O Spam de Imagem apresenta a mensagem numa imagem embutida no corpo do e-mail. Embora não fosse uma técnica nova, no final de 2006, os spammers começaram a utiliza-la mais frequentemente à medida que foram constatando que esta abordagem dificulta a filtragem de identificação de conteúdos de spam.

Seguindo esta tendência, o spam de Imagem aumentou substancialmente durante a primeira metade de 2007, alcançando 40% de todo o spam enviado. Durante este período, os filtros de spam foram-se adaptando e tornando-se mais eficazes a bloquear as imagens, resultando, a meio de 2007, na diminuição desta técnica. Em Junho deste ano, este tipo de spam representava menos de 6% e, no final do ano era apenas de 2% de todo o spam identificado.

Á medida que esta técnica foi perdendo a sua eficácia, os spammers dedicaram a sua atenção ao Spam de Anexos numa tentativa de esconderem as suas mensagens do sistema de filtragem. Em Junho de 2007, surgiu um spam de origem alemã em formato npdf e, no final do mês, este inundou a Internet atingindo o seu pico em meados de Agosto (18% de todo o spam identificado). Apesar deste crescimento repentino,  o spam em pdf desapareceu rapidamente à medida que os filtros se foram adaptando, tendo virtualmente desaparecido no final de Agosto. Restou aos spammers a utilização de outras extensões como FDF, ZIP, XLS, RTF, DOC e também ficheiros MP3, que enviam a mensagem de spam num ficheiro de áudio em detrimento do texto e da imagem.

Esta forma de spam exige do utilizador uma acção - recebe no e-mail um link que o direcciona para um site. Para combater estes ataques os filtros anti-spam podem atribuir uma reputação de URLs a links e usar esta informação para identificar e bloquear mensagens de spam. Como resposta, os spammers tentam dissimular ou contornar o uso de URLs. Por exemplo, em Janeiro de 2007, um ataque de spam usou asteriscos no URL para evitar a detenção.

Os spammers estão também a colocar nos URLs simples mensagens de texto que, com conteúdo limitado de spam, tornam mais fácil a atribuição de reputação e a consequente identificação da mensagem. Os spammers não utilizam o texto para comunicar a sua mensagem, mas esperam que os receptores sigam o link para um web site que, muitas vezes, realiza automaticamente o download de malware.

Em 2007, os spammers dependiam fortemente do “pump and dump” spam, mensagens que não contêm URL mas antes promovem a aquisição de um penny stock.  O spammer compra o stock barato e depois negocia-o em formato de spam.

Todas estas técnicas provam que os spammers estão em constante movimento, alternando os domínios e complicando o processo de filtragem de spam. Em 2003 / 2004 os spammers mantinham spam em websites durante alguns dias ou uma semana. Actualmente, permanecem alojados em sites por menos de um dia ou somente poucas horas.

Através dos seus centros internacionais de pesquisa – os laboratórios TrendLabs – a Trend Micro seguiu e monitorizou, em 2007, spam em 38 idiomas. Detectou que a maioria do spam continua e ser em Inglês (uma média de 73%), mas cada vez mais diversificado.

A seguir ao inglês, o top de spam é Japonês e Chinês, ambos com uma média de 10%,  uma distribuição constante ao longo do ano e um declínio no final. Face a estas tendências, as organizações e empresas de carácter multinacional necessitam ter um filtro que bloqueie o spam em caracteres de bytes duplos e que seja capaz de identificar não só spam em inglês mas também spam chinês e japonês.

Autor : Filipe Rolo – Director de Vendas da Trend Micro em Portugal

 

{mosgoogle}