Erledigt Fishing Email mit CC Community URL

[Amosnet]

Hey Leute,

ich habe gerade eine Fishing Email erhalten für "MetaMask" (NFT Crypto Zeugs) und habe mir den Link auf "Verify your wallet" angeschaut und bin erschrocken weil er mit:
https://www.cc-community.net/redirect.php? gestartet hat.

Gibt es eventuell ein Problem auf dem Server oder spinne ich ein bischen?

Gerne leite ich die Email und auch den korrekten vollständigen Link weiter.

 

[ibinsfei]

Das ist kein Problem mit dem Server, es wird nur der redirector missbraucht, z.B. indem man einen Link in einem Post o.ä. einfügt und dann diesen Link (der den redirector enthält) weiterverwendet. Das ist schon ein paar Mal passiert und ich habe dann jeweils den redirector angepasst, damit die Links nicht richtig aufgelöst werden. Schicke mir bitte den kompletten Link, dann baue ich deinen Link auch in die Ausschlussliste ein.

 

[Amosnet]

OK super - dachte schon es wäre was schlimmeres. Was für eine Chance, dass ich gerade diese Email bekomme.

Habe dir den Link per PM geschickt.

 

[ibinsfei]

Danke, der redirect ist "entschärft".

 

[chaospir8]

Und welcher User hat so was in welchem Beitrag (oder Unterhaltung) hier eingebaut und wiederverwendet?
@ibinsfei

 

[DrSnuggles]

@chaospir8
Das kann jeder Leser ohne Login tun. Der Redirector ist doch in jedem Post gleich.

 

[ibinsfei]

Du brauchst nicht mal posten, "Vorschau" reicht auch, um an den redirect zu kommen

 

[fogarty]

I just received a phishing email as well saying I sold an NFT on opensea.io I'm tired of everytime I turn around someone trying to steal. I will attach what I can. There has to be a way to track down who is doing this. I will translate best I can
Ich habe gerade auch eine Phishing-E-Mail erhalten, in der steht, dass ich ein NFT auf opensea.io verkauft habe. Ich bin es leid, jedes Mal, wenn ich jemanden umdrehe, der versucht zu stehlen. Ich werde anhängen, was ich kann. Es muss eine Möglichkeit geben, herauszufinden, wer das tut.

 

[fogarty]

Please email me with help.
jon@fogarty.org

Thanks

 

[ibinsfei]

That is spam, just ignore ist. I received this mail today:

 

[chaospir8]

@ibinsfei
Ich bin dafür, den Redirect so zu ändern, dass er prüft, von welcher Seite/Quelle er aufgerufen wird (deep link protection) und wenn dies nicht von https://www.cc-community.net/* ist, dann soll er nicht funktionieren.
Wenn dann ggf. Boardies sich beschweren, dass sie aus ihren Foren-Mail-Benachrichtigungen die Links nicht direkt öffnen können, dann ist es leider so, dient aber dem Schutz des Forums.

 

[ibinsfei]

Das bringt leider nichts, die Links aus den Mails führen schon lange ins Leere, soweit ist der Redirector schon angepasst. Die Mails und auch der Post oben kommen nicht, weil ein Click auf den Link zu einer Phishing-Site führt, sondern weil der Link in einer Mail steht, die man leicht als Phishingmail erkennt.

 

[chaospir8]

Dennoch generiert "jemand" einen solchen Link und verbreitet ihn. Und wahrscheinlich führt dieser Link (vor Blacklisting durch Dich) zu einer Zielseite hin.
Wie wär's dann mit einer Deep Link Protection für die Generierung dieser Links und zusätzlich mit einem Log-File, wer, welche generiert (nur für Euch Admins einsehabar)?!

 

[ibinsfei]

Die Links, um die es sich dreht wurden entweder per Vorschau oder per base64-encoding generiert. Sie sind nicht gepostet worden, das habe ich schon geprüft. Deswegen ist in den Fällen eine "deep-link-Protection" (nichts anderes, als eine referer-Prüfung) hier nutzlos. Diese würde aber dazu führen, das bei einigen redirects hier gar nicht mehr gehen, da ggf. ein Referer-Blocking eingeschaltet ist.
=> Nutzen gering, potentielle Behinderung wahrscheinlich

 

[GiveThatLink]

Dann ändert doch einfach den redirect. go.php, redir.php, gnampf.php.
Mich tangiert das eh nicht, weil solche Links hier im Browser direkt konvertiert werden per Erweiterung. Allerdings werden alle externen Links auf Webseiten mit _blank mit noopener und noreferrer versehen, und damit ist die Quelle futsch.

GitHub - jaredsohn/noopener_by_default: A Chrome userscript that adds rel:'noopener' to any target:"_blank" link that does not already have it nor rel:"noreferrer" set

A Chrome userscript that adds rel:'noopener' to any target:"_blank" link that does not already have it nor rel:"noreferrer" set - GitHub - jaredsohn/noopener_by_default:...

(http://www.github.com/jaredsohn/noopener_by_default)

Oder nehmt einen anderen, externen redirector-Service, gibt doch genug.

 

[ibinsfei]

Das ändert auch nichts, die Mails bzw. Versender der Mails existieren und werden weiter diese Mails versenden. Wie schon geschrieben, die Links führen nicht auf Phishing-URLs, das wird abgefangen, d.h. die Versender der Mails haben das noch nicht mitbekommen.
Ist das so schwer zu verstehen?

 

[GiveThatLink]

Das mag ja sein, aber müssen die Spammer dazu Forum-Ressourcen missbrauchen dürfen? Dazu von extern. Und wenn ich das richtig im Kopf habe, dann zahlt ja auch jemand für Traffic hier. Müsst ihr wissen.

 

[chaospir8]

Die Links, um die es sich dreht wurden entweder per Vorschau oder per base64-encoding generiert. [...]

Dann die Encodierung ändern? Oder Redirect komplett abschaffen (eine Ausnahme fällt mir da ein)?!
Es sind nur Ideen/Vorschläge meinerseits, um uns nicht im negativen Sinne nach außen zu präsentieren.

 

[DrSnuggles]

@ibinsfei

Für die Zukunft, kann die Boardsoftware nicht einfach ein pro URL uniques Secret in der URL verlangen?

Also statt:

https://www.cc-community.net/redirect.php?aHR0cHM6Ly93d3cueW91dHViZS5jb20vY2hhbm5lbC9VQ0czTnh0amhET1BoMW1Rb0J2OU9GTWc=

https://www.cc-community.net/redirect.php?URL<base64-encodet-URL>&SEC=<SHA1(URL+Serversecret)>

Dann kann in Zukunft der Redirector nie wieder mißbraucht werden bzw. jemand müsste erst einen Account erzeugen, die URL kodieren lassen und dann die Mail rausschicken.

 

[GiveThatLink]

Da sagst du was. Intern nutzen die meisten Foren-Softwaren eine interne SID, die man auswerten kann. Und die verfällt nach vorgegebener Zeit der Inakltivität. Die SID siehst du nur im Netzwerkmonitor (zB Netzwerkanbalyse in Firefox).

 

[ibinsfei]

Die einzige Möglichkeit wäre den redirector abzuschalten, alles andere hilft nichts.

 

[DrSnuggles]

Warum sollte ein Secret das Problem nicht lösen? Wenn nur die Boardsoftware valide redirects bauen kann ist das doch ein extremer Fortschritt

 

[Antitrack]

Oder Cookies. Der Redirect funktioniert nur dann, wenn das Login-Cookie aktiv ist, sonst nicht.

 

[ibinsfei]

Der redirect funktioniert nicht, das Thema scheint sich deswegen wohl auch erledigt zu haben, denn es kamen keine Beschwerden mehr. Wir hatten einige Kontaktanfragen, die uns auf das Problem aufmerksam gemacht haben und haben entsprechend reagiert. Der Thread hier war nur noch ein Nachbeben, da der nicht funktionierende Link noch versendet wurde und der Empfänger diesen aber (vernünftigerweise) nicht geklickt hat und deshalb nicht mitbekommen hat, dass der Link ins Leere lief.
Scheinbar haben die SPAM-Versender mitbekommen, dass der redirector nicht mehr für sie funktioniert und sich andere Methoden gesucht.

Ich bekomme z.B. auch einige Mails von "opensea", dass jemand meinen Artikel für 7,8354 ETH kaufen will (z.Zt. steht der ETH bei über 2.200 Euro), SPAM und Fishing-Mails wird es immer geben und das Vernünftigste, was man da machen kann, ist sie zu ignorieren.

 

[chaospir8]

Dank unserer tollen redirect-Funktion in den Links kann ich nun (ich habe es heute in der Firma bemerkt) keine Links mehr aus unseren Beiträgen anklicken, weil diese durch die "Firewall" (McAfee Web Gateway) blockiert werden.

Der von Ihnen angefragte URL wurde durch das URL-Filterdatenbankmodul von McAfee Web Gateway blockiert. Der URL fällt in Kategorien, die von Ihrem Administrator gegenwärtig nicht zugelassen werden.
URL: https://www.cc-community.net/redirect.php?aH.....
URL-Kategorien: Phishing, Software/Hardware
Reputation: High Risk
Medientyp:
Die URL wurde aufgrund des Ergebnisses einer Suche mit GTI Reputation and Categorization blockiert: false
Die URL wurde aufgrund des Ergebnisses einer dynamischen Inhaltsklassifizierung blockiert: false

 

[dr_tommi]

Dank unserer tollen redirect-Funktion in den Links kann ich nun (ich habe es heute in der Firma bemerkt) keine Links mehr aus unseren Beiträgen anklicken, weil diese durch die "Firewall" (McAfee Web Gateway) blockiert werden.

Du sollst ja in der Firma auch arbeiten und nicht im Netz stöbern oder hier die Bilderwitze studieren.

 

[chaospir8]

@dr_tommi
Das war eine Recherche im Tech&FAQ, für die Arbeit eben ....

 

[ibinsfei]

Da sieht man mal, wie sinnvoll solche Listen sind, da die "Gefahr" ja schon längst beseitigt ist. Unabhängig davon ist McAfee Schrott.

 

[Joshua]

Wobei ich anmerken möchte, dass McAfee das ehemalige "TrustedSource" Internet-Reputationssystem betreibt und neben McAfee selbst, auch andere dies nutzen, z. B. Sophos die Real-Time Database für seine Firewall-Produkte. Gibt man da eine Redirect-URL von hier ein, bekommt das Ergebnis:

Die URL cc-community.net wird dagegen übrigens nur mit "Minimal Risk" bewertet

 

[ibinsfei]

Da sieht man, was für ein Müll das ist. Die "geprüfte" URL leitet auf youtube um, was nun ja mal wirklich nichts mit phishing zu tun hat.