Seite von CleverReach® etwa gehackt?

Gelöst Karl
(@zittau)

vor 1 Jahr, 11 Monaten
Hallo,

beim Näheransehenwollen des Einbindens der Newsletter Software „CleverReach®“ in WordPress stieß ich auf dieses Phänomen:

Auf der Erklärwebseite:

https://www.cleverreach.com/de/integrationen/wordpress/

wird nach Klick auf den Button: „Jetzt WordPress mit CleverReach® verbinden“ diese blockiert und mein F-Secure warnt:

„Diese Webseite wurde als schädlich identifiziert. Wir raten dringend vom Besuch dieser Webseite ab.“

Der Link verweist auf die nicht mit SSL geschützte Seite:

clvr-ch/QlmwR

(statt des Punktes vor der Top-Level-Domain „ch“ schrieb ich sicherheitshalber einen Bindestrich)

Wurde etwa die Seite gehackt?

Ich habe dies bereits auch dem Support von CleverReach® mitgeteilt, jedoch noch keine AW erhalten.
- Dieses Thema wurde geändert vor 1 Jahr, 11 Monaten von Karl.
- Dieses Thema wurde geändert vor 1 Jahr, 11 Monaten von Karl.
- Dieses Thema wurde geändert vor 1 Jahr, 11 Monaten von Karl.
- Dieses Thema wurde geändert vor 1 Jahr, 11 Monaten von Karl.
- Dieses Thema wurde geändert vor 1 Jahr, 11 Monaten von Karl.
- Dieses Thema wurde geändert vor 1 Jahr, 11 Monaten von Karl.
- Dieses Thema wurde geändert vor 1 Jahr, 11 Monaten von Karl.
- Dieses Thema wurde geändert vor 1 Jahr, 11 Monaten von Karl.
- Dieses Thema wurde geändert vor 1 Jahr, 11 Monaten von Karl.
- Dieses Thema wurde geändert vor 1 Jahr, 11 Monaten von Karl.

Ansicht von 4 Antworten - 16 bis 19 (von insgesamt 19)

← 1 2

Anonymous User 17880307
(@anonymized-17880307)

vor 1 Jahr, 11 Monaten
Da ich per Facebook-Gruppe auf den Thread aufmerksam gemacht wurde, hier meine Meinung (jahrelange Erfahrung im Bereich Sicherheit und schon öfter mit false positives und Domain-Reputation zu tun gehabt):

@la-geek als kleine Anmerkung, um zu sehen wie der Status insgesamt ist, siehe VirusTotal:

https://www.virustotal.com/gui/url/d5bacbb8b16b92fd75a0e53352c3e566dbdf806387c93aaaa6ec05feba848244?fbclid=IwAR16YDMuUeGv_5y8kuYrk1vEJ5hFUCocVzcSvYulwH2t0li6TUKkNs6Ht5g

Ich hatte da gestern (vor 17 Stunden) bereits gesehen, dass die Domain vor 3 Monaten (siehe Details-Tab) geprüft wurde, und da auch 5 die Domain als „bedenklich“ einstuften. Eine erneute Prüfung per VirusTotal zeigte dann 6 statt 5 an.

Da diese Anbieter dort mit anderen Herstellern die Datensätze untereinander austauschen, nicht verwunderlich (in den letzten Jahren konsolidiert sich da mehr und die Firmen kaufen sich gegenseitig auf).

Ich würde auch sagen, dass hier ein sogenannter „false positive“ vorliegt. Ob die bei Cleverreach das generell beobachten und auch was tun, ist fraglich.

Zumindest wird dieser Shortlink-Dienst (der an sich harmlos ist sowie der hier besprochene Link) auch für Newsletter verwendet.

Dazu mal in der Suchmaschine der Wahl clvr.ch oder site:clvr.ch eingeben.
Meiner Meinung nach kein Grund zur Sorge.

Dem Hersteller der Sicherheitslösung das als false positive melden:
https://www.techsupportalert.com/content/how-report-malware-or-false-positives-multiple-antivirus-vendors.htm

Oder nach false positive report gdata suchen. Wobei das eher Folgeerscheinungen davon sind, dass anscheinend der Shortlink-Dienst von jedem Cleverreach-Kunden genutzt werden kann und insofern Auswirkungen auf die Reputation (der gesamten Domain) hat. Spricht halt nicht gerade für Cleverreach, wenn die Reputation des eigenen Shortlink-Dienstes nicht so gut aussieht.

Edit: ich mein es gab mal irgendwo Text-Belege, dass McAfee die Daten-Quellen von G-Data usw. verwendet bzw. die sich da direkt austauschen. Ist in dem einen PDF zur Datenverarbeitung anscheind aber nicht mehr drin (war früher soweit ich mich erinnere der Fall, besonders seitdem Intel die aufgekauft hatte).

Moderatoren-Hinweis:
Der Beitrag hing im Spam-Ordner fest.
- Diese Antwort wurde geändert vor 1 Jahr, 11 Monaten von Anonymous User 17880307.
- Diese Antwort wurde geändert vor 1 Jahr, 11 Monaten von Angelika Reisiger.
- Diese Antwort wurde geändert vor 1 Jahr, 11 Monaten von Anonymous User 17880307.
Moderator Angelika Reisiger
(@la-geek)

vor 1 Jahr, 11 Monaten

@danielrufde

Danke für die weiterführenden Infos. Interessanterweise macht virustotal.com keinen Unterschied hinsichtlich http und https bei der Domain (SSL als Ursache scheidet somit aus).
Anonymous User 17880307
(@anonymized-17880307)

vor 1 Jahr, 11 Monaten
@la-geek http und https sind auch keine Indikatoren für die Kategorien „Phishing and Other Frauds“. Das fehlende s führt in der Regel nie zu einer entsprechenden Einstufung als „malicious“. Auch wenn Browser heutzutage zurecht bei http(ohne s) warnen, das hat aber eher einen anderen Grund.

Bei Details steht nämlich das bei VirusTotal:
```
Webroot Phishing and Other Frauds
Comodo Valkyrie Verdict media sharing
```
Moderator Angelika Reisiger
(@la-geek)

vor 1 Jahr, 11 Monaten

@danielrufde

Ich wollte diesen Faden revidieren 🙂

Nichtsdestominder ist das eine gute und nützliche Info, danke 👍:

Das fehlende s führt in der Regel nie zu einer entsprechenden Einstufung als „malicious“.

Hab ich selbst auch noch nirgends gesehen, dass fehlendes SSL eine derartige Einstufung hervorruft. Doch ich weiß auch nicht, wie Mc Afee tickt 😀 .

Hatte vor Jahren mal unerfreuliche Erfahrungen mit Mc Afee gemacht (harmlose Seiten wurden einfach blockiert, ohne Vorwarnung oder entsprechende Hinweise), weswegen ich auf eine andere Firewall-/Virenlösung gewechselt hatte.