Erledigt Fishing Email mit CC Community URL

Amosnet

Themenstarter
Prophet
Hey Leute,

ich habe gerade eine Fishing Email erhalten für "MetaMask" (NFT Crypto Zeugs) und habe mir den Link auf "Verify your wallet" angeschaut und bin erschrocken weil er mit:
https://www.cc-community.net/redirect.php? gestartet hat.

Gibt es eventuell ein Problem auf dem Server oder spinne ich ein bischen?

Gerne leite ich die Email und auch den korrekten vollständigen Link weiter.
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Das ist kein Problem mit dem Server, es wird nur der redirector missbraucht, z.B. indem man einen Link in einem Post o.ä. einfügt und dann diesen Link (der den redirector enthält) weiterverwendet. Das ist schon ein paar Mal passiert und ich habe dann jeweils den redirector angepasst, damit die Links nicht richtig aufgelöst werden. Schicke mir bitte den kompletten Link, dann baue ich deinen Link auch in die Ausschlussliste ein.
 

Amosnet

Themenstarter
Prophet
OK super - dachte schon es wäre was schlimmeres. Was für eine Chance, dass ich gerade diese Email bekomme.

Habe dir den Link per PM geschickt.
 

fogarty

Neues Mitglied
I just received a phishing email as well saying I sold an NFT on opensea.io I'm tired of everytime I turn around someone trying to steal. I will attach what I can. There has to be a way to track down who is doing this. I will translate best I can
Ich habe gerade auch eine Phishing-E-Mail erhalten, in der steht, dass ich ein NFT auf opensea.io verkauft habe. Ich bin es leid, jedes Mal, wenn ich jemanden umdrehe, der versucht zu stehlen. Ich werde anhängen, was ich kann. Es muss eine Möglichkeit geben, herauszufinden, wer das tut.

Screenshot_20220503-202222.png
Screenshot_20220503-202101.png
Screenshot_20220503-201939.png
 

Anhänge

  • Screenshot_20220503-202101.png
    Screenshot_20220503-202101.png
    73,5 KB · Aufrufe: 21
  • Screenshot_20220503-201925.png
    Screenshot_20220503-201925.png
    64,1 KB · Aufrufe: 44

chaospir8

★★★★★-Oldie
@ibinsfei
Ich bin dafür, den Redirect so zu ändern, dass er prüft, von welcher Seite/Quelle er aufgerufen wird (deep link protection) und wenn dies nicht von https://www.cc-community.net/* ist, dann soll er nicht funktionieren.
Wenn dann ggf. Boardies sich beschweren, dass sie aus ihren Foren-Mail-Benachrichtigungen die Links nicht direkt öffnen können, dann ist es leider so, dient aber dem Schutz des Forums.
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Das bringt leider nichts, die Links aus den Mails führen schon lange ins Leere, soweit ist der Redirector schon angepasst. Die Mails und auch der Post oben kommen nicht, weil ein Click auf den Link zu einer Phishing-Site führt, sondern weil der Link in einer Mail steht, die man leicht als Phishingmail erkennt.
 

chaospir8

★★★★★-Oldie
Dennoch generiert "jemand" einen solchen Link und verbreitet ihn. Und wahrscheinlich führt dieser Link (vor Blacklisting durch Dich) zu einer Zielseite hin.
Wie wär's dann mit einer Deep Link Protection für die Generierung dieser Links und zusätzlich mit einem Log-File, wer, welche generiert (nur für Euch Admins einsehabar)?!
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Die Links, um die es sich dreht wurden entweder per Vorschau oder per base64-encoding generiert. Sie sind nicht gepostet worden, das habe ich schon geprüft. Deswegen ist in den Fällen eine "deep-link-Protection" (nichts anderes, als eine referer-Prüfung) hier nutzlos. Diese würde aber dazu führen, das bei einigen redirects hier gar nicht mehr gehen, da ggf. ein Referer-Blocking eingeschaltet ist.
=> Nutzen gering, potentielle Behinderung wahrscheinlich
 

GiveThatLink

Bekanntes Mitglied
Dann ändert doch einfach den redirect. go.php, redir.php, gnampf.php.
Mich tangiert das eh nicht, weil solche Links hier im Browser direkt konvertiert werden per Erweiterung. Allerdings werden alle externen Links auf Webseiten mit _blank mit noopener und noreferrer versehen, und damit ist die Quelle futsch.


Oder nehmt einen anderen, externen redirector-Service, gibt doch genug.
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Das ändert auch nichts, die Mails bzw. Versender der Mails existieren und werden weiter diese Mails versenden. Wie schon geschrieben, die Links führen nicht auf Phishing-URLs, das wird abgefangen, d.h. die Versender der Mails haben das noch nicht mitbekommen.
Ist das so schwer zu verstehen?
 

GiveThatLink

Bekanntes Mitglied
Das mag ja sein, aber müssen die Spammer dazu Forum-Ressourcen missbrauchen dürfen? Dazu von extern. Und wenn ich das richtig im Kopf habe, dann zahlt ja auch jemand für Traffic hier. Müsst ihr wissen.
 

chaospir8

★★★★★-Oldie
Die Links, um die es sich dreht wurden entweder per Vorschau oder per base64-encoding generiert. [...]
Dann die Encodierung ändern? Oder Redirect komplett abschaffen (eine Ausnahme fällt mir da ein)?!
Es sind nur Ideen/Vorschläge meinerseits, um uns nicht im negativen Sinne nach außen zu präsentieren.
 

DrSnuggles

Bekanntes Mitglied
@ibinsfei

Für die Zukunft, kann die Boardsoftware nicht einfach ein pro URL uniques Secret in der URL verlangen?

Also statt:
Code:
https://www.cc-community.net/redirect.php?aHR0cHM6Ly93d3cueW91dHViZS5jb20vY2hhbm5lbC9VQ0czTnh0amhET1BoMW1Rb0J2OU9GTWc=

Code:
https://www.cc-community.net/redirect.php?URL<base64-encodet-URL>&SEC=<SHA1(URL+Serversecret)>

Dann kann in Zukunft der Redirector nie wieder mißbraucht werden bzw. jemand müsste erst einen Account erzeugen, die URL kodieren lassen und dann die Mail rausschicken.
 
Zuletzt bearbeitet:

GiveThatLink

Bekanntes Mitglied
Da sagst du was. Intern nutzen die meisten Foren-Softwaren eine interne SID, die man auswerten kann. Und die verfällt nach vorgegebener Zeit der Inakltivität. Die SID siehst du nur im Netzwerkmonitor (zB Netzwerkanbalyse in Firefox).
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Die einzige Möglichkeit wäre den redirector abzuschalten, alles andere hilft nichts.
 

DrSnuggles

Bekanntes Mitglied
Warum sollte ein Secret das Problem nicht lösen? Wenn nur die Boardsoftware valide redirects bauen kann ist das doch ein extremer Fortschritt
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Der redirect funktioniert nicht, das Thema scheint sich deswegen wohl auch erledigt zu haben, denn es kamen keine Beschwerden mehr. Wir hatten einige Kontaktanfragen, die uns auf das Problem aufmerksam gemacht haben und haben entsprechend reagiert. Der Thread hier war nur noch ein Nachbeben, da der nicht funktionierende Link noch versendet wurde und der Empfänger diesen aber (vernünftigerweise) nicht geklickt hat und deshalb nicht mitbekommen hat, dass der Link ins Leere lief.
Scheinbar haben die SPAM-Versender mitbekommen, dass der redirector nicht mehr für sie funktioniert und sich andere Methoden gesucht.

Ich bekomme z.B. auch einige Mails von "opensea", dass jemand meinen Artikel für 7,8354 ETH kaufen will (z.Zt. steht der ETH bei über 2.200 Euro), SPAM und Fishing-Mails wird es immer geben und das Vernünftigste, was man da machen kann, ist sie zu ignorieren.
 

chaospir8

★★★★★-Oldie
Dank unserer tollen redirect-Funktion in den Links kann ich nun (ich habe es heute in der Firma bemerkt) keine Links mehr aus unseren Beiträgen anklicken, weil diese durch die "Firewall" (McAfee Web Gateway) blockiert werden.

Der von Ihnen angefragte URL wurde durch das URL-Filterdatenbankmodul von McAfee Web Gateway blockiert. Der URL fällt in Kategorien, die von Ihrem Administrator gegenwärtig nicht zugelassen werden.
URL: https://www.cc-community.net/redirect.php?aH.....
URL-Kategorien: Phishing, Software/Hardware
Reputation: High Risk
Medientyp:
Die URL wurde aufgrund des Ergebnisses einer Suche mit GTI Reputation and Categorization blockiert: false
Die URL wurde aufgrund des Ergebnisses einer dynamischen Inhaltsklassifizierung blockiert: false
 
Zuletzt bearbeitet:

dr_tommi

alter Oldie
Dank unserer tollen redirect-Funktion in den Links kann ich nun (ich habe es heute in der Firma bemerkt) keine Links mehr aus unseren Beiträgen anklicken, weil diese durch die "Firewall" (McAfee Web Gateway) blockiert werden.
Du sollst ja in der Firma auch arbeiten und nicht im Netz stöbern oder hier die Bilderwitze studieren. ;)
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Da sieht man mal, wie sinnvoll solche Listen sind, da die "Gefahr" ja schon längst beseitigt ist. Unabhängig davon ist McAfee Schrott.
 

Joshua

Gott sei Dank Atheist
Wobei ich anmerken möchte, dass McAfee das ehemalige "TrustedSource" Internet-Reputationssystem betreibt und neben McAfee selbst, auch andere dies nutzen, z. B. Sophos die Real-Time Database für seine Firewall-Produkte. Gibt man da eine Redirect-URL von hier ein, bekommt das Ergebnis:

1654095785755.png



Die URL cc-community.net wird dagegen übrigens nur mit "Minimal Risk" bewertet 😁

1654095982788.png
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Da sieht man, was für ein Müll das ist. Die "geprüfte" URL leitet auf youtube um, was nun ja mal wirklich nichts mit phishing zu tun hat.
 
Oben Unten