Zes dns-providers getest op detecteren van phishingsites
Internetgebruikers die phishingsites willen blokkeren kunnen hiervoor ook een dns-provider inschakelen, maar er zit een groot verschil tussen de verschillende aanbieders, zo ontdekte blogger "Nykolas Z". De meeste internetgebruikers maken gebruik van de dns-servers van hun eigen internetprovider.
Het is ook mogelijk om een andere aanbieder te kiezen die extra features biedt. Het gaat dan bijvoorbeeld om bescherming tegen phishingsites. Voor zijn onderzoek besloot Nykolas zes dns-providers te vergelijken, namelijk Quad9, OpenDNS, CleanBrowsing, Norton ConnectSafe, Comodo Secure en Yandex Safe. De test bestond uit 40 phishingsites afkomstig uit verschillende datasets. Bij de test met 10 phishingsites uit de Openphish-database scoren Quad9 en CleanBrowsing 100 procent. OpenDNS, Comodo en Yandex blokkeren echter geen enkel domein.
Voor de tweede test werd gekeken naar 10 phishingsites die op de dag van de test bij Phishtank waren aangemeld. CleanBrowsing scoort hierbij 91 procent. Er wordt slechts één website gemist. Quad9 mist vijf websites (50 procent), maar OpenDNS, Yandex, Comodo en Norton blokkeren slechts twee domeinen. Bij de derde test werd er met phishingsites gewerkt die eerder aan de Phishtank-database waren toegevoegd. Dit keer scoort CleanBrowsing 100 procent, gevolgd door OpenDNS met 60 procent. Opmerkelijk presteert Quad9 (20 procent) nu veel slechter.
Als laatste werd er getest met 10 phishingsites die van typosquatting gebruikmaken, waarbij domeinen van bekende merken worden geregistreerd, maar waarbij een letter verkeerd is gespeld. Het ging onder andere om domeinen die op .cm eindigen. Wederom scoort CleanBrowsing 100 procent, terwijl de overige vijf dns-providers geen enkele website blokkeren. Volgens Nykolas is CleanBrowsing de beste dns-provider als het om de detectie van phishingsites gaat, gevolgd door Quad9 en OpenDNS. Het gebruik van Comodo, Norton en Yandex wordt afgeraden.
Dat lijkt mij niet erg nuttig. Een phishing site heeft mijn inziens een heel korte levensduur. Enkele uren tot een dag. Daarna zijn de sites al uit de lucht gehaald. Dat beeld wordt bevestigd op https://nos.nl/artikel/2234720-duizenden-sites-met-groen-slotje-onveilig.html
Oude sites blijven blocken kan zelfs negatief werken, in het geval van een false positive.
Providers kunnen helpen door actief mensen op phishtank in te zetten en daarmee de controle te versnellen. Dat helpt.
Als ik in de blog kijk, gebruikt hij bij OpenDNS het IP van hun FamilyShield. Zelf geeft OpenDNS aan:
Phishingsites staan daar niet bij dus verwonderd het me niet dat deze slecht presteert.
Als je een account bij OpenDNS aanmaakt kun je wel phischingsites laten blokkeren op jouw IP adres. Ook via hun reguliere DNS adressen.
De enige echte juiste test is een echte realtime en reallife feed van emails uit alle geogradische eenheden.
Phishing is zeer lokaal, een Amerikaan ziet zelden phishing gericht op Italianen of Spanjaarden of Duitsers. Testresultaten van Amerikaanse testers komen dan ook zelden overeen met de werkelijkheid in Europa of Rusland.
Testen is een vak en laat dat maar over aan serieuze testers zoals Virusbulletin.
Het is ook mogelijk om een andere aanbieder te kiezen die extra features biedt.
XS4ALL biedt sinds kort ook deze feature op hun eigen DNS resolver. Als je inlogt op de website kun je het voor
je eigen aansluiting laten inschakelen. Uiteraard werkt dit alleen goed als je computer ook daadwerkelijk (alleen) de
DNS resolver van XS4ALL gebruikt, bijvoorbeeld via de DHCP server van de standaard geleverde router. Heb je
een andere server op de computer ingesteld of heeft deze eigen vast ingestelde DNS servers al dan niet als fallback
(bijv een Google device heeft standaard de Google DNS als fallback) dan werkt het filter niet.
In het begin was het goed en ik was tevreden.
Daarna kon ik steeds minder websites openen en dat aantal liep op
het begon nu ook normale legale sites te blokkeren "vertrouwde sites".zoals facebook of andere bekende sites.
Het was zo irritant,dat ik de settings weer terug bracht naar
de i.s.p settings,en Norton ConnectSafe maar de-installeerde.
Nu is alles weer prima te bereiken.
Maar er kan natuurlijk heel wat meer aan DNS veiligheid worden gedaan door zowel providers, CDN's, hosters en websites. Daar waar nog genoeg te doen valt. Bij voorbeeld gratis sub-domeinen van afraid dot org, waar je ontdekt dat je sub-domein ineens jouw sub-domein niet meer is, maar van een PHISHER of een of andere cybercrimineel/hacker etc.
Of encryptie die in de verkeerde veiligheidsvolgorde wordt opgedist, fijn voor de NSA, maar niet zo voor de eindgebruiker.Of een gratis certificaat ten faveure van de spammer, scammer etc. Cloaking, waardoor googlebot iets anders voorgeschoteld krijgt als google in de browser.
Dan nog de discussie of een steeds werkende script blokker in combinatie met speciale abonnementen voor een goede ad-blocker niet beter zijn dan de altijd achter de actuele situatie aanhobbelende av-oplossingen of van Microsoft of Google Safebrowsing bescherming (eigenaar van VT). Maar ja de grote massa van niet-professionals die geen weet hebben hoe NoScript of uMatrix "af te richten" krijg je niet zo snel mee.
Excessieve server en naamserver info proliferatie, http-cookies-only, clickjacking, certificaten geïnstalleerd als root op de server, af te serveren jQuery bibliotheken, voor het merendeel F-grade ssl configuraties, zelden B+ en met aanbevelingen. Vaak niet de nodige security headers geïmplementeerd. Dit alles zorgt dat het niet echt veilig is en voorlopig nog niet wordt op Interwebs.
Hoe moet de niet-professionele eindgebruiker zichzelf weten te beschermen als vaak de professionals, om wat voor reden dan ook, het niet eens kunnen. Sinds 2001 algemene toestand - compleet en totaal PN*W*D.
Als website security man kun je roepen in de woestijn en preken voor het eigen koor tot je een ons weegt, o.i.v. de Big Tech core data slurping business preferenties verandert er maar mondjesmaat iets, als eindgebruiker zou ik me volledig in de kou gezet voelen. Het zou al een heleboel schelen als men de situatie voor ging stellen zoals die in werkelijkheid was en niet eindgebruikers ging paaien en opzadelen met een vals vaak heel misplaatst veiligheidsgevoel. Infecties opdoen en mislopen kan ook een geval van Russische roulette zijn, geluk gehad met je up to date defenses. Volgende keer kan het slechter aflopen.
luntrus, a.k.a. de scantijger
luntrus
Denk je echt dat een dergelijk verhaal iets toevoegt aan de discussie en dat er iets uit te halen is voor de lezer?
Je plakt steeds maar je bekende stokpaardjes in je berichten, meestal ook nog in hetzelfde woordgebruik dus ik
denk dat je ze klaar hebt staan in een tekstfile ergens, maar we komen niks verder want het blijft maar een herhaling.
Denk daar eens over na.
Wat stoort je eraan? Is het niet waar? Dat je het niet kunt ontkennen of het feit dat je het toe moet geven, dat bij website security op de website en bij de hoster vaak security een "last resort issue" is? Lekker veilig gepresenteerd voor de doorsnee gebruiker, die er verder toch geen weet van heeft, maar geen pogingen om het anders te (gaan) doen. De eindgebruiker op Interwebs krijgt wel dagelijks degelijk te maken met zulke onveiligheid of het niet hanteren van best policies (Waardoor? Is het onwetendheid, sloppiness, andere belangen misschien?).
Vertel me anders eens waarom rond 60% van de met Word Press CMS gemaakte websites nog veiligheidsproblemen hebben t.a.v. plug-ins, af te voeren jQuery bibliotheken etc. , user enumeration aanstaan, directory listing enabled enz. enz.
Doe eens een scan op een website met https://sonarwhal.com/scanner en kijk wat er aan de veiligheid schort. Mag dat niet meer aan de orde gesteld worden? Moet er nog minder aandacht voor komen op Hoge Scholen bij de informatica opleidingen, waar ik regelmatig rondloop? Nog meer getrainde aapjes opleiden?
Ik heb nogal wat klaarstaan met 14 jaar scan historie voor een groot internationaal platform. Ergert je dit? Val dan de boodschapper niet aan, maar ontkracht desnoods de boodschap of verander je flauwe reactie omdat mijn posting misschien slecht valt te rijmen met wat je over het voetlicht wilt brengen.
luntrus
Denk je echt dat een dergelijk verhaal iets toevoegt aan de discussie en dat er iets uit te halen is voor de lezer?
Je plakt steeds maar je bekende stokpaardjes in je berichten, meestal ook nog in hetzelfde woordgebruik dus ik
denk dat je ze klaar hebt staan in een tekstfile ergens, maar we komen niks verder want het blijft maar een herhaling.
Denk daar eens over na.
Herhaling Hoe vervelend ook schijnt de manier te zijn waarop een mens leert. Pas als een drempel weggewerkt is voor het ene kun je verder. Hard rennen komt pas nadat het lopen geleerd is en daarvoor zit het kruipen. Met vallen en opstaan kom je verder.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!