Mi jöhet még spam fronton? Bármi - jósolhatjuk bátran, megerősítve Rejtő Jenő azon gondolatát, hogy csak az fél, akinek van fantáziája. Ebből az árucikkből pedig szemlátomást nem szorulnak importra a leleményes rosszfiúk, gondoljunk csak a képalapú, Excel és Word dokumentumokban érkező, vagy a legutóbbi PDF állományok formájában megtestesülő kéretlen szemétlevelekre. A mostani újítás inkább vicces tűnik, immár MP3 melléklettel is érkezhet spam.
Erről számolt be az MPP blogja, úgy véljük, jogos a két pont, megint lehetett csavarni egyet a dolgokon, kíváncsian várjuk a szűréssel foglalkozó szakemberek reakcióit.
A levélben érkezett "snoring.mp3' fájlt meghallgatva volt némi retro C64 érzésünk, a szűrőkkel agyontorzított hang a felejthetelen Sam & Reciter programot idézte fel jóemlékezetünkben, amelyben a híres Kennedy beszédet is előadta a jó öreg Commodore 64...
A nagy különbség, hogy a Sam-es beszéd így 23 év után is érthetőbb :-) C64 for President! :-)
FRISSÍTÉS + + + FRISSÍTÉS + + + FRISSÍTÉS + + +
Közen egyre érkeznek az újabb levél változatok.
Ebben a másikban - a neve ezúttal "sayyousayme.mp3" - egy néhány bájttal nagyobb méretű MP3 található, a TAG mezők itt sincsenek kitöltve. Ami közös a másikkal hangfájllal, hogy mindkét állomány a Lame 3.97 verzióval készült, legalábbis a bejegyzés erről tanúskodik.
ihatethisindapassthingy 2007.10.18. 13:10:52
- A levél bizonyos tulajdonságai (szöveg jelenléte/hiánya, max. tapasztalt hossza)
- Az MP3 file kisebb, mint a mintában legnagyobb tapasztalt. A spammernek az éri meg, ha kis file-okat kell küldenie, ezért nincs szinte 60-80K-nál nagyobb spam. A gyakorlat azt mutatja, hogy az MP3 file-ok ennél tipikusan jóval nagyobbak.
- A formátum MPEG 2.5 Layer III, Single Channel, perverz bitrate, nincs az informális hossz megadva a fejlécben (00:00), stb. az MP3-ból hiányzik az ID3 tag és pár fejlécelem, ami klasszikusan előfordul.
A három fenti fő feltételcsoport és annak alszabályai már meglehetős biztonságot nyújtanak az "MP3 spam" azonosításában. A spammerek természetesen bármikor megváltoztathatják a paramétereket, ilyenkor a szabályokat utánuk kell igazítani. Általában nem nagyon törik magukat.
A PDF spamet sem úgy érdemes megfogni, hogy megpróbáljuk belőle kinyerni a szöveget (ami adott esetben OCR nélkül nem is lehetséges, lévén a PDF elsősorban nem szöveget tárol és ha van is benne, akkor sem biztos, hogy a jó sorrendben), hanem úgy, hogy ellenőrizzük a PDF és a hordozó levél karakterisztikáit.
Just my two cents.
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.10.18. 13:22:22
Köszi a kommentet :-)
Rendszergizda barátom mondja, hogy náluk az MP3 melléklet alapból ki van zárva, jöhet az akár ismerős küldő nevében is.
Közben még egy olyan módszer is felmerült a repertoárban, hogy a szűrőmotorok azt is tudják figyelni, hogy egy adott levélnél megmondják, hogy nagyon hasonló levelet hány példányban küldek ki már az interneten. Ha egy levelet például milliószor kiküldtek már, akkor joggal feltételezhetően spam volt.
Én valahogy azt tippelem, ez egy POC próba, és talán nem lesz tartós a dolog.
ihatethisindapassthingy 2007.10.18. 14:30:30
Mostanában sok ilyen proof of concept próbálkozás volt, de többnyire elhaltak (ZIP spam, XLS/DOC spam, a PDF is visszaesett) és szerintem az MP3 is halálra van ítélve, ami tartja magát az "egzotikus" technikák között, az az image spam. Érdekes viszont, az nem nagyon akar fejlődni. Az idézett kolléga blogjában most láttam 3D-s elforgatott image spam-et, de ez sem terjedt még el.
Szerintem a spammerek egyszerűen nem fordítanak komoly figyelmet a spam célbajuttatására. Ha ez nem így lenne, akkor a pl. Greylisting nem lehetne hatékony (bár nagyon aggresszív) technológia. Sok kicsi sokra megy alapon megszórnak bármit és csak moderált erőfeszítéseket tesznek azért, hogy átjussanak a szűrőkön. Ha túl sok levél bukik el a spamszűrőkön, akkor vesznek még pár tíz dollárért néhány millió címet. A lényeg, hogy jöjjön a commission és a kisebb ellenállás irányába haladnak inkább.