Подмена заголовка письма

Предисловие:

Тебе приходилось когда-нибудь
отсылать трояны "от другого лица" на
ящики пользователей? Тогда ты знаешь, что
успех зависит от нескольких факторов: во-первых
от того, кому попало письмо (ламер, юзер,
хакер и т.д.), во-вторых от умения
использовать социальную инженерию и в-третьих
от умения фальсификации заголовков.

Инструментарий:

Итак, что же нам понадобится:

1. Прога для создания письма.
   Подойдёт любая: TheBat!, АутГлюк и т.д. Если
   нужно отослать более одного письма,
   рекомендую SendIt.

2. Прога для массовой рассылки
   писем с поддержкой использования прокси (Advanced
   Direct Remailer, G-Loch
   EasyMail, Advanced
   Mass Sender , Group
   Mail Free, Mega-MailerPro,
   Beijing Express Direct
   Email Blaster и т.
   д.)

3. Прога для работы других прог
   через прокси: Socks Chain
   и т. д.
4. Ну, и письмо от чела, чьим "двойником"
   станешь.

Все эти проги я описывать не буду.
Это выходит за рамки моей статьи. Описание
прог под пунктом "2" можно найти в
последнем номере журнала "Хакер" (ver 02.03
(50)).

Принцип работы

Принцип работы прост, как всё
гениальное: если пользователь
засомневается, что письмо пришло от того,
кто указан в поле "От", он полезет в
заголовки и будет с умным лицом их изучать (а
может и сравнит с пришедшими до этого
письмами). Поэтому нам надо подменить
заголовки писем на те, которые указываются
в настоящем письме. Вот для чего нам
требовалось получить письмо от того, кем мы
притворимся.

Формирование письма

Самый первый этап работы
заключается в правильном создании письма.
"А что сложного в создании писем?"
спросишь ты. Под "созданием письма" я
имею ввиду не текст письма, а создание
заголовков. Итак, всем известно, что при передачи письма
почтовому серверу тот вставляет свой
заголовок в начало. Т. е. самый первый
заголовок будет от сервака, где находится
твоё мыло, т.к. он последний получил письмо. Наша задача состоит в том, чтобы отправить
письмо серверу где находится мыло жертвы
напрямую, т.е. минуя другие сервера, и при
этом притворится настоящим отправляющим
сервером.

Вот тут нам понадобятся две проги (или
одна - смотря какими пользуешься): любой
почтовик и одна из прог под пунктом 2.

Внимание

Здесь и далее при описании работы
с прогами я имею ввиду проги Advanced Direct Remailer и
Socks Chain. Остальные программы должны работать
аналогично.

В почтовике составляем текст
письма. Это уж как-нибудь без меня. После
того, как письмо написано, его нужно
перенаправить к проге ADR (Advanced Direct Remailer). Для
этого в настройках почтовика заполняем
поле SMTP сервера как "localhost" (без кавычек) и отправляем письмо. Теперь
заходим в ADR, кликаем правой кнопкой мыши на
письмо и выбираем "Посмотреть сообщение".
У нас высвечивается Блокнот, в котором
показаны текст письма и заголовки
почтовика. Текст письма не трогаем, а вот
заголовки удаляем и вставляем нужные. Для
этого надо открыть письмо того чела, кем мы
будем прикидываться и настроить почтовик
на показ заголовков (например, в русском TheBat!
это делается так: вид-> показывать
заголовки (RFC-822)).

Нужно вставить все заголовки этого
письма, кроме самого первого (последний
заголовок вставит сервер). Теперь заголовки
необходимо отредактировать: заменить мыло
получателя на то, на которое собираешься
посылать письмо, изменить дату и время на то,
которое будет при отправке. При этом нужно
подсчитать разность времени между
получениями письма серверами, через
которое оно проходит, и ставить время для
каждого сервера своё.

Теперь лезем в настройки ADR.
Заходим в раздел "Доставка" и в поле
"Домен для "HELO"" пишем название
сервака, который отправляет почту (в
заголовках письма оно указано рядом с его IP).
Далее нам понадобится Socks Chain. В настройках
устанавливаем, через сколько проксей нужно
отправить письмо до того, как оно попадёт на
SMTP (хватит и одного). Не закрывая SC снова
лезем в настройки ADR-> "Прокси". Здесь
указываем адрес прокси как 127.0.0.1 и порт,
который стоит в настройках SC (по умолчанию
1081).

Всё, отправляем письмо.

Тест

До начала отправки жертве письма
рекомендую отправить письмо самому себе, и
посмотреть заголовок. Вот, что было у меня в
заголовке тестового письма (без вставки
нужных заголовков): 

From shanker@mail.ru Sun Dec 08 09:04:04 2002
Envelope-to: shanker@mail.ru
Delivery-date: Sun, 08 Dec 2002 09:04:04 +0300
Received: from [12.221.199.26] (helo=webserver2.kaspersky-labs.com)
        by mx5.mail.ru with smtp (Exim
SMTP.5)
        id 18KuXr-000GQc-00
        for shanker@mail.ru; Sun, 08 Dec 2002
09:04:04 +0300
From: <shanker@mail.ru>
To: shanker@mail.ru
Subject: Тест.
Mime-Version: 1.0
Content-Type: text/plain; charset=windows-1251
Message-Id: <E18KuXr-000GQc-00@mx5.mail.ru>
Date: Sun, 08 Dec 2002 09:04:04 +0300

Думаю, не для кого не секрет, кем я
хотел представиться 🙂

Проблемы

Иногда почтовые сервера с высокой
степенью защиты от спама не принимают почту,
если указать в "Домене для "HELO"" не
настоящее имя сервера, с которого пришло
письмо (такое было с mail.ru и hotbox.ru). Вероятно,
сервер сравнивает IP с какого идёт письмо (в
случае с использованием прокси - его адрес)
с IP сервера, на котором находится ящик
отсылающего. В этом случае письмо попадает
в "Плохие" с ошибкой "Почтовый ящик
не существует на этом сервере". Вероятные
решения этой проблемы:

1. Заменить имя домена на настоящее
   (в случае использования прокси - указать
   его IP)

2. Попытаться использовать IP-спуфинг

3. Сделать имя своего компа таким
   же, как и у хоста, который указывается в
   "Домен для "HELO" (на тот случай, если
   твою машину при соединении регистрируют
   в сети прова).

При отправке письма напрямую,
некоторые сервера отказываются работать,
если используется их служба, а в строке "От"
указан  ящик, чей аккаунт находится у
другого сервера (такое было у mail.ru).

Сервер отказывается принять
письмо, если указан несуществующий
обратный адрес.

В  последнее время многие
сервера отказываются принимать почту, если
определённый IP соответствует прокси. Здесь
также стоит попробовать спуфинг.

Плюсы и минусы данного способа

К достоинствам этого способа можно
отнести возможность рассылки писем без
засветки своих реальных  данных (IP, имя компа,
и т.д.) При этом, этот способ вполне может
подействовать не только на ламеров, которые
и о заголовках-то никогда не слышали, но и на
юзеров, если те полезли в заголовки письма (там
всё идентично, кроме IP).

Недостаток: может найтись тот
чувак, который проверит соответствие IP и
имя указанного домена. Но всё равно, уж
лучше так, чем отсылать заведомо
неправильно сформированное письмо.

Заключение

Ну, вот и всё. Желаю тебе побед в
нелёгкой борьбе против ламеров.