Noi tipuri de email-phishing in circulatie

Asa cum descriam in clasamentul de virusi din octombrie majoritatea phishing-emailurilor receptionate in ultimele luni au ca tinta cunoscutele portaluri PayPal si eBay. Aceste emailuri au devenit clasice, autorii acestora se straduiesc sa realizeze emailuri care imita sau chiar depasesc originalele. De aceea sunt si asa usor detectate.

Insa, in ultimele saptamani, am observat noi tendinte ale phishing-emailurilor: mesaje text cu structura noua si linkuri la vedere catre site-urile frauduloase. Emailurile vor sa para ca provin din partea a doua cunoscute organizatii, eBay si Sears Cards. Continutul acestora este foarte greu de detectat ca phishing datorita utilizarii unor tehnici speciale.

Prin redactarea emailurilor in format „plain text” in locul „rich HTML”, atacatorii incearca sa evite „rusinoasa” clasificare ca simplu spam. Pe de-o parte, continutul complex HTML este de obicei un indicator puternic al spamului dar pe de alta parte, mesajele „plain text” par mai reale, tentand utilizatorii sa faca click. In emailurile de tip „plain text” linkurile nu mai pot fi falsificate, astfel ca mecanismele antiphishing nu vor mai trimite semnale de alarma utilizatorilor.

Exista doua surse diferite ale aceleiasi campanii phishing. In primul caz, linkurile sunt scrise cu adrese IP in loc de nume de domenii, ceea ce ne duce imediat cu gandul la emailuri de tip scam (inselaciune).

In al doilea caz este folosit un nume de domeniu care face ca emailul sa nu para pericluos pentru un ochi neexperimentat. Ceea ce tradeaza aceste tipuri de phishing-email este ascunderea URL-ului original in linkul fals.

Al doilea atac phishing interesant este directionat catre clientii eBay si are subiectul „Billing Update”. Emailurile plain text nu contin un link inselator. De aceea, aceasta campanie phishing nu se bazeaza pe oameni care ignora un link lung. Din aceasta cauza nu sunt folosite mecanisme de mascare iar linkul apare in plain text, utilizand redirector inregistrat gratuit. O alta trasatura esentiala a acestor emailuri este reprezentata de textul care informeaza utilizatorul ca ii va fi blocat contul.

Desigur, este greu de crezut ca va cadea cineva in aceasta capcana si ca eBay ar putea trimite asemenea mesaje clientilor sai.

Cu toate acestea, atacatorii nu par sa fie deranjati de acest lucru si chiar au adaugat cateva caractere intamplatoare in diferite parti ale emailului pentru a pacali filtrele spam bazate doar pe semnaturi.