18
Beliebte Phisher-Maildomains
Moin Kollegen.
Für eine Untersuchung hätte ich gerne Mail-Domains, die derzeit gerne von Phishern genutzt werden.
Klar, verlässliche Statistiken liegen dazu nicht jedem vor, aber vielleicht habt ihr ja die Möglichkeiten.
Für eine Untersuchung hätte ich gerne Mail-Domains, die derzeit gerne von Phishern genutzt werden.
Klar, verlässliche Statistiken liegen dazu nicht jedem vor, aber vielleicht habt ihr ja die Möglichkeiten.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668220
Url: https://administrator.de/contentid/668220
Ausgedruckt am: 26.09.2024 um 23:09 Uhr
18 Kommentare
Neuester Kommentar
Hi.
Gibt es auch eine Auswertung nach Maildomains irgendwo?
Kann ich mir daraus selber bauen, klar.
Gibt es auch eine Auswertung nach Maildomains irgendwo?
Kann ich mir daraus selber bauen, klar.
Gibt es auch eine Auswertung nach Maildomains irgendwo?
Wie meinst das? Ich bin eh nicht ganz schlau aus deiner Anfrage geworden..Gruß
Phisher hacken Mailsysteme / PC's mit Outlook und verschicken dann von dort aus Mails. Denen ist meist egal, mit welchem Absender sie versenden
Glaube nicht dass es sonst Mail-Domains gibt die von Phishern verwendet werden. Ausser vielleicht von den großen Mailprovidern wie z.B. @gmail.com
Ansonsten kann man auch mal sich die Blacklists ansehen, da tauchen ja Domains und/oder IPs auf, die negativ aufgefallen sind. Eventuell haben die Blacklistanbieter auch Statistiken auf die du zurückgreifen kannst
Nachtrag:
https://www.spamhaus.org/reputation-statistics/cctlds/domains/ nach cctlds
Glaube nicht dass es sonst Mail-Domains gibt die von Phishern verwendet werden. Ausser vielleicht von den großen Mailprovidern wie z.B. @gmail.com
Ansonsten kann man auch mal sich die Blacklists ansehen, da tauchen ja Domains und/oder IPs auf, die negativ aufgefallen sind. Eventuell haben die Blacklistanbieter auch Statistiken auf die du zurückgreifen kannst
Nachtrag:
https://www.spamhaus.org/reputation-statistics/cctlds/domains/ nach cctlds
Phisher hacken
.. die hacken gar nichts. Das einzige was die können, sind Passwörter abgreifen, das ist für mich aber kein klassischer Hack.PC's mit Outlook
zum Glück keine mit Thunderbird.Aber grundsätzlich stimme ich Dir zu. Ich wüsste keine Page, die ein Phisher-Domain-Ranking führt..
Gruß
die hacken gar nichts. zum Glück keine mit Thunderbird
War von mir auch etwas vereinfacht dargestellt. Sorry fürs provozieren 
Ich hab hier eine Liste mit ca. 10.000 Domains die von unserem Kunden im Mailsystem als Spam markiert wurden. Nachteil daran, jeder hat sein eigenes Verständnis von Spam. Der eine will die Mail, der nächste wiederum nicht
Und jeder kann durch ne Lücke selber zum Spamversender werden und landest denn auf ner Liste die ggfs erst mal länger Unterwegs ist wo du des Problem Behoben hast aber die anderen Mailserver dich noch als Spamschleuder ansehen und die Annahme verweigern.....
Und so vServer sind ja schnell geholt fürs Versenden oder Verwundbare Systeme wo manche Betreiber über Wochen nichts mitbekommen......
Und so vServer sind ja schnell geholt fürs Versenden oder Verwundbare Systeme wo manche Betreiber über Wochen nichts mitbekommen......
Ich schreibe heute Abend Genaueres.
Hatte sehr wenig Zeit heute. Mit Details kann vielleicht mehr dabei rauskommen.
Hatte sehr wenig Zeit heute. Mit Details kann vielleicht mehr dabei rauskommen.
Zitat von @stacktrace:
Gibt es auch eine Auswertung nach Maildomains irgendwo?
Wie meinst das? Ich bin eh nicht ganz schlau aus deiner Anfrage geworden..Die Hacker/Mails die mir so bei den Kunden vorkommen kann man in 2 Gruppen teilen.
A) Große Anbieter: Microsoft 365, Gmail, web.de, gmx, etc
B) Egal was man gerade gehackt hat. Also kein Muster. Von dem Wordpress eines Vereins in Bremen, über den Bestatter aus Holland bis zum Schreiner aus Japan. Alles schon dabei gewesen.
Freemailern könnte man einen negativen Start-Score geben.
Ist aber schwierig weil so viele private Personen die verwenden.
Paid-Mailer aber auch.
Also wo anfangen....
Ich schaue aber gerne mal ob ich irgendwo eine Liste herbekomme mit geblockten Mails...
Stefan
Hallo DWW,
das ging doch einfacher.
Ich konnte eine Abfrage über Mails die nicht zugestellt wurden der letzten 30 Tage über alle Domänen ausführen.
Ich habe die Einträge gruppiert und doppelte gelöscht. Es waren insgesamt 20.388 Mails.
Wo xxxx steht habe ich Daten unkenntlich gemacht.
https://transfer.kittel.cloud/download?code=c5cc451cf822b636&secret= ...
Eindeutige Hosts: 3.902
Eindeutige From Mail: 5.254
Eindeutige From SMTP: 7.666
Eindeutige From Mail+SMTP Domänen: 5.317
Eindeutige IPs: 5.742
Viel Spass damit.
Wenn das hilfreiche Daten sind und noch andere Auswertungen benötigst, schriebe mir eine PM.
Es wäre spannend zu den Domänen eine Auswertung für SPF, DMARC, DKIM und Blacklists zu machen.
Wenn Jemanden langweilige sein sollte oder Jemand mich dafür bezahlt
Stefan
das ging doch einfacher.
Ich konnte eine Abfrage über Mails die nicht zugestellt wurden der letzten 30 Tage über alle Domänen ausführen.
Ich habe die Einträge gruppiert und doppelte gelöscht. Es waren insgesamt 20.388 Mails.
Wo xxxx steht habe ich Daten unkenntlich gemacht.
https://transfer.kittel.cloud/download?code=c5cc451cf822b636&secret= ...
Eindeutige Hosts: 3.902
Eindeutige From Mail: 5.254
Eindeutige From SMTP: 7.666
Eindeutige From Mail+SMTP Domänen: 5.317
Eindeutige IPs: 5.742
Viel Spass damit.
Wenn das hilfreiche Daten sind und noch andere Auswertungen benötigst, schriebe mir eine PM.
Es wäre spannend zu den Domänen eine Auswertung für SPF, DMARC, DKIM und Blacklists zu machen.
Wenn Jemanden langweilige sein sollte oder Jemand mich dafür bezahlt
Stefan
Ich habe die Erklärung, was mich zu dieser Frage brachte, als Anekdote hier veröffentlicht: Ungewollter Datenabfluss via Mail dank Outlooks Autovervollständigung
Zitat von @stacktrace:
Moin,
sowas vielleicht?
phishing.army/download/phishing_army_blocklist_extended.txt
raw.githubusercontent.com/blocklistproject/Lists/master/phishing.txt
Moin,
sowas vielleicht?
phishing.army/download/phishing_army_blocklist_extended.txt
raw.githubusercontent.com/blocklistproject/Lists/master/phishing.txt
Diese Listen sind ja ganz nett, aber als Spammer hat man schneller neue Domains am Start, als diese in die Listen eingepflegt werden können. Meiner Erfahrung nach ist das nur für sehr kurze Zeit eine Linderung.
lks
Zitat von @Lochkartenstanzer:
Diese Listen sind ja ganz nett, aber als Spammer hat man schneller neue Domains am Start, als diese in die Listen eingepflegt werden können. Meiner Erfahrung nach ist das nur für sehr kurze Zeit eine Linderung.
Unter anderem aus diesem Grund habe ich die Zahlen dazugeschrieben.Diese Listen sind ja ganz nett, aber als Spammer hat man schneller neue Domains am Start, als diese in die Listen eingepflegt werden können. Meiner Erfahrung nach ist das nur für sehr kurze Zeit eine Linderung.
Bei 20.000 Mails kommt jede Domäne oder Server nur 4mal vor.
Eindeutige Hosts: 3.902
Eindeutige From Mail: 5.254
Eindeutige From SMTP: 7.666
Eindeutige From Mail+SMTP Domänen: 5.317
Eindeutige IPs: 5.742
Dazu gibts es Roulett-Proxys Anfragen einfach über tausenden IPs, auch aus der EU, verteilen.
Wenn es einfach wäre, gäbe es spam und phising nicht mehr.
Stefan
Zitat von @DerWoWusste:
Ich habe die Erklärung, was mich zu dieser Frage brachte, als Anekdote hier veröffentlicht: Ungewollter Datenabfluss via Mail dank Outlooks Autovervollständigung
Ich habe die Erklärung, was mich zu dieser Frage brachte, als Anekdote hier veröffentlicht: Ungewollter Datenabfluss via Mail dank Outlooks Autovervollständigung
Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Auch deine Idee an "Warnung: Sie senden selten E-Mails an diesen Empfänger" finde ich einen guten Ansatz, solange es zu den Benutzern passt
Zitat von @Michi91:
Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Das sieht der User wegen der Autovervollständigung wenig bis gar nicht.Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Klar ist es für menschen Hilfreich wenn da "Martina Mustermann" steht statt mm@elovade.de (der neue Name von Ebertlang), aber das macht einen auch Anfälliger. Eine richtige "Lösung" sehe ich nicht. Nur Behelfsmaßnamen.
Stefan
Zitat von @StefanKittel:
Zitat von @Michi91:
Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Das sieht der User wegen der Autovervollständigung wenig bis gar nicht.Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Insbesondere weil Outlook i.d.R. nicht die Mailadresse, sondern nur den Namen anzeigt, im Gegensatz zu Thunderbird & Co.
lks
Danke für alle Vorschläge.
Vermutlich scheitert das Monitoring an der Umsetzbarkeit. Aber es ist auch nicht kritisch, wir haben lediglich mögliche Maßnahmen zusammentragen wollen.
Vermutlich scheitert das Monitoring an der Umsetzbarkeit. Aber es ist auch nicht kritisch, wir haben lediglich mögliche Maßnahmen zusammentragen wollen.
