By [sws_red_box box_size=”537″]Antalet phishingattacker som utförs med .se-domäner är fler än någonsin tidigare.
Även antalet inblandade .se-domäner är betydligt fler än tidigare.
Jag får ganska mycket allmäna frågor om abuse under .se och ibland frågor som ”Abuse – .se-domäner, behövs det verkligen?”
Bunden av sekretess kring .se-specifik information, så behöver jag alltsom oftast ”rulla med ögonen” och mumla fram att ”umm, det ökar ganska mycket” följt av att jag snabbt rabblar lite olika fenomen som förekommer.
I många fall så handlar det inte ens så mycket om sekretessen till .SE, utan om att jag inte vill/eller kan berätta mer detaljfullt om vilka olika tekniker som används, hur många som drabbats, då det byter skepnad mest hela tiden och dessutom i många fall är pågående utredningar.
Men min frustration har även lett till blogginlägg av den här typen: Vargen kommer inte – vargen är redan här!
Så jag tänkte istället göra ett lite annorlunda inlägg och visa en liten sammanställning jag gjort kring
Trender och användning av olika toppdomäner i phishingsammanhang.
[sws_red_box box_size=”537″]AWPG, The Anti-Phishing Working Group is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types. Check here who is member and partner
Informationen är hämtad från flera olika halvårsrapporter från AWPG, som är en otroligt viktig organisation för allas vårt Internet och jag har försökt att genomarbeta rapporterna lite och plockat ut det som kan kännas relevant att jämföra, för att ni ska se det jag gör. Om du är intresserad så kan du själv titta på alla trendrapporter här
Det jag först tänkte visa är hur det såg ut i höstas (oktober -10), som är de siffror som den senaste rapporten från april -11 summerar.
Jag vill först förklara respektive kolumn:
– TLD = Top Level Domain – toppdomän (upplänkat mot respektive register)
– TLD loc. = localion = vad TLDn symboliserar
– Unika attacker = Antal attacker som genomförts med de domäner, nedan
– Unika domäner = alltså antal domäner som använts för attackerna ovan
– Reg. domäner = Totalt antal registrerade domäner under TLDn
– Score: Phish = index phishing per 10 000 registrerade domäner.
– Score: Attacks = index attacker per 10 000 registrerade domäner.
– Average Uptime = snittet för hur länge eländet ”ligger uppe”. Det är dessa tider som behöver krympas.
I första tabellen kan du se hur den svenska toppdomänen .se används i dessa sammanhang och jag har dels tagit med .nu som har en mycket stor spridning i Sverige.
Och även om intresset i Sverige för .eu är kraftigt begränsat, så känns det relevant att ta med. Jag har sedan lagt till .no, .fi och .dk – då det känns relevant att jämföra sig med de närmaste grann-TLDerna.
| TLD | TLD loc. | Utförda attacker | Unika domäner | Reg. domäner | Score: Phish |
Score: Attacks |
Average Uptime |
| se | Sweden | 213 | 156 | 1 032 555 | | 1.5 | 2.1 | 60:43:08 |
| nu | Niue (reg. est.) | 50 | 22 | 200 000 | | 1.1 | 2.5 | 30:18:02 |
| no | Norway | 105 | 78 | 489 952 | | 1.6 | 2.1 | 89:03:15 |
| eu | Europeiska unionen | 301 | 220 | 3 248 347 | | 1.3 | 1.5 | 64:06:09 |
| fi | Finland | 36 | 31 | 245 744 | | 0.7 | 0.9 | 129:45:20 |
| dk | Denmark | 280 | 170 | 1 085 200 | | 1.6 | 2.6 | 70:12:58 |
Efter att du fått inblick i det, så tänkte jag att det är relevant att höja blicken en aning och titta på hur det ser ut lite längre bort.
För det så tog jag med Polen, Estland, Lettland, Litauen, Ryssland (och den ”gamla”, Sovjetunionen, som i allra högsta grad fortfarande är aktiv som TLD).
Som ni kan se så stiger siffrorna rejält, men Estland som undantag.
| pl | Poland | 672 | 403 | 1 927 364 | | 2.1 | 3.5 | 70:24:56 |
| ee | Estonia | 20 | 14 | 84 500 | | 1.7 | 2.4 | 79:46:15 |
| lv | Latvia | 48 | 25 | 89 200 | | 2.8 | 5.4 | 52:41:12 |
| lt | Lithuania | 53 | 44 | 119 900 | | 3.7 | 4.4 | 60:57:26 |
| ru | Russian Fed. | 1,103 | 599 | 3 046 151 | | 2.0 | 3.6 | 86:48:23 |
| su | Soviet Union | 53 | 24 | 88 925 | | 2.7 | 6.0 | 54:33:34 |
Men vi har än så länge bara tittat på landstoppdomäner. Högst relevant är att titta på gTLDer (Generiska Toppdomäner), då det finns ca 350 000 gTLD-domäner registrerade av svenska innehavare och svenskar är flitiga besökare av gTLD-domäner, som på ett annat sätt än landstoppdomäner har global användning och spridning.
[sws_red_box box_size=”537″]Till antalet, så används gTLD-domäner mångfaldigt oftare än ccTLD-domäner. Snittiden för hur länge dessa domäner kan ligga upp är dessutom mycket längre.
| com | generic TLD | 28,296 | 19,311 | 92 739 962 | | 2.1 | 3.1 | 71:21:06 |
| net | generic TLD | 4,895 | 3,185 | 13 776 690 | | 2.3 | 3.6 | 82:01:17 |
| org | generic TLD | 2,704 | 1,702 | 8 678 049 | | 2.0 | 3.1 | 71:46:40 |
| info | generic TLD | 1,884 | 1,629 | 7 251 486 | | 2.2 | 2.6 | 67:26:52 |
| biz | generic TLD | 303 | 220 | 2 109 530 | | 1.0 | 1.4 | 67:33:55 |
Beroende på hur man väljer att läsa dessa siffror, så kan det vara intressant att strunta i score/index-siffror en liten stund.
Och istället fundera på att det under .se-TLDn användes 156 domäner för phishing samtidigt som det användes 19 311 domäner under .com.
Och att dessa .com-domäner i genomsnitt fick busa ostört 11½ timme längre än för de domäner under som fanns under .se, eller för .net-domäner 21 timmar längre..
Men givetvis så vore ju det mest ultimata om det gick att redovisa nollor.
Den sista tabellen jag tänkte visa är hur det sett ut för .se-domänen de sista åren, för att ge dig en liten bild av hur det ökat
| se | mar-09 | 94 | 72 | 853 802 | | 0.8 | 1.1 | 61:07:32 |
| se | nov-09 | 110 | 64 | 912 300 | | 0.7 | 1.2 | 102:49:31 |
| se | maj-10 | 76 | 59 | 962 360 | | 0.6 | 0.8 | 57:34:43 |
| se | okt-10 | 213 | 156 | 1 032 555 | | 1.5 | 2.1 | 60:43:08 |
[sws_red_box box_size=”537″]Phishingdomäner är ”förödande” för sina besökare som låter sig smittas – därför är det enligt mig av största prioritet att så snabbt som möjligt få dem nedstängda, så att de åsamkar så lite skada som möjligt .
Vill det sig riktigt illa så försvinner allt av digitalt värde besökaren uppger på sin dator; inloggningsuppgifter, pengar, ”immateriella värden” som domännamn, hostingkonton, spelkaraktärer.
I det fall inloggningsuppgifter till olika tjänster stjäls, så är digitala identitetsstölder frekventa, där tjuven utger sig för att vara offret – för att fortsätta stjäla från offrets vänner, genom att smitta dem eller fråga om lån av pengar mm
En enda phishingattack kan smitta tiotusentals klientdatorer, som förutom att de blir bestulna ofta för smittan vidare. De smittade klienterna används även i allra flesta fall som zombies för sk DDOS-attacker.
Avslutar det här inlägget med ett litet klargörande:
Förra året så var jag ordentligt syrlig kring en artikel hos IDG som i sin tur byggde på en FUD-rapport från McAffee: https://www.internetsweden.se/nu-ska-jag-vara-lite-stygg/
Jag är fortfarande starkt ifrågasättande till den rapporten och det har dessutom kommit en till efter den. Och jag ska peka på varför:
I den ursprungliga som jag byggde mitt inlägg på så var .cm den abslout värsta TLDn enligt McAffee och de hävdade att de hittat 57 210 riskabla domäner av 82 087 undersökta domäner. Problemet enligt mig är att det aldrig ens funnits så pass många registrerade domäner under .cm – ALDRIG!
Jag berättade om .cm-wildcardet som redirectade till agoga.com (som använde sig av en ”pop-up” som sågs som ”risky” av McAffee)
Referens: http://us.mcafee.com/en-us/local/docs/Mapping_Mal_Web.pdf?cid=45044 (sidan 12)
I McAffee:s senare rapport så listas .cm som den 4:e värsta TLDn, men denna gång har McAffee endast lyckats spåra 3 947 domäner och av dem hittat 1 746 ”riskabla domäner”
Lite som du frågar kommer du också att få svar, men att lista .cm med påhittade ”luftdomäner” och samtidigt strunta i .com i den första rapporten hade 918 873 riskabla domäner av 15 440 225 testade och i andra rapporten har .com 948 995 riskabla domäner av 15 530 183 testade – ja, jag köper inte det!
Det som är ännu mer intressant är att AWPG (The Anti-Phishing Working Group) under samma period som McAffee anger 1 746 ”riskabla .cm-domäner” berättar att det finns en (1) .cm-domän som varit inblandad vid phishingattacker fyra (4) gånger. Referens: http://apwg.org/reports/APWG_GlobalPhishingSurvey_2H2010.pdf (sidan 22)
Nåja, avgör själv!
Gillar du det här inlägget, så uppskattar jag om du kan hjälpa till att sprida det,
Jag som skriver på internetsweden.se, gör det ideellt och för att upplysa dig om verksamheter som JAG anser att det finns skäl att ifrågasätta och/eller varna för..
Innehållet kan även vara mer generellt om olika tillvägagångssätt, som bedragare använder och det händer även att jag tipsar om utbildning/kunskap som finns att få.
Det är möjligt att anlita mig för konsultuppdrag genom Fidi.se
Peter Forsman – Mottagare av ”Stora Kreditpriset 2018”
Läs mer om:
https://www.internetsweden.se/las-mer-om-internet-sweden/
1 Comment