[Aktualizacja 2016-05-23] Dodanie INB Bank Slaski
Ostatnio nasilila sie ilość ataków na banki. Widać przynosi to dobry skutek dla atakujących skoro co jakiś czas ponawiane są takie próby.Ostatnio kolejny opisał serwis niebezpiecznik.pl. Postanowiłem zrobić małe podsumowanie tych ataków pod kątem możliwości przeciwdziałania im na serwerach poczty.
Podobny wygląd
Wszystkie maile optycznie wyglądają podobnie. raczej trudno to wykorzystać do walki z tym ale wniosków może być kilka. Może działa ta sama grupa lub używany jest jakiś generator.
Oto dwa przykładowe maile:
Tematy mają duże wspólnego
Tematy maili też są dość podobne do siebie. Ale to dość oczywiste skoro wyglądają podobnie optycznie całe wiec zapewne okgraniczone słowa ze słownika
Oto przykładowe tematy
Subject: Blokada konta Bank Zachodni WBK Subject: Blokada konta BZWBK Subject: Blokada konta iPKO Subject: Blokada rachunku Bank Zachodni WBK Subject: Blokada rachunku BZWBK Subject: Blokada rachunku iPKO Subject: Blokada systemu iPKO Subject: Weryfikacja konta Bank Zachodni WBK Subject: Weryfikacja konta BZWBK Subject: Weryfikacja konta iPKO Subject: Weryfikacja w systemie BZWBK Subject: Weryfikacja w systemie iPKO Subject: Autoryzacja konta iPKO Subject: Nowa wiadomosc iPKO Subject: Wazna wiadomosc iPKO
Oczywiście można zbudować reguły sprawdzające tematy ale trzeba pamiętać, że niestety atakujący mogą dowolnie zmieniać te tematy. Można się pokusić o napisanie reguły.
header __ZABOJCASPAMU_ATAKI_NA_BANKI_BLOKADA Subject=~/^(Blokada|Weryfikacja|Autoryzacja)/ header __ZABOJCASPAMU_ATAKI_NA_BANKI_BANKI Subject=~/(iPKO|BZWBK|Bank Zachodni WBK)/
Co do powyższej reguły nie wiem jak wyglądają dobre maile z banków. i czy takie banki wysyłają informacje o blokadzie więc ostrożnie.
Pole X-mailer
Ciekawe jest pole X-Mailer. Otóz jest zawsze bardzo podobne i zmiany sa nieznaczne. Oto lista znalezionych pól
X-Mailer: Microsoft Outlook Express 6.00.2800.1106 X-Mailer: Microsoft Outlook Express 6.00.2800.1158 X-Mailer: Microsoft Outlook Express 6.00.2800.1409 X-Mailer: Microsoft Outlook Express 6.00.2800.1437 X-Mailer: Microsoft Outlook Express 6.00.2800.1506 X-Mailer: Microsoft Outlook Express 6.00.2900.2180
jak widać nie jest tego dużo i można przyjąć ze wychwytująca reguła będzie wyglądać nastepująco
header __ZABOJCASPAMU_ATAKI_NA_BANKI_XMAILER =~ /Microsoft Outlook Express 6\.00\./
Linki prowadzące do innych stron
W mailach znajdują się linki. Wyświetla sie na, ze prowadzi do ipko.pl a naprawde prowadzi do fałszywej strony. Można sprawdzać czy wyświetlany link i strona do której prowadzi mają tekst np ipko.pl. Przykład znajduje sie tutaj a większy opis https://zabojcaspamu.pl/spoofing-linkow-w-mailach. Obiecuje Rozwinąć ten temat w najbliższym czasie.
Mesage-ID bez FQDN domeny
Czyli mówiąc prościej nie ma krpki w Message-ID po znaku @. Opisane jest to w tym wpisie o regułach na Message-ID. Chodzi o regułe ZABOJCASPAMU_MSID_NODOT.
Jeszcze jedną cechą jest, że kazdy mail zaczyna się od frazy ‚Data:’ i daty w formacie DD.MM.RRRR. Wyrażenie regularne
/^Data\: \d\d\.\d\d\.\d\d\d\d/
Ale akurat to nie uważam za ciekawe:)
Podsumowanie
Cała reguła na wychwytywanie tego typu maili może wyglądać nastepująco(trzeba mieć regułę ZABOJCASPAMU_MSID_NODOT).
header __ZABOJCASPAMU_ATAKI_NA_BANKI_BLOKADA Subject=~/^(Blokada|Weryfikacja|Autoryzacja)/ header __ZABOJCASPAMU_ATAKI_NA_BANKI_BANKI Subject=~/(iPKO|BZWBK|Bank Zachodni WBK|ING)/ header __ZABOJCASPAMU_ATAKI_NA_BANKI_XMAILER X-Mailer=~ /Microsoft Outlook Express 6\.00\./ meta ZABOJCASPAMU_ATAKI_NA_BANKI _ZABOJCASPAMU_ATAKI_NA_BANKI_BLOKADA && __ZABOJCASPAMU_ATAKI_NA_BANKI_BANKI &&__ZABOJCASPAMU_ATAKI_NA_BANKI_XMAILER && ZABOJCASPAMU_MSID_NODOT describe ZABOJCASPAMU_ATAKI_NA_BANKI Próba taki na banki score ZABOJCASPAMU_ATAKI_NA_BANKI 10
Zaletą tej reguły jest to, że nie sprawdza linków. Wada to w temacie jest sprawdzana lista banków co ją ogranicza tylko do nich. Po testach i sprawdzaniu można będzie zmniejszyć liczbę sprawdzanych w temacie bo sprawdzanych jest dużo innych rzeczy.
Chyba niezła impreza wczoraj była 🙂 bo literówek i błędów stylistycznych w artykule jest tyle, że czasem ciężko jest załapać za pierwszym razem co autor miał na myśli.
Wracając do tych maili fake, to uważam, że ciężko będzie skutecznie je wyfiltrować. Przynajmniej nie na zasadzie, napisz regułę i zapomnij.
Dzieki za info o błedach, poprawiłem część. Pisałem w pracy wiec ten teges:)
A co filtracji … zapraszam jutro:)
Mam takie pytanie jeszcze, może ktoś się orientuje. Jak prawo ma się do polityki banków sprzyjającej spamerom i oszustom? (nie tylko bankom?) Nie od dziś wiadomo, że co po niektórzy ślą swoje mailingi i oferty za pośrednictwem firm zewnętrznych mając gdzieś ewentualne uwagi swoich klientów. Sprzyja to oczywiście różnej maści spamerom i oszustom próbującym wyłudzić kasę (ostatni przypadek wirusa szyfrującego dyski twarde po otwarciu załącznika), nie muszą oni się martwić o filtry antyspamowe wychwytujące wiadomości, których faktyczny adres wysyłki różni się od tego podanego w polu OD.
Do tego dochodzi cala masa innych elementów jak cała masa wytłuszczeń czcionki, nadużywanie koloru czerwonego, różne wielkości czcionek, frazy faktura, oferta, itp. itd. Występujące całymi tabunami w takich mailach. Przykładem są nie tylko banki ale także takie firmy jak Allegro, PluS GSM, który jest mistrzem niejako w sprzyjaniu spamerom i oszustom itd.
Piszę o tym bo mam już pomału serdecznie dość takich firemek i ich pseudomarketingowców oraz „pseudoadministratorów” zezwalających na takie praktyki. Także błędne wdrożenia DKIM i SPF, które przynoszą odwrotne rezultaty jak np, ma to wdrożone Onet.pl, bo albo zostało to zrobione na części serwerów albo też mają wygenerowane błędne klucze dzięki czemu Spamassasin wykrywa DKIM czy SPF i nieprawidłowe klucze (wpisy w przypadku SPF).
Gratuluję inteligencji tak apropo panowie „administratorzy” jeśli to czytacie. Mamy więc do wyboru albo odrzucać takie wiadomości jako spam (jak ja to robię i zachęcam innych, może się naucza jak im spadnie czytelność maili) albo je akceptować, ryzykując że mniej kumaty prezes w firmie otworzy taką lewą wiadomość i zaszyfruje sobie np. dysk twardy skupiając swoją frustracje na swoim informatyku, który go przed tym nie zabezpieczył.