Spoofing linków w mailach

Od dawna znany problem. Często stosowany przez spamerów i innych. Ostatnio występował powszechnie przy wysyłce o DHLu. Wyświetla się informacja, że link prowadzi do domeny dhl.com a naprawdę prowadzi do dowolnej innej. Jak sprawdzić cos takiego? Otóż da się to zrobić w SA i to jest w miarę proste. Po pierwsze musimy załadować plugin URI:Detal czyli gdzieś w pliku konfiguracyjnym (etc/spamassassin/local.cf pewnie)

 loadplugin    Mail::SpamAssassin::Plugin::URIDetail

Co w zamian otrzymujemy? Ten opis pomoże ale kto czyta manuale:) Zacznijmy od przydatnego przykładu z ostatniej linii czyli

 uri_detail FAKE_HTTPS text =~ /\bhttps:/ cleaned !~ /\bhttps:/

czyli nowa rzecz: uri_detail co powoduje zwrócenie do odpowiednich zmiennych różnych części linku.

  • text w uri_detail oznacza część widoczną miedzy <a> </a> czyli to co widzimy i jest sprawdzane czy zawiera ciąg https:
  • cleaned w uri_detail oznacza link do czego prowadzi i sprawdzane jest czy nie zawiera ciagu https:
  • reguła jest prawdą jeśli to co widzimy ma https: a link prawdziwy nie.

Idea prosta: sugestia, że link prowadzi do https a naprawdę pewnie do http. Idea jest prosta ktoś coś kombinuje z takim linkiem. Cała reguła

uri_detail FAKE_HTTPS text =~ /\bhttps:/ cleaned !~ /\bhttps:/
describe   FAKE_HTTPS Fake https w linku
score      FAKE_HTTPS 10

Uri_detail można użyć do sprawdzania różnego rodzaju prób ataków. Próby podszycia się pod UPS np i sprawdzanie linku, oto reguła

header     __ZABOJCASPAMU_FAKE_UPSv2_1     From=~/awizo\@ups\.pl/
uri_detail __ZABOJCASPAMU_FAKE_UPSv2_2     text=~/www\.ups\.com\.pl/ cleaned=~/up-windows.in/
meta       ZABOJCASPAMU_FAKE_UPSv2         __ZABOJCASPAMU_FAKE_UPSv2_1 && __ZABOJCASPAMU_FAKE_UPSv2_2
describe   ZABOJCASPAMU_FAKE_UPSv2         fake UPSv2 sprawdzanie linku czy nie fakowany
score      ZABOJCASPAMU_FAKE_UPSv2         1

wyjaśnienie :

  • najpierw sprawdzamy czy w polu From jest z ups.pl, ta część jest po to aby ograniczyć ilość maili w jakich jest  sprawdzane uri_detal
  • sprawdzane jest w drugiej linii czy fake nie jest z ups.com.pl a rzeczywiście link  nie prowadzi do up-windows.in

Reguła przykładowa mająca dać pojęcie o co chodzi. A teraz można budować regułe sprawdzającą dużo różnego spoofingu znanych firm

uri_detail __ZABOJCASPAMU_FAKE_UPS  text=~/www.ups\.com\.pl/ cleaned!~/ups.com.pl/
uri_detail __ZABOJCASPAMU_FAKE_DHL text=~/dhl\.com/ cleaned!~/dhl\.com/
uri_detail  __ZABOJCASPAMU_FAKE_PACZKOMATY text=~/paczkomaty\.pl/ cleaned!~/pczkomaty\.pl/
meta ZABOJCASPAMU_FAKE_URL   __ZABOJCASPAMU_FAKE_UPS  || __ZABOJCASPAMU_FAKE_DHL || _ZABOJCASPAMU_FAKE_PACZKOMATY
describe ZABOJCASPAMU_FAKE_URL fake url  DHL lub UPS lub Paczkomaty
score ZABOJCASPAMU_FAKE_URL  10

 

W przypadku znalezienie tego typu spoofingu można budować szybko reguły które skutecznie ubiją takie maile. Oczywiście domeny tu są przykładowe i atak może być związany z innymi,

 

 

 

2 thoughts on “Spoofing linków w mailach

  1. Trafiłem na mail który nie zawiera a href=http:// są w nim tylko https a załapał się na tą regułę.
    Jedyny podejrzany link wewnątrz wygląda tak:

    a href=’https://emby.media/community’ Emby Community /a
    a href=”https://emby.media/community/index.php?/user/239887-simoneh24/” class=”bbc_url” title=”” SimoneH24 /a

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *