150 likes | 293 Views
Phishing og spam. Phishing og spam. «Phishing»-forsøk mot DnB kunne vi lese 27.09.2005. Kunder fikk en e-post på norsk. Den kom tilsynelatende fra DnB og der kunder ble bedt om å gi kontoopplysninger.
E N D
Phishing og spam «Phishing»-forsøk mot DnB • kunne vi lese 27.09.2005. Kunder fikk en e-post på norsk. Den kom tilsynelatende fra DnB og der kunder ble bedt om å gi kontoopplysninger. • I februar 2004 prøve noen å lure mottakere av e-post til å klikke på en lenke. Denne lenken ledet til et falskt nettsted som på en prikk lignet DnB eller andre nettbanker. • Nigeriabrev som ber om hjelp og eller lokker med gevinst er en pest og en plage for de fleste.
Grunnleggende om e-post • E-post er bygd opp slik at den inneholder spesielle felt som muliggjør korrekt kommunikasjon og at e-posten kommer til rette person. • Selve konstruksjonen av e-post og e-postservere gjør dette til et utrolig enkelt og smidig kommunikasjonssystem. • E-postprotokollen har headers som viser hvem som har laget den, hvem som er mottaker og veien den går.
Phishing og spam • Etter at vi har sendt vår e-post, går den til mailserver som leser informasjonen i headeren og vil legge til en del ny info om seg selv. • Hver gang et system rerouter en e-post, vil det bli lagt til ekstra info i header. Legg merke til at bestemmelsesstedet er først i headeren, mens bunnen på headeren er utgangspunktet.
Phishing og spam • SMTP er ikke laget med tanke på sikkerhet. • E-post er enkelt å forfalske og kan lett bli sendt gjennom SMTP. • Også phishing kan defineres som spam og de har tatt i bruk samme metodene for å lure oss ved å sende oss e-post vi egentlig ikke ønsker. • Mesteparten av spam vi mottar er sendt anonymt eller med en faket avsenderadresse • På denne måten unngår spammere i høy grad å bli møtt med negative reaksjoner fra oss mottakere.
Phishing og spam Phishers forsøker å lure oss av en annen grunn: • De forsøker å svindle oss og de bruker forfalskninger for å lure oss slik at det ser ut som en e-post fra banken, slik som eksemplet med xx@dnb.no.com. • Men ikke alle headere kan bli forfalsket, så derfor kan vi fortsatt finne den opprinnelige IP-adressen til senderen. • De som driver med phishing sender ikke hjemmefra eller fra sitt kontor, men ofte fra utdanningsinstitusjoner.
Phishing og spam Det som kan bli endret på i headere er: • Subject, Date, Message-ID • Mottakere: From, To, CC • Innholdet i body • Enhver header slik som X-Mailer and X-Message-Info • Den opprinnelige Received headers Det som IKKE kan bli endret på i headere er: • Den siste Received header • IP-addresse
Phishing og spam • Under ser vi deler av en header fra en phishing e-post som ble sendt til kunder av Citibank: • Received: from 157.red-80-35-106.pooles.rima-tde.net • Ved å kjøre 80.35.106.157 på www.whois.org ser vi at adressen var fra Estland – et land som brukes mye ved phishing og andre angrep. • Hvis man hadde sendt mailbombing eller mange mail til gitte addresser slik som i eksemplet over, ville en slik e-post lett blitt oppdaget at den var en fake og den som gjorde det ville bli et lett angrepsmål for oss seriøse.
Phishing og spam • En måte å skjule IP-adresser er å bruke åpne relay-servere og/eller kombinere dette med proxy servere. • En server som godtar åpen relaying vil godta mail som ikke er fra autoriserte brukere. • Dette skyldes normalt en feilkonfigurering og man kan finne disse i store og små organisasjoner.
Phishing og spam • De som misbruker slike servere kan operere med flere åpne relay samtidig. • Desto mer spam som sendes, desto lettere og raskere vil serveren komme på svarteliste. • Eks: www.email-policy.com/Spam-black-lists.htm
Phishing og spam • Den anonyme måten er å lete etter åpne proxy servere og som er tilgjengelig på Internett. • Disse kan sammenlignes med åpne relay-server, men er ikke spesifikt beregnet på e-post. • Man kan lett finne disse ved å gå inn på http://www.stayinvisible.com/index.pl/proxy_list • Der finnes flere programmer som kan brukes for å lokalisere proxy servere
Phishing og spam • Det er lett å finne åpne trådløse nett og bruke disse for å sende ut mailbomber eller store mailmengder til gitte adresser. • Med gode antenner og sterke signaler kan man sitte hjemme og sende ut slik e-poster. • Ved å bruke de verktøyer som er tilgjengelige i dag er det ikke vanskelig å knekke enkle wep-koder. • Det tar ca 5 sekunder med litt trafikk å knekke en 64 bits kode på et wepkryptert trådløst nett.
Skaffe seg e-postadresser til spamming og til phishing • Dette er det letteste. • Man kan gå på websider og lete etter e-postadresser. • Eller enda lettere – man kan gå på markedet og kjøpe e-postadresser. Se http://www.massmailsoftware.com/ - her kan man få tak i det man ønsker av addresser eller software. • Eller gå på Google og søke etter bulk email marketing software. • To kjente og populære bulk mailer-program er Send-Safe og Dark-Mailer. • Man mistenker han som laget Send-Safe (Ruslan Ibragimov) som han som laget Sobig-viruset.
Phishing og spam • Men alt kommer ned på et nivå om et lek med tall • Siden de fleste spam-filtere stopper 95 – 99 % av all spam vil det føre til at antall spam på en uke går ned fra la oss si 20 til en. • Og det er tross alt stor hjelp. • Men spamfiltere stopper ikke all spam, de hjelper oss å klassifisere e-post etter gitte regler.