Рекламная энтомология

Само собой разумеется, что мой email весьма подвержен спаму. Долгие годы раздачи визиток направо и налево, «засвечивания» адреса в публикациях, на выступлениях, каталогах и пр. Ну и конечно, его простота. Иногда мы такие «спалившиеся» адреса умышленно переделываем в ловушки для спама, а сотрудникам выдаем новые, похожие. Но, сами понимаете, это не мой случай — надо не только знать врага в лицо, но и лично следить за качеством нашей антиспам-защиты. А еще иногда бывает очень смешно.

Как энтомолог — бабочек, так и я складываю входящий спам в отдельную папку, смотрю на вердикты, выявляю тенденции, ложные срабатывания, а пропущенные образцы пересылаю в нашу антиспам-лабораторию.

Что любопытно, после НГ просто прорвало! Спам мутными реками начал заливаться в мой ящик, причем, судя по структуре и уловкам, все это из одного источника. Почти все рассылки английские (было только два письма на японском), и, что самое главное, 100% этого спама было выловлено нашими решениями! Обратился к нашим спецам — и точно: зафиксировали всплеск рассылки специфического спама по методу snowshoe («снегоступ»). А ведь обычно все наоборот — на новогодние праздники активность спамеров падает!

* данные за 1–10 января

А вот как интересно изменялась доля snowshoe-спама в самый активный день, 7 января, в почтовых ящиках нашего корпоративного домена:

Что это за снегоступ и как от него защищаться?

Метод snowshoe не новый — первые атаки этого типа мы видели еще в начале 2012 года, но с каждым годом его становится все больше, поскольку он удачно обманывает глупенькие спам-фильтры без многоуровневого анализа. Дело в том, что snowshoe-спам рассылается не с одного-двух, а с большого количества IP-адресов, таким образом обходя фильтрацию по репутации IP-адресов. Отсюда и название — как вес человека равномерно распределяется по снегоступу, чтобы не провалиться под снег, так и спам по IP-адресам, чтобы не «спалиться».

Да, это более затратная и технически сложная задача, но ее решение дает лучший результат. Спамерам приходится постоянно использовать автогенерацию доменов и их регистраторов (обычно по словарю), «палить» ломаные хостинги и спам-прокси. В общем, мороки тут много.

Как только спам доходит по получателя, дальше в дело вступает обычный разводилово социнжиниринг. Сначала броский заголовок, а в письме редирект на сайт, где уже втюхивается крайне необходимый товар или услуга, без которых жизнь — не жизнь: сэкономить на страховке, электричестве, квартплате, вылечиться от страшных болезней и прочий гербалайф в коробочках. При этом обрабатывают как по шаблону — леденящая душу история (заболел, а денег нет), счастливый конец (случайно выпил таблетку за $29,99, и как рукой сняло), суперпредложение по спецакции.

Часто редиректы идут на разные сайты в зависимости от региона. Например, пришел пользователь из Конго — его просто в Google перебрасывают. А если из Штатов, то тут пляски по полной программе — развесистый скам-ресурс с байками про лечебное наследие апачей и тайны Теслы.

Разумеется, бывает, такой спам приносит и малвару.

Ну а что насчет защиты?

С технической точки зрения snowshoe, конечно, не адское исчадие, но и не детские игрушки. Простенькие фильтры, неспособные адаптироваться к полиморфизму спама, его пропускают. При этом нельзя назвать какую-то одну технологию, способную раз и навсегда пригвоздить snowshoe. Мы боремся с этой гадостью многоуровневой защитой, причем первую скрипку тут играет машинное обучение. Это логично, ведь справиться руками с таким потоком просто нереально, но им есть более уместное применение. У нас эти руки по локоть заняты созданием умных машин, которые сами, автоматически и с высокой надежностью анализируют спам и создают алгоритмы противодействия. Например, благодаря машинному обучению наши продукты автоматически распознают и блокируют новые спамерские домены, IP-адреса и подсети, проводят контентный анализ по разным атрибутам. И, как рассказано выше, очень даже успешно.

На самом деле противостояние кибердобра и киберзла давно уже превратилось в борьбу алгоритмов. Негодяи научились искусно маскировать и видоизменять кибератаки, причем чаще всего это делается в автоматическом режиме — атаки проводятся в соответствии с непростой логикой. Но на каждый алгоритм найдется контралгоритм, причем длиннее. Сегодня эффективность защиты зависит от гибкости и надежности самообучающихся систем, созданных экспертами. И успех обеспечивает сочетание математических способностей человека и сложности инфраструктуры, которая позволяет разрабатывать новые алгоритмы. Мы называем это Humachine Intelligence.