Ochrona poczty przed spamem

Nie jest najważniejsze to, czy wystarczająco walczy się ze spamem, ale raczej czy produkty, których się używa, nie zawierają zbyt wielu ukrytych luk w kodach, pozwalających spamerom i operatorom botnetów na wejście do ich sieci.

Nie jest najważniejsze to, czy wystarczająco walczy się ze spamem, ale raczej czy produkty, których się używa, nie zawierają zbyt wielu ukrytych luk w kodach, pozwalających spamerom i operatorom botnetów na wejście do ich sieci.

Ochrona poczty przed spamem

Zawartość spamu

Organizacje i firmy są często nieświadomymi generatorami spamu. Znane marki nadal mają problem z wykorzystaniem ich witryn internetowych przez spamerów, a także przejmowaniem komputerów w ich sieciach przez boty, pomimo inwestowania w różne technologie przeznaczone do walki z tym.

Problem się nasilił, kiedy spamerzy zaczęli ukierunkowywać się na sieci bot kontrolowane przez stronę trzecią i wynajmować je do dystrybucji swoich przesyłek za pośrednictwem tak opanowanych komputerów.

Do omijania filtrów "tekstowych" spamerzy używają plików graficznych GIF, JPEG czy BMP. Pojawiły się też pliki PDF przenoszące kod złośliwy, wykorzystujący luki Acrobat Reader, załączniki chronione hasłem, które omijają precyzyjne filtry poczty elektronicznej i skanery bezpieczeństwa.

Rosnący wolumen spamu

Po kilku latach spadku, jesienią 2006 r. nastąpił gwałtowny wzrost spamu, kiedy to spamerzy odkryli, że umieszczanie tekstu w plikach graficznych pozwala na skuteczne omijanie filtrów antyspamowych.

W połowie roku 2007 "klasyczny" spam obrazkowy zaczął zanikać, ale jego miejsce zajął spam PDF, w którym treść wiadomości zawarto w załączniku PDF. Ponieważ filtry antyspamowe zostały dostosowane do spamu PDF, wykorzystując sposoby już stosowane przez silniki antyspamowe do innych rodzajów spamu obrazkowego, pojawił się spam zawierający zmieniające się załączniki PDF. Ta zmienność to różny rozmiar plików PDF, zmiany wprowadzane na poziomie pikseli, a także wtrącanie losowych tekstów do plików.

Silniki antyspamowe nie są w stanie przetworzyć tak dużej liczby odmiennych postaci plików w rozsądnym czasie. Większość wariacji plików PDF jest tworzona automatycznie przez botnety.

Pod koniec października pojawiły się wiadomości z załącznikiem PDF, po otwarciu którego zawarty w pliku kod złośliwy wykorzystywał lukę CVE-2007-5020 Acrobat Reader (i Internet Explorer 7.0) i sprowadzał kolejny element kodu złośliwego. Celem ataku było włączenie zainfekowanej maszyny do sieci bot. (Łatki likwidujące tę lukę wersji 8.1 i wcześniejszych Adober Reader i Acrobat firma Adobe udostępniła 22 października 2007 r.)

Spam w autoodpowiedzi

Ochrona poczty przed spamem

Przykłady konstrukcji spamu graficznego

Pojawił się też spam, wykorzystując mechanizm poczty elektronicznej, pozwalający na automatyczne powiadomienia o niedostępności lub nieobecności adresata.

Spamerzy zakładają konta pocztowe na różnych portalach internetowych i konfigurują autorespondery tych kont na rozsyłanie spamu w odpowiedzi na przychodzące wiadomości. Na tak skonfigurowane konta wysyłają wiadomości ze zmodyfikowanymi adresami nadawców, którzy są celem kampanii spamowych. W wyniku tego prostego zabiegu, prawdziwi właściciele tych adresów otrzymują spam rozsyłany przez autoresponder.

Taki sposób rozsyłania spamu ma tę zaletę, że pozwala ominąć filtry antyspamowe. Automatyczna odpowiedź pochodząca ze skrzynki pocztowej, zlokalizowanej na popularnych i dobrze znanych serwisach internetowych, nie wzbudzi podejrzeń większości narzędzi antyspamowych. W przeciwieństwie do niechcianych wiadomości, rozsyłanych za pomocą botnetów, spam z autorespondera ma prawdziwego nadawcę.

Spam obrazkowy

Spam graficzny jest swoistą odpowiedzią na używanie do walki z aktywnością botnetów takich technik, jak CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart - koncepcja nazwana tak na cześć Alana Turinga, angielskiego matematyka, ojca współczesnej computer science). Jest to technologia stosowana w zabezpieczeniach formularzy na stronach WWW - wprowadzenie danych wymaga przepisania prezentowanego na obrazku tekstu, najczęściej zdeformowanego. Zakłada się, że taki tekst jest trudny do rozpoznania przez komputer, natomiast prosty dla człowieka. Technika ta, która ma chronić portale przed zakładaniem kont przez automaty, czy fora dyskusyjne przed spamem, opiera się na założeniu, że botnety i inne programy nie mogą dostatecznie efektywnie przetwarzać obrazów i rozpoznać słów zawartych w obrazie.

Jednak ten sam aspekt tej technologii obecni spamerzy wykorzystują do tworzenia spamu neutralizującego filtry antyspamowe.

Spam obrazkowy generowany jest zazwyczaj w dwóch etapach. Pierwszy to konstrukcja wzorca, w którym tworzy się szablon obrazka z odpowiednią zawartością. Głównym celem jest wykorzystanie różnych metod (np. CAPTCHA) do zmylenia graficznych technik rozpoznawania spamu (m.in. OCR). W drugim etapie wykonuje się randomizację, w którym to procesie z szablonu generuje się dużą liczbę wariantów w celu oszukania technik antyspamowych bazujących na sygnaturach. Wśród metod konstrukcji obrazów można wyodrębnić m.in.: tekst prowadzony po linii falistej, trudny do rozpoznania przez systemy OCR; deformacja tekstu (różne fonty, pisane ręcznie, różne kolory); teksty pochylone pod pewnym kątem (rotacja) do linii horyzontalnej, także utrudniające stosowanie OCR.


TOP 200