Quel est le but de ces étranges e-mails non spam?
Un mail est passé par le filtre anti-spam et je me demande quel est le but. Ce n'est pas du spam. Suivi? Mais comment? Qui? et pourquoi? Dans le code source, il y a ces passages étranges comme ...
= EA = 85 = 9F = EA = 8F = 92
qui en profite comment? aucun lien rien d'autre dans cet e-mail.
Delivered-To: [email protected]
Received: by 10.28.158.140 with SMTP id h134csp1731559wme;
Mon, 3 Aug 2015 04:22:13 -0700 (PDT)
X-Received: by 10.55.41.195 with SMTP id p64mr24023265qkp.5.1438600933481;
Mon, 03 Aug 2015 04:22:13 -0700 (PDT)
Return-Path: <[email protected]>
Received: from nm38-vm9.bullet.mail.bf1.yahoo.com (nm38-vm9.bullet.mail.bf1.yahoo.com. [72.30.239.25])
by mx.google.com with ESMTPS id j34si16595518qkh.82.2015.08.03.04.22.12
for <[email protected]>
(version=TLSv1 cipher=ECDHE-RSA-RC4-SHA bits=128/128);
Mon, 03 Aug 2015 04:22:13 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 72.30.239.25 as permitted sender) client-ip=72.30.239.25;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of [email protected] designates 72.30.239.25 as permitted sender) [email protected];
dkim=pass [email protected];
dmarc=pass (p=REJECT dis=NONE) header.from=yahoo.com
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s2048; t=1438600932; bh=2Le9dnlRHEHV2DHi6g9XBTAZHFuEvLsr8SjC/C2a2+Y=; h=Date:From:Reply-To:To:Subject:From:Subject; b=ab5c6U0O35AE1JHNL7n1OB10kVvCjIPh5ilkWw5ct2nWs6w4b9CSkyaBQKibdqI3gbQB+NQo8/FINRQMjloHxunlRa91MRWQEZ48S3EUOH65D4b7tVMyfs4pB+VSJb/8ohLwDFs0nFS5V9S55M1DD3o+WqLOkwb49ijxE8J9enDY8jtLWaJ7RZ794nZcvRH3a3Y4r31Y3zahRUVmKQKc2vvPDOrEbncmu2PEJOhcJEELTQcc1MXtaVWHzspmyPZBuBVzvd4cvvYStguk7p5UL9kvyLWG3ZyhaPyDGfbt0egQcFropcb6Xw3ttdikVlC7YYVipZUgzp/IzajFZks6jw==
Received: from [66.196.81.170] by nm38.bullet.mail.bf1.yahoo.com with NNFMP; 03 Aug 2015 11:22:12 -0000
Received: from [98.139.212.241] by tm16.bullet.mail.bf1.yahoo.com with NNFMP; 03 Aug 2015 11:22:12 -0000
Received: from [127.0.0.1] by omp1050.mail.bf1.yahoo.com with NNFMP; 03 Aug 2015 11:22:12 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: [email protected]
X-YMail-OSG: V0Jf1mgVM1nboRi87_16P3wYo7hVU_Wr4wYa8QonNjb6jD1sZDPz1QMe5617lEj
.KTslKteP6Aay2J5FC1JdWzUFlVlqBbvFsFsuumiJcZNTt05csrlKh1v3H5Gzb0ArIimMooZB3WF
V4xucEAi6v6l.Dx4G6r66fHLgmvW_3nukrV5HBBj49nHgUkd6ZWNWvVJ..pnsjI3WTLyo_B3PKTC
tvyVuliPBVKPv4oDLkFbiAcS6czdirjBw04SDlyXyz6zVVvgyrFQx8Jxu7Z0yEfA18KRNWlrn4kd
Ozgpri8uHm.hdcj.DYlF5lVANlBACmDfsboQOL9Ma69nsNeWvRGVoDrxYGsXCfOT13yAfXLLdf_c
KwEOEIXQcfnWY5tWHHqhLPaEJM36vGb7PrSVPjbGFvuGxO.a66wkphgI_Gn3rcXkXGBluiVveg5O
_KFt15xpsEM1nd7kvyyBo2M2GJn_A_GuD_0KNoPKrk8Gtorh9Z7TdSW.0WtU80P8m6vsRydyp2u9
7H14-
Received: by 76.13.27.197; Mon, 03 Aug 2015 11:22:12 +0000
Date: Mon, 3 Aug 2015 11:22:11 +0000 (UTC)
From: Shawn <[email protected]>
Reply-To: Shawn <[email protected]>
To: <removed to protect privacy>
Message-ID: <[email protected]>
Subject: fdihkesdhlffljrks djssldhfvkljdelsfkah
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_120230_1658237110.1438600931848"
Content-Length: 1531
------=_Part_120230_1658237110.1438600931848
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
dolomite fiddle armpits moribunditygNIt's=EA=85=9FShawn=EA=80=BCby=EA=8F=92=
the=EA=87=91way.famished nonsalaried artichokes deadlockingAaI'm=EA=87=8Bex=
cited=EA=8D=BEabout=EA=91=8Fyour=EA=89=AFanswer))symbiotes perspire
------=_Part_120230_1658237110.1438600931848
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
<html><body><div style=3D"background-color:#ccdd15;display:block;color:#ccd=
d15;"><div style=3D"font-family: Unfeignedly, Gascony, Pancakes;font-size:5=
px;">dolomite fiddle armpits moribundity<div>gN<div style=3D"font-size:20px=
;color:#455e81;display:inline-block">It's</div>=EA=85=9F<strong style=3D"fo=
nt:20px normal;color:#455e81">Shawn</strong>=EA=80=BC<div style=3D"color:#4=
55e81;font-size:20px;display:inline-block">by</div>=EA=8F=92<em style=3D"fo=
nt:20px normal;color:#455e81">the</em>=EA=87=91<em style=3D"font:20px norma=
l;color:#455e81">way.</em></div>famished nonsalaried artichokes deadlocking=
<div>Aa<i style=3D"color:#455e81;font:20px normal">I'm</i>=EA=87=8B<span st=
yle=3D"color:#455e81;font-size:20px">excited</span>=EA=8D=BE<big style=3D"f=
ont-size:20px;color:#455e81">about</big>=EA=91=8F<strong style=3D"font:20px=
normal;color:#455e81">your</strong>=EA=89=AF<i style=3D"color:#455e81;font=
:20px normal">answer))</i></div>symbiotes perspire</div></div></body></html=
>
------=_Part_120230_1658237110.1438600931848--
Ceci est du spam - mais peut-être que le spammeur n'était pas très bon en matière de spam.
Les bits '= EA' sont Quoted-Printable , un codage pour les octets en ASCII caractères. '= EA = 85 = 9F' signifie donc les octets de valeurs 0xEA , 0x85 et 0x9F, dans cet ordre; c'est le codage UTF-8 pour 'ꅟ' (c'est U + A15F YI SYLLABLE NDEX, l'un des symboles de script Yi ). Celui qui a envoyé cet e-mail espère que votre logiciel de lecture de courrier n'inclura pas de police Yi, et affichera donc le caractère comme un espace.
Le but de l'utilisation de tels symboles est d'essayer de confondre les filtres antispam: le filtre peut essayer de réagir sur la phrase "C'est xxx d'ailleurs" (pour les noms aléatoires au lieu de "xxx"); les caractères supplémentaires peuvent faire échouer ce filtre. Il est probable que le spam, envoyé par millions, utilisera des caractères aléatoires provenant d'ensembles inhabituels (comme les glyphes Yi). Les mots aléatoires ("violon", "aisselles" ...) ont le même but: échapper à la détection, notamment par filtres anti-spam bayésiens . Notez que les mots supplémentaires sont "cachés" dans la vue HTML, en étant affichés avec une très petite police et avec la même couleur que l'arrière-plan.
Tout cela est très spam, et puisque votre filtre anti-spam laisse passer le courrier, le spammeur a en fait gagné cette manche: ses manœuvres d'évitement ont fonctionné et votre filtre anti-spam a été vaincu.
Maintenant, quel peut être l'intérêt de tout cela? Le but du spam est de déclencher une réaction du spammee. Cela peut être "cliquer sur un lien" mais cela peut aussi être "envoyer un e-mail en réponse". Je peux faire plusieurs conjectures:
Il a été souligné (par exemple dans cette étude ) que le modèle commercial de la plupart des spammeurs nécessite d'identifier des personnes stupides. Pour le spammeur, l'envoi de millions de spams ne coûte rien; cependant, quand un spammee répond, un agent humain du spammeur doit lire et répondre, et là les choses deviennent très chères pour le spammeur. Ainsi, ce que le spammeur veut vraiment, c'est que les quelques personnes qui deviennent accro au spam initial soient prêtes à croire les histoires les plus fantasmagoriques.
Dans cette hypothèse, le spam que vous avez reçu pourrait être un moyen de trouver les gens assez stupides pour croire que l'expéditeur s'appelle vraiment Shawn et sont prêts à parler à Shawn.
Les spammeurs sont (techniquement) des êtres humains, avec tous les défauts que cela implique. Le spammeur utilise un outil de spam mais peut ne pas l'utiliser correctement. Je reçois souvent des spams qui me saluent comme "Bonjour% RANDUSER", une occurrence qui ne peut être expliquée que par un spammeur qui devrait lire la documentation de son outil de spam.
Cet e-mail est très certainement du spam (sauf si vous connaissez l'expéditeur et/ou si vous avez sollicité ce courrier). Ces chaînes étranges sont des techniques d'obscurcissement, qui sont un signe révélateur de spam. Voir réponse de Tom Leek pour plus d'informations à ce sujet.
Il y a trois explications possibles à cet e-mail:
- C'est une tentative pour vous faire répondre; les discussions renforcent la confiance psychologique et peuvent mieux mettre en place des escroqueries
- C'est une tentative de gâcher vos filtres (par exemple empoisonnement bayésien ... qui ne fonctionne pas)
- Le spammeur a gâché et oublié la charge utile
Je penche pour que ce soit à la fois # 1 et # 2.
(Jolies polices là-dedans! font-family: Unfeignedly, Gascony, Pancakes, un excellent fourrage pour un bon tokenizer bayésien.)