performing-brand-monitoring-for-impersonation
监控域名、社交媒体、移动应用和暗网渠道中的品牌仿冒攻击,检测针对组织的网络钓鱼活动、虚假站点和未授权品牌使用行为。
Best use case
performing-brand-monitoring-for-impersonation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
监控域名、社交媒体、移动应用和暗网渠道中的品牌仿冒攻击,检测针对组织的网络钓鱼活动、虚假站点和未授权品牌使用行为。
Teams using performing-brand-monitoring-for-impersonation should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/performing-brand-monitoring-for-impersonation/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How performing-brand-monitoring-for-impersonation Compares
| Feature / Agent | performing-brand-monitoring-for-impersonation | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
监控域名、社交媒体、移动应用和暗网渠道中的品牌仿冒攻击,检测针对组织的网络钓鱼活动、虚假站点和未授权品牌使用行为。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行品牌仿冒监控
## 概述
品牌仿冒攻击通过仿冒域名、虚假社交媒体账号、假冒移动应用和模仿合法品牌的网络钓鱼站点来利用消费者信任。2025 年,品牌仿冒仍是代价最高的网络威胁之一,AI 生成的网络钓鱼邮件点击率高达 54%。本技能涵盖构建综合品牌监控计划,使用自动化扫描和告警检测域名抢注、社交媒体仿冒、虚假移动应用、未授权 Logo 使用和暗网品牌提及。
## 前置条件
- Python 3.9+,安装 `dnstwist`、`requests`、`beautifulsoup4`、`Levenshtein`、`tweepy` 库
- API 密钥:VirusTotal、Google Safe Browsing、Twitter/X API、Shodan
- 品牌资产清单:域名、商标、Logo、高管姓名
- 证书透明度监控(Certstream 或 crt.sh)
- 了解域名注册和 TLD 生态
## 核心概念
### 攻击面
品牌仿冒跨越多个渠道:域名抢注(错字抢注、同形字、TLD 变体)、网络钓鱼站点(克隆使用被盗品牌的网站)、社交媒体(仿冒高管或公司的虚假账号)、移动应用(应用商店中的假冒应用)、电子邮件欺骗(显示名和域名仿冒)以及暗网(论坛和市场中的品牌提及)。
### 检测方法
有效的品牌监控结合了:主动扫描(使用 dnstwist 的域名置换、CT 日志监控)、Web 爬取(截图对比、Logo 检测)、社交媒体监控(账号名匹配、帖子内容分析)、应用商店监控(名称和图标相似度检测)以及暗网监控(论坛爬取、市场跟踪)。
### 风险优先级
并非所有仿冒都是恶意的。风险因素包括:活跃的 Web 内容(尤其是登录页面)、存在 SSL 证书、已配置 MX 记录(具备接收邮件能力)、与合法站点视觉高度相似、近期注册日期,以及托管在与网络犯罪相关的地区。
## 操作步骤
### 步骤 1:多渠道品牌监控系统
```python
import subprocess
import requests
import json
from datetime import datetime
from urllib.parse import urlparse
import Levenshtein
class BrandMonitor:
def __init__(self, brand_config):
self.brand_name = brand_config["name"]
self.domains = brand_config["domains"]
self.keywords = brand_config["keywords"]
self.executive_names = brand_config.get("executives", [])
self.logo_hash = brand_config.get("logo_hash", "")
self.findings = []
def scan_domain_squatting(self):
"""检测错字抢注和仿冒域名。"""
all_results = []
for domain in self.domains:
cmd = ["dnstwist", "--registered", "--format", "json",
"--nameservers", "8.8.8.8", "--threads", "30", domain]
try:
result = subprocess.run(cmd, capture_output=True, text=True, timeout=300)
if result.returncode == 0:
domains = json.loads(result.stdout)
registered = [d for d in domains if d.get("dns_a") or d.get("dns_aaaa")]
all_results.extend(registered)
print(f"[+] {domain} 域名抢注扫描:发现 {len(registered)} 个已注册仿冒域名")
except (subprocess.TimeoutExpired, Exception) as e:
print(f"[-] 扫描 {domain} 时出错:{e}")
for entry in all_results:
self.findings.append({
"type": "domain_squatting",
"indicator": entry.get("domain", ""),
"fuzzer": entry.get("fuzzer", ""),
"dns_a": entry.get("dns_a", []),
"ssdeep_score": entry.get("ssdeep_score", 0),
"detected_at": datetime.now().isoformat(),
})
return all_results
def check_google_safe_browsing(self, urls, api_key):
"""通过 Google Safe Browsing API 检查 URL。"""
url = f"https://safebrowsing.googleapis.com/v4/threatMatches:find?key={api_key}"
body = {
"client": {"clientId": "brand-monitor", "clientVersion": "1.0"},
"threatInfo": {
"threatTypes": ["MALWARE", "SOCIAL_ENGINEERING", "UNWANTED_SOFTWARE"],
"platformTypes": ["ANY_PLATFORM"],
"threatEntryTypes": ["URL"],
"threatEntries": [{"url": u} for u in urls],
},
}
resp = requests.post(url, json=body, timeout=15)
if resp.status_code == 200:
matches = resp.json().get("matches", [])
print(f"[+] Google Safe Browsing:发现 {len(matches)} 个威胁")
return matches
return []
def monitor_social_media_impersonation(self, platform="twitter"):
"""检测仿冒品牌或高管的社交媒体账号。"""
suspicious_profiles = []
# 搜索具有相似名称的账号
for name in self.executive_names + [self.brand_name]:
# 通用搜索方法
search_url = f"https://api.twitter.com/2/users/by/username/{name.replace(' ', '')}"
# 注意:生产环境中需使用已认证的 Twitter API
suspicious_profiles.append({
"search_term": name,
"platform": platform,
"note": "完整搜索需要已认证的 API 访问",
})
return suspicious_profiles
def monitor_app_stores(self):
"""检查应用商店中仿冒品牌的虚假移动应用。"""
fake_apps = []
for keyword in self.keywords:
# Google Play Store 搜索(非官方)
url = f"https://play.google.com/store/search?q={keyword}&c=apps"
try:
resp = requests.get(url, timeout=15, headers={
"User-Agent": "Mozilla/5.0"
})
if resp.status_code == 200:
# 解析结果,匹配品牌名称
from bs4 import BeautifulSoup
soup = BeautifulSoup(resp.text, "html.parser")
app_links = soup.find_all("a", href=lambda h: h and "/store/apps/details" in h)
for link in app_links:
app_name = link.get_text(strip=True)
if any(k.lower() in app_name.lower() for k in self.keywords):
fake_apps.append({
"name": app_name,
"url": f"https://play.google.com{link['href']}",
"platform": "google_play",
"keyword": keyword,
})
except Exception as e:
print(f"[-] 应用商店搜索出错:{e}")
return fake_apps
def generate_monitoring_report(self):
report = {
"brand": self.brand_name,
"generated": datetime.now().isoformat(),
"total_findings": len(self.findings),
"findings_by_type": {},
"high_priority": [],
}
for finding in self.findings:
ftype = finding["type"]
if ftype not in report["findings_by_type"]:
report["findings_by_type"][ftype] = 0
report["findings_by_type"][ftype] += 1
# 高优先级:具有较高 Web 相似度或 MX 记录
if finding.get("ssdeep_score", 0) > 50:
report["high_priority"].append(finding)
with open(f"brand_monitoring_{self.brand_name.lower()}.json", "w") as f:
json.dump(report, f, indent=2)
print(f"[+] 品牌监控报告:{len(self.findings)} 个发现")
return report
monitor = BrandMonitor({
"name": "MyCompany",
"domains": ["mycompany.com", "mycompany.org"],
"keywords": ["mycompany", "mybrand", "myproduct"],
"executives": ["CEO Name", "CTO Name"],
})
monitor.scan_domain_squatting()
report = monitor.generate_monitoring_report()
```
### 步骤 2:生成投诉下架请求
```python
def generate_takedown_request(finding, brand_info):
"""生成针对域名/站点的滥用举报以申请下架。"""
request = f"""主题:滥用举报 - 品牌仿冒 / 网络钓鱼
尊敬的滥用处理团队,
我们正在举报一个仿冒 {brand_info['name']} 的域名,
疑似用于网络钓鱼/欺诈目的。
侵权域名:{finding.get('indicator', '')}
IP 地址:{', '.join(finding.get('dns_a', ['未知']))}
检测方法:{finding.get('fuzzer', '域名相似性分析')}
Web 相似度评分:{finding.get('ssdeep_score', 'N/A')}%
检测日期:{finding.get('detected_at', '')}
我方合法域名:{', '.join(brand_info['domains'])}
该域名通过 {finding.get('fuzzer', '错字抢注')} 方式仿冒我方品牌。
请立即暂停该域名。
侵权证据可应要求提供。
此致
{brand_info['name']} 安全团队
"""
return request
```
## 验收标准
- 通过 dnstwist 置换扫描检测域名抢注
- Google Safe Browsing 检查识别已知威胁
- 证书透明度监控检测新的网络钓鱼证书
- 社交媒体监控识别仿冒账号
- 应用商店监控检测假冒应用
- 生成含所需证据的下架投诉请求
## 参考资料
- [Netcraft: 品牌保护平台](https://www.netcraft.com/blog/6-best-brand-protection-platforms-for-defending-your-company-s-online-reputation/)
- [Cyble: 品牌仿冒 2025](https://cyble.com/knowledge-hub/brand-impersonation-2025-threats-2026/)
- [Recorded Future: 品牌情报](https://www.recordedfuture.com/products/brand-intelligence)
- [NetDiligence: 域名安全与网络钓鱼](https://netdiligence.com/blog/2025/12/understanding-domain-security-brand-impersonation/)
- [Flare: 数字品牌保护](https://flare.io/glossary/digital-brand-protection/)
- [dnstwist GitHub](https://github.com/elceef/dnstwist)Related Skills
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。
performing-web-application-firewall-bypass
使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。
performing-vulnerability-scanning-with-nessus
使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。