Spam a colori

Diversi miei conoscenti, in numero basso ma comunque preoccupante, mi hanno contattato, pressoché nella stessa giornata, chiedendomi lumi su dei messaggi di posta elettronica che sospettavano essere phishing, ma che erano passati liberi e belli attraverso i filtri anti-spam. Tagliando corto, adesso bisogna fare anche l’analisi cromatica… Leggi tutto “Spam a colori”

Spam nell’oggetto

SPAM nell'oggettoOgni tanto gli spammer riescono ancora a stupirmi.

Ieri sera ho ricevuto una mail di spam riprodotta a lato il cui messaggio di spam era tutto nell’oggetto.

Analizzando gli header, risulta che la mail è partita effettivamente da un account di Yahoo! giapponese, la cui validità è verificata anche dal DKIM, con buona pace di chi si illude che questa tecnologia possa servire ad evitare lo SPAM.

Il malfattore ha utilizzato l’IP 41.207.194.14 della Costa D’Avorio per collegarsi al webmail di Yahoo! e inviare la mail.

Se il sistema di filtro della posta elettronica lo permette e questo tipo di protezione non è già attiva, si potrebbe limitare la lunghezza dell’oggetto delle mail ad una dimensione ragionevole. Per la cronaca, la dimensione totale dell’header Subject della mail qui riprodotta è di 3501 byte.

Non avete ricevuto alcun MMS

Albero addobbatoSi avvicina il Natale, che porta con sé innumerevoli messaggi di posta elettronica inutili con allegate immagini oppure programmi che installano malware.

L’ultima notizia riguarda un messaggio di posta elettronica che sembra provenire da Vodafone U.K. che contiene l’avviso del presunto recapito di un messaggio MMS.

Come è successo in altri casi, è facile supporre che, se questo scherzetto avrà seguito oltre Manica, potrebbero diffondersi alternative in altre lingue o con altri operatori telefonici.

Al solito, se non avete delle SIM del presunto operatore telefonico che vi starebbe scrivendo, è difficile che abbiate ricevuto un MMS; inoltre diffidate sempre di mail sgrammaticate o con errori grossolani. (via Naked Security)

Listino prezzi russo

Minuetto MD11Trend Micro ha pubblicato un’analisi dell’attività criminale russa legata al malware, spam e assimilati.

La creazione di malware o l’hacking di siti o email è passata da qualcosa di goliardico ad una vera e propria attività legata alla criminalità organizzata.

Alcuni siti russi, citati nella pubblicazione, mettono a disposizione una serie di servizi illegali a fronte del pagamento di un corrispettivo.

Ovviamente l’acquisto di questi servizi è illegale tanto quanto la fornitura dei medesimi; il listino prezzi dà però un’idea di quanto possa costare ad un attaccante una determinata attività illegale.

Leggi tutto “Listino prezzi russo”

Quando gli spammer strappano un sorriso

Ogni tanto qualche mail di spam riesce a penetrare le difese e ogni tanto butto un occhio alle mail di spam per ragioni professionali.

Questa settimana una mail di spam mi ha divertito, ve la riporto in formato testuale non formattato:

From: "Welcome to Western Union®"
Subject: SPAM VICTIMS COMPENSATION NOTICE !

Welcome to Western Union®
Send Money Worldwide
www.westernunion.com

Attention: E-mail Address Owner

The International Monetary Fund (IMF) is compensating all the spam victims and your email address was found in the spam victim's list. This Western Union® office has been mandated by the IMF to transfer your compensation to you via Western Union® Money Transfer.

However, we have concluded to affect your own payment through Western Union® Money Transfer, $5,000 twice daily until the total sum of $200,000.00USD is completely transferred to you.

We can not be able to send the payment with your email address alone, thereby we need your information as to where we will be sending the funds, such as;

Seguono le richieste dei dati la firma e altri yadda yadda.

Postfix: snellire la coda

Chi gestisce degli MTA ha ben presente il problema dello spam.

Tra gli effetti collaterali di questo fenomeno ci sono elle code di mail che si riempiono di messaggi inutili. Questo avviene secondo uno scenario tipico: lo spammer invia un messaggio con un mittente farlocco ad un utente che non esiste; il nostro MTA genera diligentemente un NDR e tenta di recapitarlo al presunto mittente del messaggio, ma l’MTA di destinazione rifiuta la connessione, non è raggiungibile o il recapito dà un errore temporaneo (4xx). Risultato: rimangono in coda per dei giorni dei messaggi di nessuna utilità che non fanno altro che sprecare (pochissima) banda e falsare un dato che potrebbe essere utile come sintomo di problemi (il numero dei messaggi non recapitati in coda).

Questo è un tipico esempio dello scenario descritto sopra:

$ mailq
----Queue ID----- --Size-- ---Arrival Time---- --Sender/Recipient------
3Vgspm0WfDz30Dy       3152 Mon Apr 30 06:14:56 MAILER-DAEMON
   (connect to h1784190.stratoserver.net[85.214.66.15]:25: Connection refused)
                                               root@h1784190.stratoserver.net

Si tratta, quindi, di togliere di mezzo i messaggi in coda provenienti da MAILER-DAEMON, a questo scopo basta eseguire questo comando:

mailq | grep MAILER-DAEMON | awk '{print substr($1,1,16)}' | postsuper -d -

La dimensione dell’ID è quella di Postfix >= 2.9 con enable_long_queue_ids abilitato. Viene considerato un carattere in più per fare in modo di non cancellare messaggi attivi (‘*’ dopo l’ID) o in hold (‘!’ dopo l’ID).

TLD non ASCII utilizzati dagli spammer

Alptransit: infocentro di PollegioSpammer e assimilati devono inventarsi ogni tipo di trucco per fare in modo che il social engineering funzioni nei confronti delle loro vittime.

Tra i trucchi utilizzati di recente c’è lo sfruttamento dei nomi a dominio che fanno riferimento a dei ccTLD non ASCII.

Una ricerca mirata su Google permette di vedere alcuni esempi dello sfruttamento di questa tecnica, in questo caso con il ccTLD non ASCII dello Sri Lanka .இலங்கை scritto in singalese tamil.

L’utilizzo di questo tipo di ccTLD potrebbe mettere in crisi alcuni filtri di posta elettronica o accesso al web se questi non sono opportunamente aggiornati o il loro funzionamento con questo tipo di TLD non è stato verificato opportunamente.

In questo quadro si inserisce la prossima approvazione dei gTLD, che non farà altro che complicare la vita a chi utilizza software non aggiornato o con delle regex di validazione limitate o antiquate. (via Mikko Hypponen)