{html}<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:600px;}
</style>{html} |
Es wurde bei http://www.phishtank.org eine Phishing-Seite gemeldet.
Sehr hoch.
Verschiedene Firmen und Organisationen stoßen im Rahmen ihrer Tätigkeit routinemäßig auf Phishing-Webseiten und melden diese bei Phishtank.
Das CERT überprüft bei den Domainnamen der auf Phishtank verzeichneten Seiten, ob sie auf eine IP-Adresse im ACOnet verweisen und löst gegebenenfalls diesen Alarm aus.
Eine Eigenheit des DNS ist, daß Domain-Namen zu verschiedenen Zeiten und an verschiedenen Stellen auf unterschiedliche IP-Adressen zeigen können. Dies wird häufig benutzt, um Anwender auf möglichst "netzwerktopologisch nahe" Server verweisen zu könnnen. ACOnet-CERT verwendet daher die Nameserver der Universität Wien, um mit hoher Wahrscheinlichkeit IP-Adressen aus dem ACOnet zu erhalten.
False Positives können zum Beispiel dann entstehen, wenn von mehreren Servern einer Website nur einer gehackt und mit Phishing-Seite versehen wurde. Dann kann eine auf einem weit entfernten Server unter einem gegebenen Domain-Namen gefundene Phishing-Seite dazu führen, daß der – u.U. intakte – Mirror im ACOnet ebenfalls als Phishing-Servr gemeldet wird.
(bisher keine Erfahrungsberichte)