Эффективность систем фильтрации вынуждает спамеров разнообразить камуфляж

Исследователи Cloudmark опубликовали список наиболее характерных приемов, которые спамеры используют для обхода защитных фильтров. Данные были получены на основе анализа внутренней статистики компании за истекшие полгода.

По оценке Cloudmark, в настоящее время уровень спама в США составляет 90-95% почтового трафика. Чтобы повысить результативность доставки нелегитимной корреспонденции в условиях непрерывного совершенствования средств сетевой защиты, инициаторам спам-рассылок приходится прибегать к все более изощренным методам маскировки, порой доходящим до абсурда.

Одним из облюбованных спамерами трюков является мозаичное представление слова, которое в соответствии с правилами рекламного искусства должно отпечататься в сознании потенциального покупателя. В качестве примера эксперты приводят императив «BUY» («КУПИ»), набранный заглавными буквами, которые составлены биржевыми идентификаторами релевантных ценных бумаг, продвигаемых по мошеннической схеме «накачка-сброс».

В «биржевом» спаме также большую популярность стало приобретать «скрэмблирование» — шифрование путём перестановки и инвертирования групп символов. При этом наименования компаний, котировки и биржевые идентификаторы подчас искажаются до полной неузнаваемости.

Нередки случаи обыгрывания в спамовом контенте визуальных эффектов с подстановкой в слово буквоподобных символов – «0» вместо «о» или «1» вместо «i». Более креативным способом маскировки искомого символа является его передача в виде иносказания («@» = «собака», «.» — «точка»).

Не отказались авторы нелегитимных рассылок и от такого проверенного метода, как графический спам. Хотя большинство современных средств фильтрации оснащены функцией распознавания картинок, эта разновидность спама способна ввести в заблуждение текстовые фильтры и продолжает использоваться, хотя и в ограниченном масштабе.

Спамовые ссылки также подвергаются различным трансформациям. Например, существует много способов вставлять в URL дополнительные знаки без потери активности. Применяя несложные способы шифрования, спамеры внедряют в http-ссылку непечатаемые символы, не нарушая ее функциональности. По экспертному мнению, данное направление эволюции спамерских технологий совершило качественный скачок. Некоторые умельцы с криминальными наклонностями научились переформатировать URL таким образом, что несоответствие общепринятым сетевым стандартам не препятствует их активации через некоторые почтовые клиенты, веб-интерфейсы и прочие онлайн-продукты.

Исследователи отметили также простой, но весьма эффективный трюк, с неизменным успехом привлекающий потенциальных покупателей на спамерский веб-хостинг, — множественную регистрацию доменов, имена которых незначительно отличаются от целевого легального. Небольшая перестановка составляющих доменного имени или введение лишнего символа, как правило, не настораживают невнимательного пользователя – в отличие от результатов случайной генерации или бессмысленных буквенно-цифровых наборов, и обеспечивают искомый «клик».

Источник: cloudmark.com