Pojawiały się informacje o nowej fali phisingu tym razem na serwis allegro.pl. Nie pierwszy nie ostatni zapewne ale warto dodać regułę. Informacji więcej mozna przeczytać np tutaj . Allegro używa SPFa i DKIM więc łatwiej będzie wykryć phishing. Wcześniej wiele razy poruszałem podobne tematy:rozpoznawanie pod adresie , fałszywe przesyłki poczty, również o DKIM, jak i SPFie.
Zakładam, że spam idzie z adresu z domeny allegro.pl. Niestety nie mam próbki maila. Skoro idzie z domeny allegro.pl to musi mieć SPF i DKIM a jak nie ma znaczy się badziew i do śmieci. Oto kilka reguł i rozwiązań
Sprawdzamy temat
Rozwiązanie trywialne czyli sprawdzamy temat i nadawce. Zakładamy, że allegro nie wysyła maila z takim tematem. Prostota góra ale wadą jest to, że zmiana jednej litery w temacie powoduje, że reguła nie działa:
header ZABOJCASPAMU_ALLEGRO_PHIS_v1 Subject=~/Twoje konto Allegro zostało tymczasowo zablokowane/ describe ZABOJCASPAMU_ALLEGRO_PHIS_v1 Phising na Allergo score ZABOJCASPAMU_ALLEGRO_PHIS_v1 10
Sprawdzamy SPF
To jest znacznie ciekawsze. Skoro nadawcą jest allegro i mają ustawionego SPFa więc czemu jego nie sprawdzic. Czyste ładne pewne. No chyba, ze serwis zrezygnuje z SPFa i wtedy nic z allegro nie przyjdzie:) Ale to mam nadzieje niemożliwe. I oczywiście jak zawsze musicie mieć na serwerze sprawdzanie SPFa i linia spf=pass musi pasować do odpowiedzi waszego serwera.
header __ZABOJCASPAMU_ALLEGRO_PHIS_v2_1 From=~/powiadomienia\@allegro\.pl/ header __ZABOJCASPAMU_ALLEGRO_PHIS_v2_2 ALL=~/spf=pass .+header.d=allegro.pl / meta ZABOJCASPAMU_ALLEGRO_PHIS_v2 __ZABOJCASPAMU_ALLEGRO_PHIS_v2_1 && !__ZABOJCASPAMU_ALLEGRO_PHIS_v2_2 describe ZABOJCASPAMU_ALLEGRO_PHIS_v2 Phishing na allegro.pl score ZABOJCASPAMU_ALLEGRO_PHIS_v2 10
Sprawdzamy DKIM
Reguła analogiczna do reguły z DHLem (wersja nr 5).
header __EXPERIMENTAL_FAKE_ALLEGRO_v5_1 From=~/allegro.pl/ header __EXPERIMENTAL_FAKE_ALLEGRO_v5_2 exists:DKIM-Signature header __EXPERIMENTAL_FAKE_ALLEGRO_v5_3 ALL=~/d=allegro\.pl\; / header __EXPERIMENTAL_FAKE_ALLEGRO_v5_4 Authentication-Results=~/ dkim=pass/ meta EXPERIMENTAL_FAKE_ALLEGRO_v5 __EXPERIMENTAL_FAKE_ALLEGRO_v5_1 && (!__EXPERIMENTAL_FAKE_ALLEGRO_v5_2 || ! __EXPERIMENTAL_FAKE_ALLEGRO_v5_3 || ! __EXPERIMENTAL_FAKE_ALLEGRO_v5_4) describe EXPERIMENTAL_FAKE_ALLEGRO_v5 falszywa wiadomosc o Wysylce ALLEGRO (v3 sprawdzanie DKIM) score EXPERIMENTAL_FAKE_ALLEGRO_v5 0.1
Kilka uwag:
1.Są to reguły niesprawdzone dokładnie więc na razie nie dodaje do pliku reguł.
2. regułę z SPFem można oszukać generując w nagłowku maila ciąg pasujący do textu. Ale nie podejrzewam spamerów o takie sztuczki.
3. Wszystkie uwagi i wytykani ebłedów mile widziane:)
a gdyby tak pojechać po bandzie:
Subject =~ /(skrzynka|konto).*(zawieszon|zablokowan)/i
mysle ze to nie jest to – sprawdzilem dostepne mi skrzynki mailowe, jedyne jakie byly maile pochodzily z adresu allegro@….
do nas/mnie nie dotarly jeszcze (zawieszon|zablokowan)/y ale pewnie dotrą
ps
dziekuje za bardzo szybka reakcje na problem 🙂
W sumie mozna.Tylko co jesli ktos naprawde dostanei takiego maia::)
aktywny uzytkownik zobaczy to przy logowaniu
o wiele wiecej szkody taki mail robi po otrzymaniu – bo zaraz|szybko chcemy sie dowiedziec dlaczego i klikamy w link w mailu i …
przegladnalem punktacje u siebie za SPF i stwierdzilem, ze mam chyba powazny blad bo np za SPF_FAIL mam w ustawieniach standardowo 0 pkt
Mam pytanie do znawcow, czy zamiast pisac reguly na badanie zgodnosci SPF’a nie powinno sie po prostu podniesc punktacji za to ?
np tak:
score SPF_FAIL 8
score SPF_SOFTFAIL 2
score SPF_NEUTRAL 2
score SPF_HELO_FAIL 2
i byc moze
score SPF_PASS -3
Przeanalizowalem wystepowanie SPF_FAIL i znalazlem ten parametr tylko w spamie (mailach juz oznaczonych) mimo, ze z innego niz SPF powodu
Generalnie pytanie jak sie ma np tak oznaczona punktacja do regul w tym wzgledzie,
Jesli regula z jakichs wzgledow jest lepsza niz (score SPF_FAIL) to moze opracowac jedna uniwersalna dla wszystkich domen – o ile jest to mozliwe
cd..
a moze nie ma potrzeby pisania reguly konczacej sie
score ZABOJCASPAMU_ALLEGRO_PHIS_v1 10
bo wystarczy walnac w local.cf
score SPF_FAIL 10
(pogubilem sie wiec pytam) – dzieki
=rozwiazanie-
ok, tak sie zlozylo, ze w chwile po napisaniu powyzszego posta, w rozroznieniu reguly od spf_fail, doszedl mail rozwiazujacy moje watpliwosci
mail byl z adresu www-data@allegro.pl z IP=10.64.40.133
i zabojca dal mu 10 pkt a spf_fail (brak)
i chyba zrozumialem :-)) ze trzeba na 2 fronty
Dzieki 🙂
hmm ten mail byl jednak ok – po dokladnym ogladnieciu jest SPF_PASS a mimo to podpadl pod negatywa, myzle ze regule trzeba zmodyfikowac wlasnie o nadwce
www-data@allegro.pl
🙂
sorki ze zasmiecam 🙂
tym niemniej ZABOJCASPAMU_ALLEGRO_PHIS_v2_1 jest obecnie nieprawidlowa i nie malezy jej uzywac w tej postaci
header __ZABOJCASPAMU_ALLEGRO_PHIS_v2_1 From=~/powiadomienia\@allegro\.pl/
header __ZABOJCASPAMU_ALLEGRO_PHIS_v2_2 ALL=~/spf=pass .+header.d=allegro.pl /
meta ZABOJCASPAMU_ALLEGRO_PHIS_v2 __ZABOJCASPAMU_ALLEGRO_PHIS_v2_1 && !__ZABOJCASPAMU_ALLEGRO_PHIS_v2_2
describe ZABOJCASPAMU_ALLEGRO_PHIS_v2 Phishing na allegro.pl
score ZABOJCASPAMU_ALLEGRO_PHIS_v2 10
Chodzi o to, że nie jest z powiadomienia tylko z www-data?
sa takie pola kopiuje z oryginalu
====w powiadomieniu —-
From www-data@allegro.pl Sun Feb 7 16:16:49 2016
…
From: Allegro
…
Message-Id:
10 ZABOJCASPAMU_ALLEGRO_PHIS_v2 Phishing na allegro.pl
—zalaczona wiadomosc oryginalna =======
Return-Path:
Received: from smtpfarm6.allegro.pl (smtpfarm6.allegro.pl [194.0.251.101])
From: Allegro
Reply-To: Allegro
Message-Id:
no i w sumie dostal 13,5 punkta
0.2 ZABOJCASPAMU_BOLD
4.0 EXPERIMENTAL_FAKE_ALLEGRO_v5 falszywa wiadomosc o Wysylce ALLEGRO (v3
sprawdzanie DKIM)
10 ZABOJCASPAMU_ALLEGRO_PHIS_v2 Phishing na allegro.pl
0.5 ZABOJCASPAMU_RED_COLOR Wlacza sie czerwony kolor
cos wcielo w powiadomieniu w 2 linii po From powinno byc Allegro powiadomienia @ all…
w return path tez powiadomienia @ all…
www-data@ wystepuje tylko w 1 linijce powiadomienia i nie mam po from dwukropka oraz w return path
to znaczy ze jak? ze allegro z tego maila www-data@ nie ma spfa czy dkima? troche to dziwne by bylo.
Mozna sprawdzac tez pole received ale bez jaj, nei po to sa inne rzeczy aby sprawdzac received.
Nie mam zadnego maila z tego adresu wiec nie mam jak sprawdzic a whitelistowac www-data2 to bez sensu
wyslalem Ci maila moze tam bedzie lepiej widac – na forum wycina fragmenty
– w header jest SPF_PASS
Ale ja mam powiadomienia o przebiciu oferty z powiadomienia@
return-path jest tylko z www-data@
Dobra czaję. są dwa from, nie wiem czemu i mimo ze mail idzie z allegro nie ma spfa i dkima.
po chwili sprawdzilem i ten serwer jest w spfie. serwer ci sprawdza spfy i dkimy?
Tylko w nagłowkach maila nie ma informacji o DKIM i SPFa i to jest dziwne. On po tym sprawdza. Cos wymyślę dziś
Ja dostałem dzisiaj jeszcze ciekawszego maila, mianowicie spamik z reklamą – UPC Telewizja i internet za 1zł 🙂 i wszystko wygląda na to jakby, to faktycznie wysłało allegro z adresu powiadomienia@allegro.pl, DKIM się zgadza, w nagłówkach także jest wszystko ok. Czy allegro zajęło się wysyłaniem spamu? Czy może ma coś wspólnego z UPC obecnie? a może ktoś znalazł jakiś super sposób na omijanie reguł antyspamowych? 🙂 Poniżej zamieszczam wycinek nagłówka z tego maila:
X-Spam-Flag: NO
X-Spam-Score: 2.386
X-Spam-Level: **
X-Spam-Status: No, score=2.386 tagged_above=1 required=4.5
tests=[DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
HTML_IMAGE_ONLY_32=0.001, HTML_IMAGE_RATIO_04=0.61,
HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.105, PLING_QUERY=0.279,
SPF_PASS=-0.001, T_RP_MATCHES_RCVD=-0.01, URIBL_BLOCKED=0.001,
ZABOJCASPAMU_SUBJ_SPRAWDZ=0.4, ZABOJCASPAMU_UNSUBS=0.1]
autolearn=no autolearn_force=no
dkim=pass (1024-bit key) header.d=allegro.pl;
domainkeys=pass (1024-bit key) header.from=powiadomienia@allegro.pl
header.d=allegro.pl
Także wydaje się ok
Received: from mta-all67.info.allegro.pl (mta-all67.info.allegro.pl [5.134.208.67])
by vps201964.ovh.net (Postfix) with ESMTP id A74CE1E581
for ; Wed, 10 Feb 2016 14:50:05 +0100 (CET)
Poniżej masz stronę gdzie można sprawdzić do kogo należy to IP 5.134.208.67
db-ip.com/all/5.134.208
No i ten adres IP jest w SPFie allegro. Czyli rozsylaja spam? Niekoniecznie bo pewnei zgodne z regulaminem:)
Regulamin regulaminem ale zdziwiłem się trochę, że taka firma jak allegro może zajmować się wysyłaniem reklam, których nie zamawiali swoim klientom. Reklam obcych firm. Tak przeglądam od wczoraj internet w tej sprawie i doczytałem, że nawet jest niby możliwość to gdzieś u nich wyłączyć w panelu aby takich reklam nie wysyłali, jednak nie zmienia to faktu, że ta opcja (jeśli istnieje faktycznie) jest standardowo włączona. Allegro nie jest firmą charytatywną jak większość portali co utrzymuje się z reklam mających taki zapis w regulaminie, tylko pobiera opłaty za swoje usługi. Tym bardziej mnie dziwi ten ich krok, dzięki któremu tylko zrażają swoich użytkowników. Tak jeszcze odnośnie regulaminu, to korzystam z allegro od przeszło 10 lat i ten ich regulamin przez ten czas to mógł się i 20 razy zmienić 🙂 Nic ważne, że na 99,99% to oni jednak ten spamik rozsyłają i nie za wiele się da od strony SA w tej sprawie zrobić.