
                        app_name = link.get_text(strip=True)
                        if any(k.lower() in app_name.lower() for k in self.keywords):
                            fake_apps.append({
                                "name": app_name,
                                "url": f"https://play.google.com{link['href']}",
                                "platform": "google_play",
                                "keyword": keyword,
                            })
            except Exception as e:
                print(f"[-] 应用商店搜索出错:{e}")
        return fake_apps

    def generate_monitoring_report(self):
        report = {
            "brand": self.brand_name,
            "generated": datetime.now().isoformat(),
            "total_findings": len(self.findings),
            "findings_by_type": {},
            "high_priority": [],
        }
        for finding in self.findings:
            ftype = finding["type"]
            if ftype not in report["findings_by_type"]:
                report["findings_by_type"][ftype] = 0
            report["findings_by_type"][ftype] += 1

            # 高优先级:具有较高 Web 相似度或 MX 记录
            if finding.get("ssdeep_score", 0) > 50:
                report["high_priority"].append(finding)

        with open(f"brand_monitoring_{self.brand_name.lower()}.json", "w") as f:
            json.dump(report, f, indent=2)
        print(f"[+] 品牌监控报告:{len(self.findings)} 个发现")
        return report

monitor = BrandMonitor({
    "name": "MyCompany",
    "domains": ["mycompany.com", "mycompany.org"],
    "keywords": ["mycompany", "mybrand", "myproduct"],
    "executives": ["CEO Name", "CTO Name"],
})
monitor.scan_domain_squatting()
report = monitor.generate_monitoring_report()
```

### 步骤 2:生成投诉下架请求

```python
def generate_takedown_request(finding, brand_info):
    """生成针对域名/站点的滥用举报以申请下架。"""
    request = f"""主题:滥用举报 - 品牌仿冒 / 网络钓鱼

尊敬的滥用处理团队,

我们正在举报一个仿冒 {brand_info['name']} 的域名,
疑似用于网络钓鱼/欺诈目的。

侵权域名:{finding.get('indicator', '')}
IP 地址:{', '.join(finding.get('dns_a', ['未知']))}
检测方法:{finding.get('fuzzer', '域名相似性分析')}
Web 相似度评分:{finding.get('ssdeep_score', 'N/A')}%
检测日期:{finding.get('detected_at', '')}

我方合法域名:{', '.join(brand_info['domains'])}

该域名通过 {finding.get('fuzzer', '错字抢注')} 方式仿冒我方品牌。
请立即暂停该域名。

侵权证据可应要求提供。

此致
{brand_info['name']} 安全团队
"""
    return request
```

## 验收标准

- 通过 dnstwist 置换扫描检测域名抢注
- Google Safe Browsing 检查识别已知威胁
- 证书透明度监控检测新的网络钓鱼证书
- 社交媒体监控识别仿冒账号
- 应用商店监控检测假冒应用
- 生成含所需证据的下架投诉请求

## 参考资料

- [Netcraft: 品牌保护平台](https://www.netcraft.com/blog/6-best-brand-protection-platforms-for-defending-your-company-s-online-reputation/)
- [Cyble: 品牌仿冒 2025](https://cyble.com/knowledge-hub/brand-impersonation-2025-threats-2026/)
- [Recorded Future: 品牌情报](https://www.recordedfuture.com/products/brand-intelligence)
- [NetDiligence: 域名安全与网络钓鱼](https://netdiligence.com/blog/2025/12/understanding-domain-security-brand-impersonation/)
- [Flare: 数字品牌保护](https://flare.io/glossary/digital-brand-protection/)
- [dnstwist GitHub](https://github.com/elceef/dnstwist)

Related Skills

performing-yara-rule-development-for-detection

9
from killvxk/cybersecurity-skills-zh

通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。

performing-web-application-firewall-bypass

9
from killvxk/cybersecurity-skills-zh

使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。

performing-vulnerability-scanning-with-nessus

9
from killvxk/cybersecurity-skills-zh

使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。