Hem » Internet » Statistik » Trender och användning av .se-domäner i phishingsammanhang

Missa inte tidigare inlägg

Övrigt
augusti 31, 2016

Lägenhetsbluffar

Bluffakturor
augusti 29, 2016

När snillen spekulerar..

Phishing, intrång och ID-kapning
juli 23, 2016

Nytt SMS-spam

Bedragare
juli 9, 2016

VD-bedrägerier för DUMMIES

Bedragare
juni 19, 2016

VD-bedrägerier – bedragarnas nya svarta

Domäner
maj 12, 2016

Nu släpps zonfilerna för .se och .nu fria!

Bluffakturor
maj 8, 2016

Sydsvenskan har skrivit om Bolagsbasen idag

Bedragare
februari 12, 2016

50 anledningar till besvikelse

Övrigt
november 14, 2015

Vi är alla Parisare idag och Européer imorgon!

Bedragare
september 12, 2015

PRV varnar, eller vad sysslar de med egentligen?

Bluffakturor
september 6, 2015

När ska fakturabedrägerier börja tas på ordentligt allvar?

Bedragare
maj 18, 2015

Varumärkesbedrägerier

Bedragare
maj 6, 2015

ID-kapningar – extended version

Övrigt
april 23, 2015

Solskenshistoria!

Falska shoppar (ej lev.)
april 18, 2015

To good to be true

Internetsweden | Investigator
mars 13, 2015

Svensk brottsbekämpning – nu jäklar!

Internetsweden | Investigator
januari 15, 2015

Sagan om den svenska brottsbekämpningen och den onda spiralen

Bedragare
januari 7, 2015

JUSAB-härvan är märkligare än vad man kan ana!

Bluffakturor
december 29, 2014

En FULLSTÄNDIGT intetsägande och desinformerande artikel i skanskan.se

Internetsweden | Investigator
december 20, 2014

Brottstrender och utveckling på nätet – nu uppdelad med bokmärken

Internetsweden | Investigator
december 20, 2014

Tio saker som företag bör se upp för på nätet – nu uppdelad med bokmärken

Internetsweden | Investigator
december 20, 2014

Tio saker som privatpersoner bör se upp för på nätet – nu uppdelad med bokmärken

Övrigt
december 14, 2014

En personlig reflektion kring politikers syn på människors olika värde

Bedragare
december 14, 2014

Brottstrender och utveckling på nätet

Bedragare
december 14, 2014

Tio saker som företag bör se upp för på nätet

419-bedrägerier även kallade nigeriabrev
december 10, 2014

Tio saker som privatpersoner bör se upp för på nätet

Internetsweden | Investigator
november 28, 2014

Tre frukostseminarier 10-12/12

Myndigheter informerar och varnar
november 28, 2014

Polisen: Tips och råd om trygg julhandel

Internetsweden | Investigator
november 23, 2014

En skopa av sleven eller en nutida budkavel

Massmedia informerar och varnar
november 1, 2014

Det kan dyka upp vargar bland lammen?

Trender och användning av .se-domäner i phishingsammanhang

[sws_red_box box_size=”537″]Antalet phishingattacker som utförs med .se-domäner är fler än någonsin tidigare.
Även antalet inblandade .se-domäner är betydligt fler än tidigare.

Jag får ganska mycket allmäna frågor om abuse under .se och ibland frågor som ”Abuse – .se-domäner, behövs det verkligen?”

Bunden av sekretess kring .se-specifik information, så behöver jag alltsom oftast ”rulla med ögonen” och mumla fram att ”umm, det ökar ganska mycket” följt av att jag snabbt rabblar lite olika fenomen som förekommer.

I många fall så handlar det inte ens så mycket om sekretessen till .SE, utan om att jag inte vill/eller kan berätta mer detaljfullt om vilka olika tekniker som används, hur många som drabbats, då det byter skepnad mest hela tiden och dessutom i många fall är pågående utredningar.

Men min frustration har även lett till blogginlägg av den här typen: Vargen kommer inte – vargen är redan här!

Så jag tänkte istället göra ett lite annorlunda inlägg och visa en liten sammanställning jag gjort kring

Trender och användning av olika toppdomäner i phishingsammanhang.

[sws_red_box box_size=”537″]AWPG, The Anti-Phishing Working Group is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types. Check here who is member and partner

Informationen är hämtad från flera olika halvårsrapporter från AWPG, som är en otroligt viktig organisation för allas vårt Internet och jag har försökt att genomarbeta rapporterna lite och plockat ut det som kan kännas relevant att jämföra, för att ni ska se det jag gör. Om du är intresserad så kan du själv titta på alla trendrapporter här

Det jag först tänkte visa är hur det såg ut i höstas (oktober -10), som är de siffror som den senaste rapporten från april -11 summerar.

Jag vill först förklara respektive kolumn:
– TLD = Top Level Domain – toppdomän (upplänkat mot respektive register)
– TLD loc. = localion = vad TLDn symboliserar
– Unika attacker = Antal attacker som genomförts med de domäner, nedan
– Unika domäner = alltså antal domäner som använts för attackerna ovan
– Reg. domäner = Totalt antal registrerade domäner under TLDn
– Score: Phish = index phishing  per 10 000 registrerade domäner.
– Score: Attacks = index attacker per 10 000 registrerade domäner.
– Average Uptime = snittet för hur länge eländet ”ligger uppe”. Det är dessa tider som behöver krympas.

I första tabellen kan du se  hur den svenska toppdomänen .se används i dessa sammanhang och jag har dels tagit med .nu som har en mycket stor spridning i Sverige.
Och även om intresset i Sverige för .eu är kraftigt begränsat, så känns det relevant att ta med. Jag har sedan lagt till .no, .fi och .dk – då det känns relevant att jämföra sig med de närmaste grann-TLDerna.

TLD TLD loc. Utförda attacker Unika domäner Reg. domäner Score:
Phish
Score:
Attacks
Average Uptime
se Sweden 213 156 1 032 555 | 1.5 2.1 60:43:08
nu Niue (reg. est.) 50 22 200 000 | 1.1 2.5 30:18:02
no Norway 105 78 489 952 | 1.6 2.1 89:03:15
eu Europeiska unionen 301 220 3 248 347 | 1.3 1.5 64:06:09
fi Finland 36 31 245 744 | 0.7 0.9 129:45:20
dk Denmark 280 170 1 085 200 | 1.6 2.6 70:12:58

 

Efter att du fått inblick i det, så tänkte jag att det är relevant att höja blicken en aning och titta på hur det ser ut lite längre bort.

För det så tog jag med Polen, Estland, Lettland, Litauen, Ryssland (och den ”gamla”,  Sovjetunionen, som i allra högsta grad fortfarande är aktiv som TLD).
Som ni kan se så stiger siffrorna rejält, men Estland som undantag.

pl Poland 672 403 1 927 364 | 2.1 3.5 70:24:56
ee Estonia 20 14 84 500 | 1.7 2.4 79:46:15
lv Latvia 48 25 89 200 | 2.8 5.4 52:41:12
lt Lithuania 53 44 119 900 | 3.7 4.4 60:57:26
ru Russian Fed. 1,103 599 3 046 151 | 2.0 3.6 86:48:23
su Soviet Union 53 24 88 925 | 2.7 6.0 54:33:34

 

Men vi har än så länge bara tittat på landstoppdomäner. Högst relevant är att titta på gTLDer (Generiska Toppdomäner), då det finns ca 350 000 gTLD-domäner registrerade av svenska innehavare och svenskar är flitiga besökare av gTLD-domäner, som på ett annat sätt än landstoppdomäner har global användning och spridning.

[sws_red_box box_size=”537″]Till antalet, så används gTLD-domäner mångfaldigt oftare än ccTLD-domäner. Snittiden för hur länge dessa domäner kan ligga upp är dessutom mycket längre.

com generic TLD 28,296 19,311 92 739 962 | 2.1 3.1 71:21:06
net generic TLD 4,895 3,185 13 776 690 | 2.3 3.6 82:01:17
org generic TLD 2,704 1,702 8 678 049 | 2.0 3.1 71:46:40
info generic TLD 1,884 1,629 7 251 486 | 2.2 2.6 67:26:52
biz generic TLD 303 220 2 109 530 | 1.0 1.4 67:33:55

 

Beroende på hur man väljer att läsa dessa siffror, så kan det vara intressant att strunta i score/index-siffror en liten stund.
Och istället fundera på att det under .se-TLDn användes 156 domäner för phishing samtidigt som det användes 19 311 domäner under .com.

Och att dessa .com-domäner i genomsnitt fick busa ostört 11½ timme längre än för de domäner under som fanns under .se, eller för .net-domäner 21 timmar längre..

Men givetvis så vore ju det mest ultimata om det gick att redovisa nollor.
Den sista tabellen jag tänkte visa är hur det sett ut för .se-domänen de sista åren, för att ge dig en liten bild av hur det ökat

se mar-09 94 72 853 802 | 0.8 1.1 61:07:32
se nov-09 110 64 912 300 | 0.7 1.2 102:49:31
se maj-10 76 59 962 360 | 0.6 0.8 57:34:43
se okt-10 213 156 1 032 555 | 1.5 2.1 60:43:08

 

[sws_red_box box_size=”537″]Phishingdomäner är ”förödande” för sina besökare som låter sig smittas – därför är det enligt mig av största prioritet att så snabbt som möjligt få dem nedstängda, så att de åsamkar så lite skada som möjligt .

Vill det sig riktigt illa så försvinner allt av digitalt värde besökaren uppger på sin dator; inloggningsuppgifter, pengar, ”immateriella värden” som domännamn, hostingkonton,  spelkaraktärer.

I det fall inloggningsuppgifter till olika tjänster stjäls, så är digitala identitetsstölder frekventa, där tjuven utger sig för att vara offret – för att fortsätta stjäla från offrets vänner, genom att smitta dem eller fråga om lån av pengar mm

En enda phishingattack kan smitta tiotusentals klientdatorer, som förutom att de blir bestulna ofta för smittan vidare. De smittade klienterna används även i allra flesta fall som zombies för sk DDOS-attacker.

Avslutar det här inlägget med ett litet klargörande:
Förra året så var jag ordentligt syrlig kring en artikel hos IDG som i sin tur byggde på en FUD-rapport från McAffee: http://www.internetsweden.se/nu-ska-jag-vara-lite-stygg/

Jag är fortfarande starkt ifrågasättande till den rapporten och det har dessutom kommit en till efter den. Och jag ska peka på varför:

I den ursprungliga som jag byggde mitt inlägg på så var .cm den abslout värsta TLDn enligt McAffee och de hävdade att de hittat 57 210 riskabla domäner av 82 087 undersökta domäner. Problemet enligt mig är att det aldrig ens funnits så pass många registrerade domäner under .cm – ALDRIG!

Jag berättade om .cm-wildcardet som redirectade till agoga.com (som använde sig av en ”pop-up” som sågs som ”risky” av McAffee)
Referens:  http://us.mcafee.com/en-us/local/docs/Mapping_Mal_Web.pdf?cid=45044 (sidan 12)

I McAffee:s senare rapport så listas .cm som den 4:e värsta TLDn, men denna gång har McAffee endast lyckats spåra 3 947 domäner och av dem hittat 1 746 ”riskabla domäner”

Lite som du frågar kommer du också att få svar, men att lista .cm med påhittade ”luftdomäner” och samtidigt strunta i .com i den första rapporten hade 918 873 riskabla domäner av 15 440 225 testade och i andra rapporten har .com 948 995 riskabla domäner av 15 530 183 testade – ja, jag köper inte det!

Det som är ännu mer intressant är att AWPG (The Anti-Phishing Working Group) under samma period som McAffee anger 1 746 ”riskabla .cm-domäner” berättar att det finns en (1) .cm-domän som varit inblandad vid phishingattacker fyra (4) gånger. Referens: http://apwg.org/reports/APWG_GlobalPhishingSurvey_2H2010.pdf (sidan 22)

Nåja, avgör själv!

Gillar du det här inlägget, så uppskattar jag om du kan hjälpa till att sprida det,

Läs mer här

Internet Sweden | Peter Forsman

Jag som skriver, gör det ideellt och för att upplysa dig om verksamheter som JAG anser att det finns skäl att ifrågasätta och/eller varna för. Jag skriver även generellt om olika tillvägagångssätt som bedragare använder och tipsar om utbildning/kunskap som finns att få. Läs mer om: Peter Forsman

1 Comment

  1. Hans Ahlborg skriver:

    Intressant, har klarat mig från det mesta so far men jag är också rätt så noga… Men det är sjukt mycket skit!!!!

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *