211service.com
Spammers op heterdaad betrappen
Onderzoekers hebben nieuw licht geworpen op de methoden waarmee spammers e-mailadressen van het web verzamelen en bulkberichten doorsturen via meerdere computers. Ze zeggen dat bevindingen extra munitie kunnen opleveren in de strijd tegen ongewenste e-mailcampagnes.
Het probleem van ongewenste e-mailberichten of spam blijft computergebruikers en beveiligingsprofessionals kwellen. Volgens de informatie die in juni door het e-mailbeveiligingsbedrijf is vrijgegeven, lijkt meer dan 90 procent van de e-mailberichten die over het internet gaan, spam te zijn. MessageLabs .
In een paper dat deze week zal worden gepresenteerd op de Conference on E-mail and Anti-Spam, in Mountain View, CA, hebben onderzoekers van de Indiana University onderzocht hoe spammers überhaupt aan de e-mailadressen komen. De onderzoekers gebruikten verschillende technieken om de programma's die e-mailadressen van webpagina's opruimen te koppelen aan de resulterende spam. We proberen er eigenlijk achter te komen hoe spammers aan je adres komen: de adressen van mensen die ze tot slachtoffer maken, zegt Craig Shue, een afgestudeerde student aan de Indiana University die nu bij het Oak Ridge National Laboratory werkt.
Dit omvatte het blootleggen van 22.230 unieke e-mailadressen op het web gedurende een periode van vijf maanden en het uitkijken naar spam die naar die bestemmingen werd gestuurd. De onderzoekers ontdekten dat een e-mailadres dat is opgenomen in een opmerking die op een website is geplaatst, een veel grotere kans heeft om in spam te resulteren. Terwijl slechts vier e-mailadressen die tijdens de registratie bij 70 websites werden ingediend, resulteerden in spam, resulteerde de helft van de e-mailadressen die op populaire sites werden geplaatst in spam.
De onderzoekers zetten ook een website op hun eigen domein op en wachtten tot hun pagina's werden gecrawld. Elke bezoeker van de website zou een andere e-mail te zien krijgen, een strategie waarvan de onderzoekers hoopten dat deze zou meten hoe vaak spammers programma's gebruiken die sites automatisch crawlen. We geven een uniek e-mailadres aan elke bezoeker van onze webpagina, zegt Shue. Als we ooit een e-mail op dat adres krijgen, weten we dat de crawler dat e-mailadres aan een spammer heeft gegeven.
De onderzoekers ontdekten ook dat de programma's die het web doorzoeken op zoek naar e-mailadressen, zogenaamde spam-crawlers, kenmerken hebben die het gemakkelijker maken om ze te detecteren. De delen van een netwerk van waaruit een crawler opereert, zijn bijvoorbeeld meestal een goede voorspeller of het een legitieme crawler is, zoals die welke door Google of andere zoekmachines worden gebruikt, of een spam-crawler. Het kan mogelijk zijn om een klein aantal [netwerknummers] geassocieerd met spammerwebcrawlers te blokkeren om het oogsten van e-mailadressen op een site te elimineren, schreven de onderzoekers van de Indiana University.
Veel eindgebruikers beschermen zichzelf tegen het oogsten van e-mail met behulp van eenvoudige verduisteringstechnieken, bijvoorbeeld door -at- te gebruiken om het @-teken in een e-mailadres te vervangen. De onderzoekers ontdekten dat deze methoden de huidige spamtechnieken verrassend goed frustreren. Bovendien ontdekten ze dat het indienen van een e-mailadres bij een legitieme website zelden tot spam leidde. Als je je aanmeldt bij gerenommeerde organisaties, komt het wel goed, zegt Shue. Als u naar minder gerenommeerde sites gaat, krijgt u spam.
In een aparte paper die op dezelfde conferentie zal worden gepresenteerd, tonen onderzoekers van de Federale Universiteit van Minas Gerais (UFMG), in Brazilië, en het Braziliaanse Network Information Center aan dat spammers de neiging hebben om verschillende technieken te combineren om de oorsprong van hun ongewenste e-mail te verbergen. berichten. Hoewel veel spamgroepen het gebruik van botnets hebben geadopteerd om de bron van hun e-mailberichten te anonimiseren, gebruikt een aanzienlijk aantal een reeks verschillende gecompromitteerde machines, volgens Pedro Calais Guerra, een promovendus bij UFMG.
De belangrijkste factor voor een spammer om zijn identiteit op het netwerk te verbergen, is zijn activiteit zo veel mogelijk te verspreiden, zegt Guerra, die gelooft dat de studie van het team kan worden gebruikt om spam te bestrijden door te bepalen welke berichten moeten worden verwijderd. geblokkeerd. We denken dat dit van invloed kan zijn op het ontwerp van zwarte lijsten.
Guerra en vijf andere onderzoekers hielden toezicht op speciale servers, bekend als honeypots, en verzamelden 525 miljoen spam-e-mailberichten die werden verzonden vanaf meer dan 216.000 internetadressen gedurende een periode van 15 maanden. Ze ontdekten bijvoorbeeld dat bijna 95.000 machines die door spammers werden gebruikt, computers van eindgebruikers waren die berichten doorstuurden en geen mailservers, waarvan een derde in de Verenigde Staten en een kwart in Taiwan.
De computerketens die door de spammers werden gebruikt om de oorsprong van spam te anonimiseren, vielen in twee categorieën uiteen: open proxy's en open relays. De open proxy's zijn gecompromitteerde servers die gegevens doorsturen naar andere computers in het netwerk en het adres van de afzender verbergen; open relays ontvangen e-mailberichten voor een ander domein en geven het bericht door aan de volgende server. De onderzoekers ontdekten dat spammers elke open relay doorgaans slechts voor een korte tijd gebruiken om e-mail door te sturen, om te voorkomen dat de e-mailserver op een zwarte lijst komt.
We laten in onze paper zien dat spammers grote hoeveelheden spam verzenden naar open proxy's, maar lage hoeveelheden spam naar open relays, zegt Guerra van UFMG.