Spammer innovados: Ironport

La firma presentó los resultados de una investigación que refleja un aumento en el uso de “imágenes spam”, la cual es una nueva técnica avanzada que han adoptado los spammers para evitar ser detectados.

Las imágenes spam pasan desapercibidas por las soluciones tradicionales de escaneo de contenido y no presentan ningún tipo de texto que pueda analizarse, por el contrario, incluyen archivos .gif o .jpeg. Estas imágenes incluyen los mensajes spam en forma de texto y gráficos como si fueran correos de HTML, lo que dificulta que la máquina reconozca el texto.

 

Este tipo de spam ha aumentado de 1% en junio de 2005 a más de 12% en junio de 2006. Esto representa más de cinco mil millones de mensajes con imágenes spam enviados diariamente, 78% de los cuales pasan desapercibidos por los filtros de primera y segunda generación. El estudio se realizó utilizando de la red SenderBase, la cual representa el 25% de la información del tráfico mundial de correo electrónico proveniente de más de 100,000 ISPs, universidades y empresas alrededor del mundo.

 

El spam es más inteligente

Tom Gillis, vicepresidente Senior de Mercadotecnia Global de IronPort, señaló: “A través de la táctica de imágenes spam, los spammers están utilizando métodos sofisticados para hacer que las imágenes presenten cambios imperceptibles en cada uno de los ataques de spam, estos cambios no son detectados por los usuarios finales y son totalmente invisibles para los filtros comerciales. Es como tratar de diferenciar copos de nieve durante una tormenta, existen miles de millones de ellos pero ninguno es idéntico a otro”.

 

La tecnología antispam tradicional se basa en el análisis de las palabras de los mensajes y utiliza una variedad de complejos mecanismos de clasificación, intentando determinar si se trata de mensajes spam o no.  Si el mensaje contiene las palabras “Viagra,” “herbal” y “free”, entonces se trata de un correo spam. El problema con este método es que es muy fácil para los spammers disfrazar las palabras para evadir dichos filtros, y estos a su vez, eliminan periódicamente mensajes legítimos, lo cual resulta inaceptable para la mayoría de los usuarios. Los análisis comerciales disponibles han mejorado los filtros de contenido, pues revisan los patrones de datos de  cualquier mensaje que parezca spam y filtran los mensajes que coinciden con determinadas características. Los principales filtros antispam se basan en el análisis de contenido utilizando diversos métodos.

 

El spam es más veloz

Otra técnica utilizada por los spammers es el aumento significativo en la velocidad de los ataques sorpresa.  Actualmente, más del 80% del spam proviene de PCs “zombis” (computadoras infectadas), generalmente se trata de una red de banda ancha secuestrada por spammers. Los spammers se mueven a través de las redes zombis cada determinado tiempo, cambiando constantemente las direcciones IP de donde se originan los ataques de spam. Asimismo, el spam que envían contiene ‘Web links’ o URLs que varían dentro de la misma frecuencia.  En junio de 2005 la vigencia promedio de un dominio publicado en un mensaje  “spam” era de 48 horas, tiempo suficiente para que las “listas negras” estáticas del URL identificaran y bloquearan los mensajes que contenían los Web links falsos.  Sólo un año después, la duración promedio de un URL spam ha disminuido a menos de 4 horas. Esto significa que cuando las listas tradicionales de bloqueo identifican y registran un URL peligroso, el mensaje spam ya llegó a sus víctimas y el spammer puede continuar enviando spam desde un dominio nuevo.

 

El spam crece

A finales de 2005 el volumen de spam seguía creciendo, pero la tasa de crecimiento empezó a disminuir (del 100% que se había registrado y mantenido por dos años). Sin embargo, este respiro fue breve. Durante los últimos seis meses, el volumen de spam ha aumentado de manera impresionante. De abril a junio de 2006, en sólo dos meses, el volumen de spam ha aumentado 40% a nivel mundial.

 

Los spammers están precisando mejor la intensidad de sus ataques. Cuando los spammers más sofisticados lanzan una nueva ola de imágenes spam al azar, generalmente se enfocan en un área geográfica, un ISP o incluso una empresa en específico. Más del 25% de los clientes ‘Global 2000’ de IronPort han sufrido uno de estos ataques específicos de spam. Cuando esto sucede, es posible que hasta el 50% del spam que ingresa a la empresa sea de imágenes spam.  Si el filtro que protege a dicha empresa no está equipado para detectar y bloquear estos ataques tan sofisticados, el spam satura a los usuarios finales todo el tiempo que dura el ataque, ocasionando severas interrupciones en la comunicación y una gran pérdida de productividad. 

 

Los spammers también están explotando el sistema de registro de dominios, registrando dominios por cortos periodos de tiempo y dejando que expiren antes de pagar la cuota correspondiente.  En abril se registraron más de 35 millones de dominios, de los cuales 32 millones expiraron cinco días después.  Esto elimina prácticamente el costo de registro de dominios para los spammers, sobrepasando la capacidad de las listas negras tradicionales de URLs que no pueden actualizarse con la rapidez necesaria y seguir el ritmo del surgimiento de nuevos dominios. A continuación presentamos un resumen de estas tendencias: