sécurité

Bypasser les filtres anti-spam : L’homographie

Ceci est un article purement éducatif. Il n’a pour objectif que vous prévenir et vous mettre dans la capacité de reconnaitre un spam.

La technique que je vais vous dévoiler permet au spammeur de bypaser les filtres anti-spam. Les homographe sont des lettre qui ressemble fortement mais n’ont pas le même Unicode. Comme, par exemple, le « 0 » zéro et le « O » oh majuscule. Le « 1 » un, le « I » i majuscule et le « l » elle minuscule.

Bon, cette technique est assez simple, mais pour mieux la comprendre, vous devez d’abord connaitre comment fonctionnent les filtres anti-spam.

Comment marche un filtre anti-spam

Je vais fair simple et court. Pour déterminer si un message est un spam ou non, le filtre lui attribue un score en fonction du quelle il tranche si c’est du spam. Cette analyse se base sur trois points, en incrémentant le score à chaque critère de trouvé :

  1. La provenance du message : Les filtres vérifie si le message provient d’un réseau de confiance. Ceci peut être baypassé en utilisant un réseau de confiance.
  2. L’outil utiliser pour envoyer le message : Les filtres cherche des indice dans le entête du message cherchant si le message a été envoyer un outil de spam. Ceci peut être facilement être baypassé en utilisant un spammeur assez intelligent simulant un vrai et authentique outils d’envoi de message ou le fait de réellement utiliser un vrai mailer.
  3. Le contenue du message : C’est ce qui nous intéresse le plus. Ici le filtre cherche dans le contenue du message des phrases comme « CLICK HERE » ou les fameux « FREE! BUY NOW » mais aussi :
    • Si le message parle trop d’argent
    • Décrit une sorte de découverte
    • Ressemble à de la pub
    • Contient un truc super urgent
    • Garantit satisfait ou remboursé
    • Pourquoi payer plus ?

C’est la troisième partie qui est la plus intéressante. Les deux premier n’étant que des détails facilement solutionné. C’est là où vont intervenir les homographes.

Comment les spammeur bypass les filtres anti-spam

En effet, il existe des symboles en grec et en cyrillique qui ressemble à certains caractère latin mais qui n’ont pas les même Unicode, et sont donc deux caractère complètement différent pour l’ordinateur. Par exemple « CLICK HERE » en latin est détectable, mais « СLIС НЕRЕ », qui contient des caractères cyrillique ne l’est absolument pas. Je crois que maintenant vous avez saisie le truc; il suffit de changez certains caractères latin par leurs équivalent grec ou cyrillique pour que le message soit incompréhensible par le filtre mais en même temps lisible par la victime.

J’ai trouver sur internet un script nomé Homographit qui permet de simplifier cette tache en transformant la majorité des lettres latine par des cyrilliques. Il est téléchargeable par ici.

Teste d’efficacité de la technique par homographie

Pour tester l’efficacité de la téchnique par homographie, on va utiliser le site emailspamtest.com qui se base sur les règles de Spam Assassin.

On va se servir d’un mail que j’ai récemment reçu dans ma boite à spam.

Dr Salif Tendogo

Le score du message spam non homographié

From Dr Salif Tendogo
Manager Audit & Account Dept
Bank of Africa B.O.A Ouagadougou
Burkina Faso West Africa.

Dear Friend,
Greeting's to you and your entire family!
I am Dr Salif Tendogo , a banker with the above mentioned bank in Ouagadougou Burkina Faso in West Africa, holding the post of Manager Audit & Account Dept.

On December, 25, 2003, one Mr Ron Morris,an American who base in Lebanor, An Astute Business man of international repute, a contractor with ecowas country, whose endeavors spans various areas of Business interest, (Real estate, contract and Farming .etc) made a numbered time (Fixed) Deposit, valued at $25,000.000.00 (Twenty Five Million, United States Dollars) for twelve calendar months in my Bank Branch.

Upon Maturity, we sent a routine notification to his forwarding address but got no reply. After a month, we sent a reminder and finally we discovered from his company that Mr. Ron Morris was aboard the AF4590 plane, which crashed December, 25 2003.

After further investigation, it was discovered that he died without making a WILL and all attempts to trace his next of kin proved fruitless,On further investigation, it was discovered that Late Mr.Ron Morris did not declare any next of kin or relatives in all his official documents, including his Bank Deposit paper deposited here in our Bank.

The total sum of $(25,000.000.00)twenty five million united state dollars is still in my bank and the interest is being rolled over with the principal sum at the end of each year, All efforts to trace and locate his next of kin proved abortive.

In accordance with the country’s banking laws and constitution guiding this banking institution stated that after the expiration of (10) ten years, if no body or person comes for the claim as the next of kin , such money will be revert to the Burkina Faso government treasury if nobody applies as the next of Kin to claim of the fund. Consequently, It is upon this respect, I seek to present you since no one will come up for the claim.

Upon your acceptance of this proposal, I shall send to you by mail the (B.O.A) Bank "Next of Kin Payment Application Text Form" as well as detailed information on how this deal would be carried out.

The money will be shared in the ratio: 60% for me, 30% percent for you and 10% percent for any arising contingencies during the Course of this transaction. I guarantee that this will be executed under legitimate arrangement that will protect you from any breach of the law, as I will use my position in the Bank's here to perfect this business transaction & secure Approvals and guarantee the successful execution of this transaction.

Please be informed that your utmost confidentiality is required. If this interests you, I want to remind you of the confidentiality of this Transaction at hand whatever your decision is.

I await your urgent response. Your detailed reply should contain your telephone and fax numbers for easier communication for onward proceeding.

Best Regards
Dr Salif Tendogo
Manager Audit & Account Dept

Ce message reçoi le scrore de 21.2, qui est un spam selon Spam Assassin car supérieur à 5.

Si on le transforme avec homographit (je ne metterais pas le résultat ici pour ne pas avoir un article ultra long 😉 ), le score redescend à 2.5, Il n’est donc plus considéré comme étant spam.

Le score du message spam homographié

Conclusion

Maintenant que vous savez comment fonctionnent les filtre anti-spam et comment il peuvent facilement être bypass, vous pouvez jouer le rôle de filtre par vous même, du simple fait que vous ne vous ferais pas avoir par l’homographie.

On veut me pirater ?

Je vien de remarquer que quelqu’un essye de piraté mon blog en le scanant sur diffréente vulnérabilité.

Je me suis apperçu qu’il esseye d’acceder a plusieurs pages d’administration divers et variés tel que l’administration MySQL, SQLite, et autres.

Heuresement que j’ai un mot de passe bien solide et que le logiciels utilisé par le pirate est bien débile. Mais ouais, il scan un blog WordPress pour des failles relatif à des technologies non utilisé par le CMS.

J’ai fait la conclusion de cette tentative en me basant sur les logs des nombreuses pages introuvable que le pirate a essayé d’y accéder.

Tentative de piratage.
Aussi il n’y a pas très longs temps, un autre pirate (ou peut être le même puisqu’ils sont tous idiots) a réussi à généré 6000 pages vues en moins de 15 minute. Sa sert à quoi de nos jours ? Si c’est toi, pirate, qui me lit, cette technique ne marche que sur de vieux serveurs inpuissant Pentium 3 avec 2 GB de RAM. Si tu veut que sa marche tu doit généré, … euh combien déjà …, 1 million de VISITES en comment dirais-je … euuh, 3 secondes ?

Attention aux tutoriels de piratage facebook ou autres !

Suivre la méthode décrite dans la vidéo est complètement débile.

J’ai écrit cet article par ce que mon coloc’ m’a montré cette vidéo, un peu pour frimer et parce que je n’ai pas été capable de pirater un compte facebook.

Si vous lui prêtez un peu d’attention, la vidéo, toutes les commandes qui ont été utilisées ne fonctionnent pas et n’existes pas. Leurs résultats sont de simples messages d’erreurs tel que :

« facebook.exe n’est pas reconnu en tant que programme interne »

Puis il utilise une certaine commande très bavarde pour vous faire croire qu’il se passe des choses et que ça marche. Cette commande netstat ne fait qu’afficher des informations sur les connexions ouvertes et/ou actives de votre ordinateur.

Puis quand il trouve le mot de passe, c’est assez facile, il le connait déjà et l’a déjà enregistré dans une page html hébergé sur son espace gratuit.

La vidéo qui suit vous « explique » comment pirater (hacker) un compte facebook avec des exemples est une méthode bizarre. Je le répète, suivre ce tutoriel bidon n’est pas risqué mais idiot. Ce qui est dangereux par contre, c’est de télécharger le fichier dans la description de la vidéo dans youtube.

Même le titre de la vidéo pousse à réfléchir. Comment est-ce que l’on peu pirater facebook, msn, skyblog et tout cela avec une seule méthode et qui en plus ne décrit que comment pirater facebook ?

A ne surtout pas faire !

Ce qu’il ne faut absolument pas faire lorsque vous avez affaire à des sites de piratage, hack, warez ou autres, c’est de télécharger des fichiers .exe.

En général, c’est fichiers sont dangereux pour votre ordinateur, vos données ainsi que votre vie privé. Même si les logiciels que vous téléchargez ont l’air de bien marcher, ils ont 90% de chances d’être infectés. Il y a une multitude de méthodes et de petits outils pour « inséré » des virus ou logiciels espion dans un autre logiciel honnête.

Conclusion

Il faut se méfier de toutes ces vidéos et tous ces tutoriels ou toute autre chose vous expliquant comment trouver des mots de passe ou de pirater facebook et msn. La plupart du temps il vous arnaquent, vous font envoyer votre mot de passe par des formulaires, vous font télécharger des virus, adware (logiciels malveillants pour faire de la pub) ou autres /joyeusetés.

Voici un autre exemple mais plutôt ironique en réponse à une personne qui a demandé sur un forum comment pirater msn et skyblog:

slt tt le mOnde je veux piraté les msn et les blOg ben aidé mOi a faire sa
s’il vous plait ???????????????
merci d’avance bizoux

Et la réponse :

La première chose à faire, si tu veux pirater msn ou quoi que ce soit d’autre, c’est de préparer ton ordinateur et ton esprit.

Allume l’ordinateur, mais sans allumer l’écran. Attends qu’il bipe, puis tape, le tout en moins de 41 secondes : « rpiaoezjfs;jp^dqsifiàçzeflkjjdmlfkjdsqmlkfjk)=mlkjcdicmldkc)à ».

A partir de ce moment-là, tu peux allumer l’écran et tu as devant toi ce que l’on appelle l’I.D.I.O.T. (Interface Dynamique d’Interpiratage d’Ordinateur Total).

Cette interface va te permettre de pirater tout ce que tu veux.

Décroche ton téléphone et, comme s’il s’agissait d’un combiné de téléphone mobile, tape l’adresse msn ou l’adresse du blog que tu veux pirater. Attends la 48è tonalité et raccroche. Ton ordinateur devrait maintenant afficher quelque chose qui ressemble à une tête de mort et te demander un mot de passe. Il faut alors taper le nom du blog ou l’adresse msn à l’envers et avec un seul doigt. Ceci te permettra d’accéder à la racine du fichier .feoz qui contient tous les mots de passe des blogs et adresses msn de France. Attention ! Ce fichier est crypté en Russe, il faut donc aller sur un site de traduction pour le récupérer en français.

Cette technique est presqu’infaillible, mais si jamais cela ne fonctionnait pas, c’est que ton ordinateur n’est pas patché. Dans ce cas, une seule solution : aller à la pharmacie et demander une boite de dragées Fuca. Il faut mettre 24 dragées dans le lecteur DVD-Rom de ton ordinateur pour pouvoir le patcher. Si il en reste dans la boîte, tu peux les prendre, cela aide la digestion.

En tout cas, merci d’avoir demandé de l’aide, c’est toujours un (réel !) plaisir de pouvoir expliquer à des petits jeunes comment pirater msn et les blog.

Source de la réponce: http://blog.karouach.com/

Protéger votre compte facebook