Spam: co należy wiedzieć?

Przeczytaj także: Phishing i scam: techniki hakerów

W jaki sposób użytkownicy mogą się bronić przed spamem? Zdaniem Macieja Ziarki główną bronią w walce ze spamem jest używanie filtrów antyspamowych. Bazują one na różnych technologiach, czasami kilku, aby zapewnić większą skuteczność. Pewne jest, że nie wystarczy sama metoda słownikowa, która tak naprawdę sprawdza się tylko przy konwencjonalnym spamie zawierającym treść. Obrazki czy PDF sprawiają, że słownik staje się bezużyteczny. Z pomocą przychodzą tutaj algorytmy, które porównują wiadomości. Coraz więcej filtrów antyspamowych bazuje na klasyfikatorze Bayesa. Często nazywany jest też trybem uczenia, gdyż to użytkownik musi zaznaczyć, która wiadomość jest spamem, a która nie. Dzięki temu w miarę upływu czasu (zazwyczaj od 50 wiadomości wzwyż) filtr taki staje się bardzo skuteczny. Im więcej wiadomości będących spamem zaznaczymy, tym lepiej w przyszłości filtr odseparuje je od zwykłych e-maili. Metoda ta zapewnia nawet 99% skuteczność w rozpoznawaniu spamu.

Inne metody to stosowanie białych i czarnych list. Biała lista zawiera adresy osób, od których wiadomości akceptujemy. Pozostałe e-maile są blokowane. Czarna lista działa odwrotnie. Zawiera zbiór adresów serwerów, z których przychodzi najwięcej spamu, dzięki czemu możemy go blokować.

W artykule Kaspersky Lab opisano także spim, który jest młodszą formą spamu. Można powiedzieć, że jest to spam rozsyłany za pomocą komunikatorów (stąd jego nazwa; IM to anglojęzyczny skrót od Instant Messanger, czyli komunikator internetowy). W Polsce najbardziej rozpowszechnionym komunikatorem jest Gadu-Gadu. Jeżeli nawet ktoś korzysta z innego, to i tak zapewne jedna z wtyczek pozwala na używanie protokołu Gadu-Gadu, aby móc komunikować się ze znajomymi. Prostota obsługi i szybkie zakładanie konta bez potrzeby weryfikacji użytkownika pozwala na tworzenie setek kont tygodniowo, przy pomocy których może być rozsyłany spim.

Często przy wysyłaniu komunikatu dołączany jest link, który ma nas doprowadzić do tego, o czym mowa w wiadomości. Jednak podobnie jak w przypadku spamu, również w spimie mało kiedy podaje się oryginalny link, gdyż ten zdradziłby, na jaką stronę wchodzimy w rzeczywistości. Z racji tego, że mamy do czynienia z komunikatorem, przeprowadzenie typowego ataku phishingowego jest trudne. Jednak agresor może wykorzystać do tego celu serwisy oferujące skracanie linków. Jest ich w Sieci wiele, np. Tnij.org. Przy ich pomocy użytkownik może skrócić bardzo długi adres URL do postaci krótkiego odsyłacza.

Oto przykład spimu wysłanego przy pomocy komunikatora Gadu-Gadu: Jak widać na powyższym obrazku, użytkownik informuje nas o możliwości podszywania się pod czyjegoś maila przy pomocy narzędzi zawartych na stronie, do których prowadzi link w wiadomości. Jednak po kliknięciu wskazanego odnośnika zostaniemy przekierowani na zupełnie inną stronę, a mianowicie mp3-store.pl.

Nie ma tutaj także, jak zapewniano nas w wiadomości, katalogu "anonimowe maile". Można zatem uznać powyższą wiadomość za spim. Reklamuje inny serwis, jednak nie podaje przy tym prawdziwego odnośnika lecz jego skróconą wersję ukrywającą nazwę serwisu. Dodatkowo użytkownik zostaje wprowadzony w błąd, ponieważ nie odnajduje na stronie tego, czego zgodnie z zapewnieniami nadawcy wiadomości oczekiwał.

Tak właśnie wygląda spim. Jednak nie zawsze kliknięcie odnośnika kończy się jedynie na rozczarowaniu. Czasami takie linki prowadzą do stron, z których pobierany jest np. backdoor. Przykładem jest link, który został usunięty przez administratora serwisu Tnij.org: http://tnij.org/milosz.jpg. Z rozszerzenia można by sądzić, że skrót poprowadzi nas do strony zawierającej zdjęcie lub obrazek. Tymczasem prowadzi on do strony http://csart.w.xxxxxxx.pl/plugin.exe, która rozpoczyna pobieranie pliku będącego de facto backdoorem.

Twórcy serwisu Tnij.org są świadomi tego, że użytkownicy mogą wykorzystywać skrócone wersje adresów URL do niecnych celów, w związku z czym na stronie serwisu umieszczone jest narzędzie, które do aktywacji wymaga jedynie obsługi plików cookie. Dzięki temu klikając dowolny adres skrócony przez serwis Tnij.org, zanim zostaniemy przekierowani na stronę, na jaką nadawca chciał, abyśmy trafili, najpierw znajdziemy się na stronie Tnij.org, która pokaże, jaki jest prawdziwy odnośnik, z jakiego numeru IP został wysłany (adres jest tylko do wglądu w celu sprawdzenia np. providera, pełny nie zostanie podany) oraz ile razy na niego wchodzono.