A nova onda de spam

7 de Maio de 2007
Resumo Spam continua a ser um problema que todas as empresas de pequeno e médio porte precisam enfrentar.

Introdução

Spam continua a ser um problema que todas as empresas de pequeno e médio porte precisam enfrentar. De acordo com o último Relatório Symantec de Riscos à Segurança na Internet:
  • Entre 1º de julho e 31 de dezembro de 2006, spam constituiu 59% de todo o tráfego de e-mail monitorado. Isso representou um aumento com relação ao primeiro semestre de 2006, quando 54% dos e-mails foram classificados como spam.
  • 65% de todo o spam detectado durante este período foi criado em inglês.
  • Spam relacionado aos serviços financeiros constituíram 30% de todo o spam durante este período, o maior de todas as categorias.
  • Durante o segundo semestre de 2006, 44% do spam detectado em todo o mundo foi originado nos Estados Unidos.
Ter que lidar com spam é um desperdício do valioso tempo dos funcionários. De acordo com um novo estudo conduzido pela Nucleus Research, duas de cada três mensagens de e-mail recebidas hoje pelos usuários corporativos são spam. O estudo afirma também que os usuários estão gastando 16 segundos identificando e excluindo cada e-mail de spam, a um custo de 712 dólares por funcionário em perda de produtividade, o que representa um custo anual de 70 bilhões de dólares para todas as empresas dos EUA.

Além disso, spam contém material ofensivo e pode, potencialmente, expor o destinatário a fraudes. Spam tem também a capacidade de consumir servidores de e-mail e causar um impacto negativo no desempenho da rede. Os propagadores de spam atuais estão adotando uma nova forma de spam chamada "spam baseado em imagem", que não é somente uma forma de ignorar os filtros anti-spam, mas também de usar uma grande quantidade de largura de banda e espaço no armazenamento, que são elementos preciosos nas pequenas e médias empresas.

Spam baseado em imagem

O "spam baseado em imagem" tem se tornado uma técnica popular entre os propagadores de spam devido à sua capacidade de ignorar tecnologias tradicionais de filtragem anti-spam. Ao invés de enviar mensagens como texto com ou sem imagens anexadas, os propagadores de spam passaram a enviar mensagens que contêm somente imagens.

O spam de imagem é uma mensagem de e-mail não solicitada que contém somente uma imagem (normalmente um arquivo incorporado no formato .JPG ou .GIF). Essa imagem é formatada para conter a mensagem que o propagador do spam deseja transmitir. Pode ser que o e-mail contenha uma figura ou algum "texto", porém esse "texto" faz parte da imagem. Os propagadores de spam também tentam confundir os filtros variando levemente as imagens em cada e-mail. Essas alterações são sutis, como o clareamento do fundo ou da cor da moldura, alteração do tamanho da margem ou adição de pequenos pontos no fundo da mensagem. Essas alterações não são visíveis (e são irrelevantes para o leitor), mas tornam muito difícil para as tecnologias anti-spam detectá-las como um ataque de spam único, uma vez que todas as "assinaturas" do spam são diferentes.

O spam de imagem tem mostrado um crescimento explosivo recentemente. Richi Jennings, analista da Ferris Research, afirma que o número de e-mails de spam de imagem aumentou aproximadamente 900% durante o último ano. O spam de imagem consome também uma grande quantidade de largura de banda e espaço de armazenamento. Apesar de uma mensagem de spam baseada em texto normalmente ter entre 5 e 10 KB, o tamanho normal de um spam de imagem varia entre 10 e 100 KB, afirma Jennings.

Spam automatizado

A maioria do spam de imagem é proveniente de redes bot, uma rede formada por PCs que foram infectados com um vírus, visando permitir que um usuário não autorizado controle o computador remotamente. Usando redes bot, os propagadores de spam podem controlar um grande número de computadores comprometidos, que podem então ser usados para iniciar ataques coordenados. Entre 1º de julho e 31 de dezembro de 2006, a Symantec observou uma média de 63.912 computadores ativos infectados por bot diariamente. Isso representa um crescimento de 11% com relação ao semestre anterior. Ter o poder de milhares de computadores à sua disposição permite que os propagadores de spam enviem mais mensagens usando técnicas ainda mais criativas, o que provavelmente levou à crescente popularidade atual do spam baseado em imagem.

Lidando com o spam de imagem

À medida que o spam de imagem se torna mais predominante e continua a passar pelos filtros de spam tradicionais, a Symantec tornou a sua intercepção uma prioridade. A Symantec está atualmente lidando com esses ataques de várias maneiras diferentes, incluindo o aprimoramento de filtros de regras direcionados a diferentes aspectos do corpo da mensagem e dos cabeçalhos, uma vez que os ataques mudam rapidamente. A Symantec está também aprimorando a detecção de zumbis para spam de imagem. Além disso, a Symantec possui dois conjuntos de recursos voltados para este problema:
  • Engenheiros: uma equipe de engenheiros dedicados exclusivamente à criação de várias novas tecnologias para combater o spam de imagem.
  • Grupo de segurança de e-mail e equipe de inteligência corporativa: essas equipes se concentram em lidar com esses ataques de duas maneiras diferentes: através de previsões e da filtragem de IP.
    • Previsões: A abordagem de previsões consiste em filtros de regras heurísticas preventivas direcionados a diferentes aspectos do corpo e do cabeçalho das mensagens. Os filtros de regras heurísticas preventivas não somente lidam com o ataque de spam de imagem atual, mas também levam em conta padrões comuns em que esses ataques provavelmente se transformarão. A Symantec aprimorou essas regras em seus produtos do Mail Security para lidar com esses ataques de forma agressiva, tão rápido quanto eles se transformam. Os clientes devem executar a heurística completa dentro de seus ambientes para aproveitar os benefícios desses filtros.
    • Filtragem de IP: Uma abordagem mais imediata e direta para o controle de spam é a filtragem de IP. A Symantec implementou honeypots (sistemas dissimulados) que coletam endereços de IP dos sistemas que geram spam. Muitos desses sistemas são sistemas "zumbi", computadores comprometidos que enviam spam sem o conhecimento de seu proprietário. Esses endereços de IP são atualizados em uma "blacklist" a cada 5 ou 10 minutos, que é distribuída aos usuários do Symantec Premium Antispam para o bloqueio dos endereços de e-mail de spam. A Symantec está aprimorando a detecção de zumbis para mensagens de spam de imagem através do aprimoramento ativo da nossa lista de proxies abertos. Os itens abaixo são uma lista desses aprimoramentos em que vamos tentar nos concentrar dentro de um curto período de tempo:
      • Aumentar a lista de proxies abertos com base nos veredictos dos zumbis — os veredictos dos zumbis são baseados nos IPs que a Symantec identifica como computadores comprometidos que enviam spam. Essa lista esta crescendo semanalmente e de forma dinâmica.
      • Extraindo endereços IP das amostras de spam de imagem — esses dados não somente foram incorporados na lista de proxies abertos, mas estão também contribuindo para uma nova variedade de regras heurísticas.
      • Otimizando métodos de coleta de IP — a Symantec está aprimorando nossos scripts para a coleta de IP, visando minimizar os espaços potenciais na latência.
      • Gerenciamento de conexões — cria dados de reputação locais instantâneos para reduzir os riscos impostos por um baixo volume de remetentes de redes bot.

Com milhões de contas de e-mail falsas espalhadas pelo mundo e um mecanismo de regras heurísticas altamente eficiente, a Symantec está segura de que suas técnicas de filtragem de e-mail têm um papel importante na interceptação de ataques de spam baseado em imagem.

O futuro

No futuro, as pequenas e médias empresas provavelmente continuarão a receber bastante spam e as técnicas de mensagens continuarão a mudar. Os propagadores de spam continuarão sua jornada para ignorar os filtros anti-spam, não somente através do spam de imagem, mas usando também imagens partidas ou GIFs animados. Para proteger seus sistemas de e-mail, será necessária uma solução anti-spam que utilize os dados mais recentes e que atualize constantemente as regras de filtragem para acompanhar a natureza em constante mudança do spam.