Mengenali Cara Kerja Spammer
6/25/2010 07:09:00 PM
the master IT
, Posted in
Knowledge
,
0 Comments
Dalam keseharian, saat kita berinteraksi di dunia maya khususnya dalam menggunakan fasilitas e-mail, sering bahkan nyaris selalu kita jumpai adanya gangguan spam. Walau kita sudah berlindung dibalik e-mail filtering atau spam killer baik berupa program maupun profile yang kita buat, tetapi tetap saja spam e-mail tersebut lolos dan masuk ke inbox kita. Kok bisa?
Di sini akan kita ulas bagaimana para spammer bekerja. Kita akan ulas juga sedikit teknik dasar yang mereka pakai untuk mengelabui semua previlage yang kita buat. Bahkan sistem "Bayesian Filter"-pun bisa mereka kelabui dengan teknik-teknik sederhana yang akan kita bahas ini.
Secara garis besar, ada tiga teknik dasar cara bypassing yang dilakukan oleh para spammer. Teknik-teknik tersebut adalah:
• Menyembunyikan kata atau kalimat.
• Menyelipkan kata tersembunyi.
• Menyembunyikan URL.
Mari kita ambil contoh kata "Viagra", salah satu jenis bentuk e-mail spam yang paling banyak ditemui. Walaupun kita sudah membuat list rejected terhadap kata atau kalimat yang mengandung kata tersebut dan sekaligus sudah merupakan default blacklist pada "Bayesian Filters", namun e-mail dengan isi menawarkan pil kejantanan pria ini sering sekali lolos.
Menyembunyikan Kata atau Kalimat
Dengan contoh kalimat "Viagra", kita bisa membuat sebuah spam filter lumpuh tak berdaya dengan hanya memisahkannya menjadi kata V i a g r a. Trik yang amat sederhana tersebut kadang masih efektif. Walau pada beberapa sistem filtering hal tersebut tak lagi bekerja karena metode filering seperti dan seterusnya sudah umum digunakan. Namun demikian, apabila cara penulisan diubah menjadi V’i’a’g’r’a atau V.i.a.g.r.a atau V-i-a-g-r-a atau V*i*a*g*r*a maka biasanya spam akan lolos dengan mudah!
Apabila trik tersebut sudah tak mendukung lagi, maka cara penulisan akan diubah dengan memanfaatkan "logika" yaitu penulisan acak yang hampir tak terbaca oleh kebanyakan orang. Tetapi sudah tentu pesan yang dibawa oleh tulisan tersebut tak mengesankan apapun, hanya berupa teknik supaya spam tersebut masuk dengan sukses ke mailbox Anda dan mengelabui spam filtering system. Teknik penulisan tersebut biasanya seperti ini:
DidAyouFknowNyouMcanBget
VprescriptionVmedications
prescribedTonlineTwith
NORPRIORRPRESCRIPTIONRREQUIRED!
Teknik selain di atas yang cukup efektif adalah dengan memanfaatkan "aksen" dalam bahasa asing. Seperti contoh:
a: à á â ã ä å
e: è é ê ë
i: ì í î ï
o: ò ó ô õ ö
u: ù ú û ü
Dengan mencampur aksen tersebut di atas, akan didapat 144 macam cara untuk menulis kata "Viagra". Contohnya seperti Víagra, Viågra, Vîãgrä dan seterusnya. Kita mungkin bisa saja membaca dan mengerti apa maksud dari penulisan kata tersebut tapi tidak bagi spam filter dan inilah celah yang dimanfaatkan untuk itu.
Cara lain yang masih cukup efektif adalah dengan memasukkan karakter spesial atau "non English" karakter dalam penulisan kode HTML format. Seperti kita ketahui, HTML format dalam penulisan non English karakter akan dimulai dengan karakter & # dan diakhiri dengan ;.
Sebagai contoh, apabila kita menulis huruf é dalam aksen Perancis maka akan ditulis é, dan untuk menulis karakter Σ dalam aksen Yunani akan ditulis Ε.
Dalam kenyataanya, karakter tersebut mempunyai nilai atau akan ditulis dengan format yang equivalent dalam English HTML format, sehingga bila kita menulis karakter A misalnya, maka akan ditulis A. Celah inilah yang akan dimanfaatkan oleh spammer dalam penulisan kata "Viagra" sehingga ditulis Viagra. Dengan demikian, maka sekali lagi spam filer akan tertipu dengan sukses!
Masih dalam konteks penulisan HTML format, ada teknik yang disebut dengan istilah yang dinamakan "Hypertextus Interuptus" yaitu semua informasi atau instruksi yang tertulis dalam HTML tags akan ditulis di antara tanda < >. Sebagai contoh, untuk menulis kata Hello (dalam huruf bold) akan ditulis dalam format HTML sebagai <> Hello < / b >. Kode <> menandakan dimulainya huruf tebal dan < / b > menandakan akhir cetak tebal. Teks di antara tanda tersebut akan muncul sebagai huruf bold dalam browser dan e-mail yang mengerti atau mendukung HTML format.
Seperti dalam bahasa pemrograman komputer lainnya, HTML format juga memberi kesempatan pada creator program untuk memberikan komentar pada basis pemrograman mereka. Ini bertujuan untuk memberikan informasi pada orang yang ingin mengetahui lebih jauh tentang program yang dibuat. Tetapi hal tersebut tidak berlaku apabila format HTML tersebut dimunculkan dengan menyisipkan perintah dimulai dengan ;. Semua comment yang tertulis akan ditampilkan bila dimunculkan dalam format HTML.
Bagaimana penerapan contoh kasusnya? Mudah saja. Untuk mengelabui kata "Viagra", maka spammer akan menulisnya seperti ini di bawah HTML format:
Di sini akan kita ulas bagaimana para spammer bekerja. Kita akan ulas juga sedikit teknik dasar yang mereka pakai untuk mengelabui semua previlage yang kita buat. Bahkan sistem "Bayesian Filter"-pun bisa mereka kelabui dengan teknik-teknik sederhana yang akan kita bahas ini.
Secara garis besar, ada tiga teknik dasar cara bypassing yang dilakukan oleh para spammer. Teknik-teknik tersebut adalah:
• Menyembunyikan kata atau kalimat.
• Menyelipkan kata tersembunyi.
• Menyembunyikan URL.
Mari kita ambil contoh kata "Viagra", salah satu jenis bentuk e-mail spam yang paling banyak ditemui. Walaupun kita sudah membuat list rejected terhadap kata atau kalimat yang mengandung kata tersebut dan sekaligus sudah merupakan default blacklist pada "Bayesian Filters", namun e-mail dengan isi menawarkan pil kejantanan pria ini sering sekali lolos.
Menyembunyikan Kata atau Kalimat
Dengan contoh kalimat "Viagra", kita bisa membuat sebuah spam filter lumpuh tak berdaya dengan hanya memisahkannya menjadi kata V i a g r a. Trik yang amat sederhana tersebut kadang masih efektif. Walau pada beberapa sistem filtering hal tersebut tak lagi bekerja karena metode filering seperti dan seterusnya sudah umum digunakan. Namun demikian, apabila cara penulisan diubah menjadi V’i’a’g’r’a atau V.i.a.g.r.a atau V-i-a-g-r-a atau V*i*a*g*r*a maka biasanya spam akan lolos dengan mudah!
Apabila trik tersebut sudah tak mendukung lagi, maka cara penulisan akan diubah dengan memanfaatkan "logika" yaitu penulisan acak yang hampir tak terbaca oleh kebanyakan orang. Tetapi sudah tentu pesan yang dibawa oleh tulisan tersebut tak mengesankan apapun, hanya berupa teknik supaya spam tersebut masuk dengan sukses ke mailbox Anda dan mengelabui spam filtering system. Teknik penulisan tersebut biasanya seperti ini:
DidAyouFknowNyouMcanBget
VprescriptionVmedications
prescribedTonlineTwith
NORPRIORRPRESCRIPTIONRREQUIRED!
Teknik selain di atas yang cukup efektif adalah dengan memanfaatkan "aksen" dalam bahasa asing. Seperti contoh:
a: à á â ã ä å
e: è é ê ë
i: ì í î ï
o: ò ó ô õ ö
u: ù ú û ü
Dengan mencampur aksen tersebut di atas, akan didapat 144 macam cara untuk menulis kata "Viagra". Contohnya seperti Víagra, Viågra, Vîãgrä dan seterusnya. Kita mungkin bisa saja membaca dan mengerti apa maksud dari penulisan kata tersebut tapi tidak bagi spam filter dan inilah celah yang dimanfaatkan untuk itu.
Cara lain yang masih cukup efektif adalah dengan memasukkan karakter spesial atau "non English" karakter dalam penulisan kode HTML format. Seperti kita ketahui, HTML format dalam penulisan non English karakter akan dimulai dengan karakter & # dan diakhiri dengan ;.
Sebagai contoh, apabila kita menulis huruf é dalam aksen Perancis maka akan ditulis é, dan untuk menulis karakter Σ dalam aksen Yunani akan ditulis Ε.
Dalam kenyataanya, karakter tersebut mempunyai nilai atau akan ditulis dengan format yang equivalent dalam English HTML format, sehingga bila kita menulis karakter A misalnya, maka akan ditulis A. Celah inilah yang akan dimanfaatkan oleh spammer dalam penulisan kata "Viagra" sehingga ditulis Viagra. Dengan demikian, maka sekali lagi spam filer akan tertipu dengan sukses!
Masih dalam konteks penulisan HTML format, ada teknik yang disebut dengan istilah yang dinamakan "Hypertextus Interuptus" yaitu semua informasi atau instruksi yang tertulis dalam HTML tags akan ditulis di antara tanda < >. Sebagai contoh, untuk menulis kata Hello (dalam huruf bold) akan ditulis dalam format HTML sebagai <> Hello < / b >. Kode <> menandakan dimulainya huruf tebal dan < / b > menandakan akhir cetak tebal. Teks di antara tanda tersebut akan muncul sebagai huruf bold dalam browser dan e-mail yang mengerti atau mendukung HTML format.
Seperti dalam bahasa pemrograman komputer lainnya, HTML format juga memberi kesempatan pada creator program untuk memberikan komentar pada basis pemrograman mereka. Ini bertujuan untuk memberikan informasi pada orang yang ingin mengetahui lebih jauh tentang program yang dibuat. Tetapi hal tersebut tidak berlaku apabila format HTML tersebut dimunculkan dengan menyisipkan perintah dimulai dengan ;. Semua comment yang tertulis akan ditampilkan bila dimunculkan dalam format HTML.
Bagaimana penerapan contoh kasusnya? Mudah saja. Untuk mengelabui kata "Viagra", maka spammer akan menulisnya seperti ini di bawah HTML format:
Sehingga munculah kata "Viagra" dalam semua e-mail program yang mengerti dan menampilkannya dalam format HTML. Kadangkala, spammer yang lebih cerdik akan memanfaatkan celah HTML format lain seperti invalid HTML tags, dengan hanya memasukkan kata acak di antara tanda <> yang bekerja baik seperti layaknya penerapan HTML comment seperti di atas. Contohnya akan menjadi seperti ini:
Tampak huruf z (ditunjukkan dengan tanda panah) terlihat amatlah kecil, hampir terlihat seperti sebuah titik saja. Teknik lain yang cukup sulit dan masih banyak digunakan adalah kombinasi fixed width font dan HTML table, seperti contoh di bawah ini:
Viagra
samples
FREE
Dengan format penulisan di atas, spam filter akan jelas-jelas tertipu dan menyebabkan lolosnya e-mail tersebut ke mailbox Anda. Celah yang dimanfaatkan adalah pembacaan tag HTML dalam tabel yang dilakukan dari atas ke bawah untuk tiap kolom dan bukan pembacaan huruf dari kiri ke kanan. Dalam hal ini spam filter akan membaca format tersebut sebagai:
VsF iaR amE gpE rl ae s
Menyelipkan Kalimat Tersembunyi
Bila suatu kata bisa disembunyikan dalam tujuan membuat e-mail spam seolah tak berdosa, maka trik untuk itu bisa terus dikembangkan. Para spammer cenderung membuat suatu terobosan dalam teknik penyembunyian kata atau kalimat ini, mengingat beberapa teknik filter spam mampu membaca "sesuatu" yang tak terbaca oleh si pembaca (penerima email spam). Tujuan tersebut pada akhirnya hanya untuk mengelabui penerima email dengan meloloskan dan menganggap e-mail tersebut "tak berdosa". Bagaimanakah teknik dan langkah penyembunyian ini dilakukan? Berikut akan kita bahas satu demi satu.
Salah satu cara termudah menyembunyikan kata "Viagra" adalah menulisnya dalam warna text yang sama dengan background, yang mana bila ditulis dalam format HTML akan berupa:
Bila suatu kata bisa disembunyikan dalam tujuan membuat e-mail spam seolah tak berdosa, maka trik untuk itu bisa terus dikembangkan. Para spammer cenderung membuat suatu terobosan dalam teknik penyembunyian kata atau kalimat ini, mengingat beberapa teknik filter spam mampu membaca "sesuatu" yang tak terbaca oleh si pembaca (penerima email spam). Tujuan tersebut pada akhirnya hanya untuk mengelabui penerima email dengan meloloskan dan menganggap e-mail tersebut "tak berdosa". Bagaimanakah teknik dan langkah penyembunyian ini dilakukan? Berikut akan kita bahas satu demi satu.
Salah satu cara termudah menyembunyikan kata "Viagra" adalah menulisnya dalam warna text yang sama dengan background, yang mana bila ditulis dalam format HTML akan berupa:
Bagaimana langkah kerjanya? Mudah saja. Spammer akan membuat background dan membuat foreground warna yang amat dekat. Dengan pengkodean warna tersebut, hampir bisa dipastikan bahwa kata yang disembunyikan akan menjadi tak dikenal oleh spam filter dan bahkan oleh mata manusia sekalipun.
Teknik penyembunyian lain adalah dengan memanfaatkan fitur MIME (Multipurpose Internet Mail Extensions) yang memungkinkan setiap e-mail terkirim dengan berbagai format yang berbeda seperti plain text, Word document sehingga pesan yang diterima (setelah memalui proses encoding oleh MIME) akan menampilkan HTML format dan mengabaikan plain text format yang menyertainya. Sebagai contoh:
Teknik penyembunyian lain adalah dengan memanfaatkan fitur MIME (Multipurpose Internet Mail Extensions) yang memungkinkan setiap e-mail terkirim dengan berbagai format yang berbeda seperti plain text, Word document sehingga pesan yang diterima (setelah memalui proses encoding oleh MIME) akan menampilkan HTML format dan mengabaikan plain text format yang menyertainya. Sebagai contoh:
Cara lain yang umum dikenal diantaranya adalah dengan memasukkan potongan berita yang didapat dari situs-situs berita internet terkenal, yang tentunya penggalan kalimat tersebut hanyalah sebagai "tiket masuk". Walau secara teknis berita-berita tersebut memanglah nyata adanya, tetapi sekali lagi dengan teknik penulisan HTML yang tepat, spammer tak akan membiarkan anda membaca berita asli dari situs yang terkait.
Bagaimana langkah kerjanya? Pemberian tanda <> di antara penulisan HTML akan ditampilkan apa adanya pada program-program e-mail client yang mendukung HTML format. Contohnya adalah seperti ini:
Cara lain yang dilakukan adalah menggunakan penulisan <> dengan hasil yang sama dengan teknik-teknik lain seperti pada contoh:
Tentunya semua mengarah ke tujuan yang sama yaitu membiarkan e-mail tersebut bisa ditampilkan secara realita apa adanya dalam mailbox Anda. Teknik yang jarang terdapat tetapi ditengarai cukup banyak beredar adalah dengan menggunakan "Marquee". Dengan menggunakan teknik tersebut, kita bisa memasukkan kata apa saja dengan menyembunyikannya di antara kata lainnya. Penerapannya sebagai berikut:
Teknik Menyembunyikan URL
URL biasanya akan secara spesifik terbaca sebagai suatu alamat web. Contohnya www.yahoo.com. Tetapi HTML amat fleksibel dalam membaca suatu alamat situs di internet sebagai sesuatu yang lain. Dengan melalui sistem pengkodean, teknik pembacaan URL bisa amat berbeda jauh dari apa yang selama ini kita perkirakan. Bisanya teknik tersebut dinamakan "Enigma dan Ultra". Teknik yang cukup rumit ini dalam pelaksanaanya terbagi menjadi 4 langkah. Berikut penjabaranya.
1. Ambil IP (Internet Protocol) suatu website (bisa gunakan "host" command) kemudian convert menjadi satu angka desimal dengan menggunakan formula: (X3*256^3) + (X2*256) + X0, di mana IP adress adalah X3.X2.X1.X0.
2. Convert semua angka dari langkah ke 1 menjadi hexadesimal, kemudian ubah semua prefix dengan “0x”.
3. Convert semua elemen dalam IP adress tersebut dengan Octal Base, kemudian ubah tiap prefix menjadi “0”.
4. Ambil nilai kode ASCII dari tiap karakter yang ada dengan menggunakan symbolic address (menggunakan ASCII tabel), convert semua nilai ke dalam hexadecimal dan ubah semua prefix dengan “%” dan kemudian gabungkan menjadi satu baris.
Contoh yang penggunaan formula tersebut dengan URL www.yahoo.com sebagai contoh adalah:
http://3631052355/ > langkah 1
http://0xD86D7643/ > langkah 2
http://0330.0155.0166.0103/ > langkah 3
http://%77%77%77%2E%79%61%68 > langkah 4
%6F%6F%2E%63%6F%6D/
Dengan demikian, URL suatu e-mail spam tak akan terdeteksi, sebab suatu celah pembacaan authentifikasi URL yang benar-benar valid (sebagai URL referensi pada spam filter) akan lumpuh tak berdaya. Teknik tersebut akan menjadi sangat berbahaya bila digabungkan dengan protokol HTTP dalam penulisan "syntax" format http://username@host/ (yang paling sering digunakan adalah format penulisan http://host/) sehingga format yang ada akan ditulis seperti ini:
http://www.microsoft.com@3631052355/
Sehingga validasi URL cek terhadap suatu e-mail akan menjadi lumpuh, karena mengira bahwa e-mail tersebut berasal dari www.microsoft.com dengan mengabaikan “syntax host” yang sebenarnya.
Teknik lain yang mirip dengan tersebut di atas tetapi dengan menggunakan bug celah keamanan pada Internet Explorer yang belum di-patch, (Informasi patch dapat dilihat di www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS04-004.asp) bahkan mampu menampilkan informasi yang menyesatkan. Dan informasi tersebut akan tampak di status bar jendela Internet Explorer Anda seperti kode HTML yang tertulis dibawah ini:
Sekali lagi, URL sesat tersebut sebenarnya membawa Anda ke http://3631052355/ walau jendela status bar IE Anda menampilkan www.microsoft.com. Bagaimana itu semua terjadi? Sebenarnya mudah saja. Perhatikan tanda % 0 0 menjadi satu sebelum tanda @ menampilkan URL yang sebenernya. Suatu celah kecil dan hampir tak terlalu diperhatikan oleh para pemakai IE (yang belum di-patch) yang benar-benar berbahaya.
Cara lain yang memanfaatkan format penulisan Javascript dalam single variable dengan tujuan bahwa pesan dari spam tersebut tak akan di decode sampai pesan tersebut dibuka. Dengan harapan, spammer akan bisa mengelabui spam filter dengan sebuah script yang berisi pesan spam yang diikuti oleh Javascript. Salah satu contoh konsep tersebut adalah:
Salah satu konsep lain dari penulisan Javascript yang akan menimbulkan kesan WYSI_not_WYG adalah dengan menyembunyikan URL yang hanya akan muncul di status bar browser. Bila kita mengarahkan mouse pada script yang tertulis "clik here" pengguna yang kurang teliti akan berpikir bahwa mereka telah mengunjungi suatu site valid walau sebenarnya URL yang diakses amatlah berbeda. Bentuk konsep dibawah ini bisa menjadi salah satu contoh:
Demikianlah sekilas pembahasan teknik-teknik baik yang secara umum kita jumpai sehari-hari ataupun teknik yang cukup jarang kita lihat. Satu poin berguna dari pembelajaran kita terhadap spammer adalah kita harus selalu meng-update spam filter yang ada, baik secara software ataupun dengan previlage yang kita buat sendiri berdasarkan pengamatan keseharian atas e-mail-e-mail spam yang masuk.
Sebenarnya, sungguh sesuatu hal yang amat menarik mempelajari bagaimana spammer bekerja. Segala teknik dan cara mereka lakukan hanya demi memperjuangkan e-mail spam tersebut masuk ke mailbox Anda, sehingga Anda harus repot men-delete nya, membuang banyak bandwith, menyita waktu dan memperberat e-mail server ISP Anda. Di lain sisi, spammer pun mengerti dan mahfum bahwa semua kerja keras mereka sebenernya akan sia-sia saja, sebab mungkin dalam 1000 e-mail yang ada di mailbox Anda, hanya 1 e-mail yang benar-benar Anda baca, walau akhirnya Anda delete juga.
Demikianlah sekilas pembahasan teknik-teknik baik yang secara umum kita jumpai sehari-hari ataupun teknik yang cukup jarang kita lihat. Satu poin berguna dari pembelajaran kita terhadap spammer adalah kita harus selalu meng-update spam filter yang ada, baik secara software ataupun dengan previlage yang kita buat sendiri berdasarkan pengamatan keseharian atas e-mail-e-mail spam yang masuk.
Sebenarnya, sungguh sesuatu hal yang amat menarik mempelajari bagaimana spammer bekerja. Segala teknik dan cara mereka lakukan hanya demi memperjuangkan e-mail spam tersebut masuk ke mailbox Anda, sehingga Anda harus repot men-delete nya, membuang banyak bandwith, menyita waktu dan memperberat e-mail server ISP Anda. Di lain sisi, spammer pun mengerti dan mahfum bahwa semua kerja keras mereka sebenernya akan sia-sia saja, sebab mungkin dalam 1000 e-mail yang ada di mailbox Anda, hanya 1 e-mail yang benar-benar Anda baca, walau akhirnya Anda delete juga.
0 Response to "Mengenali Cara Kerja Spammer"
Posting Komentar