Today morning and Spam

Pagi ini saya mendapat kiriman email yang terdeteksi sebagai SPAM. SPAM bagi saya memang sudah hal biasa dan tidak pernah menarik perhatian atau tertarik untuk membacanya, namun kali ini dengan beberapa menjadi perhatian saya ketika email itu bertitle “Verify your Public Bank account” saya ingin tahu seberapa rapi pengemasan email phising ini:

Dear Public Bank Customer,


We are currently performing regular maintenance of our security measures. Your account has been selected to be verified and you will now have to be taken to a series of verification process to validate your identity, if you want to continue to use your account normally. If we don’t receive any response from you we are allowed to suspend
your account. A verification page will appear after you Log In into your account.

Protecting the security of your account is our primary concern, and we apologize for any inconvenience this may cause .


Please login at: Secure page or www.pbebank.com.my/


Copyright  ©  2010 Public Bank Berhad .

Setelah membaca dan memperhatikan email ini, layaknya email konfirmasi dari bank beneran maka dianjurkan untuk login ke sebuah website yang dalam kasus ini adalah bank PBE di malaysia, setelah saya lihat link website yang diberikan ternyata tidak sesuai website milik bank PBE, namun diarahkan ke sebuah subdomain lain, like this:

http://highclasstravel.plus.com/

Ini merupakan kekurangan si spammer yang tidak mau berusaha lebih baik dengan membuat domain yang lebih mirip dengan official websites bank PBE. Namun jangan salah, saya yakin bahwa banyak juga orang yang tertipu dengan metode ini. Kurangnya pengetahuan masih atau malah penyakit “sotoy” menjadi momok dan santapan empuk bagi penjahat cyber atau yang biasa disebut cracker, carder, phiser dan lain-lain. Disi lain, sebagai tim Information System Support di kantor saya juga harus memberikan perlindungan ke seluruh karyawan agar terhindar dari email-email seperti ini. Satu hal yang harus dilakukan adalah dengan mencari sumber email, caranya tidak sulit atau bisa dibilang cukup mudah, yakni dengan melihat full header email tersebut kemudian dilakukan blocking terhadap source smtp ataupun domain sender. Berikut full header dari email yang bersangkutan:

Return-Path: [email protected]
Received: from mail.hostku.com (LHLO mail.hostku.com) (202.12.67.88)
by mail.hostku.com with LMTP; Sun, 7 Feb 2010 10:09:23 +0700 (WIT)
Received: from localhost (localhost.localdomain [127.0.0.1])
by mail.hostku.com (Postfix) with ESMTP id 05EA089009F
for <[email protected]>; Sun,  7 Feb 2010 10:09:23 +0700 (WIT)
X-Virus-Scanned: amavisd-new at lerindro.com
X-Spam-Flag: YES
X-Spam-Score: 11.098
X-Spam-Level: ***********
X-Spam-Status: Yes, score=11.098 tagged_above=-10 required=6.6
tests=[AV:HTML.Phishing.Pay-271=0.1, BAYES_00=-2.599,
FH_DATE_PAST_20XX=3.188, FORGED_MUA_OUTLOOK=3.116,
FORGED_OUTLOOK_HTML=0.001, HTML_IMAGE_ONLY_20=1.546,
HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.457, MISSING_HEADERS=1.292,
TVD_PH_SUBJ_ACCOUNTS_POST=2.996] autolearn=no
Received: from mail.hostku.com ([127.0.0.1])
by localhost (mail.hostku.com [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id XA+Mx8+LSyiJ; Sun,  7 Feb 2010 10:09:15 +0700 (WIT)
Received: from online.garston.com (online.Garston.com [207.190.213.197])
by mail.hostku.com (Postfix) with ESMTPS id A4D30890066
for <[email protected]>; Sun,  7 Feb 2010 10:09:07 +0700 (WIT)
Received: from online.garston.com (localhost.localdomain [127.0.0.1])
by online.garston.com (8.13.8/8.13.8) with ESMTP id o1731235014506
for <[email protected]>; Sat, 6 Feb 2010 22:01:25 -0500
Received: from User (host213-120-117-224.in-addr.btopenworld.com [213.120.117.224])
by online.garston.com (Scalix SMTP Relay 11.2.0.11121)
via ESMTP; Sat, 06 Feb 2010 21:57:13 -0500 (EST)
Date: Sun, 7 Feb 2010 02:57:13 +0000
From: “[email protected]”<[email protected]>
Message-ID: <[email protected]>
Subject: [SPAM]Verify your Public Bank account.
Priority: Urgent
X-MSMail-Priority: High
X-Priority: 1
x-scalix-Hops: 1
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
MIME-Version: 1.0
Content-Type: text/html;
charset=”Windows-1251″
Content-Disposition: inline
To: undisclosed-recipients:;

Informasi yang didapat dari header diatas adalah email klien yang digunakan, dalam kasus ini adalah outlook express, alamat IP sender: 213.120.117.224, kemudian hal-hal yang bisa dilakukan adalah melakukan blocking dengan memasukan alamat pengirim atau domain pengirim kedalam daftar blacklist, saat ini saya menggunakan zimbra (base on postfix). Bisa juga dengan melakukan blocking terhadap IP smtp yang digunakan oleh sender, namun hal ini tidak akan bekerja bila sender menggunakan smtp lain. Yang paling efektif adalah dengan melakukan blocking domain tersebut :D.

cat /var/mailbox/spam > /dev/null :D

5 thoughts on “Today morning and Spam

  1. Maksudnya update maksudnya update versi si engine atau melakukan optimasi antispam nya Pak?

    Kalau upgrade engine si antispam (spamassassin, clamav) bisa dilihat dari website mereka.

    Kalau optimasi bisa main2 ke improving antispam zimbra.

    Karena konfigurasinya hampir sama :)

  2. Kalo misalkan di menggunakan nama sender [email protected], ternyata di chek di message id header nya menggunakan domain yahoo.com. Caranya gimana ya kalo mas harus memblok nama domainnya. Kadang-kadang spammer lebih pintar dengan memanfaatkan domain legal untuk mengirimkan aksinya tapi sendernya menggunakan domain lain. Gimana cara memblok kayak gitu.
    Thanks

  3. Dengan menggunakan pemblokiran melalui filter dengan parameter “contains” karena dengan begitu jika di header terdapat keyword yang ingin difilter maka email akan terkena rule tersebut.

Leave a Reply

Your email address will not be published. Required fields are marked *


*