Missa inte tidigare inlägg

Övrigt
november 12, 2017

När landet lagom först blev allt, sedan..

Övrigt
oktober 31, 2017

Idag är det en bra dag för svenska konsumenter!

Bank ID
oktober 30, 2017

Ont, det gör ont, det gör ont..

Bedragare
oktober 25, 2017

Ett litet inlägg om enkel källkritik

Bedragare
augusti 17, 2017

Men varför gör inte polisen någonting då?

VD-bedrägerier
juni 11, 2017

Nu ett år senare så säger jag det igen: ca 100 miljoner kronor per dag!!

Skadlig kod
februari 28, 2017

Sverige minst drabbat av skadlig kod i världen Q4 2016

Domäner
december 21, 2016

Dagens tankenöt – “Utgivningsbevis i orätta händer”

Bedragare
december 17, 2016

När Polischefer förenklar..

Övrigt
december 15, 2016

Dagens tankenöt – “Spökbolag”

Källgranskning
december 8, 2016

Aftonbladet är osnygga!

Övrigt
december 6, 2016

Bra att veta om e-postadresser.

Falska sidor och immaterialrättsliga brott
november 2, 2016

Hur företag och varumärken utnyttjas, utan att polis “kan” agera..

Bedragare
oktober 5, 2016

Kostnaderna för bedrägerier är större än vi kan ana

Massmedia informerar och varnar
oktober 2, 2016

Det begås ett bedrägeribrott varje minut, året runt!

Bedragare
september 29, 2016

Blir det Sveriges största bedrägeri genom tiderna?

Övrigt
augusti 31, 2016

Lägenhetsbluffar

Bluffakturor
augusti 29, 2016

När snillen spekulerar..

Phishing, intrång och ID-kapning
juli 23, 2016

Nytt SMS-spam

Bedragare
juli 9, 2016

VD-bedrägerier för DUMMIES

Bedragare
juni 19, 2016

VD-bedrägerier – bedragarnas nya svarta

Domäner
maj 12, 2016

Nu släpps zonfilerna för .se och .nu fria!

Bluffakturor
maj 8, 2016

Sydsvenskan har skrivit om Bolagsbasen idag

Bedragare
februari 12, 2016

50 anledningar till besvikelse

Övrigt
november 14, 2015

Vi är alla Parisare idag och Européer imorgon!

Bedragare
september 12, 2015

PRV varnar, eller vad sysslar de med egentligen?

Bluffakturor
september 6, 2015

När ska fakturabedrägerier börja tas på ordentligt allvar?

Bedragare
maj 18, 2015

Varumärkesbedrägerier

Bedragare
maj 6, 2015

ID-kapningar – extended version

Övrigt
april 23, 2015

Solskenshistoria!

Trender och användning av .se-domäner i phishingsammanhang

[sws_red_box box_size=”537″]Antalet phishingattacker som utförs med .se-domäner är fler än någonsin tidigare.
Även antalet inblandade .se-domäner är betydligt fler än tidigare.

Jag får ganska mycket allmäna frågor om abuse under .se och ibland frågor som “Abuse – .se-domäner, behövs det verkligen?”

Bunden av sekretess kring .se-specifik information, så behöver jag alltsom oftast “rulla med ögonen” och mumla fram att “umm, det ökar ganska mycket” följt av att jag snabbt rabblar lite olika fenomen som förekommer.

I många fall så handlar det inte ens så mycket om sekretessen till .SE, utan om att jag inte vill/eller kan berätta mer detaljfullt om vilka olika tekniker som används, hur många som drabbats, då det byter skepnad mest hela tiden och dessutom i många fall är pågående utredningar.

Men min frustration har även lett till blogginlägg av den här typen: Vargen kommer inte – vargen är redan här!

Så jag tänkte istället göra ett lite annorlunda inlägg och visa en liten sammanställning jag gjort kring

Trender och användning av olika toppdomäner i phishingsammanhang.

[sws_red_box box_size=”537″]AWPG, The Anti-Phishing Working Group is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types. Check here who is member and partner

Informationen är hämtad från flera olika halvårsrapporter från AWPG, som är en otroligt viktig organisation för allas vårt Internet och jag har försökt att genomarbeta rapporterna lite och plockat ut det som kan kännas relevant att jämföra, för att ni ska se det jag gör. Om du är intresserad så kan du själv titta på alla trendrapporter här

Det jag först tänkte visa är hur det såg ut i höstas (oktober -10), som är de siffror som den senaste rapporten från april -11 summerar.

Jag vill först förklara respektive kolumn:
– TLD = Top Level Domain – toppdomän (upplänkat mot respektive register)
– TLD loc. = localion = vad TLDn symboliserar
– Unika attacker = Antal attacker som genomförts med de domäner, nedan
– Unika domäner = alltså antal domäner som använts för attackerna ovan
– Reg. domäner = Totalt antal registrerade domäner under TLDn
– Score: Phish = index phishing  per 10 000 registrerade domäner.
– Score: Attacks = index attacker per 10 000 registrerade domäner.
– Average Uptime = snittet för hur länge eländet “ligger uppe”. Det är dessa tider som behöver krympas.

I första tabellen kan du se  hur den svenska toppdomänen .se används i dessa sammanhang och jag har dels tagit med .nu som har en mycket stor spridning i Sverige.
Och även om intresset i Sverige för .eu är kraftigt begränsat, så känns det relevant att ta med. Jag har sedan lagt till .no, .fi och .dk – då det känns relevant att jämföra sig med de närmaste grann-TLDerna.

TLD TLD loc. Utförda attacker Unika domäner Reg. domäner Score:
Phish
Score:
Attacks
Average Uptime
se Sweden 213 156 1 032 555 | 1.5 2.1 60:43:08
nu Niue (reg. est.) 50 22 200 000 | 1.1 2.5 30:18:02
no Norway 105 78 489 952 | 1.6 2.1 89:03:15
eu Europeiska unionen 301 220 3 248 347 | 1.3 1.5 64:06:09
fi Finland 36 31 245 744 | 0.7 0.9 129:45:20
dk Denmark 280 170 1 085 200 | 1.6 2.6 70:12:58

 

Efter att du fått inblick i det, så tänkte jag att det är relevant att höja blicken en aning och titta på hur det ser ut lite längre bort.

För det så tog jag med Polen, Estland, Lettland, Litauen, Ryssland (och den “gamla”,  Sovjetunionen, som i allra högsta grad fortfarande är aktiv som TLD).
Som ni kan se så stiger siffrorna rejält, men Estland som undantag.

pl Poland 672 403 1 927 364 | 2.1 3.5 70:24:56
ee Estonia 20 14 84 500 | 1.7 2.4 79:46:15
lv Latvia 48 25 89 200 | 2.8 5.4 52:41:12
lt Lithuania 53 44 119 900 | 3.7 4.4 60:57:26
ru Russian Fed. 1,103 599 3 046 151 | 2.0 3.6 86:48:23
su Soviet Union 53 24 88 925 | 2.7 6.0 54:33:34

 

Men vi har än så länge bara tittat på landstoppdomäner. Högst relevant är att titta på gTLDer (Generiska Toppdomäner), då det finns ca 350 000 gTLD-domäner registrerade av svenska innehavare och svenskar är flitiga besökare av gTLD-domäner, som på ett annat sätt än landstoppdomäner har global användning och spridning.

[sws_red_box box_size=”537″]Till antalet, så används gTLD-domäner mångfaldigt oftare än ccTLD-domäner. Snittiden för hur länge dessa domäner kan ligga upp är dessutom mycket längre.

com generic TLD 28,296 19,311 92 739 962 | 2.1 3.1 71:21:06
net generic TLD 4,895 3,185 13 776 690 | 2.3 3.6 82:01:17
org generic TLD 2,704 1,702 8 678 049 | 2.0 3.1 71:46:40
info generic TLD 1,884 1,629 7 251 486 | 2.2 2.6 67:26:52
biz generic TLD 303 220 2 109 530 | 1.0 1.4 67:33:55

 

Beroende på hur man väljer att läsa dessa siffror, så kan det vara intressant att strunta i score/index-siffror en liten stund.
Och istället fundera på att det under .se-TLDn användes 156 domäner för phishing samtidigt som det användes 19 311 domäner under .com.

Och att dessa .com-domäner i genomsnitt fick busa ostört 11½ timme längre än för de domäner under som fanns under .se, eller för .net-domäner 21 timmar längre..

Men givetvis så vore ju det mest ultimata om det gick att redovisa nollor.
Den sista tabellen jag tänkte visa är hur det sett ut för .se-domänen de sista åren, för att ge dig en liten bild av hur det ökat

se mar-09 94 72 853 802 | 0.8 1.1 61:07:32
se nov-09 110 64 912 300 | 0.7 1.2 102:49:31
se maj-10 76 59 962 360 | 0.6 0.8 57:34:43
se okt-10 213 156 1 032 555 | 1.5 2.1 60:43:08

 

[sws_red_box box_size=”537″]Phishingdomäner är “förödande” för sina besökare som låter sig smittas – därför är det enligt mig av största prioritet att så snabbt som möjligt få dem nedstängda, så att de åsamkar så lite skada som möjligt .

Vill det sig riktigt illa så försvinner allt av digitalt värde besökaren uppger på sin dator; inloggningsuppgifter, pengar, “immateriella värden” som domännamn, hostingkonton,  spelkaraktärer.

I det fall inloggningsuppgifter till olika tjänster stjäls, så är digitala identitetsstölder frekventa, där tjuven utger sig för att vara offret – för att fortsätta stjäla från offrets vänner, genom att smitta dem eller fråga om lån av pengar mm

En enda phishingattack kan smitta tiotusentals klientdatorer, som förutom att de blir bestulna ofta för smittan vidare. De smittade klienterna används även i allra flesta fall som zombies för sk DDOS-attacker.

Avslutar det här inlägget med ett litet klargörande:
Förra året så var jag ordentligt syrlig kring en artikel hos IDG som i sin tur byggde på en FUD-rapport från McAffee: https://www.internetsweden.se/nu-ska-jag-vara-lite-stygg/

Jag är fortfarande starkt ifrågasättande till den rapporten och det har dessutom kommit en till efter den. Och jag ska peka på varför:

I den ursprungliga som jag byggde mitt inlägg på så var .cm den abslout värsta TLDn enligt McAffee och de hävdade att de hittat 57 210 riskabla domäner av 82 087 undersökta domäner. Problemet enligt mig är att det aldrig ens funnits så pass många registrerade domäner under .cm – ALDRIG!

Jag berättade om .cm-wildcardet som redirectade till agoga.com (som använde sig av en “pop-up” som sågs som “risky” av McAffee)
Referens:  http://us.mcafee.com/en-us/local/docs/Mapping_Mal_Web.pdf?cid=45044 (sidan 12)

I McAffee:s senare rapport så listas .cm som den 4:e värsta TLDn, men denna gång har McAffee endast lyckats spåra 3 947 domäner och av dem hittat 1 746 “riskabla domäner”

Lite som du frågar kommer du också att få svar, men att lista .cm med påhittade “luftdomäner” och samtidigt strunta i .com i den första rapporten hade 918 873 riskabla domäner av 15 440 225 testade och i andra rapporten har .com 948 995 riskabla domäner av 15 530 183 testade – ja, jag köper inte det!

Det som är ännu mer intressant är att AWPG (The Anti-Phishing Working Group) under samma period som McAffee anger 1 746 “riskabla .cm-domäner” berättar att det finns en (1) .cm-domän som varit inblandad vid phishingattacker fyra (4) gånger. Referens: http://apwg.org/reports/APWG_GlobalPhishingSurvey_2H2010.pdf (sidan 22)

Nåja, avgör själv!

Gillar du det här inlägget, så uppskattar jag om du kan hjälpa till att sprida det,

Läs mer här

Views All Time
Views All Time
3
Views Today
Views Today
1

Internet Sweden | Peter Forsman

Jag som skriver, gör det ideellt och för att upplysa dig om verksamheter som JAG anser att det finns skäl att ifrågasätta och/eller varna för.. Jag skriver även generellt om olika tillvägagångssätt som bedragare använder och tipsar om utbildning/kunskap som finns att få. Läs mer om: Peter Forsman

1 Comment

  1. Hans Ahlborg skriver:

    Intressant, har klarat mig från det mesta so far men jag är också rätt så noga… Men det är sjukt mycket skit!!!!

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *