Blogspam -> phishing

Discussion:

(for gammel til at besvare)

r***@gmail.com

2014-10-21 02:08:44 UTC

I forbindelse med analyse af et forholdsvist nyt botnetværk, kom jeg over
følgende adresse fra en spampost:
http://www DOT 2014PandaSeo DOT com

som lokker med SEO optimering for webmasters.

Sådan, ud af nysgerrighed, tog jeg den i rebot.org. Her er den blokeret i
robots.txt, men lavede en redirect til

http:// campowong DOT amcode DOT cpa DOT clicksure DOT com/?s1=panda

Nysgerrighed gjorde, jeg tog den i netrenderer.de, ligner godt nok en phishinhg
site ud over alle grænser - for hulen den er grim :)

Et lille thek for koden i W3C validator gav følgende:

Der er hammerfyldt op med javascript. Noget af dette indeholder
requestanimationframe. Netop requestanimationframe kan bruges til at tracke
bagud i browserens history (det er ret avanceret, men proof of concept har
været givet på diverse black hat videoer), og, få et skærmbillede tegnet op.
Ren spyware...

Jeg kan ikke se anden grund end noget black hat til at bruge det her.

Derudover, adskillige iframes med height=0 og width=0.

My god, den ser nasty ud :)

Har anmeldt den til Google for phishing-forsøg og spamming.

Hvis nogen har lyst til at lave videre analyse (min javascript uvidenhed
forhindrer mig at fortsætte), kan man udskifte DOT med . ovenfor. Men vær
yderst forsigtig.

Er lidt glad for, jeg ikke gik direkte ind på siden, og bare godt råd til alle
webmastere, så lad være med at følge blog spam links. Og husk at logge alt hvad
i overhovedet kan på jeres hjemmeside.

MVH
Rune

Karl Erik Christensen

2014-10-21 06:40:13 UTC

Permalink

Post by r***@gmail.com
I forbindelse med analyse af et forholdsvist nyt botnetværk

Jeg har i lang tid kørt med et PHP-script på mine sider, som har jaget
harvestere og andet skidt væk.
Men efter at FireFox blev opdateret til V. 32.0.3, røg den også i fælden.

Jeg skyndte mig at deaktivere scriptet, og havde faktisk glemt alt om
det, så jeg har ikke undersøgt nærmere, hvorfor det ikke kan lide FF
32.0.3. Men grunden skal sikkert søges i HTTP_USER_AGENT strengen.

Scriptet findes her:
http://www.allthewebsites.org/articles/deny_spambots_prevent_email_harvesting,2.html

Jeg kan se at scriptet stadig har version 1.0.0, så der er altså ikke
ændret i det, til trods for at jeg sikkert ikke er den eneste der
oplever problemer med FF.

MORALE: Man kan anvende alskens beskyttelses software på sine
hjemmesider - men hvad er det værd, hvis det ikke løbende opdateres.

Karl Erik.

r***@gmail.com

2014-10-23 23:30:24 UTC

Permalink

MORALE: Man kan anvende alskens beskyttelses software p� sine
hjemmesider - men hvad er det v�rd, hvis det ikke l�bende opdateres.

Den bruger regmatch på user agent, og idéen er såmænd god nok, men man er nødt
til at kigge på andre ting samtidig. USER_AGENT alene er alt for usikkert.

Fx. sender de sjældent en ACCEPT_LANGUAGE, så tjek samtidig at længden af
ACCEPT_LANGUAGE er >1. Er den ikke det, er det yderligere mistænksomt.

Og så selvf. den gode gamle GZIP-test oveni.

Her i meta kode:

Function isEvilBot
isEvilBot = False
HVIS (USER_AGENT indeholder "MS IE6.0,Windows95,windows98,Firefox2.0,JAVA")
OG
Længde af (ACCEPT_LANGUAGE) < 3
OG
ACCEPT_ENCODING ikke indeholder "gzip"
SÅ Sæt isEvilBot = True
End Function

Dette tager en bestemt (gammel) form for spambot (særligt russiske), ikke de
nye (fra bla. Ukraine). Derfor er man nødt til at lave layered antispam.

En anden function kan sættes som

Function isEvilBot
isEvilBot = false
Hvis REQUEST_METHOD = "GET"
OG
CONTENT_TYPE = "application/x-www-form-urlencoded"
Så Sæt isEvilBot = True
End Function

For application/x-www-form-urlencoded er SVJV validt, men ingen browser vil
sætte det ved GET, da det er underforstået. Ingen af mine browsere gør det.

Endnu én er at sætte en HTML entity i en button value, og så tjekke at den
buttons value er den oversatte form ved POST. Det virker rigtigt godt,
særligt ifht. hvor lidt kode det kræver. Bare én linje.

http://www.kodetest.dk/nyhedsgruppe/des/html_entity.asp

Det sjove er, det tager rigtigt mange af de særligt kløgtige botter (dem som
fx. forstår GZIP). Så altså, så kløgtige er de heller ikke.

MVH
Rune

Karl Erik Christensen

2014-10-24 01:36:09 UTC

Permalink

Post by r***@gmail.com
Dette tager en bestemt (gammel) form for spambot (særligt russiske), ikke de
nye (fra bla. Ukraine). Derfor er man nødt til at lave layered antispam.

Det er min fornemmelse, at fokus har flyttet sig fra hjemmesider til
Facebook og andre sociale medier.

Jeg har i flere år udelukket .ru, .ua og .cn fra mine sider. Men for
sjov skyld har jeg nogle, hvor jeg ikke gør det.
Der kommer stadig en del besøg fra nævnte lande, men hyppigheden er
aftagende.

Jeg tror banditterne mere satser på scam og malware - især den kendte
"Police" eller "FBI" malware - og der er sgu virkelig nogle der betaler,
for at få deres computer "lukket op".
Jeg har en bekendt der nu har haft den 2 gange, inden for et par måneder.
Sidste gang her for et par dage siden, blev der ved med at poppe op:
"Vil du acceptere at (programmet) laver ændringer på din computer?".
Klik på "Nej" fik den blot til at poppe op igen, og til sidst
accepterede han - og malwaren var installeret :-)

Der er fanme penge i dumme mennesker :-)

Karl Erik.

r***@gmail.com

2014-10-24 02:27:52 UTC

Permalink

Post by Karl Erik Christensen

Post by r***@gmail.com
Dette tager en bestemt (gammel) form for spambot (særligt russiske), ikke de
nye (fra bla. Ukraine). Derfor er man nødt til at lave layered antispam.

Det er min fornemmelse, at fokus har flyttet sig fra hjemmesider til
Facebook og andre sociale medier.

Det er også fint nok, for så vidt det gør kommunikationj nemmere, men... Sider
som Facebook, Google+ mv, er styret fuldstændigt og aldeles af andre, hvilket
også vil sige, du overlader 100% alt hvad du overhovedet skriver/sender til
dem. Og så er det jo, om man så stoler på at et udenlandsk kæmpeforetagende kan
styre dine private data indenfor den danske lovs grænser, og om du iøvrigt har
tillid til, de ikke bruger de data til andre formål.

Jeg bruger aldrig sådan noget lort som facebook, netop fordi jeg ikke har
nogensomhelst kontrol med de data jeg sender. Det har jeg på en privat side.
Faktisk ret god kontrol, eftersom jeg kan agere ren Admin. Så, derfor.

Hvis jeg vil kommunikere med andre, bruger jeg Reddit, som er hvad
nyhedsgrupperne i DK _kunne_ have været, hvis der var blevet lavet et sådant
forum, som har været snakket om, men som altid blev skudt ned på intern
ævl/kævl.

Reddit er ikke specielt krævende mht. opgivelse af personlige oplysninger, så
også... derfor.

Post by Karl Erik Christensen
Klik på "Nej" fik den blot til at poppe op igen, og til sidst
accepterede han - og malwaren var installeret :-)
Der er fanme penge i dumme mennesker :-)

Stig Johansen lavede en proof of concept på det helt tilbage i 2008.

Det var baseret på "Du har brug for dette CODEC for at kunne se [whatever]
video"

Intet ændret i resultat, kun opdateret lidt i phishing metode.

Grundlæggende er det den samme template, som benyttes hver gang. Bare lyd
overbevisende, og snak om én ting, mens du gør noget andet (distrahering
fra at du stjæler ofrets PIN kode fx. ved at gøre det ud for noget andet)

MVH
Rune

Karl Erik Christensen

2014-10-24 06:00:58 UTC

Permalink

Post by r***@gmail.com
Jeg bruger aldrig sådan noget lort som facebook

Heller ikke jeg (selv om jeg har en profil).
Facebook er for unge tøser, og halvgamle koner der har fundet ud af, at
deres ungdom er fortabt. Manden gider ikke høre på deres ævl, hvis de da
i det hele taget har en mand.

Men ikke desto mindre er danskerne det folkefærd, hvor flest bruger
Facebook. TV viser gang på gang hvor naive disse "forsømte" kvinder er -
de lader sig svindle og bedrage, i deres søgen efter nogen der gider
høre på dem.
Det er lige til at brække sig over.

Karl Erik.

r***@gmail.com

2014-10-24 09:31:30 UTC

Permalink

Post by Karl Erik Christensen
Men ikke desto mindre er danskerne det folkefærd, hvor flest bruger
Facebook.

Jeg har sådan mest noget imod det, fordi de sociale medier centraliserer
internettet.

Ekvivalent til, når et enkelt OS centraliserer en hel platform.

Det lægger utroligt meget magt på meget få hænder og giver et reelt monopol.

Selv Youtube, er et eksempel. Dem som får flest views er alle kanaler ejet af
de samme få mennesker og i sidste ende medie coorporations.

Det bevirker, at det er meget svært at lave nyt som også bliver successfuldt,
med mindre man følger meget strengt de standarder sat op af monopolerne, som
også sørger for, at samme monopoler helt sikkert tjener på dit arbejde.

Og så er det jo ikke rigtigt sjovt længere.

Det er det heller ikke, hvis du overvejer, hvor meget, som egentlig er ejet af
det samme land.

Ikke fordi jeg har noget imod amerikanere som sådan, men de styrer 100% al min
kommunikation, komplet fra vugge til grav; Min hardware, min software, selv de
protokoller jeg kommunikerer efter.

Kunne være, jeg godt ville lave mine egne rammer og blive mere uafhængig.

MVH
Rune Jensen