Icewolf

Phishing Erkennung schlecht

Recommended Posts

In der letzten Zeit gab es häufiger Phishing E-Mails, auch ich habe diverse E-Mails bekommen, sonst eher selten.

 

Was mich besonders ärgert ist:

 

1. Das Links in den E-Mails die nach dem aufrufen zu Phishing Seiten führen überhaupt nicht erkannt werden. Also die Phishing Seite wird nicht erkannt oder auch nicht die Malware die direkt geladen wurde.

2. Anhänge mit Malware die über des gleichen kommen auch nicht erkannt werden. Also Anhang aus den E-Mails heraus aufgerufen.

 

OK kann ja mal passieren, aber das URLs die ich über das Programm oder über das Webformular zu Emsisoft einsende überhaupt nicht beachtet werden finde ich nicht so toll! Selbst nach einer Woche wurden die Seiten nicht als gefährlich erkannt! Denn da waren echt schlimme und echt aussehende Seiten dabei. Da müsst ihr echt was unternehmen damit das besser wird!

 

Positiv zu erwähnen ist allerdings, dass die eingesendete Malware nach wenigen Stunden erkannt wurde.

Share this post


Link to post
Share on other sites

Generell schenken wir Phishing vergleichsweise wenig Beachtung. Das Problem ist, dass die meisten Phishing Seiten nur fuer wenige Stunden ueberhaupt existieren und ein kleines Team wie unseres schlicht nicht in der Lage ist gemeldeten URLs schnell genug nachzugehen bevor die Seiten wieder vom Netz verschwunden sind. Das ist letztlich auch einer der Gruende, wieso wir den Phishing Schutz nicht aktiv bewerben.

  • Upvote 1

Share this post


Link to post
Share on other sites

Hallo Fabian, dann frage ich mich warum es unter Surfschutz dann den Phishing Schutz gibt? Nach einer Woche kann man doch erwarten das gefährliche Seiten in der Blacklist geführt werden. Denn ich beobachte das schon eine ganze Weile, einige Phishing URLs waren auch nach Wochen noch erreichbar nachdem ich sie gemeldet hatte und wurden danach von EAM auch nie als gefährlich gemeldet. Die User erwarten auch hier einen ausreichenden Schutz.

 

Am 02.06.14 habe ich ein Phishing HTML Formular, welche per E-Mail kam, über das Programm zu euch hochgeladen, bis heute ist der Risikolevel in der Quarantäne als "unbekannt" gesetzt!

 

Wenn man schon 100% Schutz* bewirbt, dann sollte auch das einigermaßen funktionieren ;-)

Share this post


Link to post
Share on other sites

Hallo Fabian, dann frage ich mich warum es unter Surfschutz dann den Phishing Schutz gibt?

Es gibt auch eine "Privacy" Kategorie. Allerdings erheben wir auch da keinen Anspruch darauf, dass sie komplett ist und bewerben EAM als Ghostery Ersatz. Waehrend der normalen Malware Suche stolpert man letztlich immer ueber die ein oder andere Phishing Domain oder Werbe Server. Die werden dann im Normalfall hinzugefuegt. Allerdings haben wir kein Team das dediziert Phishing oder Werbedomains aufspuert und blacklisted.

 

Nach einer Woche kann man doch erwarten das gefährliche Seiten in der Blacklist geführt werden. Denn ich beobachte das schon eine ganze Weile, einige Phishing URLs waren auch nach Wochen noch erreichbar nachdem ich sie gemeldet hatte und wurden danach von EAM auch nie als gefährlich gemeldet.

Wie gesagt, Phishing hat keine Prioritaet. Solange es Malware Hinweise in der Queue gibt, werden Phishing Reports nicht angeruehrt und die Malware Queue ist faktisch nie leer.

 

Am 02.06.14 habe ich ein Phishing HTML Formular, welche per E-Mail kam, über das Programm zu euch hochgeladen, bis heute ist der Risikolevel in der Quarantäne als "unbekannt" gesetzt!

Selbst wenn wir Phishing zur Prioritaet machen wuerden, wuerden wir das Formular nicht erkennen oder in die Signaturen einpflegen. Das geht in Richtung Network Stream Scanning, was wir bewusst vermeiden.

Share this post


Link to post
Share on other sites

Ihr bewirbt "Garantierte Erkennung von Malware", das kann man so nicht stehen lassen!  Vor einigen Tagen hatte ich eine gefälschte Rechnung von der deutschen Telekom und von Vodafone im Postfach, mit einem Link die Rechnungsdetails online abzurufen. Im Prinzip waren es auch Phishing E-Mails, denn meine Frau hat sie nicht als solche erkannt. Nach aufrufen der Links hat EAM auch hier versagt und keine Malware erkannt die direkt runtergeladen wurde. Selbst die Verhaltensanalyse hat hier nicht angeschlagen! Nach Überprüfung des runtergeladenen Files bei "virustotal.com" gab es eine Erkennungsquote von 70% aller gelisteten AVs:  >>> TR/Fileinjector, TR/Ransom, TR/Backdoor, TR/Banker, usw.

 

Erkennung auf meinen Testsystemen durch "Avira" und "avast! 2014"!

 

Das mal dazu.

Share this post


Link to post
Share on other sites

Die besagten Files habe ich über das EAM Programm eingesendet und werden mittlerweile mit der Risikostufe "hoch" erkannt.

 

Edit: ich muss mal schauen ob ich die Malwarefiles noch auf meinem Linux Rechner habe, dann sende ich sie euch zu.

Share this post


Link to post
Share on other sites

ich muss mal schauen ob ich die Malwarefiles noch auf meinem Linux Rechner habe, dann sende ich sie euch zu.

Das waere hilfreich, danke. Ist letztlich schneller als durch die ca. 240.000 Dateien die wir pro Tag uebermittelt bekommen zu wuehlen :).

Share this post


Link to post
Share on other sites

Ich habe die Malwarefiles leider nicht mehr, habe alle gelöscht. Da ich die Files bei verschiedenen AVs und zu Emsisoft eingesendet habe werden diese nun auch erkannt. Damit erübrigt sich eine wiederholte Einsendung. Das HTML Formular könnte ich bei Interesse noch zusenden, aber das nützt euch sicher nichts.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.