• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

UrlSafeGuard sperrte den Link nicht

ffischer

Moderator

Hallo,
eine E-Mail kam heute rein.



Klarer Fall, Fake.
Also mach ich mir den Spaß und schau mal wo mich das hinführt.

Links Maschine auf und Webmailer starten und mal den link anklicken, eindeutig böse.
Also sollte NSP den klick verweigern.

Link ging auf ... gesperrt hat der Firefox nicht der NSP.
Anhang anzeigen 1

Waren die Pattern noch nicht aktuell ?
Oder wie läuft das ab?

In der Nachrichtenverfolgung war alles normal.

Gemeldet habe ich den Link bereits.
Grüße
 

Anhänge

  • 03-05-_2021_12-11-54.jpg
    03-05-_2021_12-11-54.jpg
    106.6 KB · Aufrufe: 15
  • 03-05-_2021_12-14-13.jpg
    03-05-_2021_12-14-13.jpg
    113.5 KB · Aufrufe: 13
Guten Mogen ffischer,

hier wird der Link zum Zeitpunkt deines Tests noch nicht von Cyren erkannt worden sein :/
Das kann bei neuen elementen natürlich vorkommen, wesshalb ein zusätzlicher Schutz immer empfehlenswert ist :)


Gruß
Jan
 
Hallo Jahn,
das dachte ich mir schon fast.

Wäre praktisch die Seite zu öffnen durch den NSP und von der Seite einen Screenshot zu machen und dem Besucher vorher zu zeigen. :)
 
Hallo ffischer und alle anderen NoSpamProxy Nutzer,

hier noch ein Hinweis. Um die Erkennung zur verbessern möchten wir alle Nutzer bitten dies auch direkt aus dem NSP heraus als "schlecht" zu melden.

Wie das geht findet Ihr in unserer Knowledge Base unter URL-Klassifizierungen beeinflussen | NoSpamProxy. Dort sind auch weitere KB Artikel verlinkt, die weiterhelfen wenn der Cyren AntiVirus oder der Cyren AntiSpam etwas nicht erkennen und wie man dies dann melden kann.

Gruß Thomas
 
Guten Morgen in die Runde,



dazu eine Frage: würde es nicht Sinn machen, dass der NSP URLSafeguard grundsätzlich alle URLs die nicht in der Whitelist sind (und deren Domain nicht "Partner" ist) ersetzt?



Denn eine Entscheidung ersetzen/nicht ersetzen, zum Zeitpunkt der Analyse, ist ja konzeptbedingt NICHT der gleiche wie beim späteren lesen/anklicken.



Würde man generell alle URLs ersetzen, dann wäre ein Fall wie dieser vermutlich gar nicht relevant, da die Domain zwar bei der Analyse kein Problem darstellte, später aber wohl doch gelistet war. So wird in meinen Augen ein echter Schuh aus dem Feature.

Denn auch wir sind (als Kunden) schon mehrfach in die Situation gelaufen, dass die URL aus unerklährlichen Grunden nicht ersetzt wurde. Eine Diskussion am jeweiligen Einzelfall scheint mir aber müssig.


Gruß,

Kai
 
Guten Morgen
@Thomas, das mach ich schon die ganze Zeit, aktuell kommen aber vieler solcher Mails an.

Und wenn ich diese dann sperre muss das bei Cyren ja auch erstmal geprüft werden und dann über Updates verteilt werden.
 
Hallo,
eben schickte mir ein Kunde eine Vermeidliche Mail von DHL.
Mit der bitte man soll doch Adresse vervollständigen .. klar -- ist Fake.

Kunde war sich aber nicht sicher - aber darum gehts nicht.

Die Mail kam bei mir an, in einer sicheren Umgebung öffnete ich die Mail und "klickte" auf den Link.
Hier viel mir auf das die erste URL nicht gesperrt worden ist, (Cyren Test betratet die als N/A - habe ich gleich gemeldet)
interessant ist, das diese URL die im Link der Mail Stand nur ein Redirector war auf eine andere Seite die wiederum lt. Cyren den Status N/A hatte. Habe ich auch gleich gemeldet.

Wie soll mit so etwas umgegangen werden wenn auf Redirector Seiten weitergeleitet wird?

Grüße
 
Guten Morgen,
heute kam mal wieder eine neue Mail mit phishing Versuch der Volksbank.

Jetzt sind da keine URLs drin sondern QRCodes ... man soll doch bitte einscannen :) *nicetry*

Gibt es eine Möglichkeit über NSP das der Inhalt nach QR Codes untersucht wird ?
Bsp. die Mail selbst ist ja HTML, somit könnte eine Art OCR über das gerenderte HTML laufen welches dann den QR Code erkennt prüft und entsprechend bewertet verwirft.

@Jan, wäre das wieder ein Feature Req. ? :)
 
Guten Morgen Frank,

ja das wäre ein Feature Request ;)

Vor einer Weile gab es schon einmal einen solche Kampagne jedoch für die Sparkasse ^^

Aktuell gibt es hier leider keine möglichkeit wenn der QR code wirklich als Bild eingebunden ist :/

Gruß,
Jan
 
Hallo Jan,
gut dann erstell ich gleich mal ein Feature Request.
Ich denke es sollte möglich sein, da eh der Inhalt geprüft wird diesen als Bild zu rendern und ein OCR Scan nach QR Codes laufen zu lassen.

Grüße
 
Hallo, ich mal wieder .
wieder eine Mail. Dieses mal die Volksbank.

Inhalt ist irrelevant .. aber .. "hier klicken" das gibts und verweist auf eine URL.
Schau ich mir diese Mail im Nachrichtenverlauf an erscheint diese URL nicht die ich aber angezeigt bekomme wenn ich hier per MausOver drauf geh oder ich mir den HTML Code der Mail anschaue.


Die URL war: https://https://xxxxxxxxx.xxxxxxxxpage.link/sicherheit

Liegt es vielleicht am https://https:...?
Interessant wieder das die neuen Mails alle mit URL Umleitungen funktionieren.
Ich lass auf jeden Fall erstmal wieder die URLS bei Cyren Sperren

Grüße
 
Hallo Frank,

hast du zufällig die Möglichkeit mir das Original der E-Mail einmal weiterzuleiten bzw. als Anhang zu schicken?
Dann kann ich mal prüfen lassen warum nicht umgeschrieben wurde.

Gruß
Jan
 
Ja genau das original,b itte an: "spamreport@" mit Vermerk auf mich schicken.
Ich hole mir die dann aus dem Postfach raus :)

Gruß
Jan
 
Zurück
Oben