Как обойти спам фильтр Андрей Никишин Kaspersky Lab

О чем будем говорить Основные принципы и алгоритмы фильтрации, их плюсы и минусы. Про схемы решения Какой сейчас спам и что делают спамеры, чтобы нас обмануть Как обмануть спам фильтр

Спам, спам, спам

Спама меньше не будет!

Доля спама в почтовом трафике

Мошенничество Монетизация спама

Лотереи

SMS маркетинг Почему так популярен? – Легко покупать товары и услуги – Легко продавать товары и услуги Всего один звонок или SMS и ваш продукт или услуга оплачены! Заработайте больше! По всему миру!

Клиент Оператор SMS партнер Поставщик услуг % от стоимости SMS SMS сервис SMS на Короткий номер % от стоимости SMS SMS маркетинг

Клиент Оператор SMS партнер Мошенник Услуга??? % от стоимости SMS SMS на Короткий номер % от стоимости SMS SMS черный маркетинг

Лотереи

Запугивание

Ресурсы для взрослых

Свидания и знакомства

Не только …

Трюки и «фишки» Как пытаются обмануть нас

Реклама на Web хостингах

Использование тэга комментариев Real text site.com

Телефонный номер как таблица

Html трюки

Key word and address consist of tables V n W

Как защищаться? Технологии

Методы фильтрации Лингвистические (AI) методы – Эвристика – Сигнатуры (термины) Формальные методы – Правила – Черные списки – Репутация Другие методы

Анализ содержимого (Лингвистика) Количественный анализ (что говориться) – Анализ значения текста Качественный анализ (как говориться) – Анализ особенностей используемого языка Требуется довольно большой текст для корректной работы Требуется довольно большой текст для корректной работы

Лингвистические сигнатуры Сигнатура это лингвистический «отпечаток» текста, созданный в лаборатории Небольшие изменения текста не влияет на результат сравнения («полиморфный» спам) Короткие сигнатуры (термины) – Масса вариантов реализации Спам сильно вариативен Спам сильно вариативен Часто нет текста вовсе Часто нет текста вовсе

Формальные методы: Правила – Отсутствие адреса отправителя, – Отсутствие или слишком много получателей, – Отсутствие IP-адреса в системе интернет-адресов DNS и т.п. – Все это признаки спамерского сообщения Пример из жизни: – Государственные структуры в некой стране не принимают сообщения если user agent The Bat Требуется высокая квалификация для написания сложных правил Требуется высокая квалификация для написания сложных правил

Формальные методы: Списки Списки IP адресов (черные и белые) – RBL и репутационные фильтры Списки адресов Пользовательские Черные и Белые списки SURIBL – Собственный URLBL Greylisting Whitelisting

Другие методы Работа с картинками – Статистические методы – Анализ изображения – Графические сигнатуры

Графический спам

Другие методы Работа с картинками – Статистические методы – Анализ изображения – Графические сигнатуры Блокировка коннектов с DUL – cslce701.dsl.brasiltelecom.net.br [ ] – Есть тонкости Шинглы Другое

Как защищаться решения

Как защитить компанию 1. Решение на основе программных средств 2.Программно-аппаратный комплекс (appliance) 3. Аутсорсинг (Managed Security или Hosted Security)

Software vs Appliance vs Hosted Service Software Software – Может быть установлено на существующие серверы для повышения ROI – Может быть установлено на несколько серверов без приобретения дополнительных лицензий (не для всех производителей). – Большой выбор решений – Требует больших временных затрат для установки и поддержания – Требует дополнительного аппаратного обеспечения – Увеличивает количество точек, которые могут привести к сбоям

Software vs Appliance vs Hosted Service Appliance Appliance – Установка проще по сравнению с установкой ПО – нет настройки сервера, патчей ОС и т.д – Более легкая замена, чем в случае с ПО. – Легче покупать – одно решение, одна цена, одно устройство – Меньшая гибкость с т.з. установки (нет возможности выбрать HW, нет возможности использовать свои сервера) – Выше цена

Software vs Appliance vs Hosted Service Hosted Services Hosted Services – Легкая и быстрая установка (несколько минут) – Минимальная необходимость управления – не требуются дополнительные IT-ресурсы – Управляется экспертами – мгновенная реакция на новые угрозы – Высокий уровень надежности – Ограниченный выбор – сервис провайдер все делает за клиента – Цена выше

Как обмануть спам фильтр

Как обмануть фильтр Об этом поговорим в другой раз

Вопросы! Андрей Никишин Kaspersky Lab