Seguridad
El spam evoluciona
De acuerdo a un boletín de BitDefender, los creadores de spam están desarrollando métodos cada vez más sofisticados para evitar los filtros antispam. Generalmente, todos estos intentos de envío de oleadas de emails son únicos y diferentes a otros enviados anteriormente. Los spammers analizan las oleadas de spam que consiguen tener éxito, y utilizan los hallazgos para incluirlos como “nuevas características” en los siguientes envíos masivos.
En 2005, el spam por imágenes suponía aproximadamente un 10% del correo no deseado. Estas series de mensajes normalmente contenían cinco o seis imágenes de spam con pequeñas modificaciones para evitar su detección. Estos simples emails que aparentemente contienen imágenes similares (aunque únicos, desde el punto de vista computacional) comenzaron a contaminar nuestras bandejas de entrada en grandes cantidades.
En los últimos meses, los spammers han percibido que muchas de las soluciones Antispam son ineficaces contra este nuevo truco, así que han empezado a atacar este segmento.
El spam por imágenes ha provocado un aumento del 30-40% de mensajes de spam en circulación, y cada mensaje contiene una imagen con distorsiones aleatorias respecto a los otros mensajes. En cambio, los radios de detección han disminuido notablemente, de un 97% a casi un 65-75%.
BitDefender ofrece una alternativa al OCR: un filtro que ignora el texto dentro de las imágenes (el mensaje, desde el punto de vista humano), denominado SID y que aprende de la experiencia de algunas características comunes de las imágenes.
El algoritmo SID selecciona las imágenes basándose en la similitud de los colores, en lugar de buscar la similitud en las formas. Por ejemplo, desde la perspectiva de SID, aunque todas las imágenes de las páginas impresas parezcan similares (todas contienen el color blanco o cantidades de gris oscuro), una página de la Enciclopedia Británica no se parece a la página de un anuncio de texto, porque las proporciones de los blanco y gris son muy diferentes.
El SID se utiliza para comparar imágenes y mide la “distancia” entre ellas, lo que básicamente significa encontrar las diferencias entre ellas. Las distancias obtenidas a partir de la fórmula SID se utilizan para comparar imágenes ya incluidas en la base de datos de spam con nueves imágenes que pueden ser spam. Si el análisis de la imagen obtiene una puntuación más baja que la indicada por el umbral, entonces la imagen se añadirá a la base de datos de imágenes spam de BitDefender. Por este motivo SID es la técnica de elección cuando se trata de imágenes de spam que son variaciones de otras, o antiguas imágenes de spam.
Aunque esta nueva técnica funciona bien en imágenes “limpias”, aún quedaba el problema de las imágenes con ofuscaciones (Ej: con ruido añadido). Afortunadamente las técnicas de ofuscación usadas por los spammers son ya conocidas y el arsenal de medidas preventivas es igualmente amplio. Por ejemplo, los spammers dividirán una imagen en subimágenes y la reconstruirán con una tabla HTML. Este problema puede solventarse uniendo los histogramas de las subimágenes, reconstruyendo así el histograma de la imagen inicial para analizarlo con el algoritmo SID.
SID muestra una taza de detección del 98,7% de imagen del spam (unos cuantos millones de muestras extraídos de un spam verdadero) Un 1,23% de estas imágenes están malformadas, lo que significa que sus histogramas no pueden extraerse, pero tampoco visualizarse. Más del 0,07 % presenta falsos positivos como resultados. Si las imágenes que están malformadas son eliminadas del cuerpo del mensaje, la taza de detección llega al 100%.
