Spam : l'astuce DNS du mois

Les créateurs de Botnets et les spammers sont toujours à la recherche du bon tuyau qui leur permettra de brouiller les anti-spam et anti-virus.

La toute dernière technique permet de contrecarrer les techniques d'inspections de liens mises en place par les anti-spam. Le filtrage par inspection de lien fonctionne de la manière suivante :
- un mail arrive dans une boite protégé par un anti-spam
- l'A-S scanne sont contenu
- l'A-S scanne le contenu de la page web en lien, ou compare le lien à base base de données de réputation de nom de domaine
- l'A-S fait de choix de bloquer ou laisser passer le mail
Pour un spammer, il est donc très important de pouvoir surpasser ces vérifications.

Donc certains ont eu une idée, que l'on pourrait qualifier de génial (machiavélique?). Cela consiste à contrôler temporellement la destination du lien, en changeant le pointage au moment critique. Ainsi ils brouillent les A-S, qui scanne une webpage alors inoffensive, puis change le pointage du site vers un site malicieux (malware spreading, phishing, ...) avant que l'utilisateur ne lise le mail.
L'idée est bonne, tout autant que la technique employée.

Pour arriver à leur fin, les spammers manipulent avec un timing parfait le DNS. Ils suivent la procédure suivante :
- envoi du spam durant la nuit (fuseau horaire de la cible)
- ils font en sorte que la résolution DNS du lien présent dans le spam corresponde à un site bénin (ou un HTTP 404)
- une fois le spam délivré aux cibles, ils switchent le DNS vers le site malicieux
Le changement de DNS doit s'effectuer avant que la victime ne lise ses mails, mais après l'inspection de l'anti-spam! Il faut donc aux pirates une précision d'horloger.

Cette méthode permet ainsi de troubler les filtres anti-spam qui utilise l'inspection de lien bêtement. N'oublions pas que face à ces logiciels se trouvent des humains, experts dans leur domaine : le spammer aura toujours un temps d'avance sur la protection.