Beliebte Phisher-Maildomains
Moin Kollegen.
Für eine Untersuchung hätte ich gerne Mail-Domains, die derzeit gerne von Phishern genutzt werden.
Klar, verlässliche Statistiken liegen dazu nicht jedem vor, aber vielleicht habt ihr ja die Möglichkeiten.
Für eine Untersuchung hätte ich gerne Mail-Domains, die derzeit gerne von Phishern genutzt werden.
Klar, verlässliche Statistiken liegen dazu nicht jedem vor, aber vielleicht habt ihr ja die Möglichkeiten.
Please also mark the comments that contributed to the solution of the article
Content-ID: 668220
Url: https://administrator.de/contentid/668220
Printed on: October 15, 2024 at 15:10 o'clock
18 Comments
Latest comment
Phisher hacken Mailsysteme / PC's mit Outlook und verschicken dann von dort aus Mails. Denen ist meist egal, mit welchem Absender sie versenden
Glaube nicht dass es sonst Mail-Domains gibt die von Phishern verwendet werden. Ausser vielleicht von den großen Mailprovidern wie z.B. @gmail.com
Ansonsten kann man auch mal sich die Blacklists ansehen, da tauchen ja Domains und/oder IPs auf, die negativ aufgefallen sind. Eventuell haben die Blacklistanbieter auch Statistiken auf die du zurückgreifen kannst
Nachtrag:
https://www.spamhaus.org/reputation-statistics/cctlds/domains/ nach cctlds
Glaube nicht dass es sonst Mail-Domains gibt die von Phishern verwendet werden. Ausser vielleicht von den großen Mailprovidern wie z.B. @gmail.com
Ansonsten kann man auch mal sich die Blacklists ansehen, da tauchen ja Domains und/oder IPs auf, die negativ aufgefallen sind. Eventuell haben die Blacklistanbieter auch Statistiken auf die du zurückgreifen kannst
Nachtrag:
https://www.spamhaus.org/reputation-statistics/cctlds/domains/ nach cctlds
Und jeder kann durch ne Lücke selber zum Spamversender werden und landest denn auf ner Liste die ggfs erst mal länger Unterwegs ist wo du des Problem Behoben hast aber die anderen Mailserver dich noch als Spamschleuder ansehen und die Annahme verweigern.....
Und so vServer sind ja schnell geholt fürs Versenden oder Verwundbare Systeme wo manche Betreiber über Wochen nichts mitbekommen......
Und so vServer sind ja schnell geholt fürs Versenden oder Verwundbare Systeme wo manche Betreiber über Wochen nichts mitbekommen......
Zitat von @stacktrace:
Gibt es auch eine Auswertung nach Maildomains irgendwo?
Wie meinst das? Ich bin eh nicht ganz schlau aus deiner Anfrage geworden..Die Hacker/Mails die mir so bei den Kunden vorkommen kann man in 2 Gruppen teilen.
A) Große Anbieter: Microsoft 365, Gmail, web.de, gmx, etc
B) Egal was man gerade gehackt hat. Also kein Muster. Von dem Wordpress eines Vereins in Bremen, über den Bestatter aus Holland bis zum Schreiner aus Japan. Alles schon dabei gewesen.
Freemailern könnte man einen negativen Start-Score geben.
Ist aber schwierig weil so viele private Personen die verwenden.
Paid-Mailer aber auch.
Also wo anfangen....
Ich schaue aber gerne mal ob ich irgendwo eine Liste herbekomme mit geblockten Mails...
Stefan
Hallo DWW,
das ging doch einfacher.
Ich konnte eine Abfrage über Mails die nicht zugestellt wurden der letzten 30 Tage über alle Domänen ausführen.
Ich habe die Einträge gruppiert und doppelte gelöscht. Es waren insgesamt 20.388 Mails.
Wo xxxx steht habe ich Daten unkenntlich gemacht.
https://transfer.kittel.cloud/download?code=c5cc451cf822b636&secret= ...
Eindeutige Hosts: 3.902
Eindeutige From Mail: 5.254
Eindeutige From SMTP: 7.666
Eindeutige From Mail+SMTP Domänen: 5.317
Eindeutige IPs: 5.742
Viel Spass damit.
Wenn das hilfreiche Daten sind und noch andere Auswertungen benötigst, schriebe mir eine PM.
Es wäre spannend zu den Domänen eine Auswertung für SPF, DMARC, DKIM und Blacklists zu machen.
Wenn Jemanden langweilige sein sollte oder Jemand mich dafür bezahlt
Stefan
das ging doch einfacher.
Ich konnte eine Abfrage über Mails die nicht zugestellt wurden der letzten 30 Tage über alle Domänen ausführen.
Ich habe die Einträge gruppiert und doppelte gelöscht. Es waren insgesamt 20.388 Mails.
Wo xxxx steht habe ich Daten unkenntlich gemacht.
https://transfer.kittel.cloud/download?code=c5cc451cf822b636&secret= ...
Eindeutige Hosts: 3.902
Eindeutige From Mail: 5.254
Eindeutige From SMTP: 7.666
Eindeutige From Mail+SMTP Domänen: 5.317
Eindeutige IPs: 5.742
Viel Spass damit.
Wenn das hilfreiche Daten sind und noch andere Auswertungen benötigst, schriebe mir eine PM.
Es wäre spannend zu den Domänen eine Auswertung für SPF, DMARC, DKIM und Blacklists zu machen.
Wenn Jemanden langweilige sein sollte oder Jemand mich dafür bezahlt
Stefan
Zitat von @stacktrace:
Moin,
sowas vielleicht?
phishing.army/download/phishing_army_blocklist_extended.txt
raw.githubusercontent.com/blocklistproject/Lists/master/phishing.txt
Moin,
sowas vielleicht?
phishing.army/download/phishing_army_blocklist_extended.txt
raw.githubusercontent.com/blocklistproject/Lists/master/phishing.txt
Diese Listen sind ja ganz nett, aber als Spammer hat man schneller neue Domains am Start, als diese in die Listen eingepflegt werden können. Meiner Erfahrung nach ist das nur für sehr kurze Zeit eine Linderung.
lks
Zitat von @Lochkartenstanzer:
Diese Listen sind ja ganz nett, aber als Spammer hat man schneller neue Domains am Start, als diese in die Listen eingepflegt werden können. Meiner Erfahrung nach ist das nur für sehr kurze Zeit eine Linderung.
Unter anderem aus diesem Grund habe ich die Zahlen dazugeschrieben.Diese Listen sind ja ganz nett, aber als Spammer hat man schneller neue Domains am Start, als diese in die Listen eingepflegt werden können. Meiner Erfahrung nach ist das nur für sehr kurze Zeit eine Linderung.
Bei 20.000 Mails kommt jede Domäne oder Server nur 4mal vor.
Eindeutige Hosts: 3.902
Eindeutige From Mail: 5.254
Eindeutige From SMTP: 7.666
Eindeutige From Mail+SMTP Domänen: 5.317
Eindeutige IPs: 5.742
Dazu gibts es Roulett-Proxys Anfragen einfach über tausenden IPs, auch aus der EU, verteilen.
Wenn es einfach wäre, gäbe es spam und phising nicht mehr.
Stefan
Zitat von @DerWoWusste:
Ich habe die Erklärung, was mich zu dieser Frage brachte, als Anekdote hier veröffentlicht: Ungewollter Datenabfluss via Mail dank Outlooks Autovervollständigung
Ich habe die Erklärung, was mich zu dieser Frage brachte, als Anekdote hier veröffentlicht: Ungewollter Datenabfluss via Mail dank Outlooks Autovervollständigung
Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Auch deine Idee an "Warnung: Sie senden selten E-Mails an diesen Empfänger" finde ich einen guten Ansatz, solange es zu den Benutzern passt
Zitat von @Michi91:
Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Das sieht der User wegen der Autovervollständigung wenig bis gar nicht.Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Klar ist es für menschen Hilfreich wenn da "Martina Mustermann" steht statt mm@elovade.de (der neue Name von Ebertlang), aber das macht einen auch Anfälliger. Eine richtige "Lösung" sehe ich nicht. Nur Behelfsmaßnamen.
Stefan
Zitat von @StefanKittel:
Zitat von @Michi91:
Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Das sieht der User wegen der Autovervollständigung wenig bis gar nicht.Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Insbesondere weil Outlook i.d.R. nicht die Mailadresse, sondern nur den Namen anzeigt, im Gegensatz zu Thunderbird & Co.
lks