Autor: Claudio Datum: To: hackmeeting Betreff: Re: [Hackmeeting] perche' il 90% del traffico mail e' spam
pinna ha scritto: > ritenete corretto il concetto seguente?
>
> se il 90% delle email del mondo sono spam, la colpa e'
> di chi ha usato sistemi windows / outlook express
> rendendo il proprio computer infetto utilizzabile
> come server di posta dagli spammer.
pace pinna,
non sono d'accordo :)
l'uso degli spambot e' stata un'idea geniale per gli spammer: possono
mandare email ai contatti della vittima, e questi vedendo un'email
proveniente da qualcuno di conosciuto sono piu' invitati ad aprirla.
potrebbe essere sfruttato anche meglio, per la propagazione di worm e
per la creazione di spam sensato!
(pensa ad un sistema come polygen-lite, in modo da generare qualcosa di
verosimile e semplice nella lingua usata dalla vittima)
ma questo e' stato possibile perche' era una vita relativamente
"facile". aggiungi che viene facilitato in modo assurdo dalle catente di
s.antonio. Tipicamente, girare un'email che gia' contiene tutti gli
indirizzi che c'erano in "CC/TO" da parte della persona precedente, ed
inoltrarla nello stesso modo facendo aumentare la quantità di indirizzi,
da allo spambot la possibilita' di leggersi un numero di indirizzi
maggiore, di diffondersi ad ampio spettro soprattuto in ambienti non
direttament collegati alla vittima e quindi di espandere il suo campo
d'azione (un po' si puo' pensare alle teorie di piccolo mondo ed ai
supernodi)
supponiamo che non ci fosse stato outlook, ma che ci fossero solo le
webmail.
le webmail non sono infettabili ? no problem, due idee mi vengono in
mente senza fare questo di lavoro:
1) il bot anziche' spammare fa keylogging sulla webmail, o si hooka a
IE, o mette un plugin troiano per firefox, si becca tutti gli indirizzi
che hanno un link con handler "mailto:" e li raccoglie. e spamma.
2) i bot fanno bruteforce distribuito sulle username, in questo caso il
bruteforce non e' sulla password ma sugli utenti (per evitare il
lockout), con tecniche di password recovery, timestamp analysis e
messaggi d'errore user frendly gia' raccogli informazioni sull'esistenza
dell'utente (e se ti fa bene, ci accedi pure). l'esistenza dell'utente
di una webmail corrisponde ad un nuovo indirizzo da spammare, l'accesso
corrisponde ad uno spambot remoto.
l'utente e' vittima: puo' scappare sul web ma lo spammer lo insegue, e
cosi' i troiani. puo' scappare su firefox e gli exploit escono per
firefox, scappa su freebsd ed escono per freebsd, una minoranza sta' con
una fetta di software usati statisticamente meno e quindi gli attacchi a
loro saranno meno frequenti (se la motivazione e' il $, tipo per lo
spam, allora sara' a 0, perche' si investe dove si guadagna, non sulla
fettina del 5% degli utenti). ma rimarra' sempre una maggioranza, e
quella sara' attaccata.