derwowusste
Goto Top

Beliebte Phisher-Maildomains

Moin Kollegen.

Für eine Untersuchung hätte ich gerne Mail-Domains, die derzeit gerne von Phishern genutzt werden.
Klar, verlässliche Statistiken liegen dazu nicht jedem vor, aber vielleicht habt ihr ja die Möglichkeiten.

Content-ID: 668220

Url: https://administrator.de/contentid/668220

Printed on: October 15, 2024 at 15:10 o'clock

stacktrace
Solution stacktrace Sep 18, 2024 updated at 11:16:03 (UTC)
Goto Top
DerWoWusste
DerWoWusste Sep 18, 2024 at 12:28:12 (UTC)
Goto Top
Hi.

Gibt es auch eine Auswertung nach Maildomains irgendwo?
Kann ich mir daraus selber bauen, klar.
stacktrace
stacktrace Sep 18, 2024 at 12:38:12 (UTC)
Goto Top
Gibt es auch eine Auswertung nach Maildomains irgendwo?
Wie meinst das? Ich bin eh nicht ganz schlau aus deiner Anfrage geworden..

Gruß
Michi91
Solution Michi91 Sep 18, 2024 updated at 13:02:00 (UTC)
Goto Top
Phisher hacken Mailsysteme / PC's mit Outlook und verschicken dann von dort aus Mails. Denen ist meist egal, mit welchem Absender sie versenden

Glaube nicht dass es sonst Mail-Domains gibt die von Phishern verwendet werden. Ausser vielleicht von den großen Mailprovidern wie z.B. @gmail.com

Ansonsten kann man auch mal sich die Blacklists ansehen, da tauchen ja Domains und/oder IPs auf, die negativ aufgefallen sind. Eventuell haben die Blacklistanbieter auch Statistiken auf die du zurückgreifen kannst face-smile

Nachtrag:
https://www.spamhaus.org/reputation-statistics/cctlds/domains/ nach cctlds face-smile
stacktrace
stacktrace Sep 18, 2024 at 13:09:25 (UTC)
Goto Top
Phisher hacken
.. die hacken gar nichts. Das einzige was die können, sind Passwörter abgreifen, das ist für mich aber kein klassischer Hack.

PC's mit Outlook
zum Glück keine mit Thunderbird.

Aber grundsätzlich stimme ich Dir zu. Ich wüsste keine Page, die ein Phisher-Domain-Ranking führt..

Gruß
Michi91
Michi91 Sep 18, 2024 at 13:10:46 (UTC)
Goto Top
die hacken gar nichts. zum Glück keine mit Thunderbird
War von mir auch etwas vereinfacht dargestellt. Sorry fürs provozieren face-smile
Snuffchen
Snuffchen Sep 18, 2024 at 14:37:34 (UTC)
Goto Top
Ich hab hier eine Liste mit ca. 10.000 Domains die von unserem Kunden im Mailsystem als Spam markiert wurden. Nachteil daran, jeder hat sein eigenes Verständnis von Spam. Der eine will die Mail, der nächste wiederum nicht
kaiand1
kaiand1 Sep 18, 2024 at 15:03:28 (UTC)
Goto Top
Und jeder kann durch ne Lücke selber zum Spamversender werden und landest denn auf ner Liste die ggfs erst mal länger Unterwegs ist wo du des Problem Behoben hast aber die anderen Mailserver dich noch als Spamschleuder ansehen und die Annahme verweigern.....
Und so vServer sind ja schnell geholt fürs Versenden oder Verwundbare Systeme wo manche Betreiber über Wochen nichts mitbekommen......
DerWoWusste
DerWoWusste Sep 18, 2024 at 15:28:03 (UTC)
Goto Top
Ich schreibe heute Abend Genaueres.
Hatte sehr wenig Zeit heute. Mit Details kann vielleicht mehr dabei rauskommen.
StefanKittel
StefanKittel Sep 18, 2024 at 22:06:48 (UTC)
Goto Top
Zitat von @stacktrace:
Gibt es auch eine Auswertung nach Maildomains irgendwo?
Wie meinst das? Ich bin eh nicht ganz schlau aus deiner Anfrage geworden..

Die Hacker/Mails die mir so bei den Kunden vorkommen kann man in 2 Gruppen teilen.
A) Große Anbieter: Microsoft 365, Gmail, web.de, gmx, etc
B) Egal was man gerade gehackt hat. Also kein Muster. Von dem Wordpress eines Vereins in Bremen, über den Bestatter aus Holland bis zum Schreiner aus Japan. Alles schon dabei gewesen.

Freemailern könnte man einen negativen Start-Score geben.
Ist aber schwierig weil so viele private Personen die verwenden.

Paid-Mailer aber auch.

Also wo anfangen....

Ich schaue aber gerne mal ob ich irgendwo eine Liste herbekomme mit geblockten Mails...

Stefan
StefanKittel
Solution StefanKittel Sep 18, 2024 updated at 22:51:48 (UTC)
Goto Top
Hallo DWW,

das ging doch einfacher.
Ich konnte eine Abfrage über Mails die nicht zugestellt wurden der letzten 30 Tage über alle Domänen ausführen.

Ich habe die Einträge gruppiert und doppelte gelöscht. Es waren insgesamt 20.388 Mails.
Wo xxxx steht habe ich Daten unkenntlich gemacht.

https://transfer.kittel.cloud/download?code=c5cc451cf822b636&secret= ...

Eindeutige Hosts: 3.902
Eindeutige From Mail: 5.254
Eindeutige From SMTP: 7.666
Eindeutige From Mail+SMTP Domänen: 5.317
Eindeutige IPs: 5.742

Viel Spass damit.

Wenn das hilfreiche Daten sind und noch andere Auswertungen benötigst, schriebe mir eine PM.

Es wäre spannend zu den Domänen eine Auswertung für SPF, DMARC, DKIM und Blacklists zu machen.
Wenn Jemanden langweilige sein sollte oder Jemand mich dafür bezahlt face-smile

Stefan
DerWoWusste
DerWoWusste Sep 19, 2024 at 10:16:11 (UTC)
Goto Top
Ich habe die Erklärung, was mich zu dieser Frage brachte, als Anekdote hier veröffentlicht: Ungewollter Datenabfluss via Mail dank Outlooks Autovervollständigung
Lochkartenstanzer
Lochkartenstanzer Sep 19, 2024 updated at 10:28:24 (UTC)
Goto Top


Diese Listen sind ja ganz nett, aber als Spammer hat man schneller neue Domains am Start, als diese in die Listen eingepflegt werden können. Meiner Erfahrung nach ist das nur für sehr kurze Zeit eine Linderung.

lks
StefanKittel
StefanKittel Sep 19, 2024 at 11:10:12 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Diese Listen sind ja ganz nett, aber als Spammer hat man schneller neue Domains am Start, als diese in die Listen eingepflegt werden können. Meiner Erfahrung nach ist das nur für sehr kurze Zeit eine Linderung.
Unter anderem aus diesem Grund habe ich die Zahlen dazugeschrieben.

Bei 20.000 Mails kommt jede Domäne oder Server nur 4mal vor.
Eindeutige Hosts: 3.902
Eindeutige From Mail: 5.254
Eindeutige From SMTP: 7.666
Eindeutige From Mail+SMTP Domänen: 5.317
Eindeutige IPs: 5.742

Dazu gibts es Roulett-Proxys Anfragen einfach über tausenden IPs, auch aus der EU, verteilen.

Wenn es einfach wäre, gäbe es spam und phising nicht mehr.

Stefan
Michi91
Michi91 Sep 19, 2024 at 11:41:18 (UTC)
Goto Top
Zitat von @DerWoWusste:

Ich habe die Erklärung, was mich zu dieser Frage brachte, als Anekdote hier veröffentlicht: Ungewollter Datenabfluss via Mail dank Outlooks Autovervollständigung

Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.

Auch deine Idee an "Warnung: Sie senden selten E-Mails an diesen Empfänger" finde ich einen guten Ansatz, solange es zu den Benutzern passt
StefanKittel
StefanKittel Sep 19, 2024 at 12:11:08 (UTC)
Goto Top
Zitat von @Michi91:
Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Das sieht der User wegen der Autovervollständigung wenig bis gar nicht.

Klar ist es für menschen Hilfreich wenn da "Martina Mustermann" steht statt mm@elovade.de (der neue Name von Ebertlang), aber das macht einen auch Anfälliger. Eine richtige "Lösung" sehe ich nicht. Nur Behelfsmaßnamen.

Stefan
Lochkartenstanzer
Lochkartenstanzer Sep 19, 2024 at 12:15:16 (UTC)
Goto Top
Zitat von @StefanKittel:

Zitat von @Michi91:
Ich würde die Benutzer warnen, wenn sie an bestimmte (bzw. unbestimmte) TLDs verschicken. Alles was nicht .de .com und eventuell .net ist, ist erstmal auffällig.
Das sieht der User wegen der Autovervollständigung wenig bis gar nicht.

Insbesondere weil Outlook i.d.R. nicht die Mailadresse, sondern nur den Namen anzeigt, im Gegensatz zu Thunderbird & Co.

lks
DerWoWusste
DerWoWusste Sep 20, 2024 at 11:28:21 (UTC)
Goto Top
Danke für alle Vorschläge.

Vermutlich scheitert das Monitoring an der Umsetzbarkeit. Aber es ist auch nicht kritisch, wir haben lediglich mögliche Maßnahmen zusammentragen wollen.