Ceci est un article purement éducatif. Il n’a pour objectif que vous prévenir et vous mettre dans la capacité de reconnaitre un spam.
La technique que je vais vous dévoiler permet au spammeur de bypaser les filtres anti-spam. Les homographe sont des lettre qui ressemble fortement mais n’ont pas le même Unicode. Comme, par exemple, le « 0 » zéro et le « O » oh majuscule. Le « 1 » un, le « I » i majuscule et le « l » elle minuscule.
Bon, cette technique est assez simple, mais pour mieux la comprendre, vous devez d’abord connaitre comment fonctionnent les filtres anti-spam.
Comment marche un filtre anti-spam
Je vais fair simple et court. Pour déterminer si un message est un spam ou non, le filtre lui attribue un score en fonction du quelle il tranche si c’est du spam. Cette analyse se base sur trois points, en incrémentant le score à chaque critère de trouvé :
- La provenance du message : Les filtres vérifie si le message provient d’un réseau de confiance. Ceci peut être baypassé en utilisant un réseau de confiance.
- L’outil utiliser pour envoyer le message : Les filtres cherche des indice dans le entête du message cherchant si le message a été envoyer un outil de spam. Ceci peut être facilement être baypassé en utilisant un spammeur assez intelligent simulant un vrai et authentique outils d’envoi de message ou le fait de réellement utiliser un vrai mailer.
- Le contenue du message : C’est ce qui nous intéresse le plus. Ici le filtre cherche dans le contenue du message des phrases comme « CLICK HERE » ou les fameux « FREE! BUY NOW » mais aussi :
- Si le message parle trop d’argent
- Décrit une sorte de découverte
- Ressemble à de la pub
- Contient un truc super urgent
- Garantit satisfait ou remboursé
- Pourquoi payer plus ?
C’est la troisième partie qui est la plus intéressante. Les deux premier n’étant que des détails facilement solutionné. C’est là où vont intervenir les homographes.
Comment les spammeur bypass les filtres anti-spam
En effet, il existe des symboles en grec et en cyrillique qui ressemble à certains caractère latin mais qui n’ont pas les même Unicode, et sont donc deux caractère complètement différent pour l’ordinateur. Par exemple « CLICK HERE » en latin est détectable, mais « СLIС НЕRЕ », qui contient des caractères cyrillique ne l’est absolument pas. Je crois que maintenant vous avez saisie le truc; il suffit de changez certains caractères latin par leurs équivalent grec ou cyrillique pour que le message soit incompréhensible par le filtre mais en même temps lisible par la victime.
J’ai trouver sur internet un script nomé Homographit qui permet de simplifier cette tache en transformant la majorité des lettres latine par des cyrilliques. Il est téléchargeable par ici.
Teste d’efficacité de la technique par homographie
Pour tester l’efficacité de la téchnique par homographie, on va utiliser le site emailspamtest.com qui se base sur les règles de Spam Assassin.
On va se servir d’un mail que j’ai récemment reçu dans ma boite à spam.
Dr Salif Tendogo
From Dr Salif Tendogo Manager Audit & Account Dept Bank of Africa B.O.A Ouagadougou Burkina Faso West Africa. Dear Friend, Greeting's to you and your entire family! I am Dr Salif Tendogo , a banker with the above mentioned bank in Ouagadougou Burkina Faso in West Africa, holding the post of Manager Audit & Account Dept. On December, 25, 2003, one Mr Ron Morris,an American who base in Lebanor, An Astute Business man of international repute, a contractor with ecowas country, whose endeavors spans various areas of Business interest, (Real estate, contract and Farming .etc) made a numbered time (Fixed) Deposit, valued at $25,000.000.00 (Twenty Five Million, United States Dollars) for twelve calendar months in my Bank Branch. Upon Maturity, we sent a routine notification to his forwarding address but got no reply. After a month, we sent a reminder and finally we discovered from his company that Mr. Ron Morris was aboard the AF4590 plane, which crashed December, 25 2003. After further investigation, it was discovered that he died without making a WILL and all attempts to trace his next of kin proved fruitless,On further investigation, it was discovered that Late Mr.Ron Morris did not declare any next of kin or relatives in all his official documents, including his Bank Deposit paper deposited here in our Bank. The total sum of $(25,000.000.00)twenty five million united state dollars is still in my bank and the interest is being rolled over with the principal sum at the end of each year, All efforts to trace and locate his next of kin proved abortive. In accordance with the country’s banking laws and constitution guiding this banking institution stated that after the expiration of (10) ten years, if no body or person comes for the claim as the next of kin , such money will be revert to the Burkina Faso government treasury if nobody applies as the next of Kin to claim of the fund. Consequently, It is upon this respect, I seek to present you since no one will come up for the claim. Upon your acceptance of this proposal, I shall send to you by mail the (B.O.A) Bank "Next of Kin Payment Application Text Form" as well as detailed information on how this deal would be carried out. The money will be shared in the ratio: 60% for me, 30% percent for you and 10% percent for any arising contingencies during the Course of this transaction. I guarantee that this will be executed under legitimate arrangement that will protect you from any breach of the law, as I will use my position in the Bank's here to perfect this business transaction & secure Approvals and guarantee the successful execution of this transaction. Please be informed that your utmost confidentiality is required. If this interests you, I want to remind you of the confidentiality of this Transaction at hand whatever your decision is. I await your urgent response. Your detailed reply should contain your telephone and fax numbers for easier communication for onward proceeding. Best Regards Dr Salif Tendogo Manager Audit & Account Dept
Ce message reçoi le scrore de 21.2, qui est un spam selon Spam Assassin car supérieur à 5.
Si on le transforme avec homographit (je ne metterais pas le résultat ici pour ne pas avoir un article ultra long 😉 ), le score redescend à 2.5, Il n’est donc plus considéré comme étant spam.
Conclusion
Maintenant que vous savez comment fonctionnent les filtre anti-spam et comment il peuvent facilement être bypass, vous pouvez jouer le rôle de filtre par vous même, du simple fait que vous ne vous ferais pas avoir par l’homographie.