Security Professionals - ipfw add deny all from eindgebruikers to any

Blacklists

30-03-2020, 20:52 door Anoniem, 16 reacties
In tijden van COVID-19 is het duidelijk merkbaar dat er meer spam binnenkomt in de mailbox, bijvoorbeeld die HappyBox achtige spam, die net doet alsof ze van Bol.com komt en daarmee phishing is.

Nu zit ik die spam graag in de weg door vooral te zorgen dat niemand die sites kan bezoeken en rapporteer ik die graag waar het kan.

Er lijkt alleen geen lijst te bestaan van sites waar je dit soort spam-sites kunt rapporteren.
Het lijkt mij daarom goed eens een lijst aan te gaan leggen zodat iedereen ze makkelijk kan rapporteren.
Helpen jullie een handje mee door bij jullie bekende meldpunten (gericht op Nederland) te noemen?

Algemeen:
* Fraude Helpdesk https://www.fraudehelpdesk.nl/fraude-melden/
* Banken (heel specifiek als het een bank betreft) https://www.veiligbankieren.nl/meldnummers/

Browsers
* Google Chrome / Firefox / Edge (via Google Safebrowsing) {Google account nodig} https://safebrowsing.google.com/safebrowsing/report_phish/?hl=nl
* Opera (via NetCraft https://report.netcraft.com/report)

Zwarte lijsten
* Check je Linkje https://checkjelinkje.nl
* PhishTank {gratis account nodig} https://phishtank.com/add_web_phish.php

Checkers
* URLVoid https://www.urlvoid.com
* Virustotal https://www.virustotal.com/gui/home/url
* Urlscan https://urlscan.io


Samenwerkingsverbanden
* US-CERT samen met de Anti-Phishing Working Group (APWG) https://www.us-cert.gov/report-phishing (lijkt erg USA-gericht)

Anti-Virus leveranciers
* Avast (volgens https://forum.avast.com/index.php?topic=110378.0 geen webformulier beschikbaar)
* Avira (geen url gevonden)
* AVG https://www.avg.com/en-us/report-malicious-file
* BitDefender (klik op false negative) https://www.bitdefender.com/submit/
* ClamAV (lijkt geen URLs kunnen ontvangen, alleen malware samples op https://www.clamav.net/reports/malware)
* ESET Nod32 https://phishing.eset.com/report/enu
* F-Secure / KPN Veilig / XS4ALL SAFE https://www.f-secure.com/en/business/support-and-downloads/submit-a-sample
* Kaspersky (volgens https://www.kaspersky.com/resource-center/preemptive-safety/how-to-report-a-website geen eigen ingang dan Google Safebrowsing)
* Malwarebytes (geen url gevonden)
* Sophos {vraagt om e-mailadres} https://secure2.sophos.com/en-us/support/submit-a-sample.aspx
* Norton Symantec https://sitereview.symantec.com/#/
* Trend Micro {vraagt om e-mailadres} https://global.sitesafety.trendmicro.com/feedback.php

In software:
Microsoft Edge -- More (…) icon > Send feedback > Report Unsafe site.
Internet Explorer -- Gear icon > Safety > Report Unsafe Website.
Outlook.com -- Checkbox de mail, selecteer Junk > Phishing scam.
Microsoft Office Outlook 2016 & Microsoft Office 365 -- Selecteer Report message onder Protection tab > Phishing.
Reacties (16)
30-03-2020, 21:29 door MathFox
Hoe nuttig is het bijhouden van zwarte lijsten als internetcriminelen weggooidomeinen gebruiken? (Met een gestolen creditkaartnummer heb je zo twee dozijn domeinen voor een paar weken.)

Hoe komt een eerlijke domeineigenaar weer van die zwarte lijst af?
31-03-2020, 02:41 door Anoniem
Beetje googelen en je kan ze rapporteren hoor

https://support.google.com/webmasters/answer/93713?hl=nl
31-03-2020, 10:28 door Erik van Straten
Door MathFox: Hoe komt een eerlijke domeineigenaar weer van die zwarte lijst af?
Erger, mede omdat ook cybercriminelen zo makkelijk van domeinnaam switchen, zijn er "slimmerikken" die het achterliggende IPv4 adres van zo'n site (laten) blacklisten. Niet zelden gaat het daarbij om shared hosting (meerdere websites op 1 IP-adres) die er niets aan kunnen doen dat een cybercrimineel toegang heeft tot 1 van die websites.

Nb. ik zeg niet dat blacklists slecht zijn, maar er kleven nadelen aan - vooral als je er nauwelijks of niet meer vanaf kunt komen.
31-03-2020, 11:14 door Anoniem
Door Erik van Straten:
Door MathFox: Hoe komt een eerlijke domeineigenaar weer van die zwarte lijst af?
Erger, mede omdat ook cybercriminelen zo makkelijk van domeinnaam switchen, zijn er "slimmerikken" die het achterliggende IPv4 adres van zo'n site (laten) blacklisten. Niet zelden gaat het daarbij om shared hosting (meerdere websites op 1 IP-adres) die er niets aan kunnen doen dat een cybercrimineel toegang heeft tot 1 van die websites.
Nou dan heb je nog mazzel want dit soort types aarzelt ook niet om hele subnetten te blacklisten, "zodat de provider in
actie gaat komen om zich te gedragen naar onze normen".
Dat is ook jaren een plaag geweest in de spam bestrijding. Heel de provider op de blacklist omdat ie niet door de hoepels
van een stelletje puistenkoppen springt. De bedoeling is dan dat de rest van de klanten in revolte gaat om de provider te
dwingen om iets te gaan doen. Beetje vreemd wereldbeeld...


Nb. ik zeg niet dat blacklists slecht zijn, maar er kleven nadelen aan - vooral als je er nauwelijks of niet meer vanaf kunt komen.
Dat speelt daar dan ook bij ja. Eerst moet je aan hun eisen voldoen, en als je dat gedaan hebt verzetten ze de doelpalen.
Ik geloof dat dat niet meer zo erg speelt, de gemiddelde gebruiker weet nu wel dat mail geen betrouwbaar communicatie
middel (meer) is en legt zich neer bij onterechte spam markeringen, maar nu zie je dat zelfde gedrag rond het
onderwerp beveiligingslekken. Het zal wel komen door de personaliteit van bepaalde IT'ers.
31-03-2020, 14:46 door MathFox
Door Erik van Straten:
Door MathFox: Hoe komt een eerlijke domeineigenaar weer van die zwarte lijst af?
Erger, mede omdat ook cybercriminelen zo makkelijk van domeinnaam switchen, zijn er "slimmerikken" die het achterliggende IPv4 adres van zo'n site (laten) blacklisten. Niet zelden gaat het daarbij om shared hosting (meerdere websites op 1 IP-adres) die er niets aan kunnen doen dat een cybercrimineel toegang heeft tot 1 van die websites.
En met de volgende gestolen creditcard heeft de internetcrimineel een nieuwe host. De vaste klanten van de host blijven met de gebakken peren zitten.

Ja, er moet een redelijke manier zijn om weer van een zwarte lijst af te komen.
31-03-2020, 16:39 door Briolet
Door MathFox: Hoe nuttig is het bijhouden van zwarte lijsten als internetcriminelen weggooidomeinen gebruiken? (Met een gestolen creditkaartnummer heb je zo twee dozijn domeinen voor een paar weken.)

Alle beetjes helpen. Maar de kans is groot dat zo'n domein geautomatiseerd op een blacklist komt als hij veel spam verstuurd. Er zijn heel wat blacklists die met honeypods werken. Zo'n honeypods hoeft maar een of enkele mailtjes van een bepaald adres te krijgen en dat adres komt op de blacklist.

Door Erik van Straten:…zijn er "slimmerikken" die het achterliggende IPv4 adres van zo'n site (laten) blacklisten. Niet zelden gaat het daarbij om shared hosting (meerdere websites op 1 IP-adres) die er niets aan kunnen doen dat een cybercrimineel toegang heeft tot 1 van die websites.

Medelijden heb ik niet met zo'n hostingsite. Ze zouden beter moeten verifiëren of ze zaken doen met serieuze klanten.
31-03-2020, 17:06 door Erik van Straten
Door Anoniem: Dat is ook jaren een plaag geweest in de spam bestrijding. Heel de provider op de blacklist omdat ie niet door de hoepels van een stelletje puistenkoppen springt.
Been there, done that... tot mijn verbazing antwoordde Matthew Sullivan, destijds maintainer van de beruchte SORBS [*] blacklist, op een bijdrage van mij (het is even geleden ;-): https://lists.sans.org/pipermail/list/2004-January/014131.html

[*] waar je moest betalen om delisted te worden, zie o.a. de onderste bijdrage in https://www.security.nl/posting/25426/Spam+blacklist+SORBS+stopt+ermee#posting245811
31-03-2020, 21:34 door Anoniem
TS hier.

Mag ik vragen on-topic te blijven?
De vraag was: Helpen jullie een handje mee door bij jullie bekende meldpunten (gericht op Nederland) te noemen?

Een discussie over welke lijst goed is welke niet is prima, maar graag in een los topic. Eerst eens compleet krijgen welke lijsten er zijn, dan kijken hoe ze werken, dan kijken welke goed zijn.
01-04-2020, 12:29 door Anoniem
Door Erik van Straten:
Door Anoniem: Dat is ook jaren een plaag geweest in de spam bestrijding. Heel de provider op de blacklist omdat ie niet door de hoepels van een stelletje puistenkoppen springt.
Been there, done that... tot mijn verbazing antwoordde Matthew Sullivan, destijds maintainer van de beruchte SORBS [*] blacklist, op een bijdrage van mij (het is even geleden ;-): https://lists.sans.org/pipermail/list/2004-January/014131.html

[*] waar je moest betalen om delisted te worden, zie o.a. de onderste bijdrage in https://www.security.nl/posting/25426/Spam+blacklist+SORBS+stopt+ermee#posting245811

Dat is tegenwoordig Michelle Sullivan en ze woont op Malta, genietend van de verkoop van SORBS aan Trend Micro.

@TS, als je een beeld wil krijgen welke blacklists goed zijn, kun je gebruik maken van de cijfers van http://www.intra2net.com/en/support/antispam/ . De meeste blacklist operators zullen wel meewerken aan het verwijderen van een blacklisting, tenzij het bijvoorbeeld een blacklist is voor dynamische IP's (voorheen dail-up IP's genoemd).

Intra2net heeft niet alle blacklists, ze verwijderen bijvoorbeeld blacklists die weinig hits hebben. Dat is een foute beslissing in sommige gevallen, omdat gespecialiseerde blacklists nu eenmaal weinig hits zullen hebben. Bijvoorbeeld een anti-phishing blacklist zal niet meer dan een paar procent scoren en vaak veel minder. Dat soort blacklists zijn ook enorm regiogebonden.

Ik ken geen één blacklist die voor Nederland geschikt is, de meeste blacklists doen een klein beetje op Nederland gerichte spam. Combineren van enkele blacklists is daarom een goede optie. Daarnaast kunnen andere technieken zoals greylisting effectief zijn. Dat is dat email in eerste instantie wordt geweigerd en dat het pas bij een retry kan worden bezorgd. Daarnaast kun je encryptie verplicht maken.

Een setje blacklists voor domeinen: dbl.spamhaus.org, multi.surbl.org.
Voor verzender IP's: zen.spamhaus.org

Dat zou voor relatief weinig false positives moeten zorgen. False positives zijn minstens 10x erger dan het doorlaten van spam. Een goede blacklist mag niet meer dan 1 in 1000 berichten onterecht aanzien voor spam.

Verwijder secundaire MX servers zonder spamfilter. Dan werkt de directe verzender IP blacklisting niet meer.

Als je nog vragen hebt, stel ze gerust.
01-04-2020, 15:24 door Erik van Straten
@TS: dat jij graag wil dat iedereen, zonder commentaar, jouw vraag beantwoordt, snap ik. Maar kritiek hebben op blacklists vind ik niet off-topic; het nut ervan is beperkt en er kleven ook duidelijk nadelen aan.

Bijvoorbeeld dat je onterecht op een blacklist kunt komen doordat melders niet weten dat in e-mail clients getoonde afzenderdomeinen vaak gespoofed worden of omdat 1 of enkele virusscanners melden dat een download malware bevat (en het om een false positive gaat). Via gmail.com en outlook.com wordt ook spam verzonden, maar reken maar dat de bedrijven daarachter er veel aan doen om het percentage spam zo laag mogelijk te houden. Vergelijkbaar is het waarschijnlijk geen goed idee om sharepoint.com of github.com te blacklisten omdat je ergens van die sites malware kunt downloaden (zie ook bbuseruploads.s3.amazonaws.com en bitbucket.org in https://security.nl/posting/649442). Kortom, het is allemaal niet zo simpel.

Dat geschreven hebbende: abuse.ch doet al vele jaren goed werk. Als je een Twitter account hebt kun je hier handmatig kwaadaardige URLs melden: https://urlhaus.abuse.ch/browse/.

Succes met jouw project!
01-04-2020, 20:07 door Anoniem
als je een beeld wil krijgen welke blacklists goed zijn, kun je gebruik maken van de cijfers van http://www.intra2net.com/en/support/antispam/ . De meeste blacklist operators zullen wel meewerken aan het verwijderen van een blacklisting, tenzij het bijvoorbeeld een blacklist is voor dynamische IP's (voorheen dail-up IP's genoemd).

Mooie lijst deze inderdaad. Weer een compleet ander beeld dan ik hierboven al had! Dank! Eens uitpluizen welke zich richten op phishing websites.

Door Erik van Straten: @TS: dat jij graag wil dat iedereen, zonder commentaar, jouw vraag beantwoordt, snap ik. Maar kritiek hebben op blacklists vind ik niet off-topic; het nut ervan is beperkt en er kleven ook duidelijk nadelen aan.

Natuurlijk is die discussie welkom. Maar jammergenoeg gaat het meteen over totaal andere blacklists dan al genoemd werden. Want blokkeren op IP is heel iets anders dan een phishing domein blokkeren nadat handmatige controle heeft plaatsgevonden natuurlijk. De meeste van de blocklists die ik tot nu toe tegenkwam lijken overigens uiteindelijk aangesloten bij https://www.stopbadware.org/clearinghouse/search waar je kunt doorgeven als iets legitiems toch geblokkeerd wordt.
01-04-2020, 20:10 door Anoniem
Door Erik van Straten:
abuse.ch doet al vele jaren goed werk. Als je een Twitter account hebt kun je hier handmatig kwaadaardige URLs melden: https://urlhaus.abuse.ch/browse/.

Helaas is abuse.ch alleen voor "malware urls" en niet voor phishing urls. Maar dank voor deze tip!
01-04-2020, 20:37 door Anoniem
HappyBox is inderdaad spam. Ik wordt er niet Echt happy van! ;)
02-04-2020, 00:08 door Anoniem
Door Anoniem:de verkoop van SORBS aan Trend Micro.

Correctie, het is niet aan Trend Micro maar aan GFI verkocht in 2009 en daarna in 2011 in handen gekomen van Proofpoint.
30-05-2020, 11:16 door Anoniem
In de UK hebben ze report@phishing.gov.uk (bron: https://www.ncsc.gov.uk/information/report-suspicious-emails).
30-05-2020, 13:16 door Anoniem
L.S.

Er is een extensie suspicious site reporter. Een click is voldoende.

Het mooiste zou zijn als er weer eens degelijke overzichten komen met aantallen verdachte en kwaadaardige IP's per AS.
Nu moet je steeds per IP adres gaan zoeken op VirusTotal IP-relations en hopen dat je niets mist.

Een leuke bron: https://greynoise.io/ Wat we nodig hebben is doorzichtigheid oftewel transparentie.

Dus dat je met een oogopslag kan zien hoeveel verdachte en kwaadaardige domeinen en IP adressen worden gehost bij bijvoorbeeld Webzilla, bij GoDaddy of CloudFlare en niet alleen maar wijzen naar Russian Business Network hostertjes in het Brabantse en Limburgse. Daarmee is het grote verschil niet te halen.

Er zijn veel overzichtsites verdwenen door aanvallen van cybercriminelen, die deze info liever niet wilden zien verspreid/gedeeld. Die nu nog werken, zijn slechts toegankelijk via een persoonlijk account, maar niet meer publiekelijk te doorzoeken.

Kijk wat gebeurde recentelijk weer met urlquery dot net. Verdwenen van Interwebz, Jeek's scanner, opgehouden te bestaan. Ettelijke DOM XSS scanners in de loop der tijd verdwenen van het toneel.

Men wordt dus nooit door een eerlijke kar overreden, maar altijd door een "strontkar":
https://www.techrepublic.com/article/nearly-2000-malicious-covid-19-themed-domains-created-every-day/

Dus blacklisten en whitelisten betekent steeds achter de feiten aanlopen, altijd weer.

Het enige dat echt altijd werkt is een script-blokker als uMatrix en NoScript en ja dat werkt ook in de toekomst.
Wat je niet laadt en kan draaien kan je niet besmetten immers, zo simpel ligt het wel.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.