[Perl] phishing Regex

woensdag 16 maart 2011 14:37

Acties:

0 Henk 'm!

Topicstarter

Een spamfilter welke gebruik maakt van Spamassassin heeft de laatste tijd nogal last van ING Phishing mailtjes welke niet gematcht worden. Ik heb al enkele custom rules toegepast maar deze werken niet voor alle mailtjes.

Iets dat in alle mails overeenkomt welke niet door andere regels worden gegrepen is dat er een url in voor komt als:

HTML:

1	<a href="http://www.duchaivietnam.com/images_tintuc/update.php" target="_blank">https://www.abnamro.nl/nl/logon/identification.html</a>

Deze heb ik nu gematcht met de volgende regel:

Perl:

1
2
3

rawbody    LOCAL_HTTP_AS_HTTPS  /<a href=\"http:\/\/.+?\".*?>https:\/\/.+?<\/a>/i
score      LOCAL_HTTP_AS_HTTPS  7.5
describe   LOCAL_HTTP_AS_HTTPS  HTTP URL disguised as HTTPS (probably phishing)

Dit straft http url's welke zich voordoen als https url's. Ik wil dit echter nog uitbreiden naar andere vormen van phishing. De regels hiervoor:

HTML:

1
2
3

<a href="http://www.duchaivietnam.com/images_tintuc/update.php" target="_blank">https://www.abnamro.nl/nl/logon/identification.html</a> moet matchen
<a href="http://www.duchaivietnam.com/images_tintuc/update.php" target="_blank">http://www.duchaivietnam.com/images_tintuc/update.php</a> moet niet matchen
<a href="http://google.nl">Klik voor google</a> moet niet matchen

Ik ben al een end op weg met m'n regex, alleen krijg ik het laatste stuk niet in elkaar.

Perl:

1	<a href=\"http(s?:\/\/.+?)".*?>http(?!\1)</a>

Dit matched niets, logies aangezien ik aangeef dat er gematcht moet worden als de href url NIET in de text voor komt. Alleen moet de 'fake' url daarna nog gematcht worden. Helaas geeft http(?!\1).+?</a> ook een match voor legitieme URL's (2e voorbeeld)

Reageer

Onderwerpen