Рекламная энтомология.

Само собой разумеется, что мой e-mail весьма подвержен спаму. Долгие годы раздачи визиток направо и налево, «засвечивания» адреса в публикациях, на выступлениях, каталогах и пр. Ну и, конечно, его простота. Иногда мы такие «спалившиеся» адреса умышленно переделываем в ловушки для спама, а сотрудникам выдаём новые, похожие. Но, сами понимаете, это не мой случай – надо не только знать врага в лицо, но и лично следить о качестве нашей антиспам защиты. А ещё иногда бывает очень смешно :)

Как энтомолог бабочек, так и я складываю входящий спам в отдельную папку, смотрю на вердикты, выявляю тенденции, ложные срабатывания, а пропущенные образцы пересылаю в нашу антиспам лабораторию.

Что любопытно – после НГ просто прорвало! Спам мутными реками начал заливаться в мой ящик, причём, судя по структуре и уловкам, – всё это из одного источника. Почти все рассылки английские (было только два письма на японском) и, что самое главное, 100% этого спама было выловлено нашими решениями! Обратился к нашим спецам – и точно: зафиксировали всплеск рассылки специфического спама по методу snowshoe («снегоступ»). А ведь обычно всё наоборот — на НГ-праздники активность спамеров падает!

* данные за 1-10 января

А вот как интересно изменялась доля snowshoe-спама в самый активный день, 7 января, в почтовых ящиках нашего корпоративного домена:

Что это за снегоступ и как против него защищаться?

Метод snowshoe не новый – первые атаки этого типа мы видели ещё в начале 2012г., но с каждым годом его становится всё больше, поскольку он удачно обманывает глупенькие спам-фильтры без многоуровневого анализа. Дело в том, что snowshoe-спам рассылается не с одного-двух, а с большого количества IP-адресов, таким образом обходя фильтрацию по репутации IP-адресов. Отсюда, и название – как вес человека равномерно распределяется по снегоступу, чтобы не провалиться под снег, так и спам по IP-адресам, чтобы не «спалиться».

Да, это более затратная и технически сложная задача, но её решение даёт лучший результат. Спамерам приходится постоянно использовать автогенерацию доменов и их регистраторов (обычно по словарю), «палить» ломанные хостинги и спам-прокси. В общем, мороки тут много.

Как только спам доходит по получателя – дальше в дело вступает обычный разводилово социнжиниринг. Сначала броский заголовок, а в письме редирект на сайт, где уже втюхивается крайне необходимый товар или услуга, без которых жизнь – не жизнь: сэкономить на страховке, электричестве, квартплате, вылечиться от страшных болезней и прочий гербалайф в коробочках. При этом обрабатывают как по шаблону — леденящая душу история (заболел, а денег нет), счастливый конец (случайно выпил таблетку за $29,99 и как рукой сняло), супер-предложение по спецакции.

Часто редиректы идут на разные сайты в зависимости от региона. Например, пришёл пользователь из Конго – его просто в Гугл перебрасывают. А если из Штатов, то тут пляски по полной программе — развесистый скам-ресурс с байками про лечебное наследие апачей и тайны Теслы.

Разумеется, бывает такой спам приносит и малвару.

Ну а что насчёт защиты?

С технической точки зрения snowshoe, конечно, не адское исчадье, но и не детские игрушки. Простенькие фильтры, не способные адаптироваться к полиморфизму спама, его пропускают. При этом нельзя назвать какую-то одну технологию, способную раз и навсегда пригвоздить snowshow. Мы боремся с этой гадостью многоуровневой защитой, причём первую скрипку тут играет машинное обучение. Это логично, ведь справиться руками с таким потоком просто нереально, но им есть более уместное применение. У нас эти руки по локоть :) заняты созданием умных машин, которые сами, автоматически и с высокой надёжностью анализируют спам и создают алгоритмы противодействия. Например, благодаря машинному обучению наши продукты автоматически распознают и блокируют новые спамерские домены, IP-адреса и подсети, проводят контентный анализ по разным атрибутам. И, как рассказано выше, очень даже успешно.

На самом деле, противостояние кибердобра и киберзла давно уже превратилось в борьбу алгоритмов. Негодяи научились искусно маскировать и видоизменять кибератаки, причём чаще всего это делается в автоматическом режиме – атаки проводятся в соответствии с непростой логикой. Но на каждый алгоритм найдётся контр-алгоритм, причём длиннее :) Сегодня эффективность защиты зависит от гибкости и надёжности самообучающихся систем, созданными экспертами. И успех обеспечивает сочетание математических способностей человека и сложности инфраструктуры, которая позволяет разрабатывать новые алгоритмы. Мы называем это Humachine Intelligence.