Od dawna znany problem. Często stosowany przez spamerów i innych. Ostatnio występował powszechnie przy wysyłce o DHLu. Wyświetla się informacja, że link prowadzi do domeny dhl.com a naprawdę prowadzi do dowolnej innej. Jak sprawdzić cos takiego? Otóż da się to zrobić w SA i to jest w miarę proste. Po pierwsze musimy załadować plugin URI:Detal czyli gdzieś w pliku konfiguracyjnym (etc/spamassassin/local.cf pewnie)
loadplugin Mail::SpamAssassin::Plugin::URIDetail
Co w zamian otrzymujemy? Ten opis pomoże ale kto czyta manuale:) Zacznijmy od przydatnego przykładu z ostatniej linii czyli
uri_detail FAKE_HTTPS text =~ /\bhttps:/ cleaned !~ /\bhttps:/
czyli nowa rzecz: uri_detail co powoduje zwrócenie do odpowiednich zmiennych różnych części linku.
- text w uri_detail oznacza część widoczną miedzy <a> </a> czyli to co widzimy i jest sprawdzane czy zawiera ciąg https:
- cleaned w uri_detail oznacza link do czego prowadzi i sprawdzane jest czy nie zawiera ciagu https:
- reguła jest prawdą jeśli to co widzimy ma https: a link prawdziwy nie.
Idea prosta: sugestia, że link prowadzi do https a naprawdę pewnie do http. Idea jest prosta ktoś coś kombinuje z takim linkiem. Cała reguła
uri_detail FAKE_HTTPS text =~ /\bhttps:/ cleaned !~ /\bhttps:/ describe FAKE_HTTPS Fake https w linku score FAKE_HTTPS 10
Uri_detail można użyć do sprawdzania różnego rodzaju prób ataków. Próby podszycia się pod UPS np i sprawdzanie linku, oto reguła
header __ZABOJCASPAMU_FAKE_UPSv2_1 From=~/awizo\@ups\.pl/ uri_detail __ZABOJCASPAMU_FAKE_UPSv2_2 text=~/www\.ups\.com\.pl/ cleaned=~/up-windows.in/ meta ZABOJCASPAMU_FAKE_UPSv2 __ZABOJCASPAMU_FAKE_UPSv2_1 && __ZABOJCASPAMU_FAKE_UPSv2_2 describe ZABOJCASPAMU_FAKE_UPSv2 fake UPSv2 sprawdzanie linku czy nie fakowany score ZABOJCASPAMU_FAKE_UPSv2 1
wyjaśnienie :
- najpierw sprawdzamy czy w polu From jest z ups.pl, ta część jest po to aby ograniczyć ilość maili w jakich jest sprawdzane uri_detal
- sprawdzane jest w drugiej linii czy fake nie jest z ups.com.pl a rzeczywiście link nie prowadzi do up-windows.in
Reguła przykładowa mająca dać pojęcie o co chodzi. A teraz można budować regułe sprawdzającą dużo różnego spoofingu znanych firm
uri_detail __ZABOJCASPAMU_FAKE_UPS text=~/www.ups\.com\.pl/ cleaned!~/ups.com.pl/ uri_detail __ZABOJCASPAMU_FAKE_DHL text=~/dhl\.com/ cleaned!~/dhl\.com/ uri_detail __ZABOJCASPAMU_FAKE_PACZKOMATY text=~/paczkomaty\.pl/ cleaned!~/pczkomaty\.pl/ meta ZABOJCASPAMU_FAKE_URL __ZABOJCASPAMU_FAKE_UPS || __ZABOJCASPAMU_FAKE_DHL || _ZABOJCASPAMU_FAKE_PACZKOMATY describe ZABOJCASPAMU_FAKE_URL fake url DHL lub UPS lub Paczkomaty score ZABOJCASPAMU_FAKE_URL 10
W przypadku znalezienie tego typu spoofingu można budować szybko reguły które skutecznie ubiją takie maile. Oczywiście domeny tu są przykładowe i atak może być związany z innymi,
Trafiłem na mail który nie zawiera a href=http:// są w nim tylko https a załapał się na tą regułę.
Jedyny podejrzany link wewnątrz wygląda tak:
a href=’https://emby.media/community’ Emby Community /a
a href=”https://emby.media/community/index.php?/user/239887-simoneh24/” class=”bbc_url” title=”” SimoneH24 /a
Mozesz przez formularz rzucic mailem calosc?