Fånga spammare i lagen

Forskare har kastat nytt ljus över metoderna med vilka spammare samlar in e-postadresser från webben och vidarebefordrar massmeddelanden via flera datorer. De säger att fynden kan ge ytterligare ammunition i kampen mot skräppostkampanjer.





Problemet med oönskade e-postmeddelanden, eller skräppost, fortsätter att irritera datoranvändare och säkerhetspersonal. För närvarande verkar mer än 90 procent av e-postmeddelandena som passerar Internet vara skräppost, enligt informationen som släpptes i juni av e-postsäkerhetsföretaget MessageLabs .

I en artikel som planeras att presenteras denna vecka vid konferensen om e-post och anti-spam, i Mountain View, CA, studerade forskare från Indiana University hur spammare får e-postadresserna i första hand. Forskarna använde en mängd olika tekniker för att matcha programmen som hämtar e-postadresser från webbsidor till den resulterande skräpposten. Vi försöker i princip ta reda på hur spammare får din adress – adresserna till personer som de försöker göra offer för, säger Craig Shue, doktorand vid Indiana University som nu arbetar på Oak Ridge National Laboratory.

Detta innebar att man exponerade 22 230 unika e-postadresser på webben under en femmånadersperiod och tittade efter spam som skickades till dessa destinationer. Forskarna fann att en e-postadress som ingår i en kommentar på en webbplats hade en mycket högre sannolikhet att resultera i spam. Medan endast fyra e-postadresser som skickades till 70 webbplatser under registreringen resulterade i skräppost, resulterade hälften av de e-postadresser som skickades till populära webbplatser i spam.



Forskarna satte också upp en webbplats på sin egen domän och väntade på att deras sidor skulle genomsökas. Varje besökare på webbplatsen skulle se ett annat e-postmeddelande, en strategi som forskarna hoppades skulle mäta hur ofta program som automatiskt genomsöker webbplatser drivs av spammare. Vi delar ut en unik e-postadress till varje besökare på vår webbsida, säger Shue. Om vi ​​någonsin får ett e-postmeddelande till den adressen vet vi att sökroboten gav den e-postadressen till en spammare.

Forskarna fann också att de program som genomsöker webben och letar efter e-postadresser – kallade spamsökrobotar – har egenskaper som kan göra det lättare att upptäcka dem. Till exempel tenderar de delar av ett nätverk som en sökrobot arbetar från att vara en bra förutsägelse om det är en legitim sökrobot, som de som används av Google eller andra sökmotorer, eller en sökrobot för skräppost. Det kan vara möjligt att blockera ett litet antal [nätverksnummer] associerade med spammare webbsökrobotar för att eliminera skörden av e-postadresser på en webbplats, skrev forskarna från Indiana University.

Många slutanvändare skyddar sig mot e-postinsamling med enkla förvirringstekniker – till exempel genom att använda -at- för att ersätta @-symbolen i en e-postadress. Forskarna fann att dessa metoder motverkar nuvarande spamtekniker förvånansvärt bra. Dessutom fann de att att skicka in en e-postadress till en legitim webbplats sällan resulterade i spam. Om du registrerar dig hos välrenommerade organisationer kommer du att klara dig, säger Shue. Om du går till mindre välrenommerade webbplatser kommer du att få skräppost.



I ett separat dokument som ska presenteras vid samma konferens visar forskare från Federal University of Minas Gerais (UFMG), i Brasilien, och Brasiliens nätverksinformationscenter att spammare tenderar att kombinera olika tekniker för att dölja ursprunget till deras skräppost. meddelanden. Medan många skräppostgrupper har anammat användningen av botnät för att anonymisera källan till sina e-postmeddelanden, använder ett betydande antal en kedja av olika komprometterade maskiner, enligt Pedro Calais Guerra, doktorand vid UFMG.

Nyckelfaktorn för att en spammare ska lyckas när det gäller att dölja sin identitet på nätverket är att sprida sin aktivitet så mycket han kan, säger Guerra, som menar att lagets studie skulle kunna användas för att bekämpa spam genom att identifiera vilka meddelanden som ska vara blockerad. Vi tror att det kan ha en inverkan på utformningen av svarta listor.

Guerra och fem andra forskare övervakade speciella servrar, kända som honeypots, och samlade in 525 miljoner spam-e-postmeddelanden som skickats från mer än 216 000 internetadresser under en 15-månadersperiod. De fann till exempel att nästan 95 000 maskiner som användes av spammare var slutanvändardatorer som vidarebefordrade meddelanden och inte e-postservrar, av vilka en tredjedel fanns i USA och en fjärdedel i Taiwan.



Kedjorna av datorer som användes av spammare för att anonymisera ursprunget till skräppost delas in i två kategorier: öppna proxyservrar och öppna reläer. De öppna proxyservrarna är komprometterade servrar som vidarebefordrar data till andra datorer i nätverket och döljer avsändarens adress; öppna reläer tar emot e-postmeddelanden för en annan domän och skickar meddelandet till nästa server. Forskarna fann att spammare vanligtvis använder varje öppet relä för att vidarebefordra e-post under en kort tid, för att undvika att e-postservern läggs till på en svartlista.

Vi visar i vår tidning att spammare skickar stora volymer spam till öppna proxyservrar men låga volymer spam till öppna reläer, säger UFMG:s Guerra.

Dölj