Auf die schwarze Liste damit: E-Mail-Adressen von Phishern gesammelt
Das amerikanische SC Magazine hat auf GitHub eine Sammlung von mehr als 3000 E-Mail-Adressen veröffentlicht, die die Analysten im Laufe der Jahre im Code vornehmlich von Phishing-Websites gefunden haben. Bei den Empfängern hinter den Adressen handelt es sich mit hoher Wahrscheinlichkeit um die Kriminellen, die die Zugangsdaten der Website-Besucher abschöpfen. Administratoren und Security-Beauftragte, aber natürlich auch normale Anwender, können diese Adresssammlung als Anhaltspunkt verwenden, um verdächtige Websites zu identifizieren. Gleichzeitig empfiehlt es sich, die Adressen im Mailserver auf eine Blacklist zu setzen.
Bei der Analyse der Daten machte das SC Magazine noch einige weitere Entdeckungen. So benutzten rund 61 Prozent der Sites, also nahezu zwei Drittel, Adressen der Domain gmail.com. Alle anderen Webmail-Dienste lagen weit dahinter. Vor dem @-Zeichen hingegen zeigten die Phisher und Malware-Autoren eine Vorliebe für das Wort result, beispielsweise in Adressen wie resultbox418@gmail.com. Insgesamt fand sich dieser Begriff in 88 Adressen. Dahinter folgte die Wortkombination customer-support, etwa in der Form customer-support@trex.
Eine E-Mail-Adresse machte die Analysten neugierig. Die Kombination pagez@l33bo.website erinnerte sie an ein im April gefundenes, kommerzielles Phishing-Kit. Die Domain l33bo.website war bislang nicht vergeben, also ließ das SC Magazine sie auf sich registrieren. Anschließend konfigurierten die Analysten eine Catchall-Adresse, um sämtliche Mails an diese Domain abzufangen. In der Folge erreichten sie zahlreiche Testnachrichten von Benutzern des Kits, die meisten darunter gingen an pagez@l33bo.website und admin@l33bo.website. Sie empfingen jedoch auch eine Nachricht, die ihnen Zugang zu infizierten Websites anbot, die mit dem Konfigurationstool cPanel verwaltet werden. Außerdem wollte der Absender ihnen Web Shells verkaufen, zum Preis von 4 US-Dollar pro Stück.