Qual è lo scopo di queste strane email non spam?

Naviga le tue risposte
68

Una mail è passata attraverso il filtro spam e mi chiedo quale sia lo scopo. Non è spam Monitoraggio? Ma come? Chi? e perché? Nel codice sorgente ci sono questi strani passaggi come ...

= EA = 85 = 9F = = EA 8F = 92

a chi giova come? nessun link nient'altro in questa email. 

Delivered-To:[email protected]:by10.28.158.140withSMTPidh134csp1731559wme;Mon,3Aug201504:22:13-0700(PDT)X-Received:by10.55.41.195withSMTPidp64mr24023265qkp.5.1438600933481;Mon,03Aug201504:22:13-0700(PDT)Return-Path:<[email protected]>Received:fromnm38-vm9.bullet.mail.bf1.yahoo.com(nm38-vm9.bullet.mail.bf1.yahoo.com.[72.30.239.25])bymx.google.comwithESMTPSidj34si16595518qkh.82.2015.08.03.04.22.12for<[email protected]>(version=TLSv1cipher=ECDHE-RSA-RC4-SHAbits=128/128);Mon,03Aug201504:22:13-0700(PDT)Received-SPF:pass(google.com:domainofdonallsutherland@yahoo.comdesignates72.30.239.25aspermittedsender)client-ip=72.30.239.25;Authentication-Results:mx.google.com;spf=pass(google.com:domainofdonallsutherland@yahoo.comdesignates72.30.239.25aspermittedsender)[email protected];[email protected];dmarc=pass(p=REJECTdis=NONE)header.from=yahoo.comDKIM-Signature:v=1;a=rsa-sha256;c=relaxed/relaxed;d=yahoo.com;s=s2048;t=1438600932;bh=2Le9dnlRHEHV2DHi6g9XBTAZHFuEvLsr8SjC/C2a2+Y=;h=Date:From:Reply-To:To:Subject:From:Subject;b=ab5c6U0O35AE1JHNL7n1OB10kVvCjIPh5ilkWw5ct2nWs6w4b9CSkyaBQKibdqI3gbQB+NQo8/FINRQMjloHxunlRa91MRWQEZ48S3EUOH65D4b7tVMyfs4pB+VSJb/8ohLwDFs0nFS5V9S55M1DD3o+WqLOkwb49ijxE8J9enDY8jtLWaJ7RZ794nZcvRH3a3Y4r31Y3zahRUVmKQKc2vvPDOrEbncmu2PEJOhcJEELTQcc1MXtaVWHzspmyPZBuBVzvd4cvvYStguk7p5UL9kvyLWG3ZyhaPyDGfbt0egQcFropcb6Xw3ttdikVlC7YYVipZUgzp/IzajFZks6jw==Received:from[66.196.81.170]bynm38.bullet.mail.bf1.yahoo.comwithNNFMP;03Aug201511:22:12-0000Received:from[98.139.212.241]bytm16.bullet.mail.bf1.yahoo.comwithNNFMP;03Aug201511:22:12-0000Received:from[127.0.0.1]byomp1050.mail.bf1.yahoo.comwithNNFMP;03Aug201511:22:12-0000X-Yahoo-Newman-Property:ymail-3X-Yahoo-Newman-Id:[email protected]:V0Jf1mgVM1nboRi87_16P3wYo7hVU_Wr4wYa8QonNjb6jD1sZDPz1QMe5617lEj.KTslKteP6Aay2J5FC1JdWzUFlVlqBbvFsFsuumiJcZNTt05csrlKh1v3H5Gzb0ArIimMooZB3WFV4xucEAi6v6l.Dx4G6r66fHLgmvW_3nukrV5HBBj49nHgUkd6ZWNWvVJ..pnsjI3WTLyo_B3PKTCtvyVuliPBVKPv4oDLkFbiAcS6czdirjBw04SDlyXyz6zVVvgyrFQx8Jxu7Z0yEfA18KRNWlrn4kdOzgpri8uHm.hdcj.DYlF5lVANlBACmDfsboQOL9Ma69nsNeWvRGVoDrxYGsXCfOT13yAfXLLdf_cKwEOEIXQcfnWY5tWHHqhLPaEJM36vGb7PrSVPjbGFvuGxO.a66wkphgI_Gn3rcXkXGBluiVveg5O_KFt15xpsEM1nd7kvyyBo2M2GJn_A_GuD_0KNoPKrk8Gtorh9Z7TdSW.0WtU80P8m6vsRydyp2u97H14-Received:by76.13.27.197;Mon,03Aug201511:22:12+0000Date:Mon,3Aug201511:22:11+0000(UTC)From:Shawn<[email protected]>Reply-To:Shawn<[email protected]>To:<removedtoprotectprivacy>Message-ID:<[email protected]>Subject:fdihkesdhlffljrksdjssldhfvkljdelsfkahMIME-Version:1.0Content-Type:multipart/alternative;boundary="----=_Part_120230_1658237110.1438600931848"
Content-Length: 1531

------=_Part_120230_1658237110.1438600931848
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

dolomite fiddle armpits moribunditygNIt's=EA=85=9FShawn=EA=80=BCby=EA=8F=92=
the=EA=87=91way.famished nonsalaried artichokes deadlockingAaI'm=EA=87=8Bex=
cited=EA=8D=BEabout=EA=91=8Fyour=EA=89=AFanswer))symbiotes perspire
------=_Part_120230_1658237110.1438600931848
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<html><body><div style=3D"background-color:#ccdd15;display:block;color:#ccd=
d15;"><div style=3D"font-family: Unfeignedly, Gascony, Pancakes;font-size:5=
px;">dolomite fiddle armpits moribundity<div>gN<div style=3D"font-size:20px=
;color:#455e81;display:inline-block">It's</div>=EA=85=9F<strong style=3D"fo=
nt:20px normal;color:#455e81">Shawn</strong>=EA=80=BC<div style=3D"color:#4=
55e81;font-size:20px;display:inline-block">by</div>=EA=8F=92<em style=3D"fo=
nt:20px normal;color:#455e81">the</em>=EA=87=91<em style=3D"font:20px norma=
l;color:#455e81">way.</em></div>famished nonsalaried artichokes deadlocking=
<div>Aa<i style=3D"color:#455e81;font:20px normal">I'm</i>=EA=87=8B<span st=
yle=3D"color:#455e81;font-size:20px">excited</span>=EA=8D=BE<big style=3D"f=
ont-size:20px;color:#455e81">about</big>=EA=91=8F<strong style=3D"font:20px=
 normal;color:#455e81">your</strong>=EA=89=AF<i style=3D"color:#455e81;font=
:20px normal">answer))</i></div>symbiotes perspire</div></div></body></html=
>
------=_Part_120230_1658237110.1438600931848--
    
posta puhubear 03.08.2015 - 19:18
fonte

2 risposte

123

Questo è spam - ma probabilmente lo spammer non era molto bravo nello spamming.

I bit '= EA' sono Quoted-Printable , una codifica per byte in caratteri ASCII. '= EA = 85 = 9F' indica quindi i byte dei valori 0xEA, 0x85 e 0x9F, in quest'ordine; questa è la codifica UTF-8 per 'ꅟ' (cioè U + A15F YI SYLLABLE NDEX, uno dei simboli di script Yi ). Chiunque abbia inviato quell'e-mail spera che il tuo software di lettura non includa un font Yi e quindi visualizzi il personaggio come uno spazio.

Il punto di utilizzo di tali simboli è cercare di confondere i filtri antispam: il filtro può provare a reagire alla frase "It's xxx by the way" (per i nomi casuali invece di "xxx"); i caratteri extra possono far fallire questo filtro. Le probabilità sono che lo spam, inviato da milioni, userà caratteri casuali da set insoliti (come glifi di Yi). Le parole casuali ("violino", "ascelle" ...) hanno lo stesso scopo: eludere il rilevamento, in particolare filtri antispam bayesiani . Nota che le parole extra sono "nascoste" nella vista HTML, essendo visualizzate con un carattere molto piccolo e con lo stesso colore dello sfondo.

Tutto questo è molto spammoso, e dal momento che il tuo filtro antispam ha permesso al flusso di posta, lo spammer ha effettivamente vinto questo round: le sue manovre evasive hanno funzionato e il tuo filtro spam è stato sconfitto.

Ora, quale può essere il punto di tutto questo? Il punto di spam è di innescare una reazione dallo spammone. Questo può essere "cliccando su un link" ma potrebbe anche essere "inviare una email in risposta". Posso fare diverse congetture:

  • È stato sottolineato (ad esempio in questo studio ) che il modello di business della maggior parte degli spammer richiede individuare persone stupide. Per lo spammer, spedire milioni di spam costa nulla; tuttavia, quando uno spammee risponde, un agente umano dello spammer deve leggere e rispondere e le cose diventano molto costose per lo spammer. Quindi, quello che lo spammer vuole davvero è che le poche persone che si attaccano allo spam iniziale saranno pronti a credere alle storie più fantasmagoriche.

    Secondo questa ipotesi, lo spam che hai ricevuto potrebbe essere un modo per trovare le persone abbastanza stupide da credere che il mittente si chiami davvero Shawn e sia pronto a parlare con Shawn.

  • Gli spammer sono (tecnicamente) esseri umani, con tutti i difetti che ciò comporta. Lo spammer utilizza uno strumento di spam, ma potrebbe non funzionare correttamente. Ricevo spesso spam che mi salutano come "Hello% RANDUSER", un evento che può essere spiegato solo da uno spammer che dovrebbe leggere la documentazione per il suo strumento di spamming.

risposta data 03.08.2015 - 20:00
fonte
22

Questa email è sicuramente spam (a meno che tu non conosca il mittente e / o abbia sollecitato questa mail). Quelle stringhe dispari sono tecniche di offuscamento, che sono un segno rivelatore di spam. Vedi risposta di Tom Leek per ulteriori informazioni su questo.

Ci sono tre possibili spiegazioni per questa email:

  1. È un tentativo di convincerti a rispondere; i thread creano fiducia psicologica e possono configurare meglio le truffe
  2. È un tentativo di rovinare i tuoi filtri (ad es. avvelenamento bayesiano ... che non funziona)
  3. Lo spammer ha incasinato e ha dimenticato il payload

Mi sto appoggiando sia al numero 1 che al numero 2.

(Simpatici font in là! font-family: Unfeignedly, Gascony, Pancakes , ottimo foraggio per un buon tokenizzatore bayesiano da raccogliere.)

    
risposta data 03.08.2015 - 22:17
fonte

Leggi altre domande sui tag

Recupero dei file pagando Ransomware SHA1 è migliore di MD5 solo perché genera un hash di 160 bit?