Skip to content
{ 2007 03 20 }

Deutschland auf Platz 1 beim Phishing?

Laut einer aktuellen Pressemeldung von Symantec ist Deutschland Hauptverursacher fьr das globale Phishingproblem.
Diese Aussage lдЯt sich mit den von uns ermittelten Zahlen nicht bestдtigen.
Unerfreulicher Spitzenreiter ist demnach die USA, Deutschland kommt an neunter Stelle.
Grund zur Entwarnung ist das aber sicher nicht.

Hier die Details von Symantec:

===========================================================================

Deutschland ist Spitzenreiter bei Phishing und Spam

Wie die Antiviren-Experten von Symantec bekannt geben, gehen insgesamt 19 Prozent aller Internet-Sicherheitsrisiken in Europa von Deutschland aus.
Hierzu zдhlen Spam, Phishing und die Verteilung von Schadcode ьber das Internet.

Platz 1 bei Phishing

Aus dem aktuellen Internetsicherheitsreport geht zudem hervor, dass insbesondere der Bereich Phishing erstaunlich hohe Prozentsдtze erzielt.
So wurden 32 Prozent aller Phishing-Websites in Europa hierzulande ermittelt, was Deutschland zum Spitzenreiter macht.
Auf dem zweiten Platz folgt GroЯbritannien mit immer noch hohen, aber vergleichsweise geringen neun Prozent.
Im weltweiten Vergleich steht Deutschland nach den USA an zweiter Stelle.
Als mцglichen Grund fьr Deutschlands Spitzenposition nennt Candid Wьest, Sicherheitsexperte bei Symantec, dass Deutschland bei der Anzahl registrierter Domains nach den USA an zweiter Stelle steht.

Quelle: Pressemitteilung Symantec

===========================================================================

Soweit das Statement von Symantec.

Wir kцnnen dies nicht bestдtigen, im Gegenteil Deutschland ist nach unseren Daten gegenwдrtig auf Platz 9 (Stand 20.3.2007) weltweitgesehen.

Auch stimmen die absoluten Zahlen von Symantec nicht. Gemessen am weltweiten "Phishbefall" tragen deutsche Opfer mit ca 2% bei.

Auch ist die Annahme, dieses oder jenes Land ist damit vom "Ranking" her als "Schurke" zu betrachten, zutiefst falsch.

Die Urheber sitzen verstreut ьber die Welt, und steuern Ihre gekaperte “Serverarmada”, der Verantwortliche fьr den gekaperten Server hat insofern “mit Schuld”, da er nicht rechtzeitig auf Sicherheitslьcken reagiert hat.
So kann man aus diesem gesamten “Zahlenfriedhof” eigentlich nur den RьckschluЯ ziehen, wer administriert bei den heutigen Dumpingangeboten fьr Webspace und Rootserver seine System besser.

Sogesehen drьckt das “Ranking” eigentlich aus:

wer ist zuverlдssiger, gemessen an der Gesamtzahl der Systeme, die in diesem Zahlenwerk *nicht* enthalten ist.

Und sogesehen steht Europa und insbesondere Deutschland sehr sauber da. Von einer Hochburg des “Ьbels” kann hier wirklich nicht gesprochen werden.

Alle unsere Daten werden in Echtzeit aus unseren Datenbanken generiert.

Der Betrachtungszeitraum dabei ist Oktober 2006 bis zur dieser Sekunde.

Hier die die tasдchliche Verteilung der Phishingseiten auf die 5 Welt Zonen:

Phishing Distribution Worldwide

Ein Land in dem vermehrt Phishingseiten auftauchen ist nur von der kriminellen Phish-Mafia mehr oder weniger intensiv gehackt worden.

Es sind aber nicht die Eigentьmer der gehackten Domдnen, die hier das ьbel angerichtet haben,
sondern es sind die Bot-Netz Betreiber die das alles veranstalten,
das Opfer war nur nicht schnell und grьndlich genug im Beseitigen von Sicherheitslьcken seiner Webserver.

Letzendlich spiegelt dies auch wieder welchen "Durchdringungsgrad" ein Land oder eine Zone mit Rechenzentren
und damit Hostingangeboten, Rootservern usw hat.

Hier die top 25: Diese Daten sind real time und stehen auf unserem Supportbereich zur Verfьgung.

Nun Wie kommt Symantec zu seiner Behauptung ?

Wir wissen es nicht, wir wissen nur, das unsere Daten absolut weltweit representativ sind, und das tatsдchliche "Phishinggeschehen" in nahezu Echtzeit widerspiegelt.

Ьber 700 Abuse Abteilungen weltweit bedienen sich an unseren Daten, um pro aktiv schдdliche Seiten zu schlieЯen.

Ich kann ьber solche nicht untermauerten Zahlen wie von Symatec wirklich verzichten.

Diese Art der Pressearbeit arbeitet unseren "Hardlinern" in der Landes/Bundes/Europa-Politik doch nur zu.

Ein Politker kommt ob solcher Zahlen gern zu einem nicht profunden "Hьftschuss" auf die Informationsfreiheit in die nдchste Schlagzeile.

Und all diesen Schlagzeilen ist eines gemeinsam:

Viele Behauptungen, Prozentwerte und waage ДuЯerungen ьber "Gefдhrdungsgrade",
aber keine "belastbaren" Zahlen ( die schon gar nicht цffentlich zur Verfьgung stehen).

Auch irrt Symantec mit seiner Vermutung, die Anzahl der registrierten Domains der Top Level Domain de sei eine Ursache.

Die Ursache, das in einem Land Phishingseiten auftauchen, ist primдr die Anzahl der gehackten Webserver.
Schaut man sich dann die Verteilung der Nameserver an die ja zum Betrieb einer "benannten" Webseite notwendig sind,
dann steht Deutschland tatsдchlich hinter den USA auf Platz 2.

Das betrifft aber nur Phishingseiten die sich hinter gehackten Webservern verstecken.

Die weit aus grцЯere Anzahl von Phishingseiten werden aber hinter schnellen XDSL, VDSL Leitungen mit festen IP Adressen betrieben,
und diese sind dann wiederum eher in Asien und in den Usa angesiedelt.

Top 25 Networks hosting Phishing Sites

Das wesentlich beunruhigendere an unseren Phishing Daten ist, das sich einige Organisationen nicht um die Beseitigung der gefдhrlichen Seiten kьmmern.

Feedback auf unsere automatischen "complains" an Abuse Abteilungen weltweit, kommen von allen mцglichen Stellen,
nur nicht von T-Online, Deutsche Telekom AG, Arcor, usw… im Gegenteil hier werden Hinweise auf Gefдhrdungen rigeros von Spamfiltern abgewiesen.

Hier z.B. Telekom:

——– Original-Nachricht ——– 

Return-Path: 
Received: from relayn.netpilot.net (newtunix.netpilot.net [62.67.240.20])
	by ksrv1.netpilot.net (8.10.2-SOL3/8.10.2) with ESMTP id l2K7ZGq25117
	for ; Tue, 20 Mar 2007 08:35:16 +0100
Received: from localhost (unknown [127.0.0.1])
	by localhost (Postfix) with ESMTP id F3FBDEAC344
	for ; Tue, 20 Mar 2007 07:35:28 +0000 (UTC)
Received: from relayn.netpilot.net ([127.0.0.1])
 by localhost (newtunix [127.0.0.1]) (clean-mx, port 10024) with ESMTP
 id 29722-01-17 for ; Tue, 20 Mar 2007 08:35:28 +0100 (CET)
Received: from ULMLOT.tom.iot.dtag.de (ULMLOT.tom.iot.dtag.de [194.25.243.99])
	by relayn.netpilot.net (Postfix) with ESMTP id B5974EAC351
	for ; Tue, 20 Mar 2007 08:31:44 +0100 (CET)
Received: from ulmds01.lotus.iot.dtag.de ([192.168.7.29])
	by ULMLOT.tom.iot.dtag.de (8.8.7/8.8.7) with ESMTP id HAA33554662
	for ; Tue, 20 Mar 2007 07:31:44 GMT
To: 
Date: Tue, 20 Mar 2007 08:21:59 +0100
X-Priority: 3 (Normal)
From: IOT-DTAG@LOTUS.IOT.DTAG.DE
Subject: Antwort: [clean-mx-42675]-->(abuse@t-ipnet.de) Phishing-sites (5  so far) within
 your network, please close them!  status: As of 2007-03-19 12:01:33 CET
  !*! ---ScanMail has blocked your mail due to a mail policy---
Message-ID: 
X-MIMETrack: Serialize by Router on ULMDS01/IOT-DTAG/DE(Release 5.0.13a  |April 12, 2004) at
 20/03/2007 08:31:44
MIME-Version: 1.0
Content-type: text/plain; charset=us-ascii

CN=abuse/OU=INTERN/O=IOT-DTAG/C=DE
Reason the mail was blocked:

Scanned by ScanMail for Lotus Notes 2.6 SP1
with scanengine 8.100-1002
and pattern version 4.351.00

Oder T-online International Ungarn: 

Return-Path: 
Received: from relayn.netpilot.net (relayn.netpilot.net [62.67.240.20])
	by ksrv1.netpilot.net (8.10.2-SOL3/8.10.2) with ESMTP id l2GEdJq26361
	for ; Fri, 16 Mar 2007 15:39:19 +0100
Received: by relayn.netpilot.net (Postfix)
	id 5FB02EAC342; Fri, 16 Mar 2007 15:39:50 +0100 (CET)
Date: Fri, 16 Mar 2007 15:39:50 +0100 (CET)
From: MAILER-DAEMON (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: abuse@clean-mx.de
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
	boundary="09F83EAC35C.1174055990/relayn.netpilot.net"
Message-Id: <20070316143950.5FB02EAC342@relayn.netpilot.net>

This is a MIME-encapsulated message.

--09F83EAC35C.1174055990/relayn.netpilot.net
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host relayn.netpilot.net.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

: host mx.t-online.hu[195.228.240.9] said: 550 5.7.1 virus
    Email.Phishing.RB-354 detected by ClamAV - http://www.clamav.net (in reply
    to end of DATA command)

--09F83EAC35C.1174055990/relayn.netpilot.net
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; relayn.netpilot.net
X-Postfix-Queue-ID: 09F83EAC35C
X-Postfix-Sender: rfc822; abuse@clean-mx.de
Arrival-Date: Fri, 16 Mar 2007 15:39:48 +0100 (CET)

Final-Recipient: rfc822; abuse@t-online.hu
Original-Recipient: rfc822;abuse@t-online.hu
Action: failed
Status: 5.7.1
Remote-MTA: dns; mx.t-online.hu
Diagnostic-Code: smtp; 550 5.7.1 virus Email.Phishing.RB-354 detected by ClamAV
    - http://www.clamav.net

Abschliessend die Positionierung der einzelnen Lдnder innerhalb ihrer Regionen:

Top 25 in der Region ARIN
Top 25 in der Region APNIC
Top 25 in der Region Ripe

[update] einige Anfragen, warum denn im Bereich RIPE cz an 2.ter Stelle steht mцchte ich hier kurz erklдren

Danke an intern.de fьr die Anregungen.

Land Bemerkungen
bg: Relativ rechtsfrei und unreguliert, ein Mutterland der Hacker…
cz: aufstrebend in Europa mit neuen schnell angebunden Rechenzentren, noch etwas ungeьbt im Massenhosting Betrieb, aber bemьht.
ru: Drei Lager, die Hoster sind fix im lahmlegen von Seiten und Servern, aber es gibt schwarze Schafe die der “Szene” “bullet-proof” Hosting anbieten.
und eine straff organisierte Mafia die alles neue und schцne in ru auszunutzen weiЯ,
de: Massen an Rechenzentren und Hostingangeboten, einige haben es im Griff andere nicht…. (Kostendruck Dumpingpreise, web fьr 0 Euro…)
fr: Zwei Lager, die Rechenzentren sind relativ sauber, aber die Server hinter schnellen Leitungen die es in FR gibt nicht…
tr: absolut rechtsfreier Raum, die meisten Server stehen hinter sdsl leitungen mit fester ip.
gb: auch zwei Lager, die Hoster sind relativ sauber, aber die schnellen Zugдnge sind verseucht.
ro: siehe Bulgarien
nl: auch zwei lager, die Hoster sind nicht sauber insbesondere was Redirector-Services betrifft, und auch Massen von schnellen synchronen Zugдngen
it: Hier ist alles unsauber und es dauert bis Seiten vom Netz genommen werden.

Top 25 in der Region LACNIC
Top 25 in der Region AFRINIC

AbschlieЯend das Phish-Wetter 2007

Das Phish Wetter 2007


Auch andere trauen dem Zahlenwerk von Symantec nicht so recht.

Auch Handelskraft in Jena findet es gut das wir hier Licht in das Dunkle bringen.

Posted by Gerhard W. Recher on Dienstag, März 20, 2007, at 12:47, and filed under CLEAN MX. Follow any responses to this post with its comments RSS feed. You can post a comment or trackback from your blog.

{ 2 } Comments

  1. clean-mx Antispam AntiVirus Antiphishing | 26. März 2007 at 20:14 | Permalink

    Ich bin entrьstet, ich bin schockiert.
    im Interview mit der Taz erklдrt Herr Ziercke:
    Im Kern geht es nur darum, den von den Schwerstkriminellen bereits vollzogenen digitalen Quantensprung aufzuholen. Diese verlagern ihre Kommunikation konsequent in das

  2. haggest | 27. Januar 2010 at 05:38 | Permalink

    мне кажется: бесподобно.

    где познакомится с мужчиной в Мытищах: Мытищи хочу секса с братом
    хочу познакомиться с итальянцем в Ярославле замуж за австралийца
    познакомлюсь в Новомосковске с вегетарианцем – как познакомиться с мужчиной
    хочу познакомиться с мальчиком Камышин – познакомлюсь с парнем Камышин
    познакомится с парнем в интернете – в Камышине познакомлюсь с замужней девушкой
    познакомлюсь в Ставрополе с кавказцем: знакомства с французами Ставрополь
    одинокая мама желает познакомиться: где познакомиться в Артёме с врачом
    как познакомиться с мужчиной мечты: где познакомиться с православным
    хочу мужика выйти замуж за турка
    девочка хочет секса – познакомлюсь с молодым мальчиком
    как девушке познакомиться с парнем – Ярославль ищу мужчину
    познакомлюсь с мужчиной для интима: знакомства с немцами
    выйти замуж за иностранца в Волгодонске Глазове – познакомлюсь с мужчиной для интима в Волгодонске Глазове
    познакомиться с православным где познакомиться с олигархом
    Ярославль как познакомиться с мужчиной мечты Ярославль знакомства с мужчинами
    познакомиться в Королёве с парнем на улице Королёв где познакомиться с олигархом
    советы как познакомиться с парнем познакомлюсь с замужней девушкой

{ 1 } Trackback

  1. Verfolgen die LKA’s und das BKA Phishing? | clean-mx Antispam AntiVirus Antiphishing | 27. MГ¤rz 2007 at 18:15 | Permalink

    [...] Sie haben weder vom Personal her, noch von der Schulung des Selbigen, ganz geschweige von Ihren Kommandostrukturen her das Zeug hier der internationalen kriminellen Szene auch nur annährend etwas entgegenzusetzen. [...]

Post a Comment

Your email is never published nor shared. Required fields are marked *