Spam se mění a filtrace přestává být efektivní

Petr Krčmář 28. 3. 2011

Už několik měsíců se mluví o tom, že spamu výrazně ubývá a uživatelé proto mají důvod k radosti. Pokles je výrazný a dlouhodobý, takže to vypadá, že spamu odzvonilo. Nic ale není tak jednoduché, při bližším prozkoumání zjistíme, že je to pravda jen napůl a spameři změnili své metody blíže k efektivitě.

Spamu je málo! Slavíme!

Už několik měsíců se hovoří o tom, že spamu ubývá a tvoří už méně než 80 % korespondence. Podle Symantecu je spamu nejméně od roku 2009 a jeho množství dále klesá. Zdá se, že budoucnost je krásná a růžová a za čas budeme moci vypnout všechny složité spam filtry. Nebo ne?

Možná už jste zjistili, že život není nikdy tak jednoduchý a každá vyřčená věta má své „ale“. I v tomhle případě se k větě „Spamu ubývá, hurá!“ váže příslušná souřadicí spojka, navíc následovaná pořádně složitým souvětím. Nikdo totiž uspokojivě nezdůvodnil, proč by vlastně mělo spamu ubývat.

Odpověď „přechází na sociální sítě“ zní sice docela dobře, ale nevysvětluje, proč by měli spameři opustit jisté prostředí a hnát se do něčeho nového. Nebylo by jednodušší dělat zároveň mail i Facebook spam? Proč kvůli novému obchodu vlastně rušit ten starý a zaběhnutý? Takové a podobné otázky musejí přijít na mysl každému, kdo se nad problémem ubývajícího spamu zamyslel.

Rozhodli jsme se přijít problému na kloub a přizvali jsme k tomu Tomáše Charváta, odborníka na spam ze společnosti Excello, která se zabývá filtrováním elektronické pošty pro firmy, instituce a organizace. Přes její servery denně projde až 100 GB pošty. Má tedy dostatečně ohromný vzorek, který je možné zkoumat, a také zkušenosti k jeho interpretaci.

Spamu skutečně ubývá, ale…

Na začátku našeho setkání Tomáš Charvát skutečně potvrzuje klesající trendy, co se týče množství spamu, který se snaží projít na SMTP servery. Intenzita provozu na SMTP vstupech v roce 2011 klesla na 20 % hodnot roku 2010, tvrdí a dokládá to grafem, na kterém je pokles velmi dobře patrný.

Červená (spodní) křivka ukazuje počty mailů, které byly odmítnuty přímo na vstupu SMTP serveru. Jsou to ty, u kterých ani nedostaneme tělo zprávy. Většinou narazí na greylisting nebo jinou jednoduchou techniku, která spojení odmítne velmi rychle, popisuje graf Charvát. Tento graf je přitom velmi zásadní, protože ukazuje, že se stalo něco, co způsobilo celkově menší toky mailů, ale zároveň výrazně více srazilo množství odmítané pošty přímo na vstupech.

Výsledkem je, že tyto úvodní nárazníky přestávají fungovat. Filtry na vstupech dříve odstranily 90 % spamu, dnes je to méně než 15 %, přidává konkrétní čísla Tomáš Charvát. Například dříve populární greylisting byl před pěti lety velmi účinný, ale dnes už prakticky na spam nezabírá. Greylisting je vlastně dnes kontraproduktivní, protože už jen poštu zdržuje.

…spammeři jsou efektivnější

Důvod je při bližším zkoumání zřejmý – spammeři se začali velmi rychle přizpůsobovat pokročilým technologiím filtrace a upravují své postupy tak, aby co nejvíce ztěžovaly analýzu a filtraci. Že se jim to daří, dokazují další konkrétní čísla ze statistik.

Tomáš Charvát

Intenzita celkového toku na vstupech filtrů sice klesla na 20 %, ale objem spamu v něm klesl jen na 50 %. Spammeři tedy ubrali plyn, ale zároveň se zaměřili na efektivitu a zlepšili tak své šance při průchodu filtračními systémy.

Spamfiltry Excella dělí poštu do tří skupin – je spam, není spam a nerozhodnuto. Pošta ze třetí skupiny pak u klientů padá do takzvané karantény. V komerčním sektoru se nám velikost karantény až zdvojnásobila, u zákazníků ze státního sektoru a univerzit dokonce až ztrojnásobila, vysvětluje Charvát a dodává, že tato čísla dokazují zvýšenou efektivitu spamerů. Spam už není možné tradičními prostředky tak dokonale filtrovat, jako dříve.

Nepříjemným důsledkem také je, že filtrování je náročnější na procesorový čas. Filtry se obvykle řadí od nejméně náročných po ty složité. Pokud se spam odhalí už na začátku procesu, další filtry už na něj neaplikujeme, popisuje Charvát proces odhalování spamu. Tím, jak roste kvalita spamu, selhávají jednoduché a rychlé testy na začátku a mail se podrobuje náročné kontrole obsahu. Je potřeba strojově prozkoumat celý obsah e-mailu. To samozřejmě prodlužuje a prodražuje filtrování pošty. Za poslední rok se nám zdvojnásobil průměrný procesorový čas potřebný na filtraci jednoho mailu, popisuje dramatický nárůst Charvát.

Anketa

Pozorujete zvýšený počet spamů ve schránce?

I spameři inovují aneb nové techniky

Spameři se dříve zaměřovali jen na kvantitu. Rozeslat velké množství spamu je možné téměř zadarmo, takže čím více jej rozešleme, tím více lidí se chytne a tím víc vyděláme. Tak znělo dřívější heslo. Ukázalo se ale, že takový spam je možné dobře filtrovat a vznikla řada společností, které to dokázaly s vysokou efektivitou.

Bylo tedy třeba najít nové metody, které by umožnily snížit celkový tok, ale naopak dosáhnout lépe kýženého efektu – průchodu spamu do schránek uživatelů. Spameři proto v posledním roce změnili svou taktiku a začali využívat moderních postupů. Některé trendy zmiňuje i Tomáš Charvát.

Velkou změnou je intenzivní využívání klasických mailserverů namísto rozsáhlých sítí botnetů. Spam z botnetů je totiž možné jednoduše filtrovat, říká Charvát. Je možné hlídat blacklistované IP adresy, existenci mailserveru, reverzní záznamy, detekovat operační systémy (nejčastějším zdrojem botnet spamu jsou Windows XP) a podobně. Spammeři proto dnes raději kradou přihlašovací údaje k různým freemailům a rozesílají poštu přes regulérní uživatelské účty. Takový spam se chytá výrazně hůře, protože řada technik selhává.

Tomáš Charvát

Podobně se dnes útočí i na firemní mailservery. Čím dál častěji se objevuje phishing zaměřený přímo na české firemní uživatele. Jsou to velmi dobře udělané útoky a přibývá jich, vysvětluje Charvát. Cílem je klasicky vylákat z uživatele přihlašovací údaje a pak je velmi rychle zneužít k rozeslání spamu přes firemní server. Phishing vypadá například takto:

Překročili jste limit úložiště na poštovní schránce. Nebudete moci
odesílat nebo přijímat novou poštu dokud upgrade vaší e-mailové kvóty.

Zkopírujte níže odkaz a vyplňte formulář pro upgrade svého
účtu.

http://www. (redakčně upraveno) /emmailovyucetaktualizace/form1.html

Správce systému

Že se jedná o velmi oblíbený způsob šíření spamu, dokládají i reálné statistiky . V roce 2010 byl jen jeden z pěti největších zdrojů spamu plnohodnotným mailserverem. Dnes je to všech pět z pěti, říká Tomáš Charvát. Vlastně už tak není možné nikomu věřit a umístit jeho adresy na whitelisty. Každý server je dnes potenciálně cílem spamerů a i důvěryhodný stroj tak může sloužit k rozesílání spamu.

To způsobuje řadu praktických problémů. Například nejnovější vlna phishingu zaměřeného na Českou Spořitelnu pocházela ze serverů Microsoftu. Spamy se šířily několik týdnů, protože nebylo možné zablokovat zmíněné servery. Server Google a Microsoftu si nikdo nedovolí dát na blacklisty, my jsme se o to několikrát neúspěšně pokoušeli, ale nic takového nemáte šanci prosadit, stěžuje si Charvát.

Ve jménu efektivity také spameři vylepšují svůj software, aby byl schopen co nejrychleji rozesílat velké množství spamu na mnoho domén. RFC například zakazuje, aby byla v rámci jednoho spojení odeslána pošta pro více domén. Odesílací software spamerů to ale dnes běžně dělá. Přišli jsme na to náhodou a byli jsme překvapení tím, jak je to elegantní a chytré. Otevře se jedno spojení a ‚stříkne‘ se do něj sto spamů pro více domén, které daný server obsluhuje.

Změny i v obsahu

Kromě technik rozesílání spamu se mění také jeho obsah. Spameři jdou opět do výkonu a efektivity. Obrázkový i PDF spam je dnes pasé, dnešní typický spam je jednoduchý plaintext s jedním odkazem a malou velikostí, říká Tomáš Charvát. Příklad takového spamu může vypadat asi takto:

To je informovat Vás, že jste byl vybrán pro peněžní cenu $ 1,000,000.00 USA
v roce 2011 v sídle v Nigérii. Proces výběru byl proveden prostřednictvím
náhodného výběru v našem e-mailem elektronický systém výběru z databáze, a
to přispělo k ECOWAS pro podporu míru a přátelství mezi Afrikou a ve všech
částech světa, a více než 250.000 e-mailových adres, ze kterých byly jste
byli vybrán. Kontaktujte naše tvrzení agent v Nigérii Head Office:

Agenti Jméno: Henry Osazuwa
E-mail: atmcard07@live.com
+2348138943691

Malá velikost takových sdělení paradoxně pomáhá v odhalování spamů, protože je pravděpodobné, že menší pošta obsahuje více spamu. Pokud má mail megabajt, tak to určitě není spam. Tak velké spamy se objevují jen zřídka, protože je problém je ve velkém rozesílat, vysvětluje Charvát. Velikost konkrétního mailu tak může být velmi spolehlivým parametrem při filtraci.

Zajímavé je, že se ve spamu kromě klasických odkazů a e-mailových adres pro odpověď začala objevovat také telefonní čísla. Podle Tomáše Charváta se mění také cíl spamu: Je vidět, že převážná většina současných spamů je o sbírání osobních údajů a dat.

Efektivita, efektivita, efektivita

Úvodní větu bychom tedy mohli zjednodušeně dokončit jako: „Spamu sice ubývá, ale zlepšuje se jeho efektivita, takže uživatelé ho ve schránkách mohou mít paradoxně více.“ Spameři opustili všechny obskurní postupy zahrnující divné přílohy, obrázky, PDF a snaží se naopak přiblížit spam podobě nejběžnějších mailů, které si uživatelé denně vyměňují. Spam tedy dnes připomíná jednoduché sdělení vašeho kolegy z práce.

I způsoby odesílání se změnily, spameři opouštějí snadno odhalitelné botnety a stahují se kolem freemailů a dalších mailserverů. To opět komplikuje detekci, neboť spam i z hlediska zdroje připomíná běžnou poštu. Správcům mailserverů tak nadcházejí krušné časy, je třeba posilovat infrastrukturu a věnovat spamu ještě více pozornosti.

Našli jste v článku chybu?
DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Neuvěříte, ale EET má pro podnikatele i výhody
MarketVoice

Neuvěříte, ale EET má pro podnikatele i výhody

DigiZone.cz: Slováci první, Češi třetí. Krásný...

Slováci první, Češi třetí. Krásný...

120na80.cz: Jsou opalovací krémy pro děti jiné?

Jsou opalovací krémy pro děti jiné?

DigiZone.cz: Skylink zapojil nový transpondér

Skylink zapojil nový transpondér

DigiZone.cz: Skylink: Nova Sport volně

Skylink: Nova Sport volně

Root.cz: Střílejte v obýváku, stačí kamera a projektor

Střílejte v obýváku, stačí kamera a projektor

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle

Lupa.cz: eIDAS je tu. O co přijdeme u elektronických podpisů?

eIDAS je tu. O co přijdeme u elektronických podpisů?

Měšec.cz: Od kdy musí studenti platit pojistné?

Od kdy musí studenti platit pojistné?

Podnikatel.cz: Eseróčko vs. živnost. Co vyhrává?

Eseróčko vs. živnost. Co vyhrává?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

DigiZone.cz: Markíza: tady je předběžné opatření

Markíza: tady je předběžné opatření

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

Vitalia.cz: Další Míša má Klasu

Další Míša má Klasu

DigiZone.cz: Nova: technické pauzy každé 1. pondělí

Nova: technické pauzy každé 1. pondělí

Podnikatel.cz: Oblíbené Babišovo reverse charge. Potopilo je?

Oblíbené Babišovo reverse charge. Potopilo je?

Lupa.cz: Jaké IoT tarify nabízejí mobilní operátoři?

Jaké IoT tarify nabízejí mobilní operátoři?