Antispam (ins en outs)

PDF-spam

Spammers hebben recentelijk een nieuwe manier bedacht om te "adverteren", namelijk met behulp van pdf-documenten. Omdat vrijwel elke pc een pdf-reader zoals Acrobat Reader heeft, is het openen van een pdf-bestand als bijlage geen probleem. De pdf-technologie wordt zakelijk veel gebruikt. Een pdf-document kan men op een betrouwbare, veilige en eenvoudige manier distribueren.

Voor meer informatie over PDF, zie Wikipedia voor een artikel over het Portable Document Format.

Van pdf-spam zijn ondertussen verschillende varianten gesignaleerd die reclame voor aandelen maken. Spammers hebben deze aandelen eerder tegen een gunstige koers gekocht en willen met pdf-spam de prijs hiervan opdrijven, waarna ze hun aandelen weer verkopen.

Omdat in alle andere spamfilters de technologie ontbreekt om pdf-documenten inhoudelijk te beoordelen, zijn ze niet in staat om pdf-spam te herkennen. Als spamfilters momenteel pdf-spam blokkeren dan gebeurd dit op andere kenmerken dan de inhoud van het pdf-document. Spammers zullen in de nabije toekomst proberen hun pdf-bijlage dynamisch te genereren, waardoor filters deze spam niet kunnen herkennen.

Met versie 1.2.0 is Caretaker Antispam het eerste spamfilter dat pdf-documenten inhoudelijk kan beoordelen. De teksten en afbeeldingen in pdf-documenten worden op dezelfde wijze behandeld als e-mailberichten.

Naast belastende woorden en door spammers veelgebruikte zinsneden, herkent Caretaker Antispam bijvoorbeeld ook misbruikte beurssymbolen, ook al hebben spammers deze in een afbeelding, binnenin een pdf-document gestopt

Plaatjesspam

Al zijn e-mailprogramma's tegenwoordig voorzien van een basisfilter tegen ongewenste reclame voor erectiepillen of nep-horloges, de hoeveelheid spam is er niet minder om geworden. Dat is voornamelijk te danken aan de snelle groei van plaatjesspam: mailtjes waarbij de advertentieboodschap geen 'platte'; tekst is, maar een afbeelding. In deze afbeelding staat tekst die voor het menselijk oog gewoon leesbaar is, maar door (Bayesian) spamfilters wordt genegeerd: die filteren op tekst en hebben hier geen vat op, omdat het technisch gesproken om een plaatje gaat.

Ruim 40% van alle spamberichten bevat ondertussen een plaatje.

Caretaker Antispam kan in tegenstelling tot veel andere spamfilters de afbeeldingen wel lezen en kan daarin bezwarende teksten herkennen.

Plaatjes worden vaak ook geanimeerd, om zo de kans op detectie te verkleinen.

Maar daar heeft Caretaker Antispam ook geen moeite mee. Alle frames worden apart bekeken en separaat beoordeeld.

Ook de nieuwste varianten die door spammers zijn bedacht om o.a. filters met histogram-analyse te omzeilen...

...zijn geen probleem voor Caretaker Antispam. Mocht het nodig zijn dan zullen we het spamfilter bijwerken zodat altijd de nieuwste trucjes van image spammers worden herkend

"Stitched Images"

De betere spamfilters kunnen ondertussen enigzins overweg met plaatjesspam. Creatieve spammers hebben dus een nieuwe manier bedacht om hun afbeelding toch ongemerkt in uw postvak te krijgen. Ze knippen de boodschap in stukken en gebruiken HTML-code om van de opgedeelde afbeelding weer een geheel te maken.

OCR zal in de afzonderlijke plaatjes geen belastende woorden kunnen ontdekken.
Caretaker Antispam plakt echter de plaatjes simpelweg aan elkaar en ontdekt vanzelf de belastende woorden

URL-spam

Een nieuwe vorm van spam zorgt momenteel voor een spamgolf. Verantwoordelijk voor deze toename is de nieuwe variant URL-spam.

In een e-mailbericht met URL-spam staat het internetadres van een legitieme website waar gebruikers afbeeldingen en foto's kunnen plaatsen, zoals Flickr.com of Imageshack.com. Klikt de ontvanger op het internetadres in de mail, dan verschijnt een afbeelding van een spambericht over bijvoorbeeld Viagra, horloges, beurskoerzen of een lening. Deze spamberichten zijn extreem lastig te vangen omdat er nauwelijks aanknopingspunten zijn, en het blokkeren van websites als Imageshack.com is "not done" - zij moeten geen slachtoffer worden.

Maar voor Caretaker Antispam zijn deze spamberichten geen probleem. De afbeelding wordt zonder de webbrowser onzichtbaar gedownload en geanalyseerd.

Ook varianten waarbij de afbeelding op een php-pagina is ondergebracht zijn geen probleem.

Wederom zonder gebruik te maken van de webbrowser bekijkt Caretaker Antispam de technische code van de pagina.

Waarna de juiste afbeelding wordt gedownload en geanalyseerd.

Soms kunnen spammers controleren wie het plaatje bekijkt en dus achterhalen welk e-mailadres actief de link bezoekt. Daarom download Caretaker Antispam niet zomaar elk plaatje. Bij URL-imagespam is het e-mailbericht opgemaakt in platte tekst en wordt het plaatje gehost op een publieke image hosting site. Spammers kunnen zeker niet bij de loggegevens van deze server, laat staan dat ze via deze loggegevens kunnen achterhalen welk e-mailadres u heeft. Spammers uploaden ook niet voor elke geadresseerde een ander plaatje naar de image hosting site. Dit kost namelijk zeker een paar minuten en dat gaat voorbij aan het hele idee van URL-spam

Trainen

Een goed spamfilter moet volgens kenners de gebruiker minimaal de mogelijkheid bieden om het Bayesian tekstfilter het verschil tussen spam en normale e-mail te kunnen leren. Want hoe meer e-mails het filter verwerkt, hoe meer het leert en hoe beter spam wordt geweerd - zegt men.

In Caretaker Antispam ontbreekt echter expres deze functie:

Veel mensen zullen een spambericht als hierboven wel eens hebben ontvangen. Het bestaat uit plaatjesspam en een heleboel irrelevante geldige 'platte' teksten. Deze teksten zijn door spammers juist toegevoegd om Bayesian tekstfilters te vervuilen. Als de gebruiker dit bericht als spam zou leren dan worden alleen de irrelevante 'platte' teksten aan de Bayesian-bibliotheek toegevoegd (de teksten in het plaatje zijn onnauwkeurig), waardoor na verloop van tijd geldige e-mailberichten per abuis als spam worden bestempeld (false positive).

De gebruiker leermogelijkheden bieden klinkt slim en lijkt een prima oplossing, maar hierdoor zal het spamfilter na verloop van tijd legitieme e-mail in de spammap deponeren. Daarom zullen wij zelf de Bayesian-bibliotheek van Caretaker Antispam regelmatig centraal bijwerken om false positives te voorkomen

"Invisible Ink"

Spammers voegen tegenwoordig bijna altijd irrelevante teksten toe aan hun spamberichten. Dit doen ze om Bayesian tekstfilters te foppen; zie ook Trainen.
Om al deze teksten voor het oog te verbergen geven spammers de teksten dikwijls dezelfde kleur als de achtergrond. De meeste spamfilters kunnen niet bepalen welke kleur de teksten hebben.

Caretaker Antispam kijkt niet alleen naar de teksten, afbeeldingen en bijlagen, maar analyseert ook de opmaak van e-mailberichten.

Caretaker Antispam kan precies zien of een e-mailbericht teksten bevat die met "onzichtbare inkt" zijn geschreven

Hashcash postzegel

Naast het controleren van inkomende post, plaatst Caretaker Antispam een onzichtbare postzegel in uw eigen uitgaande berichten. Deze digitale postzegel moet voor elke geadresseerde worden berekend en is gebaseerd op de Hashcash methode. Het bewijst dat uw computer een bescheiden hoeveelheid processorkracht heeft gebruikt om het bericht te versturen. Spamfilters met ondersteuning voor Hashcash controleren of uw computer deze investering heeft gemaakt en zullen uw bericht eerder vertrouwen. Doordat het tijd kost om een postzegel te berekenen zullen de spammers, die als doel hebben zoveel mogelijk spam te versturen, nooit hun berichten van een dergelijke postzegel voorzien.

Normaal zou de fabrikant van het e-mailprogramma de ondersteuning voor een postzegel als Hashcash moeten implementeren. Deze fabrikanten maken echter onderling geen afspraken, of verzinnen zelf een eigen variant, terwijl grote spamfilters al wel de open-sourcestandaard Hashcash gebruiken. Veel providers gebruiken het filter SpamAssassin, welke sinds 2004 al overweg kan met Hashcash.

Caretaker Antispam verrijkt e-mailprogramma's door uitgaande berichten automatisch te voorzien van een postzegel gebaseerd op Hashcash. Uiteraard herkent Caretaker Antispam ook de Hashcash postzegel en wordt deze in de eindbeoordeling van het e-mailbericht meegenomen.

Alleen de geadresseerde heeft de postzegel in de Internet-header van het bericht.

Onderzoekers hebben betalen per e-mail als mogelijke oplossing tegen spam bedacht. Met Hashcash betaal je niet in geld maar in computertijd (rekentijd). Het kost de computer relatief veel tijd om de Hashcash code te berekenen. Voor een e-mailbericht is deze te verwaarlozen, maar voor veel berichten tegelijk - wat spammers willen - is dit een behoorlijke 'kostenpost'. Op Wikipedia is meer informatie te vinden over Hashcash

Verdachte bijlagen

Het komt regelmatig voor dat spammers hun spamberichten voorzien van kwaadaardige bijlagen. Omdat de meeste e-mailprogramma’s het openen van uitvoerbare bestanden niet toestaan wordt het kwaadaardige bestand in een standaard te openen archief gestopt (bijvoorbeeld Zip).

De bestandsnaam van de bijlage als ook de tekstuele inhoud van het bericht zelf is natuurlijk bedoeld om de ontvanger te misleiden zodat hij/zij de bijlage opent.

In dit voorbeeld bevat het archief een bestand met twee extensies (.txt en .exe), duidelijk bedoeld om de ontvanger te misleiden. Standaard verbergt Windows namelijk de extensies van bekende bestandstypen (zoals uitvoerbare bestanden). Een onwetende gebruiker verwacht het Kladblok bij het openen van dit bestand, maar zal in feite zijn/haar systeem met een virus infecteren.

Spammers misbruiken regelmatig de vertrouwde namen van AntiVirus-software om ontvangers te misleiden.

Daarbij wordt de bijlage regelmatig versleuteld om te voorkomen dat virusscanners op het e-mailsysteem (server) het bericht kunnen scannen.

Soms halen spammers alles uit de kast: plaatjesspam om de gebruiker te misleiden zodat zij de versleutelde bijlage willen openen.

Caretaker Antispam doorziet dergelijk trucjes meteen en verplaatst deze gevaren, zonder de verdachte bijlagen te hoeven openen