Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
UrlSafeGuard sperrte den Link nicht
#1
Hallo,
eine E-Mail kam heute rein.

   

Klarer Fall, Fake.
Also mach ich mir den Spaß und schau mal wo mich das hinführt.

Links Maschine auf und Webmailer starten und mal den link anklicken, eindeutig böse.
Also sollte NSP den klick verweigern.

Link ging auf ... gesperrt hat der Firefox nicht der NSP.
   

Waren die Pattern noch nicht aktuell ?
Oder wie läuft das ab?

In der Nachrichtenverfolgung war alles normal.

Gemeldet habe ich den Link bereits.
Grüße
Zitieren
#2
Guten Morgen, einen Tag danach nochmal getestet nun wird die URL gesperrt.
   
Zitieren
#3
Guten Mogen ffischer,

hier wird der Link zum Zeitpunkt deines Tests noch nicht von Cyren erkannt worden sein :/
Das kann bei neuen elementen natürlich vorkommen, wesshalb ein zusätzlicher Schutz immer empfehlenswert ist Smile


Gruß
Jan
Zitieren
#4
Hallo Jahn,
das dachte ich mir schon fast.

Wäre praktisch die Seite zu öffnen durch den NSP und von der Seite einen Screenshot zu machen und dem Besucher vorher zu zeigen. Smile
Zitieren
#5
Hallo ffischer und alle anderen NoSpamProxy Nutzer,

hier noch ein Hinweis. Um die Erkennung zur verbessern möchten wir alle Nutzer bitten dies auch direkt aus dem NSP heraus als "schlecht" zu melden.

Wie das geht findet Ihr in unserer Knowledge Base unter URL-Klassifizierungen beeinflussen | NoSpamProxy. Dort sind auch weitere KB Artikel verlinkt, die weiterhelfen wenn der Cyren AntiVirus oder der Cyren AntiSpam etwas nicht erkennen und wie man dies dann melden kann.

Gruß Thomas
Zitieren
#6
Guten Morgen in die Runde,



dazu eine Frage: würde es nicht Sinn machen, dass der NSP URLSafeguard grundsätzlich alle URLs die nicht in der Whitelist sind (und deren Domain nicht "Partner" ist) ersetzt?



Denn eine Entscheidung ersetzen/nicht ersetzen, zum Zeitpunkt der Analyse, ist ja konzeptbedingt NICHT der gleiche wie beim späteren lesen/anklicken.



Würde man generell alle URLs ersetzen, dann wäre ein Fall wie dieser vermutlich gar nicht relevant, da die Domain zwar bei der Analyse kein Problem darstellte, später aber wohl doch gelistet war. So wird in meinen Augen ein echter Schuh aus dem Feature.

Denn auch wir sind (als Kunden) schon mehrfach in die Situation gelaufen, dass die URL aus unerklährlichen Grunden nicht ersetzt wurde. Eine Diskussion am jeweiligen Einzelfall scheint mir aber müssig.


Gruß,

Kai
Zitieren
#7
Guten Morgen
@Thomas, das mach ich schon die ganze Zeit, aktuell kommen aber vieler solcher Mails an.

Und wenn ich diese dann sperre muss das bei Cyren ja auch erstmal geprüft werden und dann über Updates verteilt werden.
Zitieren
#8
Hallo,
eben schickte mir ein Kunde eine Vermeidliche Mail von DHL.
Mit der bitte man soll doch Adresse vervollständigen .. klar -- ist Fake.

Kunde war sich aber nicht sicher - aber darum gehts nicht.

Die Mail kam bei mir an, in einer sicheren Umgebung öffnete ich die Mail und "klickte" auf den Link.
Hier viel mir auf das die erste URL nicht gesperrt worden ist, (Cyren Test betratet die als N/A - habe ich gleich gemeldet)
interessant ist, das diese URL die im Link der Mail Stand nur ein Redirector war auf eine andere Seite die wiederum lt. Cyren den Status N/A hatte. Habe ich auch gleich gemeldet.

Wie soll mit so etwas umgegangen werden wenn auf Redirector Seiten weitergeleitet wird?

Grüße
Zitieren
#9
Guten Morgen,
heute kam mal wieder eine neue Mail mit phishing Versuch der Volksbank.

Jetzt sind da keine URLs drin sondern QRCodes ... man soll doch bitte einscannen Smile *nicetry*

Gibt es eine Möglichkeit über NSP das der Inhalt nach QR Codes untersucht wird ?
Bsp. die Mail selbst ist ja HTML, somit könnte eine Art OCR über das gerenderte HTML laufen welches dann den QR Code erkennt prüft und entsprechend bewertet verwirft.

@Jan, wäre das wieder ein Feature Req. ? Smile
Grüße
Frank
Zitieren
#10
Guten Morgen Frank,

ja das wäre ein Feature Request Wink

Vor einer Weile gab es schon einmal einen solche Kampagne jedoch für die Sparkasse ^^

Aktuell gibt es hier leider keine möglichkeit wenn der QR code wirklich als Bild eingebunden ist :/

Gruß,
Jan
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste