Sécurité

Bypasser les filtres anti-spam : L’homographie

Ceci est un article purement éducatif. Il n’a pour objectif que vous prévenir et vous mettre dans la capacité de reconnaitre un spam.

La technique que je vais vous dévoiler permet au spammeur de bypaser les filtres anti-spam. Les homographe sont des lettre qui ressemble fortement mais n’ont pas le même Unicode. Comme, par exemple, le « 0 » zéro et le « O » oh majuscule. Le « 1 » un, le « I » i majuscule et le « l » elle minuscule.

Bon, cette technique est assez simple, mais pour mieux la comprendre, vous devez d’abord connaitre comment fonctionnent les filtres anti-spam.

Comment marche un filtre anti-spam

Je vais fair simple et court. Pour déterminer si un message est un spam ou non, le filtre lui attribue un score en fonction du quelle il tranche si c’est du spam. Cette analyse se base sur trois points, en incrémentant le score à chaque critère de trouvé :

  1. La provenance du message : Les filtres vérifie si le message provient d’un réseau de confiance. Ceci peut être baypassé en utilisant un réseau de confiance.
  2. L’outil utiliser pour envoyer le message : Les filtres cherche des indice dans le entête du message cherchant si le message a été envoyer un outil de spam. Ceci peut être facilement être baypassé en utilisant un spammeur assez intelligent simulant un vrai et authentique outils d’envoi de message ou le fait de réellement utiliser un vrai mailer.
  3. Le contenue du message : C’est ce qui nous intéresse le plus. Ici le filtre cherche dans le contenue du message des phrases comme « CLICK HERE » ou les fameux « FREE! BUY NOW » mais aussi :
    • Si le message parle trop d’argent
    • Décrit une sorte de découverte
    • Ressemble à de la pub
    • Contient un truc super urgent
    • Garantit satisfait ou remboursé
    • Pourquoi payer plus ?

C’est la troisième partie qui est la plus intéressante. Les deux premier n’étant que des détails facilement solutionné. C’est là où vont intervenir les homographes.

Comment les spammeur bypass les filtres anti-spam

En effet, il existe des symboles en grec et en cyrillique qui ressemble à certains caractère latin mais qui n’ont pas les même Unicode, et sont donc deux caractère complètement différent pour l’ordinateur. Par exemple « CLICK HERE » en latin est détectable, mais « СLIС НЕRЕ », qui contient des caractères cyrillique ne l’est absolument pas. Je crois que maintenant vous avez saisie le truc; il suffit de changez certains caractères latin par leurs équivalent grec ou cyrillique pour que le message soit incompréhensible par le filtre mais en même temps lisible par la victime.

J’ai trouver sur internet un script nomé Homographit qui permet de simplifier cette tache en transformant la majorité des lettres latine par des cyrilliques. Il est téléchargeable par ici.

Teste d’efficacité de la technique par homographie

Pour tester l’efficacité de la téchnique par homographie, on va utiliser le site emailspamtest.com qui se base sur les règles de Spam Assassin.

On va se servir d’un mail que j’ai récemment reçu dans ma boite à spam.

Dr Salif Tendogo

Le score du message spam non homographié

From Dr Salif Tendogo
Manager Audit & Account Dept
Bank of Africa B.O.A Ouagadougou
Burkina Faso West Africa.

Dear Friend,
Greeting's to you and your entire family!
I am Dr Salif Tendogo , a banker with the above mentioned bank in Ouagadougou Burkina Faso in West Africa, holding the post of Manager Audit & Account Dept.

On December, 25, 2003, one Mr Ron Morris,an American who base in Lebanor, An Astute Business man of international repute, a contractor with ecowas country, whose endeavors spans various areas of Business interest, (Real estate, contract and Farming .etc) made a numbered time (Fixed) Deposit, valued at $25,000.000.00 (Twenty Five Million, United States Dollars) for twelve calendar months in my Bank Branch.

Upon Maturity, we sent a routine notification to his forwarding address but got no reply. After a month, we sent a reminder and finally we discovered from his company that Mr. Ron Morris was aboard the AF4590 plane, which crashed December, 25 2003.

After further investigation, it was discovered that he died without making a WILL and all attempts to trace his next of kin proved fruitless,On further investigation, it was discovered that Late Mr.Ron Morris did not declare any next of kin or relatives in all his official documents, including his Bank Deposit paper deposited here in our Bank.

The total sum of $(25,000.000.00)twenty five million united state dollars is still in my bank and the interest is being rolled over with the principal sum at the end of each year, All efforts to trace and locate his next of kin proved abortive.

In accordance with the country’s banking laws and constitution guiding this banking institution stated that after the expiration of (10) ten years, if no body or person comes for the claim as the next of kin , such money will be revert to the Burkina Faso government treasury if nobody applies as the next of Kin to claim of the fund. Consequently, It is upon this respect, I seek to present you since no one will come up for the claim.

Upon your acceptance of this proposal, I shall send to you by mail the (B.O.A) Bank "Next of Kin Payment Application Text Form" as well as detailed information on how this deal would be carried out.

The money will be shared in the ratio: 60% for me, 30% percent for you and 10% percent for any arising contingencies during the Course of this transaction. I guarantee that this will be executed under legitimate arrangement that will protect you from any breach of the law, as I will use my position in the Bank's here to perfect this business transaction & secure Approvals and guarantee the successful execution of this transaction.

Please be informed that your utmost confidentiality is required. If this interests you, I want to remind you of the confidentiality of this Transaction at hand whatever your decision is.

I await your urgent response. Your detailed reply should contain your telephone and fax numbers for easier communication for onward proceeding.

Best Regards
Dr Salif Tendogo
Manager Audit & Account Dept

Ce message reçoi le scrore de 21.2, qui est un spam selon Spam Assassin car supérieur à 5.

Si on le transforme avec homographit (je ne metterais pas le résultat ici pour ne pas avoir un article ultra long 😉 ), le score redescend à 2.5, Il n’est donc plus considéré comme étant spam.

Le score du message spam homographié

Conclusion

Maintenant que vous savez comment fonctionnent les filtre anti-spam et comment il peuvent facilement être bypass, vous pouvez jouer le rôle de filtre par vous même, du simple fait que vous ne vous ferais pas avoir par l’homographie.

Je ne peux croire combien de personnes ont consulté mon profil aujourd’hui!

Je vous l’accorde, ce titre est un peu « mensongère ». Mais je voudrais attirer votre attention sur ce genre de pratique qui circule depuis peux sur facebook.

Je lis deplus en plus ce status, encore plus menteur que le titre de cet article :

Je ne peux croire combien de personnes ont consult� mon profil d�s aujourd’hui!
Filles: 77 visites
Mecs: 62 visites
Voyez qui a vu votre profil aujourd’hui @http://******

Ou bien

WOW ! Je ne peux pas croire que j’ai passe 37 heures online ce mois-ci, et il me semble que 8912 personnes ont visite mon profil. Utilisez le bouton ci-dessous pour examiner votre profil maintenant et faites-moi connaitre votre degre de popularite @http://tiny.cc/****

Ce que je voudrais vous dire, c’est que facebook ne logue pas ce genre d’informations. Et même si c’est le cas, elle ne le partage pas. Si on y pense, facebook devrais être le premiers a nous les donner. Et le pire, c’est que les gens y croient ! Et ce n’est pas tout. Facebook est aux courant de ces « choses » et bloque les liens qutidennement. Saif que ces spammeurs sont pérsévérent. Si vous voulez savoire de quoi je parle, vistez la page de statisque du liens foursi dans ces status en ajoutant un simple symble ~ à la fin du lien comme ceci http://tiny.cc/kdkep~. Sur cette page, on constate que le liens na reçus des vistes que depuis deux jours, et ces visitent augmente de façon exponentiel. Sur ce graphe, ils sont passé de 1019 à 35878 en une journée. (y en a des pigons !)

Faux statistique facebook
Statistique de l'appliquation des faux statisques facebook

Ce genre d’applications, se base sur nos profils facebook, sur lesquels on donne généreusement toute nos informations, et construis des bases de données hyper pertinente des utilisateurs (pigons) pour ensuite les revendres sans notre accord. Ces données sont hyper pertinente car elle sont indiqué par l’utilisateur lui même et sont mise à jour de façon régulière. Voici la preuve de ce que je dis :

Demande de premission d'une application malicieuse
Demande de premission d'une application malicieuse (pour quoi l'application s'appelle Wen Fud ?)

Conclusion

Évitez de donner toute vos informations sur internet. Donnez le stricte minimum ! J’ai déjà fais cette erreur et je le regrette amerment car j’ai la certitude absolut que facebook garde nos infos même si on les supprimes. Je me fais notifier des anniverssaires de certaine personnes qui ne sont plus dans ma liste d’amis, sans parler des choses en communs avec mes amis et que j’ai supprimer ou que je n’aime plus.

On veut me pirater ?

Je vien de remarquer que quelqu’un essye de piraté mon blog en le scanant sur diffréente vulnérabilité.

Je me suis apperçu qu’il esseye d’acceder a plusieurs pages d’administration divers et variés tel que l’administration MySQL, SQLite, et autres.

Heuresement que j’ai un mot de passe bien solide et que le logiciels utilisé par le pirate est bien débile. Mais ouais, il scan un blog WordPress pour des failles relatif à des technologies non utilisé par le CMS.

J’ai fait la conclusion de cette tentative en me basant sur les logs des nombreuses pages introuvable que le pirate a essayé d’y accéder.

Tentative de piratage.
Aussi il n’y a pas très longs temps, un autre pirate (ou peut être le même puisqu’ils sont tous idiots) a réussi à généré 6000 pages vues en moins de 15 minute. Sa sert à quoi de nos jours ? Si c’est toi, pirate, qui me lit, cette technique ne marche que sur de vieux serveurs inpuissant Pentium 3 avec 2 GB de RAM. Si tu veut que sa marche tu doit généré, … euh combien déjà …, 1 million de VISITES en comment dirais-je … euuh, 3 secondes ?

Sécuriser son compte facebook.

Plusieurs sont ceux qui se font voler leurs comptes facebook avec différente manières. La méthode la plus connue est le phishing.

En gros, cette dernière méthode consiste à envoyer à la victime une fausse page de connexion facebook. La victime doit alors enter ses identifiants sur cette fausse page qui se charge de les récupérer et redirige la victime vers un autre contenu.

Facebook a donc pensé à nous et a mis au point un système de sécurité, que je trouve assez bien fait. Ce système consiste à vous envoyer un SMS sur votre mobile contenant un code de vérification, s’il s’agit d’une connexion à partir d’une machine ne figurant pas dans votre liste de machines reconnues. Ce code est alors nécessaire en plus du mot de passe pour pouvoir se connecter sur le compte. Une sécurité bien accrue.

Ce qui est bien avec ce système c’est que même si quelqu’un connait votre mot de passe, il ne pourra se connecter sur votre compte, car il ne dispose pas du code de vérification envoyé par SMS sur votre mobile.

Pré-requis

Vous devez avoir un mobile lié a votre compte.

Pour moi, j’ai simplement envoyé ‘F’ au 600, puis j’ai rentré le code reçu dans « Paramètre de compte » onglet « Mobile ».

Association mobile facebookVous trouverez des informations supplémentaires pour lier votre mobile dans cette même section si ce que j’ai dit plus haut ne marche pas.

Activé la sécurité

Pour activer cette sécurité, rendez-vous dans les paramètres de compte. Allez ensuite dans l’onglet sécurité et cliquez sur « Approbation de connexion ». Cochez la case et enregistrez les modifications et le tour est joué.

J’en profite aussi pour vous conseiller de vous faire notifier par e-mail à chaque connexion. On ne sait jamais, un portable déchargé au mauvais moment. Activez aussi la navigation sécurisé. Elle vous permettra d’éviter firesheep et ses frères (Un outil qui scanne un réseau local et fait des choses pas trop bien avec votre compte) Ces deux options sont juste en haut de l’entrée de l’approbation. Ce sont les deux premiers paramètres comme sur la figure suivante.

Activation sécurité facebook

Vous pouvez gérer la liste des appareils reconnus (bah oui, les téléphones, tablettes et enfin les ordinateurs qui peuvent se connecter sur votre compte sans vérification). C’est très utile si vous aviez eu confiance en une mauvaise personne.

Appareils reconnus facebook

Mis à jour du 09/09/2011 :

Si vous n’arrivez pas a supprimer un appareil, il est fort probable que se soit Internet explorer la source du probleme. Esseyez donc avec Google Chrome, Firefox, Opera ou Safari.

Et voilà, votre compte est hautement sécurisé. Vous n’avez plus de raisons pour venir pleurnicher pour un compte volé. Car même en possession de votre mot de passe, le pirate, ou hacker ne peut utiliser votre compte.

Partagez cet article avec vos amis pour qu’ils soient eux aussi à l’abri. Ils vous seront très reconnaissant et moi aussi d’ailleurs.

Je suis ouvert a toute vos questions et observations.

Attention aux tutoriels de piratage facebook ou autres !

Suivre la méthode décrite dans la vidéo est complètement débile.

J’ai écrit cet article par ce que mon coloc’ m’a montré cette vidéo, un peu pour frimer et parce que je n’ai pas été capable de pirater un compte facebook.

Si vous lui prêtez un peu d’attention, la vidéo, toutes les commandes qui ont été utilisées ne fonctionnent pas et n’existes pas. Leurs résultats sont de simples messages d’erreurs tel que :

« facebook.exe n’est pas reconnu en tant que programme interne »

Puis il utilise une certaine commande très bavarde pour vous faire croire qu’il se passe des choses et que ça marche. Cette commande netstat ne fait qu’afficher des informations sur les connexions ouvertes et/ou actives de votre ordinateur.

Puis quand il trouve le mot de passe, c’est assez facile, il le connait déjà et l’a déjà enregistré dans une page html hébergé sur son espace gratuit.

La vidéo qui suit vous « explique » comment pirater (hacker) un compte facebook avec des exemples est une méthode bizarre. Je le répète, suivre ce tutoriel bidon n’est pas risqué mais idiot. Ce qui est dangereux par contre, c’est de télécharger le fichier dans la description de la vidéo dans youtube.

Même le titre de la vidéo pousse à réfléchir. Comment est-ce que l’on peu pirater facebook, msn, skyblog et tout cela avec une seule méthode et qui en plus ne décrit que comment pirater facebook ?

A ne surtout pas faire !

Ce qu’il ne faut absolument pas faire lorsque vous avez affaire à des sites de piratage, hack, warez ou autres, c’est de télécharger des fichiers .exe.

En général, c’est fichiers sont dangereux pour votre ordinateur, vos données ainsi que votre vie privé. Même si les logiciels que vous téléchargez ont l’air de bien marcher, ils ont 90% de chances d’être infectés. Il y a une multitude de méthodes et de petits outils pour « inséré » des virus ou logiciels espion dans un autre logiciel honnête.

Conclusion

Il faut se méfier de toutes ces vidéos et tous ces tutoriels ou toute autre chose vous expliquant comment trouver des mots de passe ou de pirater facebook et msn. La plupart du temps il vous arnaquent, vous font envoyer votre mot de passe par des formulaires, vous font télécharger des virus, adware (logiciels malveillants pour faire de la pub) ou autres /joyeusetés.

Voici un autre exemple mais plutôt ironique en réponse à une personne qui a demandé sur un forum comment pirater msn et skyblog:

slt tt le mOnde je veux piraté les msn et les blOg ben aidé mOi a faire sa
s’il vous plait ???????????????
merci d’avance bizoux

Et la réponse :

La première chose à faire, si tu veux pirater msn ou quoi que ce soit d’autre, c’est de préparer ton ordinateur et ton esprit.

Allume l’ordinateur, mais sans allumer l’écran. Attends qu’il bipe, puis tape, le tout en moins de 41 secondes : « rpiaoezjfs;jp^dqsifiàçzeflkjjdmlfkjdsqmlkfjk)=mlkjcdicmldkc)à ».

A partir de ce moment-là, tu peux allumer l’écran et tu as devant toi ce que l’on appelle l’I.D.I.O.T. (Interface Dynamique d’Interpiratage d’Ordinateur Total).

Cette interface va te permettre de pirater tout ce que tu veux.

Décroche ton téléphone et, comme s’il s’agissait d’un combiné de téléphone mobile, tape l’adresse msn ou l’adresse du blog que tu veux pirater. Attends la 48è tonalité et raccroche. Ton ordinateur devrait maintenant afficher quelque chose qui ressemble à une tête de mort et te demander un mot de passe. Il faut alors taper le nom du blog ou l’adresse msn à l’envers et avec un seul doigt. Ceci te permettra d’accéder à la racine du fichier .feoz qui contient tous les mots de passe des blogs et adresses msn de France. Attention ! Ce fichier est crypté en Russe, il faut donc aller sur un site de traduction pour le récupérer en français.

Cette technique est presqu’infaillible, mais si jamais cela ne fonctionnait pas, c’est que ton ordinateur n’est pas patché. Dans ce cas, une seule solution : aller à la pharmacie et demander une boite de dragées Fuca. Il faut mettre 24 dragées dans le lecteur DVD-Rom de ton ordinateur pour pouvoir le patcher. Si il en reste dans la boîte, tu peux les prendre, cela aide la digestion.

En tout cas, merci d’avoir demandé de l’aide, c’est toujours un (réel !) plaisir de pouvoir expliquer à des petits jeunes comment pirater msn et les blog.

Source de la réponce: http://blog.karouach.com/

Protéger votre compte facebook