Sono in atto tre nuovi fenomeni nello spamming. Ecco quali sono e come si deve reagire.
Un’analisi realizzata da IronPort ha rilevato un insolito incremento dello spam accompagnato da alcuni cambiamenti nel comportamento degli spammer.
In particolare, ha identificato tre mutamenti emersi nel corso degli ultimi mesi: il rapido aumento dei volumi di spam, il frequente cambiamento dei domini da parte degli spammer e la comparsa di nuove e sofisticate forme di spam delle immagini.
Volumi
Gli schemi di traffico identificati dal servizio IronPort SenderBase indicano che negli ultimi due mesi i volumi di spam sono aumentati di oltre il 40%. Anche la provenienza è cambiata, con una riduzione dell’80% del volume complessivo proveniente dai pc “zombie” rispetto a due mesi prima. Se il tasso di identificazione dello spam si è mantenuto sostanzialmente costante, gli utenti hanno registrato mediamente un incremento del 40% nello spam recapitato rispetto a fine aprile.
Consiglio: a fronte di un incremento considerevole del volume di spam ricevuto quotidianamente dalle aziende, per evitare appesantimenti del server, rallentamenti della connessione ed evitare sprechi di tempo e di denaro, è necessario adottare un sistema anti-spam capace di incrementare prestazioni e scalabilità, in base a esigenze specifiche e alla disponibilità di nuove risorse.
Cambiamento domini
L’identificazione dello spam sulla base dell’indirizzo di provenienza o del dominio pubblicizzato nei messaggi è diventata una tecnica sempre più efficace. Oltre l’85% dello spam oggi include un Url quale “richiamo” per acquistare un prodotto o sottrarre informazioni personali.
Una nuova forma di abuso del processo di registrazione del dominio è diventata sempre più popolare da aprile 2006.
Degli oltre 35 milioni di domini registrati in aprile, infatti, più del 90% non è mai stato pagato ed è dunque scaduto dopo 5 giorni. La tendenza riduce a zero il costo di registrazione di un dominio facilitando gli spammer nel cambio dei domini pubblicizzati nei loro messaggi e riducendo a poche ore la loro “vita media”.
È dunque diventato fondamentale aggiornare il più velocemente possibile i sistemi basati sulla reputazione Web o le regole relative agli Url.
Ad esempio, se un dominio viene utilizzato per un attacco spam per un periodo di 4 ore e trascorre un’ora dall’invio del primo spam all’implementazione della protezione, significa che fino al 25% dello spam inviato durante l’attacco supererà le difese.
Consiglio: la maggior parte delle applicazioni per la sicurezza della posta elettronica, per garantire la massima precisione nella rilevazione dello spam, ricorre all’utilizzo di black e white list degli indirizzi e-mail dai quali si desidera ricevere o rifiutare posta.
Attualmente, l’elevata frequenza con cui gli spammer modificano i propri domini, vanifica l’utilizzo di tali liste, poiché non appena la loro compilazione è conclusa, è altresì già superata. Ciò che occorre, invece, è un sistema di protezione più avanzato, in grado di aggiornare in tempi rapidi – nell’ordine di pochi minuti – le appliance di security così da assicurare l’accesso negato ai messaggi provenienti da indirizzi sconosciuti.
Spam delle immagini
Esiste un punto debole negli approcci tradizionali basati su tecniche euristiche e verifiche delle signature impiegate per rilevare l’image-spam: attraverso la modifica casuale delle immagini da parte degli spammer, esse appaiono invariate all’occhio umano, ma una volta compresse risultano totalmente differenti.
Le tecnologie tradizionali che utilizzano le firme degli allegati producono signature binarie che variano considerevolmente a seconda dei cambiamenti, anche impercettibili, nelle immagini stesse. Le regole in grado di bloccare una copia di un messaggio spam non sono dunque in grado di bloccare il resto dei messaggi. I nuovi attacchi di image-spam hanno posto in evidenza i limiti di molti sistemi anti-spam, riducendone significativamente il tasso di identificazione.
Consigli: l’approccio tradizionalmente utilizzato dalle tecnologie anti-virus per cercare di filtrare i messaggi in entrata, si basa prevalentemente sull’analisi del contenuto dell’e-mail. Con la diffusione di minacce sempre più sofisticate, il metodo ha perso la sua efficacia. Si rende di fatto necessario un nuovo approccio in grado di valutare anche il contesto di un messaggio, analizzando ciò che esso contiene, la sua costruzione, la reputazione del mittente e dove rimanda, per distinguere con precisione i messaggi attendibili da quelli ritenuti pericolosi.
- Per la Pa c’è un problema sicurezza
- La sicurezza dell’Ict preoccupa la Commissione europea
- L’insicurezza delle intercettazioni
- Far convergere i sistemi di sicurezza fisici e logici
- Senza crittografia niente informazioni confidenziali
- Firma digitale e risposte criptate: come si validano i campi?
- Training formativo sulla sicurezza: istruire i dipendenti sugli spyware
- Come distribuire i token Otp in azienda
- Crittografia e wiping
- Spyware, come funzionano e come eliminarli
