Gefährliche Websiten werden zu langsam blockiert

  • Ich habe vor einigen Tagen eine Seite gemeldet, die als gefaktes Gewinnspiel Name, Adresse, sowie ein Abo abgreifen möchte. Bisher keine Reaktion. Woran scheitert das? Wenn in dem Tempo Seiten gesperrt werden ist eine Beschwerde beim Hoster/Domainregistrar sogar schneller und effektiver.

  • Huhu,

    also bei Phising Seiten klappt dies mit Report a phishing page - ESET relativ flott. In letzter Zeit hatte ich aber keine mehr gesichtet, so dass ich die jetzige Reaktionszeit nicht kenne.

    Bei solchen Seiten wie Du schilderst ist wahrcheinlich auch erst mal eine manuelle Prüfung notwendig, welche sich schwieriger gestalten kann als bei einer Phising Seite. Meine Erfahrung ist, wenn man so vorgeht wie unter How do I submit a virus, website or potential false positive sample to ESET's lab? - ESET Knowledgebase beschrieben und detailliert schildert was wieso weshalb dauert es ein bis zwei Tage, bei echten Malwareschleudern geht es vielleicht auch schneller, aber dies hatte ich noch nie.

  • Hallo, alles was CountZero beschrieben hat, ist soweit richtig. Davon abgesehen, dass viele Kategorisierungen automatisch geschehen.
    Bei manueller Einsendung ist es wichtig, dass man Schlagworte wie "Phishing" o.ä. mit verwendet, damit die Seiten auch entsprechend im Eingang gefiltert werden.
    An sich ist unser Phishing-Schutz laut letzten Testergebnissen (AV-Comparatives z.B.) richtig gut, bei einzelnen Webseiten kann es allerdings auch vorkommen, dass diese nicht so schnell geblockt werden, wie man das sicherlich gerne hätte. Das heißt aber nicht, dass wir mit dem Stand zufrieden wären und nicht an Verbesserungen arbeiten würden ;)

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Ich hatte es über das Formular und das Programm gemeldet. Im Programm hieß es (Beta v7), dass die Funktion nicht verfügbar wäre und meine Meldung in der Warteschlange steckt.

    Als Phishing kann ichs nicht bezeichnen, da es ja keinen Dienst/Seite imitiert. Es werden über ein Gewinnspiel Daten erfragt und der Benutzer soll zum Kriegen des Gewinns ein Zeitschriften-Abo abschließen.

    Das ganze ist nun schon mindestens 4 Tage her. Es handelt sich um die Seite "leser-auslosung.de". Die Whois-Angaben sind auch falsch und bereits bei der Denic gemeldet.

  • Die Seite wird mit Hilfe von Telefonanrufen durch ein Callcenter beworben. Wie die Seite funktioniert weiß ich nicht, ich habe sie mir nicht allzu genau angeschaut. Die Firma dahinter ist für Dreck bekannt: Success+ GmbH.

  • Ich habe noch einmal die Anfrage zum Blockieren eingereicht. Die Entscheidung darüber obliegt allerdings dem Labor in Absprache mit unserer Rechtsabteilung, da solche Vorgänge nicht ganz ohne sind aus rechtlicher Sicht.

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Doch schon, leider können wir die Seite jedoch nur als potentiell unerwünscht markieren, da keine Malware verteilt wird und auch kein Phishing über die Seite als solches stattfindet. Ich habe jetzt keine V6 zur Hand, allerdings gestern abend mit der V7 getestet und da wurde geblockt...

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Also ich bin mit v7 unterwegs und bei mir wird die Seite weder als Phishingseite, noch als potentiell unerwünscht gemeldet. Alle Sicherheitsmodule sind aktiv und es klappt bei anderen Domains sonst auch.

    Gerade gemerkt: Die Adresse wird nur mit www. am Anfang blockiert. Ohne das www. lädt die Seite ohne Probleme.

  • Ein paar Beispiele, die ich bisher selber erlebt habe:
    - E-Mails gehen einfach unter (keine Antwort oder eine erste Antwort und danach nichts mehr)
    - die Schutzfunktion vor bösartigen Seiten könnte direkt www. und ohne www. gleich behandeln (erspart doppelte Einträge, Arbeit, sowie Fehlerursachen)
    - der Datendiebstahl war mehr als schlecht geregelt
    - die Software prüft nicht alles auf Aktualität (hinnehmbar, wobei mich stört, dass ich noch eine Beta laut Ladescreen nutze, obwohl es nun eine Finale ist)
    - Anfragen zum Melden von Seiten sollten direkt in Englisch verfasst werden, damit es schneller geht (Umweg deutscher Support)

  • Hallo Salzsuppe,

    Zitat

    E-Mails gehen einfach unter (keine Antwort oder eine erste Antwort und danach nichts mehr)

    Das ist nicht unsere Art und sollte geprüft werden! Bitte schick mir ein paar Details per PN, wie z.B. Support Ticket & Ticketnummer oder bei Vertriebsanfragen die entsprechende Thematik und der Kontakt usw. Dann kümmere ich mich gerne darum.

    Zitat

    die Schutzfunktion vor bösartigen Seiten könnte direkt www. und ohne www. gleich behandeln (erspart doppelte Einträge, Arbeit, sowie Fehlerursachen)

    Wenn Du Dich auf den Fall beziehst, der das Thema hier gestartet hat, so ist das eine Ausnahme, da die Webseite nicht direkt gefährlich ist - es wird weder Malware verteilt, noch ist ohne Login-Informationen irgendein Phishing vorhanden, weswegen dieser spezielle Fall eine weitaus geringere Priorität hat, wie tatsächlich gefährliche Webseiten.
    Wenn Du es genereller meinst, dann kann ich mir nur vorstellen, dass Du auf die URL-Adressverwaltung im Produkt ansprichst. Auch hier gibt es technische Gründe. Wenn Du den Text auf den entsprechenden Seiten liest, siehst Du, wie man am besten die Einstellungen vornehmen kann - beim automatischen Blacklisting z.B. per Signaturupdate kommt der technische Aspekt ins Spiel - ein Beispiel:
    Ich habe eine Mail erhalten mit einem Link zu einer Donwloadseite im Format MALWARESUB.domain.com - würden wir domain.com mit allem davor, wie auch www. sperren, würden legitime Nutzer und das komplette Angebot von domain.com nicht verfügbar sein - das kann nicht Sinn und Zweck der Übung sein...

    Zitat

    der Datendiebstahl war mehr als schlecht geregelt

    Ich habe (mich) es zur Genüge erklärt, die verlässlichen Daten sind veröffentlicht worden und entsprechende Aktionen erfolgt, sowie alle User über unsere Webseite usw. informiert. Ich sehe nicht, was noch hätte getan werden können, ohne Pseudo-Bauernopfer. Wenn Du das anders siehst, begründe dies bitte.

    Zitat

    die Software prüft nicht alles auf Aktualität (hinnehmbar, wobei mich stört, dass ich noch eine Beta laut Ladescreen nutze, obwohl es nun eine Finale ist)

    Dein Beispiel in Klammern besagt, dass Dein "Splashscreen" also das Bild, was man als erstes sieht mit dem Androiden, immer noch bei Dir "Beta" anzeigt - dieser Bug ist noch nicht reported, wenn Du Screenshots machen könntest inkl. Angabe der installierten Versionsnummer, prüfen und fixen wir das gerne. Die Funktionalität scheint nichts desto trotz nicht beeinträchtigt, richtig? Also unschön, aber nicht sicherheitsgefährdent, wenn ich das so richtig verstehe - wenn nicht, bitte richtigstellen. ;)

    Zitat

    Anfragen zum Melden von Seiten sollten direkt in Englisch verfasst werden, damit es schneller geht (Umweg deutscher Support)

    Nicht jeder deutsche User kann Englisch oder traut sich es zu, solche Anfragen in Englisch zu stellen - von daher bieten wir den Service im deutschen Support an, dies zu übernehmen. Dazu kommt, dass unsere Einsendungen entsprechend anders behandelt werden und man auf Nachfrage bei uns auch Auskunft über den aktuellen Status bekommt.

    Der offizielle, englische Weg ist hier beschrieben: How do I submit a virus, website or potential false positive sample to ESET's lab? - ESET Knowledgebase
    Direkte Phishingseiten können hier auf Englisch berichtet werden: Report a phishing page - ESET

    Und zum Abschluss, ein Teil der Kommunikation ist u.a. auch das persönlichen Engagement hier bzw, auch in Englisch unter forum.eset.com - weitere, konstruktive Verbesserungsvorschläge sind immer willkommen! :)

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!