Hlavní navigace

Spam se mění a filtrace přestává být efektivní

28. 3. 2011
Doba čtení: 7 minut

Sdílet

Už několik měsíců se mluví o tom, že spamu výrazně ubývá a uživatelé proto mají důvod k radosti. Pokles je výrazný a dlouhodobý, takže to vypadá, že spamu odzvonilo. Nic ale není tak jednoduché, při bližším prozkoumání zjistíme, že je to pravda jen napůl a spameři změnili své metody blíže k efektivitě.

Spamu je málo! Slavíme!

Už několik měsíců se hovoří o tom, že spamu ubývá a tvoří už méně než 80 % korespondence. Podle Symantecu je spamu nejméně od roku 2009 a jeho množství dále klesá. Zdá se, že budoucnost je krásná a růžová a za čas budeme moci vypnout všechny složité spam filtry. Nebo ne?

Možná už jste zjistili, že život není nikdy tak jednoduchý a každá vyřčená věta má své „ale“. I v tomhle případě se k větě „Spamu ubývá, hurá!“ váže příslušná souřadicí spojka, navíc následovaná pořádně složitým souvětím. Nikdo totiž uspokojivě nezdůvodnil, proč by vlastně mělo spamu ubývat.

Odpověď „přechází na sociální sítě“ zní sice docela dobře, ale nevysvětluje, proč by měli spameři opustit jisté prostředí a hnát se do něčeho nového. Nebylo by jednodušší dělat zároveň mail i Facebook spam? Proč kvůli novému obchodu vlastně rušit ten starý a zaběhnutý? Takové a podobné otázky musejí přijít na mysl každému, kdo se nad problémem ubývajícího spamu zamyslel.

Rozhodli jsme se přijít problému na kloub a přizvali jsme k tomu Tomáše Charváta, odborníka na spam ze společnosti Excello, která se zabývá filtrováním elektronické pošty pro firmy, instituce a organizace. Přes její servery denně projde až 100 GB pošty. Má tedy dostatečně ohromný vzorek, který je možné zkoumat, a také zkušenosti k jeho interpretaci.

Spamu skutečně ubývá, ale…

Na začátku našeho setkání Tomáš Charvát skutečně potvrzuje klesající trendy, co se týče množství spamu, který se snaží projít na SMTP servery. Intenzita provozu na SMTP vstupech v roce 2011 klesla na 20 % hodnot roku 2010, tvrdí a dokládá to grafem, na kterém je pokles velmi dobře patrný.

Červená (spodní) křivka ukazuje počty mailů, které byly odmítnuty přímo na vstupu SMTP serveru. Jsou to ty, u kterých ani nedostaneme tělo zprávy. Většinou narazí na greylisting nebo jinou jednoduchou techniku, která spojení odmítne velmi rychle, popisuje graf Charvát. Tento graf je přitom velmi zásadní, protože ukazuje, že se stalo něco, co způsobilo celkově menší toky mailů, ale zároveň výrazně více srazilo množství odmítané pošty přímo na vstupech.

Výsledkem je, že tyto úvodní nárazníky přestávají fungovat. Filtry na vstupech dříve odstranily 90 % spamu, dnes je to méně než 15 %, přidává konkrétní čísla Tomáš Charvát. Například dříve populární greylisting byl před pěti lety velmi účinný, ale dnes už prakticky na spam nezabírá. Greylisting je vlastně dnes kontraproduktivní, protože už jen poštu zdržuje.

…spammeři jsou efektivnější

Důvod je při bližším zkoumání zřejmý – spammeři se začali velmi rychle přizpůsobovat pokročilým technologiím filtrace a upravují své postupy tak, aby co nejvíce ztěžovaly analýzu a filtraci. Že se jim to daří, dokazují další konkrétní čísla ze statistik.

Tomáš Charvát

Intenzita celkového toku na vstupech filtrů sice klesla na 20 %, ale objem spamu v něm klesl jen na 50 %. Spammeři tedy ubrali plyn, ale zároveň se zaměřili na efektivitu a zlepšili tak své šance při průchodu filtračními systémy.

Spamfiltry Excella dělí poštu do tří skupin – je spam, není spam a nerozhodnuto. Pošta ze třetí skupiny pak u klientů padá do takzvané karantény. V komerčním sektoru se nám velikost karantény až zdvojnásobila, u zákazníků ze státního sektoru a univerzit dokonce až ztrojnásobila, vysvětluje Charvát a dodává, že tato čísla dokazují zvýšenou efektivitu spamerů. Spam už není možné tradičními prostředky tak dokonale filtrovat, jako dříve.

Nepříjemným důsledkem také je, že filtrování je náročnější na procesorový čas. Filtry se obvykle řadí od nejméně náročných po ty složité. Pokud se spam odhalí už na začátku procesu, další filtry už na něj neaplikujeme, popisuje Charvát proces odhalování spamu. Tím, jak roste kvalita spamu, selhávají jednoduché a rychlé testy na začátku a mail se podrobuje náročné kontrole obsahu. Je potřeba strojově prozkoumat celý obsah e-mailu. To samozřejmě prodlužuje a prodražuje filtrování pošty. Za poslední rok se nám zdvojnásobil průměrný procesorový čas potřebný na filtraci jednoho mailu, popisuje dramatický nárůst Charvát.

Pozorujete zvýšený počet spamů ve schránce?

I spameři inovují aneb nové techniky

Spameři se dříve zaměřovali jen na kvantitu. Rozeslat velké množství spamu je možné téměř zadarmo, takže čím více jej rozešleme, tím více lidí se chytne a tím víc vyděláme. Tak znělo dřívější heslo. Ukázalo se ale, že takový spam je možné dobře filtrovat a vznikla řada společností, které to dokázaly s vysokou efektivitou.

Bylo tedy třeba najít nové metody, které by umožnily snížit celkový tok, ale naopak dosáhnout lépe kýženého efektu – průchodu spamu do schránek uživatelů. Spameři proto v posledním roce změnili svou taktiku a začali využívat moderních postupů. Některé trendy zmiňuje i Tomáš Charvát.

Velkou změnou je intenzivní využívání klasických mailserverů namísto rozsáhlých sítí botnetů. Spam z botnetů je totiž možné jednoduše filtrovat, říká Charvát. Je možné hlídat blacklistované IP adresy, existenci mailserveru, reverzní záznamy, detekovat operační systémy (nejčastějším zdrojem botnet spamu jsou Windows XP) a podobně. Spammeři proto dnes raději kradou přihlašovací údaje k různým freemailům a rozesílají poštu přes regulérní uživatelské účty. Takový spam se chytá výrazně hůře, protože řada technik selhává.

Tomáš Charvát

Podobně se dnes útočí i na firemní mailservery. Čím dál častěji se objevuje phishing zaměřený přímo na české firemní uživatele. Jsou to velmi dobře udělané útoky a přibývá jich, vysvětluje Charvát. Cílem je klasicky vylákat z uživatele přihlašovací údaje a pak je velmi rychle zneužít k rozeslání spamu přes firemní server. Phishing vypadá například takto:

Překročili jste limit úložiště na poštovní schránce. Nebudete moci
odesílat nebo přijímat novou poštu dokud upgrade vaší e-mailové kvóty.

Zkopírujte níže odkaz a vyplňte formulář pro upgrade svého
účtu.

http://www. (redakčně upraveno) /emmailovyucetaktualizace/form1.html

Správce systému

Že se jedná o velmi oblíbený způsob šíření spamu, dokládají i reálné statistiky . V roce 2010 byl jen jeden z pěti největších zdrojů spamu plnohodnotným mailserverem. Dnes je to všech pět z pěti, říká Tomáš Charvát. Vlastně už tak není možné nikomu věřit a umístit jeho adresy na whitelisty. Každý server je dnes potenciálně cílem spamerů a i důvěryhodný stroj tak může sloužit k rozesílání spamu.

To způsobuje řadu praktických problémů. Například nejnovější vlna phishingu zaměřeného na Českou Spořitelnu pocházela ze serverů Microsoftu. Spamy se šířily několik týdnů, protože nebylo možné zablokovat zmíněné servery. Server Google a Microsoftu si nikdo nedovolí dát na blacklisty, my jsme se o to několikrát neúspěšně pokoušeli, ale nic takového nemáte šanci prosadit, stěžuje si Charvát.

Ve jménu efektivity také spameři vylepšují svůj software, aby byl schopen co nejrychleji rozesílat velké množství spamu na mnoho domén. RFC například zakazuje, aby byla v rámci jednoho spojení odeslána pošta pro více domén. Odesílací software spamerů to ale dnes běžně dělá. Přišli jsme na to náhodou a byli jsme překvapení tím, jak je to elegantní a chytré. Otevře se jedno spojení a ‚stříkne‘ se do něj sto spamů pro více domén, které daný server obsluhuje.

Změny i v obsahu

Kromě technik rozesílání spamu se mění také jeho obsah. Spameři jdou opět do výkonu a efektivity. Obrázkový i PDF spam je dnes pasé, dnešní typický spam je jednoduchý plaintext s jedním odkazem a malou velikostí, říká Tomáš Charvát. Příklad takového spamu může vypadat asi takto:

To je informovat Vás, že jste byl vybrán pro peněžní cenu $ 1,000,000.00 USA
v roce 2011 v sídle v Nigérii. Proces výběru byl proveden prostřednictvím
náhodného výběru v našem e-mailem elektronický systém výběru z databáze, a
to přispělo k ECOWAS pro podporu míru a přátelství mezi Afrikou a ve všech
částech světa, a více než 250.000 e-mailových adres, ze kterých byly jste
byli vybrán. Kontaktujte naše tvrzení agent v Nigérii Head Office:

Agenti Jméno: Henry Osazuwa
E-mail: atmcard07@live.com
+2348138943691

Malá velikost takových sdělení paradoxně pomáhá v odhalování spamů, protože je pravděpodobné, že menší pošta obsahuje více spamu. Pokud má mail megabajt, tak to určitě není spam. Tak velké spamy se objevují jen zřídka, protože je problém je ve velkém rozesílat, vysvětluje Charvát. Velikost konkrétního mailu tak může být velmi spolehlivým parametrem při filtraci.

Zajímavé je, že se ve spamu kromě klasických odkazů a e-mailových adres pro odpověď začala objevovat také telefonní čísla. Podle Tomáše Charváta se mění také cíl spamu: Je vidět, že převážná většina současných spamů je o sbírání osobních údajů a dat.

UX DAy - tip 2

Efektivita, efektivita, efektivita

Úvodní větu bychom tedy mohli zjednodušeně dokončit jako: „Spamu sice ubývá, ale zlepšuje se jeho efektivita, takže uživatelé ho ve schránkách mohou mít paradoxně více.“ Spameři opustili všechny obskurní postupy zahrnující divné přílohy, obrázky, PDF a snaží se naopak přiblížit spam podobě nejběžnějších mailů, které si uživatelé denně vyměňují. Spam tedy dnes připomíná jednoduché sdělení vašeho kolegy z práce.

I způsoby odesílání se změnily, spameři opouštějí snadno odhalitelné botnety a stahují se kolem freemailů a dalších mailserverů. To opět komplikuje detekci, neboť spam i z hlediska zdroje připomíná běžnou poštu. Správcům mailserverů tak nadcházejí krušné časy, je třeba posilovat infrastrukturu a věnovat spamu ještě více pozornosti.

Byl pro vás článek přínosný?

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.