Еволюцията на спама
Спамаджиите са известни със своята изключителна креативност и иновативност. Те са като виртуални скулптори – моделират спама в най-причудливи форми. Последната им приумица е „Сторм спам“ (Storm spam). Зад това понятие се крие хибрид от комерсиално послание с код на вирус, който безпроблемно превръща РС-то ви в „зомби“.
Силвия Симеонова
Спамаджиите са известни със своята изключителна креативност и иновативност. Те са като виртуални скулптори – моделират спама в най-причудливи форми. Последната им приумица е „Сторм спам“ (Storm spam). Зад това понятие се крие хибрид от комерсиално послание с код на вирус, който безпроблемно превръща РС-то ви в „зомби“.
По данни на лабораторията „Касперски“ от появата си досега комбинацията от спам и злонамерен код е инфектирала над 10 милиона РС по целия свят. И това е само по груби изчисления, тъй като стормът се развива със светкавични темпове и практически е невъзможно да се изчисли реалният брой на пострадалите машини.
Прийомите на спамаджиите стават все по-изтънчени и това рефлектира върху скоростта, с която се размножава заразата. Само за последните 12 месеца спамът е еволюирал с темпове, надвишаващи степента му на развитие през последното десетилетие.
Стормърите много ловко позиционират набезите си във времето, като злоупотребяват със сантименталността ни покрай големите празници. Злонамереният код може да се промъкне в пощата ни чрез анимация с танцуващи скелети за Хелоуийн, с е-картичка за Коледа и Нова година, покрай рекламите на различни финансови институции и дори с псевдосъобщения за фармацевтични продукти. Шпионската програма се активира само с едно кликване върху хипервръзката, което препраща към сайтове - гнезда на вируси.
Нови трикове
Спамаджиите използват набор от програмни техники, чрез които незабелязано се промъкват покрай защитните ни програми. Нещо като шапката невидимка на приказните герои. Само дето положението с РС след нападението далеч не е приказно.
Но спамаджиите са и предсказуеми. Те се нахвърлят върху всеки възможен метод за комуникация – текстове, изображения, музика, мултимедия. Стормът се свързва с MP3 аудиофайлове, с вдиеоклипове от YouTube, с PDF документи.
Когато копирате инфектиран файл или посетите уебсайт, разпространител на вирусен код, без да искате превръщате РС-то си в част от мрежа дистанционно контролирани компютри зомбита, т.нар. ботнет (от „робот“ и „нет“). Първият масово разпространен спам от този тип е базиран върху специално разработени графични файлове, които съдържат скрит „информационен шум“. PDF файловете преодоляват бариерата на защитните филтри, но всъщност са „троянски коне“, които „поробват“ машината ви, обясняват от „Касперски“.
Злоупотреба с изображенията (не вярвайте на очите си)
Спамаджиите не просто ни изпращат анимирани реклами. Те разделят базовото изображение на фрагменти и имплантират злонамерения код като елемент от картинката. Той обаче остава непроницаем за антиспам приложенията, тъй като всеки фрагмент е изкривен под различен ъгъл.
Борбата с този тип спам е един от основните проблеми пред ИТ експертите по сигурността. Идентифицирането на хакнато изображение на практика не представлява проблем. Но всъщност един от най-тривиалните начини да премодифицирате дадена снимка е като промените по програмен път само някои от пикселите й. На пръв поглед изображението остава същото, но на дигитално ниво е съвсем различен файл, а това значително усложнява ситуацията.
Вторият проблем идва от факта, че спамаджиите използват линкове към изображения от даден сайт. Така картинката не фигурира в имейла ви, докато не бъде отворена, и именно по този начин безпроблемно се промъква през филтрите.
Едно от възможните решения е да включите адресите на определени имейл и електронни страници в черния си списък. Това донякъде е ефективно, но не помага, когато хакерите фалшифицират реално съществуващи страници на легитимни и авторитетни компании, каквито случаи имаше с финансови институции и фармацевтични компании.
Светкавична мутация
Въпреки че не внедряват код, който автоматично да изтрива дисковите устройства на РС или да открадне идентичността ви, троянските коне и сторм-червеите са едни от най-устойчивите и адаптивни приложения, известни до момента.
Сторм-спамът проявява изключителна гъвкавост, тъй като може да променя кодовата си матрица в зависимост от вида на филтрите и да се самоинсталира на машината. В това отношение може да бъде оприличен на неканен гост на маскен бал, който сменя костюма си през пет минути, за да не го заловят. Въпреки това може да бъде разпознат по силуета и поведението си, обясняват от „Касперски“. За целта обаче защитните механизми трябва да проявяват същата и дори по-голяма гъвкавост от спама, а това е доста трудно.
Ботнет = мрежа от „зомбита“
Ботнетът дава възможност на спамаджиите да извършват нападения от стотици различни IP адреси за сравнително кратко време, при това без никакво подозрение от страна на притежателите им.
Социалният инженеринг е в основата на спамаджийската иновативност. Заглавията и предполагаемото съдържание на имейлите могат да изкушат милиони хора.
Стормърите са находчиви и в тактическо отношение. Вместо да атакуват наведнъж всички свои потенциални жертви, те нападат циклично. Може да се наблюдава от 12 до 24-часова активност, по време на която на определен брой „поробени“ машини е наредено да разпращат съобщения. Следва кратко затишие. След него отново се активизират набезите, но този път от други компютри зомбита. Броят на засегнатите компютри в един цикъл може да достигне между 10 и 20 хиляди.
За да затруднят идентифицирането на спама, стормърите се възползват от свързаните в мрежа компютри и по този начин контролират цели структури с хибридния код.
Как да разберем дали компютърът ни е „зомби“?
Не е толкова трудно. Ето как:
1.Един от първите симптоми е забавеното действие на РС.
2.Обърнете внимание дали защитните стени не отчитат и нерегламентиран външен трафик. Можете да направите и няколко онлайн проверки за вируси. Но все пак помнете, че това не е достатъчна гаранция, тъй като има зловредни кодове, които се прикриват, като инсталират т.нар. руткитове (rootkit). Можете да установите дали на компютъра ви е внедрен руткит с безплатните програми Sophos Anti-Rootkit и Sysinternal RootkitRevealer.
3.Ако имейлите, които изпращате, се връщат обратно със съобщението, че адресът ви е блокиран, това е сигурен знак, че сте включени в „черен списък“. Съществуват над 100 подобни картотеки, които автоматично блокират IP адресите на спам разпространителите.
4.Дори да нямате проблем с електронната си поща, добре е да проверите дали не сте заклеймен като спамаджия. Посетете страницата checkip.dydns.org. На нея автоматично ще се изпише IP адресът ви. Копирайте го и проверете легитимността му на някои от сайтовете с черни списъци, като robtex.com например. Страницата ще предложи набор от такива списъци и ако някои от тях са в червено, значи имате сериозен проблем. Свържете се с тези сайтове и разберете защо сте включени и как да се измъкнете.
5.Едно от най-добрите съвременни решения предлагат „Абака текнолоджис“, тъй като техните системи не се базират само върху анализ на информационното „сторм“ съдържание. От компанията обясняват, че измерват репутацията на всеки отделен получател. Процентът спам, който получава един легитимен имейл адрес, е сравнително постоянен и той е базата за определянето на потребителската репутация. Спамаджиите не могат да отчитат този коефициент с точност. От своя страна създателите на традиционните антиспам решения, които се опитват да сканират съдържанието на входящите съобщения, в крайна сметка стават участници в една безкрайна тактическа игра.
„Всяка компания, която принуждава потребителите си да кликват върху даден линк или да изпратят празен имейл, за да бъдат изключени от списъка с получатели на рекламни послания (т.нар. opt out механизми), вместо да включват в този списък само хора, които доброволно са изявили желание за това (opt in), допринасят за задълбочаването на проблема“, смятат от E-Commerce Times.