Pishing seite

[gabberaner]

Treffe jetzt zum wiederholten male auf solche seiten:

ACHTUNG PISHING LINK NICHT DOWNLOADEN http://8.29.133.184/adc/download5adcde.php?src=ADC&kw=132311&lp=4

kann man nicht iwie heraußfinden ob das immer auf den selben server führt oder so? ich schicke regelmäßig Mails an Avast und sie sperren auch alle seiten aber vielleicht können die Effektiver was tun wenn ich denen einen Server nennen kann oder so... also falls sich jemand mit sowas auskennt währe ich für hilfe dankbar
Greetz

 

[Schwarzhut]

Sag mal wie offensichtlich ist das denn bitteschön?

Danke für den Hinweis

 

[PaRaDoX]

Allein das "Deutsch" würde mich direkt zum Schließen des Tabs bewegen.

Komischerwiese stoße ich nie auf solche Seiten. Wie machst du das?

 

[epiphora]

@Schwarzhut: Ich kenne Leute, die würden das machen!

Daher schätze ich es schon, dass es andere Leute gibt, die sich die Mühe machen, das zu melden. Schöner wäre es jedoch, das beim Hoster oder dessen Internet-Provider zu melden, aber ich glaube, das ist in diesem Fall nicht möglich.

 

[gabberaner]

@Schwarzhut: Ich kenne Leute, die würden das machen!

Daher schätze ich es schon, dass es andere Leute gibt, die sich die Mühe machen, das zu melden. Schöner wäre es jedoch, das beim Hoster oder dessen Internet-Provider zu melden, aber ich glaube, das ist in diesem Fall nicht möglich.

genau das ist ja meine frage ob und wie man informationen über server und provider bekommt....
die seite ging als popup fenster auf einer seite auf auf der man untertitel für serien downloaden kann ^^ nich was ihr gleich denkt

 

[nik]

Ein whois wirft das hier aus:

$ whois 8.29.133.184

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#


#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=8.29.133.184?showDetails=true&showARIN=false&ext=netref2
#


# start

NetRange:       8.0.0.0 - 8.255.255.255
CIDR:           8.0.0.0/8
OriginAS:       
NetName:        LVLT-ORG-8-8
NetHandle:      NET-8-0-0-0-1
Parent:         
NetType:        Direct Allocation
RegDate:        1992-12-01
Updated:        2012-02-24
Ref:            http://whois.arin.net/rest/net/NET-8-0-0-0-1


OrgName:        Level 3 Communications, Inc.
OrgId:          LVLT
Address:        1025 Eldorado Blvd.
City:           Broomfield
StateProv:      CO
PostalCode:     80021
Country:        US
RegDate:        1998-05-22
Updated:        2012-01-30
Comment:        ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
Ref:            http://whois.arin.net/rest/org/LVLT

OrgNOCHandle: NOCSU27-ARIN
OrgNOCName:   NOC Support
OrgNOCPhone:  +1-877-453-8353 
OrgNOCEmail:  noc.coreip@level3.com
OrgNOCRef:    http://whois.arin.net/rest/poc/NOCSU27-ARIN

OrgAbuseHandle: APL8-ARIN
OrgAbuseName:   Abuse POC LVLT
OrgAbusePhone:  +1-877-453-8353 
OrgAbuseEmail:  security@level3.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/APL8-ARIN

OrgTechHandle: IPADD5-ARIN
OrgTechName:   ipaddressing
OrgTechPhone:  +1-877-453-8353 
OrgTechEmail:  ipaddressing@level3.com
OrgTechRef:    http://whois.arin.net/rest/poc/IPADD5-ARIN

# end


# start

NetRange:       8.29.128.0 - 8.29.135.255
CIDR:           8.29.128.0/21
OriginAS:       AS30152
NetName:        BH-CVG2-RANGE01
NetHandle:      NET-8-29-128-0-1
Parent:         NET-8-0-0-0-1
NetType:        Reallocated
Comment:        http://beyondhosting.net
Comment:        Standard NOC hours are 8am to 8pm EST
RegDate:        2011-03-07
Updated:        2012-06-18
Ref:            http://whois.arin.net/rest/net/NET-8-29-128-0-1

OrgName:        Beyond Hosting, LLC
OrgId:          BHL-16
Address:        400 Pike St
City:           Cincinnati
StateProv:      OH
PostalCode:     45202
Country:        US
RegDate:        2011-02-14
Updated:        2012-10-10
Comment:        http://beyondhosting.net
Comment:        Standard NOC hours are 8am to 8pm EST
Ref:            http://whois.arin.net/rest/org/BHL-16

OrgTechHandle: ARINT45-ARIN
OrgTechName:   ARIN Tech
OrgTechPhone:  +1-513-299-7108 
OrgTechEmail:  arintech@beyondhosting.net
OrgTechRef:    http://whois.arin.net/rest/poc/ARINT45-ARIN

OrgNOCHandle: ARINN13-ARIN
OrgNOCName:   ARIN NOC
OrgNOCPhone:  +1-513-299-7177 
OrgNOCEmail:  arinnoc@beyondhosting.net
OrgNOCRef:    http://whois.arin.net/rest/poc/ARINN13-ARIN

OrgAbuseHandle: ABUSE3443-ARIN
OrgAbuseName:   Abuse Team
OrgAbusePhone:  +1-513-299-7108 
OrgAbuseEmail:  abuse@beyondhosting.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/ABUSE3443-ARIN

RTechHandle: ARINT45-ARIN
RTechName:   ARIN Tech
RTechPhone:  +1-513-299-7108 
RTechEmail:  arintech@beyondhosting.net
RTechRef:    http://whois.arin.net/rest/poc/ARINT45-ARIN

RAbuseHandle: ABUSE3443-ARIN
RAbuseName:   Abuse Team
RAbusePhone:  +1-513-299-7108 
RAbuseEmail:  abuse@beyondhosting.net
RAbuseRef:    http://whois.arin.net/rest/poc/ABUSE3443-ARIN

RNOCHandle: ARINN13-ARIN
RNOCName:   ARIN NOC
RNOCPhone:  +1-513-299-7177 
RNOCEmail:  arinnoc@beyondhosting.net
RNOCRef:    http://whois.arin.net/rest/poc/ARINN13-ARIN

# end



#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

Du könntest dich also an den Betreiber wenden, um dort eine Sperrung zu veranlassen. Eine Abuse-Adresse ist dort ja hinterlegt.
Ob die anderen Phishing-Seiten, die du so findest, beim gleichen Anbieter liegen, kannst du ja selbst, mit einer whois-Abfrage prüfen.

 

[gabberaner]

@nik:
ok super danke für die schnelle hilfe! wie macht man denn ne whois abfrage?

 

[nik]

Entweder man installiert das Programm, oder man nutzt einen entsprechenden Service im Internet.

 

[PaRaDoX]

Whois Services gibt es massig im Netz. Allein das Googlen nach "Whois" fördert zahlreiche Sites zu Tage. Dort die Url der gewünschten Seite eingeben et voilá.

 

[DerLadendieb]

Solche Seiten wird es immer wieder geben - einfach froh sein das man sie durchschaut und keinen Schaden davonträgt.

 

[darkside40]

Naja die Seite war ja noch ziemlich einfach zu durchschauen, manche die versuchen Daten zu Packstationen abzugreifen oder einem einen 500€ H&M Gutschein im Austausch für persönliche Daten anbieten sind schon schwerer zu durchschauen.

Btw. gibt es eigentlich irgendein Programm oder Script mit denen man die Datenbanken solcher Phishingseiten gezielt mit Müll füllen kann, das fände ich mal lustig
Übrigens ich würde solche Seiten entweder direkt über den Browser melden, oder bei Phishtank eintragen.

 

[Mareacho]

...bei Phishtank eintragen.

yep, und ein FF add-on Flagfox in der Addresszeile bietet einen Haufen weiterer Analysemöglickeiten,
für URL- Whois-, IP+ Serveraddressen kopieren...

 

[Kenobi van Gin]

mit denen man die Datenbanken solcher Phishingseiten gezielt mit Müll füllen kann, das fände ich mal lustig

Da gabs doch mal ne Diskussion im g:b. Der allgemeine Konsens war wohl, dass man damit unter Umständen auch Unbeteiligte trifft - ähnlich wie beim DDoS - und das deshalb keine gute Sache wäre.

Außerdem wurden rechtliche Bedenken und die Möglichkeit des Missbrauchs eines solchen Tools genannt.

 

[darkside40]

Ich rede ja nicht davon den Server mit tausenden von anfragen pro Sekunde zu überschütten, das käme wirklich einem DDoS Angriff gleich, ausserdem wären solche Einträge sehr leicht anhand der IP Adresse zu filtern, also ziemlich sinnlos.
Man müsste die Datenbanken der Phisher nur mit 1-5 echt aussehenden Datensätzen pro Sekunde füllen (also nicht nur mit blöden Schrott) am besten mit jeweils einer unterschiedlichen Source IP (also per Webproxy o.ä).

Das hätte kaum einen Einfluss auf die Leistungsfähigkeit der Server, würde die Datensätze aber größtenteils Unbrauchbar machen.

Klar können solche Tools auch missbraucht werden. Aber dies ist auch bei den meisten Pentesting Tools wie Metasploit oder dem Social Engineering Toolkit der Fall.
Btw. da Phisher auch nicht mit fairen Mitteln arbeiten könnte ich das mit meinem Gewissen vereinbaren, und ich glaube auch nicht das die zu einem Anwalt rennen und eine Abmahnung erwirken.

 

[Kenobi van Gin]

und ich glaube auch nicht das die zu einem Anwalt rennen und eine Abmahnung erwirken

Darum gehts ja auch nicht. Rechtliche Mittel einlegen könnte aber der Provider oder vielleicht der Hoster, bei dem die Seite liegt.

 

[Star]

Ich dachte, ich kriege das nur angezeigt, wenn ich meinen flashplayer aktualisiere, jetzt hab ich die Scheisse.

 

[darkside40]

Darum gehts ja auch nicht. Rechtliche Mittel einlegen könnte aber der Provider oder vielleicht der Hoster, bei dem die Seite liegt.

Ich glaube kaum das ein Hoster oder Provider so etwas überhaupt bemerkt wenn man, wie gesagt ,keine 100 oder 1000 Anfragen pro Sekunde schickt sondern nur 1-5 oder meinetwegen auch 10.
Solche Aktionen kann ein Hoster wohl kaum von dem normalen Traffic unterscheiden den die Opfer der Phishing Banden generieren.

 

[Kenobi van Gin]

@darkside40: Das mag sein. Die Qualität der im Thread gelieferten Argumente kann ich nicht unbedingt beurteilen.

 

[accC]

Wo ist das Problem?
Niemand hat etwas zu verschenken. Wenn du bei einer Bank/ einem beliebigen Service Provider nicht registriert bist, dann wird er dich nicht kontaktieren.
Wenn dein Serviceprovider zufällig irgendwelche Daten von dir braucht, wird er das kaum per Email machen. Entweder generiert er die Daten (Passwörter / Keys / whatever) selbst und lässt sie dir zukommen oder er wird dich auf seine Seine leiten.

Ob du auf der richtigen Seite bist, siehst du bei den meisten Anbietern am SSL.
Kein offizieller Anbieter wird ohne SSL oder mit selbst signierten Zertifikaten arbeiten.
Das machen vielleicht die NGB Betreiber, ich oder allgemein Leute, die weder Mittel noch Notwendigkeit haben, aber keine größere Institution wird mit selbst signierten Zertifikaten arbeiten.

Das Problem bei solchen Seiten liegt häufig darin, dass die Leute, auf deren Servern sie liegen, nichts von den Seiten wissen.

 

[darkside40]

Ich habe mit diesen Seiten kein Problem, da ich nicht so naiv bin wie viele andere Mitbürger. Denn inzwischen sind die Seiten meistens so gut gemacht das es auch nicht hilft wenn ich gesundes Misstrauen predige.

Es würde mir auch nur darum gehen die Phisher ein wenig zu sticheln.