Захист від спаму в електронній пошті

За останнє десятиліття електронна пошта стала таким же звичним засобом ділового спілкування, як телефон і факс За останнє десятиліття електронна пошта стала таким же звичним засобом ділового спілкування, як телефон і факс. Безперебійна робота поштових систем часом навіть важливіше для діяльності компанії, ніж телефонний зв'язок. Кількість електронних повідомлень найчастіше багаторазово перевищує число дзвінків. Однак поширювана разом з ними шкідлива інформація, перш за все віруси і спам, порушують нормальну роботу корпоративної системи ІТ.

І хоча деякі експерти запевняють, що зловмисники втрачають інтерес до електронної пошти і переключаються на Web, спаму і вірусів не стає менше. До цих пір більшість поштових систем функціонують на базі давно існуючих протоколів, що дозволяє, поряд з підміною адрес відправника і інших маніпуляцій з системною інформацією, використовувати електронні листи в корисливих цілях.

Різні програмні і апаратні засоби, покликані надійно захистити поштові скриньки, випуcкают багато відомих компаній. Ми розглянемо основні види спаму, а також принципи роботи деяких антиспамових систем електронної пошти.

ТАК ЧИ СТРАШНА ЗАГРОЗА?

На перший погляд, найменш шкідливої ​​загрозою для користувачів систем електронної пошти є розсилка анонімних комерційних, політичних та інших рекламних листів. Отримавши такий лист, його можна видалити, не читаючи, і забути про це. Проте, на виконання навіть такої дії доводиться витрачати час. Це тим більше втомлює, коли рекламних листів більше, ніж ділової кореспонденції. Крім того, серед купи непотрібних листів легко не помітити або випадково видалити важливе послання. За даними «Лабораторії Касперського», в першій половині 2008 р серед поштових повідомлень частка спаму перевищувала 80%.

Одним з перших емпірічес-ких способів боротьби зі спамом стало дублювання ділового листування, тобто відправник, піклуючись про те, щоб його лист помітили, відправляв його двічі, а то й тричі. Це підвищувало витрати компанії на трафік електронної пошти. Телекомунікаційні оператори, щоб знизити невдоволення своїх клієнтів, стали обзаводитися програмними і апаратними засобами для відстеження підвищеної поштової активності і блокування підозрілого трафіку. Крім того, самі компанії почали встановлювати на своїх поштових системах різні програми, які фільтрують поштовий трафік за тими чи іншими ознаками. Проте, боротьба зі спамерами (особи, які організовують масові анонімні розсилки електронних листів) триває з перемінним успіхом, а їх послугами як і раніше користуються комерційні компанії в надії збути таким чином свої товари або послуги.

Останнім часом одним з найбільш популярних способів розсилки спаму стало використання заражених комп'ютерів, постійно підключених широкосмуговими каналами до мережі Internet. Такі ПК ( «зомбі»), як правило, не оснащені серйозними засобами захисту, а користувачі навіть не підозрюють про те, що відбувається, оскільки присутність програм ретельно маскується і виражається лише в незначному уповільненні швидкості роботи стандартних додатків.

Тим часом, з 1 липня 2006 року в Росії діє закон «Про рекламу», згідно з яким «поширення реклами по мережах електрозв'язку, в тому числі за допомогою використання телефонного, факсимільного, рухливого радіотелефонного зв'язку, допускається лише за умови попередньої згоди абонента або адресата на отримання реклами. При цьому реклама визнається поширеною без попередньої згоди абонента або адресата, якщо рекламораспространитель не доведе, що така згода була одержана. Рекламорозповсюджувач зобов'язаний негайно припинити поширення реклами на адресу особи, яка звернулася до нього з такою вимогою »(Закон« Про рекламу », п. 1 ст. 18).

Його доповнює закон «Про персональні дані», який набув чинності 26 січня 2007 року, де зазначено, що «обробка персональних даних в цілях просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів з потенційними споживачами за допомогою засобів зв'язку, а також з метою політичної агітації допускається тільки за умови попередньої згоди суб'єкта персональних даних. Зазначена обробка персональних даних визнається здійснюваної без попередньої згоди суб'єкта персональних даних, якщо оператор не доведе, що така згода була одержана »(Закон« Про персональні дані », п. 1 ст. 15).

Таким чином, законодавство забороняє спам. Але, на жаль, похвалитися дієвим застосуванням цих законів російська Феміда поки не може. І якщо в США вже є прецеденти тюремного ув'язнення і великих штрафів за спамерських діяльність, то в нашій країні про подібні випадки поки невідомо, і кількість спаму в електронних поштових скриньках продовжує збільшуватися.

ОСНОВНІ СПОСОБИ І ТЕХНОЛОГІЇ розсилок спаму

За даними «Лабораторії Касперського», найбільша кількість спаму приходить до нас із США і Росії, при цьому 40% бур'янів листів досить лаконічні - не більше 5 Kбайт. Як правило, надсилаються невеликий текст і посилання. Ще третина повідомлень виявляється дещо більше за розміром - від 5 до 10 КБ. У цю категорію потрапляють листи з трохи довшим рекламним текстом або з додатковим випадковим текстом, призначеним для обману фільтрів.

Таким чином, понад 70% бур'янів листів складаються з короткого тексту і посилання. Спамери віддають перевагу розсилати повідомлення, розміри яких не перевищують 10 КБ, з очевидних причин: чим коротше кожне окреме повідомлення, тим ефективніше масова розсилка.

В середині минулого року спамери почали «прискорювати» розсилки: тепер вони досягають ящиків мільйонів користувачів за
15-30 хв, тоді як раніше на це було потрібно близько двох днів. Такий прогрес став можливий як за рахунок поліпшення спамерського софта, так і завдяки збільшенню числа комп'ютерів, які здійснюють розсилку. Але фільтри спаму навчилися справлятися і з цим способом доставки - наприклад, «Лабораторія Касперського» використовує нову технологію SURBL, що дозволяє реагувати на спам миттєво.

ВИДИ ПОШТОВОЇ «СМІТТЯ»

Багато методів фільтрації спаму засновані на аналізі тексту поштових повідомлень. Фільтри аналізують масовість адресатів - якщо ідентичні варіанти листи розсилаються на безліч електронних адрес, то воно кваліфікується як спам і відсіюється. Крім того, системи фільтрації ідентифікують сміттєві повідомлення на підставі наявності в них характерних слів. База даних таких слів міститься в програмі-фільтрі і постійно поповнюється.

Для обходу фільтрів спамери вдаються до хитрощів - спотворюють текст повідомлення і «зашумлять» його різними способами, щоб програма-фільтр «не здогадалася» про сумнівне вмісті, а одержувач зміг прочитати лист і зрозуміти його зміст. Написати слово з помилками - це найпростіший спосіб його спотворення, що застосовується для «обману» робота, що працює зі словником. Додатково здійснюється заміна прописних літер на рядкові або цифри, а також розрядка тексту (наприклад, написання букв через пробіл або інший спеціальний символ). Аналогічні прийоми застосовуються для маскування номерів телефонів, іноді використовуються слова-числівники замість цифр, наприклад замість номера 888-8888 може бути написано «8 * вісімка-8 8-вісім + 88». Крім того, для обходу фільтрів частина букв російського алфавіту замінюється на подібні по написанню латинські.

«Графічний» спам - це сміттєві повідомлення, де рекламний текст представлений у вигляді графічного зображення. Так вдається обійти фільтри-аналізатори тексту, які видаляють або відзначають листи, що містять найбільш поширені в рекламі слова. До весни 2007 р спам-фільтри навчилися досить успішно справлятися з вкладеними графічними файлами, і спамери були змушені шукати нові способи доставки графічної інформації.

В результаті з'явилися листи, де вказувався URL з посиланням на сторінку якогось безкоштовного хостингу зображень. Графічний файл в такий лист не вкладався, однак після його відкриття буде збільшено автоматично довантажувати з зазначеного ресурсу. Ставка робилася на те, що у фільтрів спаму відсутня матеріал для аналізу, оскільки спамерське зображення не вкладено в повідомлення. Однак великого успіху ці прийоми не мали, і спамери переключилися на експерименти з форматами вкладених файлів.

У травні минулого року вийшла «порожні» листи з вкладеними файлами формату * .pdf, що містять всі ту ж рекламну картинку з текстом. Спочатку цей вид спаму досить успішно долав фільтри, і на піку популярності його частка становила близько 10% від загального числа бур'янів листів. Але фільтри спаму досить швидко навчилися розпізнавати і відловлювати подібні вкладення. Спамери спробували змінити їх формат, замінивши * .pdf на * .fdf. Але фільтри вдалося успішно підлаштувати, і поступово цей метод практично пішов у забуття.

У жовтні 2007 р з'явився новий формат спаму - листи з вкладеними файлами * .mp3. Розрахунок спамерів був зроблений на те, що фільтри спаму не готові, а користувачі не звичні до використання такого формату з метою спаму. Однак він виявився вкрай невдалим. Спамери намагалися домогтися відмінності звукових файлів один від одного, кожен з яких складався з декількох фрагментів тексту (можливо, автоматично створеного), суміщених один з одним в різному порядку і записаних з різною швидкістю. Тому зрозуміти зміст при відтворенні було практично неможливо. Крім того, маленький розмір файлу теж позначався на якості запису.

ШАХРАЙСТВО В спам

Найчастіше під словом «спам» мають на увазі тільки листи рекламного характеру, але це не зовсім вірно. Деякі види бур'янів листів розсилаються з метою крадіжки персональних даних для доступу до платіжних і іншим системам. Криміналізації спаму сприяє і той факт, що ініціаторів розсилок нелегко знайти через анонімність листів, а значить, кіберзлочинці можуть розраховувати на безкарність. Послугами спамерів активно користуються продавці контрафактної або підробленої продукції, постачальники незаконних послуг і вирусописатели.

За допомогою фішингових розсилок спамери намагаються роздобути персональні дані користувача: імена, паролі (зазвичай до систем онлайнових платежів), номера і PIN-коди кредитних карт. Найчастіше мішенями фішингових атак стають користувачі Internet-банкінгу та платіжних систем. Фішингові листи імітують повідомлення банків, фінансових компаній, платіжних систем. Як правило, вони містять посилання на підроблену сторінку і під тим або іншим приводом закликають одержувача ввести свої дані. Для того щоб жертва не здогадалася про обман, сторінка оформляється точно так же, як сайт організації, від імені якої повідомлення розсилається (адреса відправника також підробляється).

У деяких випадках після введення і відправки даних браузер користувача перенаправляється на справжній сайт, щоб жертва не запідозрила недобре. Іноді користувач потрапляє на заражену експлоїтом сторінку. Використовуючи уразливість програмного забезпечення, експлоїт встановлює на його комп'ютері троянську програму для збору різноманітної інформації (наприклад, про коди доступу до рахунків). Крім того, заражена таким чином машина може стати частиною зомбі-мережі і використовуватися для здійснення кібер-атак або розсилання спаму.

Для обману тих, хто звертає увагу не тільки на зовнішній вигляд, але і на адреси відвідуваних сайтів, фішери маскують URL, намагаючись зробити їх схожими на оригінальні. Спочатку на безкоштовних хостингах реєструвалися імена доменів, схожих з іменами доменів сайтів атакованих організацій, проте з часом стали застосовуватися все більш витончені методи.

Втім, фішери не гребують і примітивними варіантами обману. Наприклад, користувачеві приходить повідомлення, в якому від імені адміністрації або служби техпідтримки того чи іншого сервісу пропонується терміново надіслати пароль від його облікового запису на вказаний в листі адресу - як правило, під приводом її вимушеного закриття. У «Рунеті» цей прийом використовується в основному для отримання доступу до поштових акаунтів. Варто відзначити, що, контролюючи пошту користувача, шахраї через системи нагадування пароля можуть заволодіти і його реєстраційними даними на інших Internet-сервісах.

Втім, з часом користувачі зрозуміли, що серйозні компанії ніколи не запитують паролі по електронній пошті, і ефективність пасток такого роду стала падати. В даний час спамери прагнуть ретельніше маскувати листи-підробки, в результаті одержувачам стає все важче відрізнити їх від легітимних повідомлень.

Крім фішингу, шахраї придумали безліч інших прийомів, що дозволяють заманити невдалих користувачів в пастки. Найчастіше спамери намагаються зіграти на наївності і жадібності своїх потенційних жертв. Для досягнення своїх цілей вони використовують різні схеми, і найпоширеніші з них ми розглянемо докладніше.

«Нігерійський» ЛИСТИ

У класичній «нігерійської» схемою спамери розсилають листи від імені представника знатної сім'ї (як правило, що проживає в будь-якому африканській державі), що потрапила в скрутне становище через громадянську війну / державного перевороту / економічної кризи / політичних переслідувань. До адресату звертаються з проханням про допомогу: треба «врятувати» велику суму грошей, перевівши її з рахунку опального сімейства на інший рахунок. За послугу з переказу грошей шахраї обіцяють солідну винагороду - як правило, відсотки від суми переказу.

В ході «рятувальної операції» з'ясовується, що добровільному (хоча і небезкорисливо) помічникові доведеться перевести невелику - в порівнянні з обіцяним винагородою - суму для оформлення перекладу / дачі хабара / оплати послуг юриста і т.п. Як правило, після перерахування грошей подальші контакти припиняються. Іноді жертву змушують розщедритися кілька разів під приводом чергових непередбачених ускладнень.

«ПОМИЛКИ» В ПЛАТІЖНИХ СИСТЕМАХ

У засмічених листах цього виду користувачеві повідомляється про те, що в деякій платіжній системі виявлена ​​уразливість, що дозволяє «навіть мати зиск». Далі йде опис суті уразливості і пропонується рецепт заробітку. Як правило, для початку треба відправити певну суму на вказаний рахунок. Користувачеві обіцяють фантастичний - подвоєний, втричі більший і т.д. - дохід. Зрозуміло, «чарівний» гаманець належить шахраям, а заяву в міліцію від потерпілого може бути тільки таким: «Я намагався зламати платіжну систему і в результаті втратив гроші».

Ще один варіант - програма-генератор номерів кредитних карт для прихованого списання грошей з чужих рахунків / гаманців і т.п. За програму необхідно заплатити, проте один-три рахунки можна нібито зламати безкоштовно, щоб отримати уявлення про те, як вона працює. Підступ полягає в тому, що в якості вихідних даних необхідно ввести номер своєї картки / гаманця і пароль. При спробах такого «злому» введені дані передаються зловмисникам, що дозволяє їм перевести гроші з рахунку або електронного гаманця любителя легкої наживи.

Схема, в якій шахраї пропонують програму-генератор кодів карт для оплати послуг стільникового зв'язку або підключення до Internet, аналогічна попередній, але в «генератор кодів» треба ввести код ще не активованої карти, який послужить зразком для «розмноження».

Привабливі пропозиції ШВИДКОГО ЗАРОБІТКУ

Як правило, в тексті такого листа говориться про фінансову піраміду: користувачеві пропонується заплатити відправнику (куратору) певну суму, а потім переслати лист далі, отримавши таку ж суму з кожного з адресатів (стати їх куратором) плюс якусь частину прибутку від своїх « підопічних »ще більш низького рівня. Безумовно, таким чином аферисти змушують довірливих людей розлучитися зі своїми грошима.

Кілька більш хитрий спосіб придумали творці підроблених робочих місць: майбутнього співробітника обіцяють високі доходи, причому підтвердження кваліфікації зазвичай не потрібно, зате його просять вислати певну суму за надання докладної інформації або на поштові витрати і закликають поквапитися, тому що вакантне місце може зайняти хтось інший.

Іноді проводяться цільові атаки: «вигідні пропозиції» розсилаються на адреси користувачів, які розмістили свої дані на спеціалізованих сайтах. Претендентам пропонують взяти участь в реальному міжнародному проекті. Як правило, згадується бізнес має пряме відношення до роду діяльності здобувача або його діловим контактам і вимагає від нього професіоналізму і досвіду. Але потім незмінно настає етап оплати «адміністративних витрат» ...

SMS НА КОРОТКІ НОМЕРА

Паралельно з використанням шахрайських схем, характерних для західного сегмента Internet, шахраї «Рунета» винаходять нові способи виманювання грошей. Зокрема, вони орендують у операторів мобільного зв'язку короткі номери і розсилають спам, завдання якого - спровокувати відправку SMS-повідомлень на орендований номер. Схема заснована на тому, що при відправці SMS на короткий номер з рахунку відправника автоматично знімається певна сума грошей, і частина її отримує орендар номера. З цією метою застосовуються різні хитрощі: від пропозицій безкоштовного доступу в Internet та обіцянок виграшу до погроз заблокувати поштову скриньку, якщо користувач не пошле SMS.

Іноді організатори розсилок пропонують одержувачам «відписатися» від спаму, посилаючись на діючий закон «Про рекламу», або виключити свою адресу з спамерських баз, виславши нібито безкоштовне повідомлення SMS. В одному з таких листів спамер обіцяв, що після відправки SMS користувач отримає посилання на сторінку Web, де нібито опубліковані спамерські бази адрес, і зможе видалити з них свою адресу електронної пошти. Очевидно, що зовсім не дотримання закону було головною метою автора листів!

При більш складних комбінаціях в листі може міститися лише посилання на спеціально створений спамерами сайт. На сайті користувачеві (вже залученому, наприклад, в процес отримання «виграшу») пропонується вислати повідомлення SMS на короткий номер. Таке подовження і ускладнення схеми, що веде до бажаної для спамера відправці SMS, покликане приспати увагу найбільш пильних адресатів.

За даними «Лабораторії Касперського», в 2007 р шахрайські листи становили близько 7% всього спаму. У першому кварталі 2008 року цей показник зменшився більш ніж удвічі - до 2,5%. Хоча частка таких листів і скоротилася, зловмисники відточують свою майстерність і все частіше проводять цільові атаки. І тоді звичайного розсудливості вже недостатньо, оскільки більш витончені варіанти шахрайства розпізнати набагато важче. Що ж стосується фішингу, то боротися з ним без програмних засобів захисту неможливо.

Не слід забувати відоме прислів'я про безкоштовний сир у мишоловці, і якщо вже фільтр спаму пропускає подібні листи, ніколи на них не відповідати - краще видаляти, не читаючи, щоб не піддаватися спокусі.

Антиспам-РІШЕННЯ

Основні функції і принципи роботи програм фільтрації спаму розглянемо на прикладі трьох поширених на російському ринку антиспамових рішень - Kaspersky Anti-Spam, Trend Micro Network Anti-Spam Service і «Антиспам Dr. Web ».

Додаток Kaspersky Anti-Spam перевіряє IP-адреса відправника по чорних списків провайдерів і громадських організацій (DNS-based Blackhole List, DNSBL). Якщо адреса занесений адміністратором в білий список, то повідомлення приймається, минаючи всі етапи аналізу. В процесі фільтрації може враховуватися авторизація відправника за технологією Sender Policy Framework (SPF). На додаток до списків DNSBL, що виявляє спамерські IP-адреси, використовується технологія Spam URL Realtime Block List (SURBL) для розпізнавання спамерських URL в тексті повідомлення.

Програма відсіває спам по типових ознак: модифікація адреси відправника або відсутність його IP-адреси в системі доменних імен (DNS), невиправдано велика кількість одержувачів або приховування їх адрес. Крім того, оцінюються розмір і формат повідомлення. Цілодобово оновлювана база лексичних сигнатур дозволяє розпізнавати модифіковані варіанти вихідного сорного листи, створювані для обходу фільтрів спаму. Програма перевіряє наявність і розташування слів і фраз, типових для спаму. Аналізу піддається як текст самого листа, так і зміст вкладених файлів. Використовуючи базу графічних сигнатур, додаток блокує також ті листи, які містять інформацію у вигляді зображень.

За допомогою технології Urgent Detection System (UDS) дані про останні спамерських розсилках доступні вже через секунду після їх виявлення. Ця інформація використовується для додаткової перевірки сумнівних (спам / не спам) повідомлень. Стандартно основні бази даних оновлюються за розкладом, заданому адміністратором (за замовчуванням - кожні 20 хв). При появі підозрілих повідомлень додаток звертається за актуальний інформацією до сервера оновлень UDS.

Залежно від налаштувань спам може бути автоматично вилучений, переадресований у карантинну папку з повідомленням користувача або позначений для подальшої фільтрації на рівні поштового клієнта. Адміністратор може контролювати роботу додатка, стан захисту від спаму і статус ліцензій, використовуючи наочні HTML-звіти або переглядаючи журнальні файли. Можливий експорт інформації в формат CSV або Excel.

Рішення Trend Micro Network Anti-Spam Service поєднує в собі динамічну блокування спаму в режимі реального часу з усіма функціями Trend Micro RBL + Service. Система блокує спам шляхом перевірки IP-адреси по великій базі даних про репутацію, рейтинги якої враховують причетність до розсилання спаму. Повідомлення блокуються на рівні IP-з'єднання ще до того, як вони перетнуть периметр корпоративної мережі, що є головною перевагою рішення перед системами, що працюють на рівні додатків і обробними спам вже після його проникнення в мережу.

Network Anti-Spam Service виявляє підозрілі дії і блокує нові джерела спаму (в тому числі, такі трудноопределімую, як окремі «комп'ютери-зомбі» і їх мережі) у міру відправки пошти. Технологія об'єднує в собі евристичні методи, витончені алгоритми і моніторинг в режимі реального часу. Динамічний чорний список постійно оновлюється і блокує джерела спаму до тих пір, поки вони проявляють активність.

Велика база даних рейтингів репутації містить 1,6 млрд IP-адрес, ранжируваних відповідно до їх причетністю до розсилки спаму. Щоб не допустити помилок співробітники Trend Micro Threat Prevention Network постійно відстежують і оновлюють рейтинги. В результаті забезпечується блокування спаму при майже повній відсутності помилкових спрацьовувань.

Допомагаючи позбутися від спаму, ця служба захищає корпоративну мережу від вірусів, шпигунських програм, умовно шкідливого ПО (grayware) та інших зловмисних програм, що використовують спамерські прийоми. Крім того, вона блокує повідомлення електронної пошти, спрямовані на незаконне видобування особистої інформації, включаючи номери кредитних карт і інші важливі дані; захищає від атак з метою виявлення діючих адрес електронної пошти, що перевантажують систему і призводять до збільшення обсягів спаму.

Блокуючи близько 80% спаму до його проникнення в корпоративну мережу, служби репутації запобігають зниження пропускної здатності каналів, марна витрата системних ресурсів і втрати робочого часу, причиною яких є бур'яниста пошта. Значно знижуються витрати, пов'язані зі зберіганням і внутрішньої перевіркою пошти. Крім того, система легко масштабується, не вимагаючи додаткових витрат на придбання обладнання або програмного забезпечення.

Рішення легко налаштовується для роботи з популярними поштовими агентами, включаючи Postfix, qmail і Sendmail. Виступаючи в якості першого рівня захисту, воно ідеально доповнює Trend Micro Spam Prevention Solution - високопродуктивне рішення для захисту від спаму на рівні поштового шлюзу.

«Антиспам Dr. Web »працює без модулів (plug-in) до поштових програм, тому не залежить від того, який поштовий клієнт використовується для приймання та обробки пошти, що забезпечується його глибокою інтеграцією в один з модулів« Антивірус Dr. Web »- поштовий монітор SpIDer Mail. Надходить пошта фільтрується не тільки по стандартному протоколу прийому пошти POP3, а й по протоколу IMAP4, який дозволяє не завантажувати лист цілком, а одержувати його по частинах: заголовок, тіло листа, вкладення. Тим самим економиться трафік.

Розробники антиспаму орієнтувалися на створення рішення для корпоративних серверів, тому саме висока швидкість фільтра-ції повідомлень була однією з найбільш пріоритетних завдань при його розробці. Всього за одну секунду «Антиспам Dr. Web »перевіряє« на льоту »понад 100 повідомлень (на комп'ютері з процесором Pentium 4 на 1,9 ГГц), тому його робота майже не завантажує систему і не збільшує час прийому пошти.

Для кожного виду небажаних листів - спам або фишинг-, фарминг-, скаммінг-, bounce-повідомлення - передбачені різні технології фільтрації, що забезпечують високий ступінь розпізнавання. Наприклад, для некірілліческого спаму ця цифра досягає 99%. При необхідності жодне з спрямованих в поштову скриньку листів не буде видалено. Для цього на поштовому клієнті створюється папка «Спам», куди відповідно до налаштованим правилом автоматично переміщається підозріла кореспонденція.

Для досвідчених користувачів доступні широкі можливості гнучкого налаштування, в тому числі створення «довірених і заборонених адрес».

Технологія фільтра спаму складається з тисяч правил, які умовно можна розбити на кілька груп. Евристичний аналізатор постійно вдосконалюється, до нього додаються нові правила. Аналізу піддається не тільки саме повідомлення, а й зміст вкладення, якщо таке є. Фільтрація протидії призначена для розпізнавання вивертів, що застосовуються для обходу фільтрів.

Повідомлення, до складу яких входить код HTML, порівнюються зі зразками бібліотеки HTML-сигнатур. Таке порівняння, в поєднанні з даними про типові для спамерів розмірах зображень, захищає від отримання засмічених повідомлень з кодом HTML, в які часто включаються зображення з Internet.

В ході семантіческокго аналізу слова і вирази з повідомлення порівнюються зі словами і ідіомами, типовими для спаму. Порівняння виконується за спеціальним словником, причому аналізу піддаються як видимі, так і приховані для людського ока спеціальними технічними прийомами слова, вирази і символи.

Скаммінг-повідомлення - одна з найнебезпечніших різновидів спам-повідомлень, до числа яких відносяться так звані «нігерійські листи», повідомлення про виграші в лотерею, казино, підроблені листи банків і кредитних установ. Для їх фільтрації в рішенні Dr. Web застосовується спеціальний антіскаммінг-модуль.

ВИСНОВОК

Крім перерахованих рішень, кілька десятків компаній пропонують продукти, які забезпечують захист на програмному
і програмно-апаратному рівні. Всі вони дозволяють істотно скоротити обсяг надходять масових розсилок. Але і спамери не стоять на місці, продовжуючи удосконалювати технології обходу існуючих фільтрів і придумуючи все нові способи розсилки. Ця боротьба «снаряда і броні» триває, і далеко не завжди виробникам засобів захисту вдається швидко і адекватно реагувати на виникаючі загрози.

При підготовці статті використовувалися матеріали сайтів spamtest.ru , viruslist.com и antiviruspro.ru .

Ростислав Сергєєв - заступник головного редактора «Журналу мережевих рішень / LAN». З ним можна зв'язатися за адресою: [email protected] .

ТАК ЧИ СТРАШНА ЗАГРОЗА?
IRC (Internet Relay Chat)