[MASOCH-L] Nova forma de burlar anti-spam
Leandro
leandro at allchemistry.com.br
Wed Jun 4 11:18:17 -03 2014
Valeu Ricardo! Vou implementar aqui e monitorar o log. Se aparecer algum
problema eu te aviso. Abraços.
Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100
Em 04/06/2014 11:15, Ricardo Walter - Opçãonet escreveu:
> Eu faria desta forma (fiz alguns pequenos ajustes em alguns detalhes):
> /bin/egrep -c '\<script[^>]*window\.location[^<]+\<\/script\>'
> '$mime_decoded_filename'
>
> Teria que fazer alguns testes com atributos na tag script (Ex: <script type="text/javascript">) e também com a tag em maiúsculo só para ter certeza.
>
>
> Atenciosamente,
>
>
>
>
>
> Ricardo Walter
> Opcãonet Telecom
> +55 45 3253-2277
> rick @opcaonet.com.br
>
>
> ----- Mensagem original -----
>
> De: "Leandro" <leandro at allchemistry.com.br>
> Para: "Mail Aid and Succor, On-line Comfort and Help" <masoch-l at eng.registro.br>
> Enviadas: Quarta-feira, 4 de junho de 2014 10:42:48
> Assunto: Re: [MASOCH-L] Nova forma de burlar anti-spam
>
> Ricardo,
>
> Criei uma regex para a tag em HTML assim:
>
> /bin/egrep -c '\<meta[^>]+http-equiv *= *"refresh"[^>]+\>'
> '$mime_decoded_filename'
>
> Parece estar funcionando perfeitamente para todos os casos que tenho
> aqui. Uma coisa é bloquear todos os anexos de HTML e outra é bloquear
> todos aqueles que fazem redirecionamento. Acho que dá para implementar
> desta segunda forma sem medo.
>
> Porém este caso do redirecionamento em javascript, eu precisaria
> entender melhor para escrever um regex confiável. Se eu colocar algo do
> tipo:
>
> /bin/egrep -c '\<script\>[^>]*window\.location[^>]+\</script\>'
> '$mime_decoded_filename'
>
> você acha que ele vai pegar todos os casos corretamente sem dar falsos
> positivos?
>
> Leandro Carlos Rodrigues
> TI All Chemistry do Brasil
> (11) 3014-7100
>
> Em 04/06/2014 09:21, Ricardo Walter - Opçãonet escreveu:
>> Ele pode redirecionar via javascript tbm:
>> <script>window.location = 'http://endereco'; </script>
>>
>> Atenciosamente,
>>
>>
>>
>>
>>
>> Ricardo Walter
>> Opcãonet Telecom
>> +55 45 3253-2277
>> rick @opcaonet.com.br
>>
>>
>> ----- Mensagem original -----
>>
>> De: "Leandro" <leandro at allchemistry.com.br>
>> Para: "Mail Aid and Succor, On-line Comfort and Help" <masoch-l at eng.registro.br>
>> Enviadas: Quarta-feira, 4 de junho de 2014 9:15:13
>> Assunto: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>
>> Eu peguei todo o conteúdo de um destes anexos e, se ajudar, ele é
>> exatamente isto:
>>
>> <meta http-equiv="refresh" content="0;
>> url=http://tayyib.com/bostanciresi/Comprovante.php">
>>
>> Para quem manja, esta é a única forma de redirecionar usando tag HTML?
>>
>> Leandro Carlos Rodrigues
>> TI All Chemistry do Brasil
>> (11) 3014-7100
>>
>> Em 04/06/2014 09:02, Leandro escreveu:
>>> Alan,
>>>
>>> Ideia genial fazer análise do conteúdo. Seria possível detectar as
>>> tags que fazem o redirecionamento. Agora só falta fazer um regex que
>>> seja capaz de fazer isto e implementar ele num script.
>>>
>>> Alguém da lista manja de conteúdo HTML para gerar deste regex para a
>>> comunidade?
>>>
>>> Leandro Carlos Rodrigues
>>> TI All Chemistry do Brasil
>>> (11) 3014-7100
>>>
>>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações escreveu:
>>>> Prezado
>>>>
>>>> Um site que eu sei que manda anexo HTML e o infoemail do Bradesco.
>>>>
>>>> Estava analisando como fazer o mesmo filtro/analise de conteudo no
>>>> anexo.
>>>>
>>>>
>>>>
>>>> -----Original Message-----
>>>> From: masoch-l-bounces at eng.registro.br
>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>> Sent: quarta-feira, 4 de junho de 2014 08:51
>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam
>>>>
>>>> Pessoal,
>>>>
>>>> Estamos recebendo uma quantidade massiva de mensagens fraudulentas com
>>>> anexos em HTML cujo conteúdo redireciona para o site do criminoso. O
>>>> texto
>>>> da mensagem geralmente é muito convincente e acaba enganando até os
>>>> usuários
>>>> mais espertos.
>>>>
>>>> Estamos com muita dificuldade de criar um filtro eficiente que
>>>> elimine este
>>>> tipo de mensagem. A única forma que encontramos foi barrar todas as
>>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes,
>>>> gostaria de
>>>> saber se algum de vocês conhecem casos legítimos de envio de anexos
>>>> de HTML
>>>> e se são frequentes para eu implementar o filtro sem medo.
>>>>
>>>> Obrigado.
>>>>
>>>> --
>>>> Leandro Carlos Rodrigues
>>>> TI All Chemistry do Brasil
>>>> (11) 3014-7100
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list