Laut einer aktuellen Pressemeldung von Symantec ist Deutschland Hauptverursacher für das globale Phishingproblem.
Diese Aussage läßt sich mit den von uns ermittelten Zahlen nicht bestätigen.
Unerfreulicher Spitzenreiter ist demnach die USA, Deutschland kommt an neunter Stelle.
Grund zur Entwarnung ist das aber sicher nicht.

Hier die Details von Symantec:

===========================================================================

Deutschland ist Spitzenreiter bei Phishing und Spam

Wie die Antiviren-Experten von Symantec bekannt geben, gehen insgesamt 19 Prozent aller Internet-Sicherheitsrisiken in Europa von Deutschland aus.
Hierzu zählen Spam, Phishing und die Verteilung von Schadcode über das Internet.

Platz 1 bei Phishing

Aus dem aktuellen Internetsicherheitsreport geht zudem hervor, dass insbesondere der Bereich Phishing erstaunlich hohe Prozentsätze erzielt.
So wurden 32 Prozent aller Phishing-Websites in Europa hierzulande ermittelt, was Deutschland zum Spitzenreiter macht.
Auf dem zweiten Platz folgt Großbritannien mit immer noch hohen, aber vergleichsweise geringen neun Prozent.
Im weltweiten Vergleich steht Deutschland nach den USA an zweiter Stelle.
Als möglichen Grund für Deutschlands Spitzenposition nennt Candid Wüest, Sicherheitsexperte bei Symantec, dass Deutschland bei der Anzahl registrierter Domains nach den USA an zweiter Stelle steht.

Quelle: Pressemitteilung Symantec

===========================================================================

Soweit das Statement von Symantec.

Wir können dies nicht bestätigen, im Gegenteil Deutschland ist nach unseren Daten gegenwärtig auf Platz 9 (Stand 20.3.2007) weltweitgesehen.

Auch stimmen die absoluten Zahlen von Symantec nicht. Gemessen am weltweiten "Phishbefall" tragen deutsche Opfer mit ca 2% bei.

Auch ist die Annahme, dieses oder jenes Land ist damit vom "Ranking" her als "Schurke" zu betrachten, zutiefst falsch.

Die Urheber sitzen verstreut über die Welt, und steuern Ihre gekaperte “Serverarmada”, der Verantwortliche für den gekaperten Server hat insofern “mit Schuld”, da er nicht rechtzeitig auf Sicherheitslücken reagiert hat.
So kann man aus diesem gesamten “Zahlenfriedhof” eigentlich nur den Rückschluß ziehen, wer administriert bei den heutigen Dumpingangeboten für Webspace und Rootserver seine System besser.

Sogesehen drückt das “Ranking” eigentlich aus:

wer ist zuverlässiger, gemessen an der Gesamtzahl der Systeme, die in diesem Zahlenwerk *nicht* enthalten ist.

Und sogesehen steht Europa und insbesondere Deutschland sehr sauber da. Von einer Hochburg des “Übels” kann hier wirklich nicht gesprochen werden.

Alle unsere Daten werden in Echtzeit aus unseren Datenbanken generiert.

Der Betrachtungszeitraum dabei ist Oktober 2006 bis zur dieser Sekunde.

Hier die die tasächliche Verteilung der Phishingseiten auf die 5 Welt Zonen:

Phishing Distribution Worldwide

Ein Land in dem vermehrt Phishingseiten auftauchen ist nur von der kriminellen Phish-Mafia mehr oder weniger intensiv gehackt worden.

Es sind aber nicht die Eigentümer der gehackten Domänen, die hier das übel angerichtet haben,
sondern es sind die Bot-Netz Betreiber die das alles veranstalten,
das Opfer war nur nicht schnell und gründlich genug im Beseitigen von Sicherheitslücken seiner Webserver.

Letzendlich spiegelt dies auch wieder welchen "Durchdringungsgrad" ein Land oder eine Zone mit Rechenzentren
und damit Hostingangeboten, Rootservern usw hat.

Hier die top 25: Diese Daten sind real time und stehen auf unserem Supportbereich zur Verfügung.

Nun Wie kommt Symantec zu seiner Behauptung ?

Wir wissen es nicht, wir wissen nur, das unsere Daten absolut weltweit representativ sind, und das tatsächliche "Phishinggeschehen" in nahezu Echtzeit widerspiegelt.

Über 700 Abuse Abteilungen weltweit bedienen sich an unseren Daten, um pro aktiv schädliche Seiten zu schließen.

Ich kann über solche nicht untermauerten Zahlen wie von Symatec wirklich verzichten.

Diese Art der Pressearbeit arbeitet unseren "Hardlinern" in der Landes/Bundes/Europa-Politik doch nur zu.

Ein Politker kommt ob solcher Zahlen gern zu einem nicht profunden "Hüftschuss" auf die Informationsfreiheit in die nächste Schlagzeile.

Und all diesen Schlagzeilen ist eines gemeinsam:

Viele Behauptungen, Prozentwerte und waage Äußerungen über "Gefährdungsgrade",
aber keine "belastbaren" Zahlen ( die schon gar nicht öffentlich zur Verfügung stehen).

Auch irrt Symantec mit seiner Vermutung, die Anzahl der registrierten Domains der Top Level Domain de sei eine Ursache.

Die Ursache, das in einem Land Phishingseiten auftauchen, ist primär die Anzahl der gehackten Webserver.
Schaut man sich dann die Verteilung der Nameserver an die ja zum Betrieb einer "benannten" Webseite notwendig sind,
dann steht Deutschland tatsächlich hinter den USA auf Platz 2.

Das betrifft aber nur Phishingseiten die sich hinter gehackten Webservern verstecken.

Die weit aus größere Anzahl von Phishingseiten werden aber hinter schnellen XDSL, VDSL Leitungen mit festen IP Adressen betrieben,
und diese sind dann wiederum eher in Asien und in den Usa angesiedelt.

Top 25 Networks hosting Phishing Sites

Das wesentlich beunruhigendere an unseren Phishing Daten ist, das sich einige Organisationen nicht um die Beseitigung der gefährlichen Seiten kümmern.

Feedback auf unsere automatischen "complains" an Abuse Abteilungen weltweit, kommen von allen möglichen Stellen,
nur nicht von T-Online, Deutsche Telekom AG, Arcor, usw… im Gegenteil hier werden Hinweise auf Gefährdungen rigeros von Spamfiltern abgewiesen.

Hier z.B. Telekom:

——– Original-Nachricht ——–

Return-Path: 
Received: from relayn.netpilot.net (newtunix.netpilot.net [62.67.240.20])
	by ksrv1.netpilot.net (8.10.2-SOL3/8.10.2) with ESMTP id l2K7ZGq25117
	for ; Tue, 20 Mar 2007 08:35:16 +0100
Received: from localhost (unknown [127.0.0.1])
	by localhost (Postfix) with ESMTP id F3FBDEAC344
	for ; Tue, 20 Mar 2007 07:35:28 +0000 (UTC)
Received: from relayn.netpilot.net ([127.0.0.1])
 by localhost (newtunix [127.0.0.1]) (clean-mx, port 10024) with ESMTP
 id 29722-01-17 for ; Tue, 20 Mar 2007 08:35:28 +0100 (CET)
Received: from ULMLOT.tom.iot.dtag.de (ULMLOT.tom.iot.dtag.de [194.25.243.99])
	by relayn.netpilot.net (Postfix) with ESMTP id B5974EAC351
	for ; Tue, 20 Mar 2007 08:31:44 +0100 (CET)
Received: from ulmds01.lotus.iot.dtag.de ([192.168.7.29])
	by ULMLOT.tom.iot.dtag.de (8.8.7/8.8.7) with ESMTP id HAA33554662
	for ; Tue, 20 Mar 2007 07:31:44 GMT
To: 
Date: Tue, 20 Mar 2007 08:21:59 +0100
X-Priority: 3 (Normal)
From: IOT-DTAG@LOTUS.IOT.DTAG.DE
Subject: Antwort: [clean-mx-42675]-->(abuse@t-ipnet.de) Phishing-sites (5  so far) within
 your network, please close them!  status: As of 2007-03-19 12:01:33 CET
  !*! ---ScanMail has blocked your mail due to a mail policy---
Message-ID: 
X-MIMETrack: Serialize by Router on ULMDS01/IOT-DTAG/DE(Release 5.0.13a  |April 12, 2004) at
 20/03/2007 08:31:44
MIME-Version: 1.0
Content-type: text/plain; charset=us-ascii

CN=abuse/OU=INTERN/O=IOT-DTAG/C=DE
Reason the mail was blocked:

Scanned by ScanMail for Lotus Notes 2.6 SP1
with scanengine 8.100-1002
and pattern version 4.351.00

Oder T-online International Ungarn:

Return-Path: 
Received: from relayn.netpilot.net (relayn.netpilot.net [62.67.240.20])
	by ksrv1.netpilot.net (8.10.2-SOL3/8.10.2) with ESMTP id l2GEdJq26361
	for ; Fri, 16 Mar 2007 15:39:19 +0100
Received: by relayn.netpilot.net (Postfix)
	id 5FB02EAC342; Fri, 16 Mar 2007 15:39:50 +0100 (CET)
Date: Fri, 16 Mar 2007 15:39:50 +0100 (CET)
From: MAILER-DAEMON (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: abuse@clean-mx.de
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
	boundary="09F83EAC35C.1174055990/relayn.netpilot.net"
Message-Id: <20070316143950.5FB02EAC342@relayn.netpilot.net>

This is a MIME-encapsulated message.

--09F83EAC35C.1174055990/relayn.netpilot.net
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host relayn.netpilot.net.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

: host mx.t-online.hu[195.228.240.9] said: 550 5.7.1 virus
    Email.Phishing.RB-354 detected by ClamAV - http://www.clamav.net (in reply
    to end of DATA command)

--09F83EAC35C.1174055990/relayn.netpilot.net
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; relayn.netpilot.net
X-Postfix-Queue-ID: 09F83EAC35C
X-Postfix-Sender: rfc822; abuse@clean-mx.de
Arrival-Date: Fri, 16 Mar 2007 15:39:48 +0100 (CET)

Final-Recipient: rfc822; abuse@t-online.hu
Original-Recipient: rfc822;abuse@t-online.hu
Action: failed
Status: 5.7.1
Remote-MTA: dns; mx.t-online.hu
Diagnostic-Code: smtp; 550 5.7.1 virus Email.Phishing.RB-354 detected by ClamAV
    - http://www.clamav.net

Abschliessend die Positionierung der einzelnen Länder innerhalb ihrer Regionen:

Top 25 in der Region ARIN
Top 25 in der Region APNIC
Top 25 in der Region Ripe

[update] einige Anfragen, warum denn im Bereich RIPE cz an 2.ter Stelle steht möchte ich hier kurz erklären

Danke an intern.de für die Anregungen.

Land Bemerkungen
bg: Relativ rechtsfrei und unreguliert, ein Mutterland der Hacker…
cz: aufstrebend in Europa mit neuen schnell angebunden Rechenzentren, noch etwas ungeübt im Massenhosting Betrieb, aber bemüht.
ru: Drei Lager, die Hoster sind fix im lahmlegen von Seiten und Servern, aber es gibt schwarze Schafe die der “Szene” “bullet-proof” Hosting anbieten.
und eine straff organisierte Mafia die alles neue und schöne in ru auszunutzen weiß,
de: Massen an Rechenzentren und Hostingangeboten, einige haben es im Griff andere nicht…. (Kostendruck Dumpingpreise, web für 0 Euro…)
fr: Zwei Lager, die Rechenzentren sind relativ sauber, aber die Server hinter schnellen Leitungen die es in FR gibt nicht…
tr: absolut rechtsfreier Raum, die meisten Server stehen hinter sdsl leitungen mit fester ip.
gb: auch zwei Lager, die Hoster sind relativ sauber, aber die schnellen Zugänge sind verseucht.
ro: siehe Bulgarien
nl: auch zwei lager, die Hoster sind nicht sauber insbesondere was Redirector-Services betrifft, und auch Massen von schnellen synchronen Zugängen
it: Hier ist alles unsauber und es dauert bis Seiten vom Netz genommen werden.

Top 25 in der Region LACNIC
Top 25 in der Region AFRINIC

Abschließend das Phish-Wetter 2007

Das Phish Wetter 2007



Auch andere trauen dem Zahlenwerk von Symantec nicht so recht.

Auch Handelskraft in Jena findet es gut das wir hier Licht in das Dunkle bringen.



Immer wieder versuchen die Botnetz Betreiber Ihren Stamm an Zombie-Maschinen durch verschicken von E-Mails mit Trojanern im Anhang zu vergrößern.

Das traurige an der Sache ist, das es Ihnen nach dem Gesetz der großen Zahl dies mehr oder weniger immer gelingen wird.

Es tragen aber auch noch andere wesentlich zum "Erfolg" dieser kriminellen Banden bei: 1) Große Mailprovider prüfen nur ungenügend auf schädlichen Inhalt. 2) Domaineigentümer und deren Netzverantwortliche nutzen nur ungenügend die zur Verfügung stehenden Mittel (z.B. SPF)

ad 1) Die große Zahl von Benutzern , die solche Mails erhalten, sind
entweder mit Ihrer Domain bei einen Massenhoster, oder haben einen
Mailaccount bei einem der großen Mailhoster (gmx, web.de,t-online.de
tiscali, aol, yahoo, gmail usw…)
Und genau dies riesige Schar von Nutzern bekommt solche Mail, man kann
sich leicht ausmalen wie oft der Schadinhalt ausgeführt wird.
Solche Mails dürften nie und nimmer in der Inbox eines Nutzers
auftauchen, ja noch nichtmal in einem Verdacht- oder Unbekannt-Order.
Kleine Provider haben diese Problematik schon längst im Griff, alleine
die großen stehlen sich hier aus der Verantwortung.

ad 2) Es kostet den Domaineigentümer absolut nichts endlich
einen gültigen SPF Record in seiner DNS Definition abzulegen, damit
verantwortungsbewußte Mailprovider diese "Prüfvorschrift" auch
durchführen können.
Was ist nun passiert? Leider muss ich ziemlich
technisch werden, das Thema ist nicht wirklich trivial, sonder hoch
komplex. Der geneigte Leser mag es mir verzeichen wenn es hier von
"böhmischen Dörfern" nur so wimmelt.

Unser Bundeskriminalamt hat zwar einen TXT-Record im DNS, aber der ist
pure Webung für seinen Provider.

;; ANSWER SECTION:
bka.de. 11710 IN TXT "Created by update.named 3.6a – NetUSE AG"

und die eigenliche Mail-Domain des BKA ist eigenlich "@bka.bund.de", und auch diese Domain hat keinen SPF-RECORD

;; QUESTION SECTION:
;bka.bund.de. IN TXT

und auch die bund.de Domain hat keinerlei Vorsorge getroffen:

;; QUESTION SECTION:
;bund.de. IN TXT

Die Ironie an der ganzen Geschichte ist ja, das das BKA nicht mit Absenderadressen "vorname.name@bka.de" sondern mit "vorname.nachname@bka.bund.de" mit der Welt kommuniziert.
Unter den Adressen "…@bka.de" akzeptiert das BKA ja nur E-Mails, geantwortet wird immer mit einer "…@bka.bund.de" Adresse.

Auf diesen Hintergrund basiert dieser Vorschlag von SPF Definitionen, die natürlich nicht vollständig sein können.

bka.de. 7200 IN TXT "This domain sends no email"
bka.de. 7200 IN TXT "Null SPF is for tracking purposes only"
bka.de. 7200 IN TXT "All mail claiming to be from @bka.de is forged"
bka.de. 7200 IN TXT "v=spf1 +exists:CL.%{i}.FR.%{s}.HE.%{h}.null.spf.bka.de -all"

und:

bka.bund.de. 7200 IN TXT "v=spf1 a mx include:provider.de -all"

Mit derartigen SPF Einträgen für den BUND und das BKA und weiterer Behörden könnte jeder Mailserver dieser Welt sofort sagen "325986-abteilung@bka.de kann gar nicht authetisch sein", da ja die Domain bka.de sagt "wir senden
keinen Mails mit dieser Domain" und PUNKT! Würden dann auch noch alle großen Mailprovider eine SPF Eingangsprüfung
machen, wäre die Mehrzahl der E-Mail Nutzer von dieser Art von
Belästigungen und Schadinhalten verschont geblieben.

So einfach kann die Welt sein, aber die Verantwortlichen schlafen, und
machen immer kompliziertere Gesetze (TKG) zur
Überwachung und Regelung des Zusammenlebens in unserer Republik, aber
dies hier ist ein globales Problem, und ein Spammer oder Krimineller
aus dem "Ausland" schert sich um nichts.
Würde sich endlich mal jemand Verantwortlich zeigen müßte das BKA nicht
diese Pressemitteilung
herausgeben und alle Rundfunksender vor diesen Mails warnen. Sie würden
so und in solchen Mengen erst gar nicht bei unschuldigen E-Mail Nutzern
"aufschlagen".

Dies ist ein öffentlicher Aufruf an den Bundesdatenschutzbeauftragten endlich zu handeln und dieses Thema energisch innerhalb kurzer Zeit zu verfolgen und Maßnahmen zu ergreifen.

Pressemeldungen wie z.B. in heise online:
Weitere Details zum Trojaner in gefälschten BKA-Mails [Update]
oder im spiegel online etwas zu leichtfertig von der satirischen Seite… Vorsicht vor falschen E-Mails! oder in der sueddeutsche.de Der "Bundestrojaner" ist da und pc-welt Neue BKA-Mails und vorgebliche Rechnungen
zu diesem Thema beleuchten leider den dahinter stehenden technischen Aspekt nicht oder nur ungenügend.

Insbesondere die Aussage laut sueddeutsche.de von Jürgen Stock:

Das Problem: Jürgen Stock, Vizepräsident des BKA, ist
keineswegs der Absender. Statt dessen kommt die Mail von Unbekannten,
die damit Daten auf den Computern der Empfänger stehlen wollen

ist völlig am Thema vorbei. Es ist die Absenderadresse die hier ein Problem macht. natürlich ist der Urheber unerkannt und
anonym (noch). Die Verantwortung seinen eigenen Namen möglichst
effizient zu schützen liegt beim Eigentümer
, und das ist das BKA bzw.
der BUND.

Gerhard W. Recher


Update

Wie man in einem Zustellungsbericht entnehmen kann, haben einige Stellen beim BUND Probleme mit dieser Technologie:
DeliveryFailureReport_bsifb.pdf


Eine dieser Mails im Original

Return-Path: <325986-abteilung@bka.de>X-Original-To: trap@funny.clean-mx.comDelivered-To: trap@funny.clean-mx.comReceived: from relayn.netpilot.net (nocn.netpilot.net [62.67.240.20])	by ksrv8.netpilot.net (Postfix) with ESMTP id E73DE252D443	for
; Fri,  2 Feb 2007 11:47:37 +0100 (CET)Received: from localhost (unknown [127.0.0.1])	by localhost (Postfix) with ESMTP id 8CA68EAC23F	for
; Fri,  2 Feb 2007 10:43:26 +0000 (UTC)Received: from relay.netpilot.net ([62.67.240.16]) by localhost (newtunix [62.67.240.20]) (clean-mx, port 10024) with ESMTP id 14441-07 for
; Fri,  2 Feb 2007 11:43:26 +0100 (CET)Received: from [62.118.181.2] (unknown [62.118.181.2])	by relay.netpilot.net (Postfix) with ESMTP id B504118D5A	for ; Fri,  2 Feb 2007 11:42:57 +0100 (CET)Received: from Lena (Lena [192.168.114.17])	by Lena (8.12.8p1/8.12.8) with ESMTP id i6E78AF87CBA68	for ; Fri, 2 Feb 2007 16:40:23 +0300	(envelope-from 325986-abteilung@bka.de)Date: Fri, 2 Feb 2007 16:40:23 +0300From: "BKA Abteilung 19855" <325986-abteilung@bka.de>Reply-To: "BKA Abteilung 19855" <325986-abteilung@bka.de>X-Priority: 3 (Normal)Message-ID: <00403587.20070202134023@bka.de>To: webmaster@victimdomain.tldSubject: Ermittlungsverfahren Nr. 181854MIME-Version: 1.0Content-Type: multipart/mixed; boundary="----------36F123F0C37818E"

------------36F123F0C37818EContent-Type: text/html; charset=ISO-8859-1Content-Transfer-Encoding: 7bit

Sehr geehrte Damen und Herren,

das Herunterladen von Filmen, Software und MP3s ist illegal und wird mit bis zu 5 Jahren Freiheitsentzug bestraft.
Wir möchten Sie darauf hinweisen, dass Ihr Rechner unter der IP 217.71.103.40 erfasst wurde.
Ihre Daten wurden uns von Ihrem Provider zu Verfügung gestellt und eine Strafanzeige wurde erlassen.
In dem angeführten Anhang finden Sie die Strafanzeige mit dem  Aktenzeichen Nr.:#  130067

Drucken Sie diese bitte aus und faxen Sie diese mit einer Stellungname an uns zu.
Eine Kopie der Strafanzeige wird Ihnen in den nächsten Tagen schriftlich zugestellt.


Hochachtungsvoll
i.A. Jürgen Stock

Bundeskriminalamt BKA
Referat LS 2
65173 Wiesbaden
Tel.: +49 (0)611 - 55 - 12331
Fax.: +49 (0)611 - 55 - 0
------------36F123F0C37818E
Content-Type: application/x-msdownload; name="Akte58583.zip"
Content-transfer-encoding: base64
Content-Disposition: attachment; filename="Akte58583.zip"

.... 

------------36F123F0C37818E