[MASOCH-L] Nova forma de burlar anti-spam

Carlos carlos at greco.com.br
Thu Jun 5 10:33:30 -03 2014


Se ajudar 
Notei que sempre o from é igual ao destinatário. 



Para quem está usando o regex que escrevi, segue uma atualização: 

/bin/egrep -c -i '\<meta[^>]+http-equiv *= *"?refresh"?[^>]+\>' 
'$mime_decoded_filename' 

Leandro Carlos Rodrigues 
TI All Chemistry do Brasil 
(11) 3014-7100 

Em 04/06/2014 10:42, Leandro escreveu: 
> Ricardo, 
> 
> Criei uma regex para a tag em HTML assim: 
> 
> /bin/egrep -c '\<meta[^>]+http-equiv *= *"refresh"[^>]+\>' 
> '$mime_decoded_filename' 
> 
> Parece estar funcionando perfeitamente para todos os casos que tenho 
> aqui. Uma coisa é bloquear todos os anexos de HTML e outra é bloquear 
> todos aqueles que fazem redirecionamento. Acho que dá para implementar 
> desta segunda forma sem medo. 
> 
> Porém este caso do redirecionamento em javascript, eu precisaria 
> entender melhor para escrever um regex confiável. Se eu colocar algo 
> do tipo: 
> 
> /bin/egrep -c '\<script\>[^>]*window\.location[^>]+\</script\>' 
> '$mime_decoded_filename' 
> 
> você acha que ele vai pegar todos os casos corretamente sem dar falsos 
> positivos? 
> 
> Leandro Carlos Rodrigues 
> TI All Chemistry do Brasil 
> (11) 3014-7100 
> 
> Em 04/06/2014 09:21, Ricardo Walter - Opçãonet escreveu: 
>> Ele pode redirecionar via javascript tbm: 
>> <script>window.location = 'http://endereco'; </script> 
>> 
>> Atenciosamente, 
>> 
>> 
>> 
>> 
>> 
>> Ricardo Walter 
>> Opcãonet Telecom 
>> +55 45 3253-2277 
>> rick @opcaonet.com.br 
>> 
>> 
>> ----- Mensagem original ----- 
>> 
>> De: "Leandro" <leandro at allchemistry.com.br> 
>> Para: "Mail Aid and Succor, On-line Comfort and Help" 
>> <masoch-l at eng.registro.br> 
>> Enviadas: Quarta-feira, 4 de junho de 2014 9:15:13 
>> Assunto: Re: [MASOCH-L] Nova forma de burlar anti-spam 
>> 
>> Eu peguei todo o conteúdo de um destes anexos e, se ajudar, ele é 
>> exatamente isto: 
>> 
>> <meta http-equiv="refresh" content="0; 
>> url=http://tayyib.com/bostanciresi/Comprovante.php"> 
>> 
>> Para quem manja, esta é a única forma de redirecionar usando tag HTML? 
>> 
>> Leandro Carlos Rodrigues 
>> TI All Chemistry do Brasil 
>> (11) 3014-7100 
>> 
>> Em 04/06/2014 09:02, Leandro escreveu: 
>>> Alan, 
>>> 
>>> Ideia genial fazer análise do conteúdo. Seria possível detectar as 
>>> tags que fazem o redirecionamento. Agora só falta fazer um regex que 
>>> seja capaz de fazer isto e implementar ele num script. 
>>> 
>>> Alguém da lista manja de conteúdo HTML para gerar deste regex para a 
>>> comunidade? 
>>> 
>>> Leandro Carlos Rodrigues 
>>> TI All Chemistry do Brasil 
>>> (11) 3014-7100 
>>> 
>>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações escreveu: 
>>>> Prezado 
>>>> 
>>>> Um site que eu sei que manda anexo HTML e o infoemail do Bradesco. 
>>>> 
>>>> Estava analisando como fazer o mesmo filtro/analise de conteudo no 
>>>> anexo. 
>>>> 
>>>> 
>>>> 
>>>> -----Original Message----- 
>>>> From: masoch-l-bounces at eng.registro.br 
>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro 
>>>> Sent: quarta-feira, 4 de junho de 2014 08:51 
>>>> To: Mail Aid and Succor, On-line Comfort and Help 
>>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam 
>>>> 
>>>> Pessoal, 
>>>> 
>>>> Estamos recebendo uma quantidade massiva de mensagens fraudulentas com 
>>>> anexos em HTML cujo conteúdo redireciona para o site do criminoso. O 
>>>> texto 
>>>> da mensagem geralmente é muito convincente e acaba enganando até os 
>>>> usuários 
>>>> mais espertos. 
>>>> 
>>>> Estamos com muita dificuldade de criar um filtro eficiente que 
>>>> elimine este 
>>>> tipo de mensagem. A única forma que encontramos foi barrar todas as 
>>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes, 
>>>> gostaria de 
>>>> saber se algum de vocês conhecem casos legítimos de envio de anexos 
>>>> de HTML 
>>>> e se são frequentes para eu implementar o filtro sem medo. 
>>>> 
>>>> Obrigado. 
>>>> 
>>>> -- 
>>>> Leandro Carlos Rodrigues 
>>>> TI All Chemistry do Brasil 
>>>> (11) 3014-7100 
>>>> 
>>>> __ 
>>>> masoch-l list 
>>>> https://eng.registro.br/mailman/listinfo/masoch-l 
>>>> 
>>>> __ 
>>>> masoch-l list 
>>>> https://eng.registro.br/mailman/listinfo/masoch-l 
>>> __ 
>>> masoch-l list 
>>> https://eng.registro.br/mailman/listinfo/masoch-l 
>> __ 
>> masoch-l list 
>> https://eng.registro.br/mailman/listinfo/masoch-l 
>> 
>> __ 
>> masoch-l list 
>> https://eng.registro.br/mailman/listinfo/masoch-l 
> 
> __ 
> masoch-l list 
> https://eng.registro.br/mailman/listinfo/masoch-l 

__ 
masoch-l list 
https://eng.registro.br/mailman/listinfo/masoch-l 




More information about the masoch-l mailing list