URL-Checks
Phishing von Passwörtern, Download von Malware und sonstige Betrugsversuche werden oft über vom Angreifer erstellte Webseiten durchgeführt, deren URLs in Emails an die Opfer versendet werden. Zunehmend werden auch Webauftritte von Onlineshops, Firmen, etc. hierfür mißbraucht, deren Contentmanagementsysteme Bugs aufweisen. Weiterhin werden zur Verschleierung Short-URL-Provider benutzt, um die tatsächliche URL vor dem Opfer zu verstecken. Folgende Mechanismen werden im DFN-MailSupport eingesetzt, um böswillige URLs in Emails zu erkennen:
| Name | Typ | Quelle |
|---|---|---|
| blurl.ndb, jurlbl.ndb, jurlbla.ndb, urlhaus.ndb, winnow_phish_complete_url.ndb, bofhland_cracked_URL.ndb, bofhland_malware_URL.ndb, bofhland_phishing_URL.ndb | ClamAV-Pattern | http://sanesecurity.com/usage/signatures/ |
| uribl.spameatingmonkey.net | RBL-Abfragen durch Spamassassin | https://spameatingmonkey.com/services |
| DBL, ZRD | RBL-Abfragen durch Spamassassin | https://www.spamhaus.com/dataset/content-blocklists/ |
| CERT phishing URLs | Spamassassin-Rules | manueller Feed vom DFN-CERT |
| Cobalt Dickens Liste | RBL-Abfragen durch postfix | https://www.dfn-cert.de/aktuell/silent-librarian.html |
| Heuristiken | diverse Spamassassin-Rules | https://cwiki.apache.org/confluence/display/SPAMASSASSIN/RuleUpdates |
| DecodeShortURLs | Auflösung von Short-URLs | https://github.com/smfreegard/DecodeShortURLs |
Schließlich interpretieren offensichtlich diverse Mailclients das in böswilligen HTML-Emails enthaltene Javascript, die der Verschleierung von URLs dienen. Wir bieten auch grobe Checks an, die Javascript erkennen und pauschal blocken, diese können allerdings u.U. False Positives verursachen. Wenden Sie sich hierfür bitte an die Hotline.