Talos, výzkumná bezpečnostní divize společnosti Cisco, informuje o zajímavém trendu, který už bychom v roce 2016 asi nečekali. Od jara do léta letošního roku byl zaznamenán opětovný nárůst množství e-mailového spamu. A to až na hodnoty, které byly naposledy zaznamenány v roce 2010. Např. Composite Block List, respektovaná past na spam, v létě přijímala více než tři tisíce spamových e-mailů za sekundu. Ještě na přelomu roku to přitom bylo cca sedmkrát méně. Viz následující graf.
Že nejde o nějakou anomálii nebo chybu měření, ukazují i další statistiky. Data služby SpamCop ukazují, že počet IP adres zapojených v masivním rozesíláním spamu vzrostl na cca 400 tisíc, což představuje přibližně pětinásobek hodnot zaznamenaných na přelomu roku.
Poslat co nejvíc spamu za pár minut
Vysvětlit tento jev není úplně snadné. Podle výzkumníků z Cisco Talos by ho ale, poněkud paradoxně, částečně mohla způsobovat čím dál větší úspěšnost a sofistikovanost spamových filtrů. Ty totiž nový spam obvykle detekují v řádech několika málo minut a spamer má po srandě. Proto se stává efektivnější rozeslání co nejvíce e-mailů v co nejkratším časovém horizontu.
Místo toho, aby spameři své e-maily lépe cílovali nebo používali sněžnicové techniky, aby zůstali pod radarem, z toho udělali závod. Vyšlou co nejvíce e-mailů, jak je jen technicky možné, v co nejkratším čase, a tak po krátkou chvíli mohou úspěšně doručit nevyžádanou poštu do schránek svých obětí,
píše Jaeson Schultz, technický šéf Cisco Talos.
Tuto teorii podporuje také fakt, že kolem poloviny denního objemu spamu tvoří vysokoobjemové kampaně, které rozesílají mnoho miliónů e-mailů. Není výjimkou, že e-mail v jednom znění tvoří třeba deset nebo i více procent celkového denního objemu spamu. Také stojí za pozornost, že během víkendů se objem spamu propadne třeba na 20–30 % hodnot pracovního týdne.
Můžou za to botnety?
Je ale nepravděpodobné, že by zmíněné faktory měly na tak vysoký nárůst spamu až takový vliv. V Cisco Talos dále tipují, že jde do jisté míry o práci obrovského botnetu Necurs. Botnety totiž nejsou úplně hloupé a lidé za nimi trochu využívají i techniky sociálního inženýrství.
Aby Necurs skryl skutečnou velikost botnetu, posílá spam pouze z menší části ovládnutých strojů. Napadený stroj může být použit dva nebo tři dny a poté dva nebo tři týdny zase ne. To značně komplikuje práci lidí, kteří reagují na spamové útoky. Mohou si totiž myslet, že daný infikovaný stroj byl nalezen a vyčištěn, ale ve skutečnosti si darebáci z Necursu jen nechávají čas, než zaútočí znovu a znovu,
vysvětluje Schultz.
Růst objemu spamu však stále nemá jasné vysvětlení. A i když odpovíme na otázku jak se to děje, tak to ještě neznamená, že budeme znát i odpověď na otázku proč. Důležité je, že spamové filtry fungují dobře a uživatelé nárůst spamu v doručené poště asi příliš neznamenali. Jen provoz filtrů je teď poněkud nákladnější.
