Spameri koriste hexadecimalne IP adrese kako bi izbjegli detekciju

Spameri koriste hexadecimalne IP adrese kako bi izbjegli detekciju
DepositPhotos

Spam je problem s kojim se internetski svijet bori otkako je interneta, a ono što muči apsolutno sve njegove protivnike jest kako se ta prevara uopće uspijeva održavati, unatoč tehnološkom napretku.

Najsažetiji odgovor jest da se spam razvija usporedo s tehnologijom, koristi njene mane i prednosti kako bi napredovao. Ali, kad se "zagrebe" ispod te površine, dobije se detaljniji uvid u funkcioniranje spama. Primjerice, Trustwave je otkrio da grupa spameta koristi jako lukav trik za izbjegavanje detekcije.

On počiva na RFC791, standardu koji opisuje Internet Protocol (IP). Ujedno, on opisuje i kako IP adrese izgledaju, a nama su najpoznatije u klasičnom obliku. Primjerice, kao 192.168.0.1. No, one se mogu "ispisivati" i u drugim formatima:

- oktalno: 0300.0250.0000.0001 (svaka decimala se konvertira u oktalnu bazu)

- heksadecimalno: 0xc0a80001 (svaki decimalni broj se konvertira u heksadecimalni broj)

- cijeli broj/DWORD - 3232235521 (heksadecimalni IP se konvertira u cijeli broj)

Spameri su shvatili da se heksadecimalne IP adrese mogu iskoristiti za njihove ciljeve pa u e-mail porukama kojima žele izvesti prevaru koriste URL u obliku kao ovaj "https://0xD83AC74E". Preko njih se dolazi do spamerskih web stranica, ali poanta je da se uz heksadecimalno rješenje izbjegava detekcija pa internetski preglednik i zaštite koje koristi ne prepoznaju problem pa normalno dopuste pristup tim stranicama.

Iako su takvi spam napadi krenuli sredinom ovog srpnja, prvi put su u široj mjeri zabilježeni tijekom ljeta prošle godine. Dakle, zaključak cijele priče je da se zaduženi za sigurnost moraju prilagoditi ovom triku te pronaći konkretna rješenja. U suprotnom bi moglo nastatipodosta neželjenih problema, a iz aktualne bi situacije spameri mogli evoluirati u nešto još opasnije i teže za detektirati.