211service.com
Attraper les spammeurs en flagrant délit
Les chercheurs ont jeté un nouvel éclairage sur les méthodes par lesquelles les spammeurs récupèrent les adresses e-mail du Web et relayent les messages en masse via plusieurs ordinateurs. Ils disent que les résultats pourraient fournir des munitions supplémentaires dans la lutte contre les campagnes de courrier indésirable.
Le problème des messages électroniques indésirables, ou spams, continue de contrarier les utilisateurs d'ordinateurs et les professionnels de la sécurité. Actuellement, plus de 90 % des e-mails transitant sur Internet semblent être du spam, selon les informations publiées en juin par la société de sécurité e-mail. MessageLabs .
Dans un article qui doit être présenté cette semaine à la Conférence sur le courrier électronique et l'anti-spam, à Mountain View, en Californie, des chercheurs de l'Université d'Indiana ont étudié comment les spammeurs obtiennent les adresses e-mail en premier lieu. Les chercheurs ont utilisé diverses techniques pour faire correspondre les programmes qui récupèrent les adresses e-mail des pages Web au spam résultant. Nous essayons essentiellement de comprendre comment les spammeurs obtiennent votre adresse – les adresses des personnes qu'ils tentent de victimiser, explique Craig Shue, un étudiant diplômé de l'Université de l'Indiana qui travaille maintenant au Laboratoire national d'Oak Ridge.
Cela impliquait d'exposer 22 230 adresses e-mail uniques sur le Web sur une période de cinq mois et de surveiller les spams envoyés à ces destinations. Les chercheurs ont découvert qu'une adresse e-mail incluse dans un commentaire publié sur un site Web avait une probabilité beaucoup plus élevée de générer du spam. Alors que seulement quatre adresses e-mail soumises à 70 sites Web lors de l'enregistrement ont abouti à du spam, la moitié des adresses e-mail publiées sur des sites populaires ont abouti à du spam.
Les chercheurs ont également créé un site Web sur leur propre domaine et ont attendu que leurs pages soient explorées. Chaque visiteur du site Web verrait un e-mail différent, une stratégie qui, selon les chercheurs, permettrait d'évaluer la fréquence à laquelle les programmes qui explorent automatiquement les sites sont exploités par des spammeurs. Nous donnons une adresse e-mail unique à chaque visiteur de notre page Web, dit Shue. Si jamais nous recevons un e-mail à cette adresse, nous savons que le robot d'exploration a donné cette adresse e-mail à un spammeur.
Les chercheurs ont également découvert que les programmes qui parcourent le Web à la recherche d'adresses e-mail (appelés robots d'exploration de spam) ont des caractéristiques qui pourraient faciliter leur détection. Par exemple, les parties d'un réseau à partir desquelles un robot d'exploration opère ont tendance à être un bon indicateur pour savoir s'il s'agit d'un robot d'exploration légitime, comme ceux utilisés par Google ou d'autres moteurs de recherche, ou d'un robot d'exploration de spam. Il peut être possible de bloquer un petit nombre de [numéros de réseau] associés aux robots d'exploration de spammeurs pour éliminer la récolte d'adresses e-mail sur un site, ont écrit les chercheurs de l'Université de l'Indiana.
De nombreux utilisateurs finaux se protègent contre la collecte d'e-mails à l'aide de techniques d'obscurcissement simples, par exemple en utilisant -at- pour remplacer le symbole @ dans une adresse e-mail. Les chercheurs ont découvert que ces méthodes contrecarrent étonnamment bien les techniques de spam actuelles. En outre, ils ont découvert que la soumission d'une adresse e-mail à un site Web légitime entraînait rarement du spam. Si vous vous inscrivez auprès d'organisations réputées, tout ira bien, dit Shue. Si vous allez sur des sites moins réputés, vous recevrez du spam.
Dans un article distinct qui sera présenté lors de la même conférence, des chercheurs de l'Université fédérale de Minas Gerais (UFMG), au Brésil, et du Network Information Center du Brésil montrent que les spammeurs ont tendance à combiner différentes techniques pour cacher l'origine de leurs courriers indésirables. messages. Alors que de nombreux groupes de spam ont adopté l'utilisation de botnets pour anonymiser la source de leurs messages électroniques, un nombre important utilise une chaîne de différentes machines compromises, selon Pedro Calais Guerra, doctorant à l'UFMG.
Le facteur clé pour qu'un spammeur réussisse à cacher son identité sur le réseau est de diffuser son activité autant qu'il le peut, explique Guerra, qui pense que l'étude de l'équipe pourrait être utilisée pour aider à lutter contre le spam en identifiant quels messages devraient être bloqué. Nous pensons que cela peut avoir un impact sur la conception des listes noires.
Guerra et cinq autres chercheurs ont surveillé des serveurs spéciaux, connus sous le nom de pots de miel, collectant 525 millions de messages électroniques de spam envoyés à partir de plus de 216 000 adresses Internet sur une période de 15 mois. Ils ont découvert, par exemple, que près de 95 000 machines utilisées par les spammeurs étaient des ordinateurs d'utilisateurs finaux qui relayaient des messages et non des serveurs de messagerie, dont un tiers aux États-Unis et un quart à Taïwan.
Les chaînes d'ordinateurs utilisées par les spammeurs pour anonymiser les origines du spam se répartissaient en deux catégories : les proxys ouverts et les relais ouverts. Les proxys ouverts sont des serveurs compromis qui transmettent des données à d'autres ordinateurs du réseau, masquant l'adresse de l'expéditeur ; les relais ouverts reçoivent des messages électroniques pour un autre domaine, transmettant le message au serveur suivant. Les chercheurs ont découvert que les spammeurs utilisent généralement chaque relais ouvert pour transférer des e-mails pendant une courte période, afin d'éviter que le serveur de messagerie ne soit ajouté à une liste noire.
Nous montrons dans notre article que les spammeurs envoient des volumes élevés de spam aux proxys ouverts mais de faibles volumes de spam aux relais ouverts, explique Guerra de l'UFMG.