Рекламная энтомология

Противостояние кибердобра и киберзла давно превратилось в борьбу алгоритмов. А эффективность защиты зависит от гибкости и надёжности самообучающихся систем.

Само собой разумеется, что мой email весьма подвержен спаму. Долгие годы раздачи визиток направо и налево, «засвечивания» адреса в публикациях, на выступлениях, каталогах и пр. Ну и конечно, его простота. Иногда мы такие «спалившиеся» адреса умышленно переделываем в ловушки для спама, а сотрудникам выдаем новые, похожие. Но, сами понимаете, это не мой случай — надо не только знать врага в лицо, но и лично следить за качеством нашей антиспам-защиты. А еще иногда бывает очень смешно.

Как энтомолог — бабочек, так и я складываю входящий спам в отдельную папку, смотрю на вердикты, выявляю тенденции, ложные срабатывания, а пропущенные образцы пересылаю в нашу антиспам-лабораторию.

Что любопытно, после НГ просто прорвало! Спам мутными реками начал заливаться в мой ящик, причем, судя по структуре и уловкам, все это из одного источника. Почти все рассылки английские (было только два письма на японском), и, что самое главное, 100% этого спама было выловлено нашими решениями! Обратился к нашим спецам — и точно: зафиксировали всплеск рассылки специфического спама по методу snowshoe («снегоступ»). А ведь обычно все наоборот — на новогодние праздники активность спамеров падает!

* данные за 1–10 января

А вот как интересно изменялась доля snowshoe-спама в самый активный день, 7 января, в почтовых ящиках нашего корпоративного домена:

Рекламная энтомология.

Что это за снегоступ и как от него защищаться?

Метод snowshoe не новый — первые атаки этого типа мы видели еще в начале 2012 года, но с каждым годом его становится все больше, поскольку он удачно обманывает глупенькие спам-фильтры без многоуровневого анализа. Дело в том, что snowshoe-спам рассылается не с одного-двух, а с большого количества IP-адресов, таким образом обходя фильтрацию по репутации IP-адресов. Отсюда и название — как вес человека равномерно распределяется по снегоступу, чтобы не провалиться под снег, так и спам по IP-адресам, чтобы не «спалиться».

Рекламная энтомология.

Да, это более затратная и технически сложная задача, но ее решение дает лучший результат. Спамерам приходится постоянно использовать автогенерацию доменов и их регистраторов (обычно по словарю), «палить» ломаные хостинги и спам-прокси. В общем, мороки тут много.

Как только спам доходит по получателя, дальше в дело вступает обычный разводилово социнжиниринг. Сначала броский заголовок, а в письме редирект на сайт, где уже втюхивается крайне необходимый товар или услуга, без которых жизнь — не жизнь: сэкономить на страховке, электричестве, квартплате, вылечиться от страшных болезней и прочий гербалайф в коробочках. При этом обрабатывают как по шаблону — леденящая душу история (заболел, а денег нет), счастливый конец (случайно выпил таблетку за $29,99, и как рукой сняло), суперпредложение по спецакции.

Часто редиректы идут на разные сайты в зависимости от региона. Например, пришел пользователь из Конго — его просто в Google перебрасывают. А если из Штатов, то тут пляски по полной программе — развесистый скам-ресурс с байками про лечебное наследие апачей и тайны Теслы.

Разумеется, бывает, такой спам приносит и малвару.

Ну а что насчет защиты?

С технической точки зрения snowshoe, конечно, не адское исчадие, но и не детские игрушки. Простенькие фильтры, неспособные адаптироваться к полиморфизму спама, его пропускают. При этом нельзя назвать какую-то одну технологию, способную раз и навсегда пригвоздить snowshoe. Мы боремся с этой гадостью многоуровневой защитой, причем первую скрипку тут играет машинное обучение. Это логично, ведь справиться руками с таким потоком просто нереально, но им есть более уместное применение. У нас эти руки по локоть заняты созданием умных машин, которые сами, автоматически и с высокой надежностью анализируют спам и создают алгоритмы противодействия. Например, благодаря машинному обучению наши продукты автоматически распознают и блокируют новые спамерские домены, IP-адреса и подсети, проводят контентный анализ по разным атрибутам. И, как рассказано выше, очень даже успешно.

Humachine against SPAM

На самом деле противостояние кибердобра и киберзла давно уже превратилось в борьбу алгоритмов. Негодяи научились искусно маскировать и видоизменять кибератаки, причем чаще всего это делается в автоматическом режиме — атаки проводятся в соответствии с непростой логикой. Но на каждый алгоритм найдется контралгоритм, причем длиннее. Сегодня эффективность защиты зависит от гибкости и надежности самообучающихся систем, созданных экспертами. И успех обеспечивает сочетание математических способностей человека и сложности инфраструктуры, которая позволяет разрабатывать новые алгоритмы. Мы называем это Humachine Intelligence.

Слишком много паролей? Попробуйте наш Password Manager для iOS!

Слишком много паролей? Попробуйте наш Password Manager для iOS!

Пользоваться паролями на мобильных устройствах неудобно: их нужно не только помнить и не путать, но и вводить с помощью экранной клавиатуры. Та еще головная боль. Но у нас есть решение!

Слишком много паролей? Попробуйте наш Password Manager для iOS!
Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.