Laut einer aktuellen Pressemeldung von Symantec ist Deutschland Hauptverursacher für das globale Phishingproblem.
Diese Aussage läßt sich mit den von uns ermittelten Zahlen nicht bestätigen.
Unerfreulicher Spitzenreiter ist demnach die USA, Deutschland kommt an neunter Stelle.
Grund zur Entwarnung ist das aber sicher nicht.

Hier die Details von Symantec:

===========================================================================

Deutschland ist Spitzenreiter bei Phishing und Spam

Wie die Antiviren-Experten von Symantec bekannt geben, gehen insgesamt 19 Prozent aller Internet-Sicherheitsrisiken in Europa von Deutschland aus.
Hierzu zählen Spam, Phishing und die Verteilung von Schadcode über das Internet.

Platz 1 bei Phishing

Aus dem aktuellen Internetsicherheitsreport geht zudem hervor, dass insbesondere der Bereich Phishing erstaunlich hohe Prozentsätze erzielt.
So wurden 32 Prozent aller Phishing-Websites in Europa hierzulande ermittelt, was Deutschland zum Spitzenreiter macht.
Auf dem zweiten Platz folgt Großbritannien mit immer noch hohen, aber vergleichsweise geringen neun Prozent.
Im weltweiten Vergleich steht Deutschland nach den USA an zweiter Stelle.
Als möglichen Grund für Deutschlands Spitzenposition nennt Candid Wüest, Sicherheitsexperte bei Symantec, dass Deutschland bei der Anzahl registrierter Domains nach den USA an zweiter Stelle steht.

Quelle: Pressemitteilung Symantec

===========================================================================

Soweit das Statement von Symantec.

Wir können dies nicht bestätigen, im Gegenteil Deutschland ist nach unseren Daten gegenwärtig auf Platz 9 (Stand 20.3.2007) weltweitgesehen.

Auch stimmen die absoluten Zahlen von Symantec nicht. Gemessen am weltweiten "Phishbefall" tragen deutsche Opfer mit ca 2% bei.

Auch ist die Annahme, dieses oder jenes Land ist damit vom "Ranking" her als "Schurke" zu betrachten, zutiefst falsch.

Die Urheber sitzen verstreut über die Welt, und steuern Ihre gekaperte „Serverarmada“, der Verantwortliche für den gekaperten Server hat insofern „mit Schuld“, da er nicht rechtzeitig auf Sicherheitslücken reagiert hat.
So kann man aus diesem gesamten „Zahlenfriedhof“ eigentlich nur den Rückschluß ziehen, wer administriert bei den heutigen Dumpingangeboten für Webspace und Rootserver seine System besser.

Sogesehen drückt das „Ranking“ eigentlich aus:

wer ist zuverlässiger, gemessen an der Gesamtzahl der Systeme, die in diesem Zahlenwerk *nicht* enthalten ist.

Und sogesehen steht Europa und insbesondere Deutschland sehr sauber da. Von einer Hochburg des „Übels“ kann hier wirklich nicht gesprochen werden.

Alle unsere Daten werden in Echtzeit aus unseren Datenbanken generiert.

Der Betrachtungszeitraum dabei ist Oktober 2006 bis zur dieser Sekunde.

Hier die die tasächliche Verteilung der Phishingseiten auf die 5 Welt Zonen:

Phishing Distribution Worldwide

Ein Land in dem vermehrt Phishingseiten auftauchen ist nur von der kriminellen Phish-Mafia mehr oder weniger intensiv gehackt worden.

Es sind aber nicht die Eigentümer der gehackten Domänen, die hier das übel angerichtet haben,
sondern es sind die Bot-Netz Betreiber die das alles veranstalten,
das Opfer war nur nicht schnell und gründlich genug im Beseitigen von Sicherheitslücken seiner Webserver.

Letzendlich spiegelt dies auch wieder welchen "Durchdringungsgrad" ein Land oder eine Zone mit Rechenzentren
und damit Hostingangeboten, Rootservern usw hat.

Hier die top 25: Diese Daten sind real time und stehen auf unserem Supportbereich zur Verfügung.

Nun Wie kommt Symantec zu seiner Behauptung ?

Wir wissen es nicht, wir wissen nur, das unsere Daten absolut weltweit representativ sind, und das tatsächliche "Phishinggeschehen" in nahezu Echtzeit widerspiegelt.

Über 700 Abuse Abteilungen weltweit bedienen sich an unseren Daten, um pro aktiv schädliche Seiten zu schließen.

Ich kann über solche nicht untermauerten Zahlen wie von Symatec wirklich verzichten.

Diese Art der Pressearbeit arbeitet unseren "Hardlinern" in der Landes/Bundes/Europa-Politik doch nur zu.

Ein Politker kommt ob solcher Zahlen gern zu einem nicht profunden "Hüftschuss" auf die Informationsfreiheit in die nächste Schlagzeile.

Und all diesen Schlagzeilen ist eines gemeinsam:

Viele Behauptungen, Prozentwerte und waage Äußerungen über "Gefährdungsgrade",
aber keine "belastbaren" Zahlen ( die schon gar nicht öffentlich zur Verfügung stehen).

Auch irrt Symantec mit seiner Vermutung, die Anzahl der registrierten Domains der Top Level Domain de sei eine Ursache.

Die Ursache, das in einem Land Phishingseiten auftauchen, ist primär die Anzahl der gehackten Webserver.
Schaut man sich dann die Verteilung der Nameserver an die ja zum Betrieb einer "benannten" Webseite notwendig sind,
dann steht Deutschland tatsächlich hinter den USA auf Platz 2.

Das betrifft aber nur Phishingseiten die sich hinter gehackten Webservern verstecken.

Die weit aus größere Anzahl von Phishingseiten werden aber hinter schnellen XDSL, VDSL Leitungen mit festen IP Adressen betrieben,
und diese sind dann wiederum eher in Asien und in den Usa angesiedelt.

Top 25 Networks hosting Phishing Sites

Das wesentlich beunruhigendere an unseren Phishing Daten ist, das sich einige Organisationen nicht um die Beseitigung der gefährlichen Seiten kümmern.

Feedback auf unsere automatischen "complains" an Abuse Abteilungen weltweit, kommen von allen möglichen Stellen,
nur nicht von T-Online, Deutsche Telekom AG, Arcor, usw… im Gegenteil hier werden Hinweise auf Gefährdungen rigeros von Spamfiltern abgewiesen.

Hier z.B. Telekom:

——– Original-Nachricht ——–

Return-Path: 
Received: from relayn.netpilot.net (newtunix.netpilot.net [62.67.240.20])
	by ksrv1.netpilot.net (8.10.2-SOL3/8.10.2) with ESMTP id l2K7ZGq25117
	for ; Tue, 20 Mar 2007 08:35:16 +0100
Received: from localhost (unknown [127.0.0.1])
	by localhost (Postfix) with ESMTP id F3FBDEAC344
	for ; Tue, 20 Mar 2007 07:35:28 +0000 (UTC)
Received: from relayn.netpilot.net ([127.0.0.1])
 by localhost (newtunix [127.0.0.1]) (clean-mx, port 10024) with ESMTP
 id 29722-01-17 for ; Tue, 20 Mar 2007 08:35:28 +0100 (CET)
Received: from ULMLOT.tom.iot.dtag.de (ULMLOT.tom.iot.dtag.de [194.25.243.99])
	by relayn.netpilot.net (Postfix) with ESMTP id B5974EAC351
	for ; Tue, 20 Mar 2007 08:31:44 +0100 (CET)
Received: from ulmds01.lotus.iot.dtag.de ([192.168.7.29])
	by ULMLOT.tom.iot.dtag.de (8.8.7/8.8.7) with ESMTP id HAA33554662
	for ; Tue, 20 Mar 2007 07:31:44 GMT
To: 
Date: Tue, 20 Mar 2007 08:21:59 +0100
X-Priority: 3 (Normal)
From: IOT-DTAG@LOTUS.IOT.DTAG.DE
Subject: Antwort: [clean-mx-42675]-->(abuse@t-ipnet.de) Phishing-sites (5  so far) within
 your network, please close them!  status: As of 2007-03-19 12:01:33 CET
  !*! ---ScanMail has blocked your mail due to a mail policy---
Message-ID: 
X-MIMETrack: Serialize by Router on ULMDS01/IOT-DTAG/DE(Release 5.0.13a  |April 12, 2004) at
 20/03/2007 08:31:44
MIME-Version: 1.0
Content-type: text/plain; charset=us-ascii

CN=abuse/OU=INTERN/O=IOT-DTAG/C=DE
Reason the mail was blocked:


Scanned by ScanMail for Lotus Notes 2.6 SP1
with scanengine 8.100-1002
and pattern version 4.351.00

Oder T-online International Ungarn:

Return-Path: 
Received: from relayn.netpilot.net (relayn.netpilot.net [62.67.240.20])
	by ksrv1.netpilot.net (8.10.2-SOL3/8.10.2) with ESMTP id l2GEdJq26361
	for ; Fri, 16 Mar 2007 15:39:19 +0100
Received: by relayn.netpilot.net (Postfix)
	id 5FB02EAC342; Fri, 16 Mar 2007 15:39:50 +0100 (CET)
Date: Fri, 16 Mar 2007 15:39:50 +0100 (CET)
From: MAILER-DAEMON (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: abuse@clean-mx.de
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
	boundary="09F83EAC35C.1174055990/relayn.netpilot.net"
Message-Id: <20070316143950.5FB02EAC342@relayn.netpilot.net>

This is a MIME-encapsulated message.

--09F83EAC35C.1174055990/relayn.netpilot.net
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host relayn.netpilot.net.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

: host mx.t-online.hu[195.228.240.9] said: 550 5.7.1 virus
    Email.Phishing.RB-354 detected by ClamAV - http://www.clamav.net (in reply
    to end of DATA command)

--09F83EAC35C.1174055990/relayn.netpilot.net
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; relayn.netpilot.net
X-Postfix-Queue-ID: 09F83EAC35C
X-Postfix-Sender: rfc822; abuse@clean-mx.de
Arrival-Date: Fri, 16 Mar 2007 15:39:48 +0100 (CET)

Final-Recipient: rfc822; abuse@t-online.hu
Original-Recipient: rfc822;abuse@t-online.hu
Action: failed
Status: 5.7.1
Remote-MTA: dns; mx.t-online.hu
Diagnostic-Code: smtp; 550 5.7.1 virus Email.Phishing.RB-354 detected by ClamAV
    - http://www.clamav.net

Abschliessend die Positionierung der einzelnen Länder innerhalb ihrer Regionen:

Top 25 in der Region ARIN
Top 25 in der Region APNIC
Top 25 in der Region Ripe

[update] einige Anfragen, warum denn im Bereich RIPE cz an 2.ter Stelle steht möchte ich hier kurz erklären

Danke an intern.de für die Anregungen.

Land Bemerkungen
bg: Relativ rechtsfrei und unreguliert, ein Mutterland der Hacker…
cz: aufstrebend in Europa mit neuen schnell angebunden Rechenzentren, noch etwas ungeübt im Massenhosting Betrieb, aber bemüht.
ru: Drei Lager, die Hoster sind fix im lahmlegen von Seiten und Servern, aber es gibt schwarze Schafe die der „Szene“ „bullet-proof“ Hosting anbieten.
und eine straff organisierte Mafia die alles neue und schöne in ru auszunutzen weiß,
de: Massen an Rechenzentren und Hostingangeboten, einige haben es im Griff andere nicht…. (Kostendruck Dumpingpreise, web für 0 Euro…)
fr: Zwei Lager, die Rechenzentren sind relativ sauber, aber die Server hinter schnellen Leitungen die es in FR gibt nicht…
tr: absolut rechtsfreier Raum, die meisten Server stehen hinter sdsl leitungen mit fester ip.
gb: auch zwei Lager, die Hoster sind relativ sauber, aber die schnellen Zugänge sind verseucht.
ro: siehe Bulgarien
nl: auch zwei lager, die Hoster sind nicht sauber insbesondere was Redirector-Services betrifft, und auch Massen von schnellen synchronen Zugängen
it: Hier ist alles unsauber und es dauert bis Seiten vom Netz genommen werden.

Top 25 in der Region LACNIC
Top 25 in der Region AFRINIC

Abschließend das Phish-Wetter 2007

Das Phish Wetter 2007

Auch andere trauen dem Zahlenwerk von Symantec nicht so recht.

Auch Handelskraft in Jena findet es gut das wir hier Licht in das Dunkle bringen.



Recently:


Comments


Name (required)

Email (required)

Website

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Share your wisdom