Het kat- en- muisspel tussen de spammer en het spamfilter blijft een oneindige strijd tussen gelijken. ‘Geleende’ technieken vormen de basis voor de wapenwedloop tussen de twee fronten.
Bedrijven zijn steeds vaker slachtoffer van spamaanvallen, waarbij mailservers vaak uren buiten bereik zijn voor inkomende mail of zelfs helemaal uit de lucht gaan. Spammers en anti-spammers maken gebruik van dezelfde technieken, wat uitmondt in een oneindige wapenwedloop. Anti-spambedrijf Blue Security bijvoorbeeld zette zijn activiteiten stop, na bedreigingen door een Russische spammer. Hij had een DoS-aanval (Denial of Service) losgelaten op de websites van het bedrijf en zijn klanten. De spammer dreigde dit voort te zetten als Blue Security niet stopte met het aansporen van bedrijven om klachten op spamwebsites achter te laten om zo ‘terug te spammen’. Het bedrijf had de financiën niet om de aanval te weerstaan.
Onder vuur
Dat de strijd in Nederland ook hevig is, is algemeen bekend. Uitgever VNU bijvoorbeeld was een paar weken geleden ook het slachtoffer van een ‘spambombardement’. Paul Bosse, manager Systeembeheer van VNU: “Onze mailservers filteren op spam, herkennen virussen en vangen mail af van alle domeinen die VNU bezit.” Spammers stuurden zo’n drieduizend mailtjes per uur naar het domein vnu.com, waardoor gebruikers een paar uur onbereikbaar waren. Bosse vindt drieduizend mailtjes per uur nog niet eens zoveel. “Er zit vaak een e-mailgenerator achter, dus het hadden er veel meer kunnen zijn.” Of het een gerichte aanval betrof, weet hij niet. “Ik denk wel dat vnu.com het moest ontgelden, maar VNU als bedrijf zal niet zozeer onder vuur genomen zijn”.
Naast inkomende mail kon de mailhost ook geen uitgaande mail verwerken. Bosse laat de uitgaande mail via de mailhost lopen ‘om het spamfilter te leren wat wij als normale mail beschouwen’. Door de aanval stonden meer dan vijfhonderd mailtjes te wachten om verstuurd te worden. “Ik heb de relay uitgeschakeld, waardoor we in ieder geval weer mail konden verzenden.”
Het is soms kiezen of delen als het op het identificeren van spam aankomt. Bosse:“Je wil geen valse positieven hebben als bedrijf.” Wanneer mailtjes binnenkomen, wordt eerst gekeken of de geadresseerde bestaat. Als dat zo is, wordt het op spamkenmerken gecontroleerd en doorgestuurd. “Ons filter zegt bij een score van bijvoorbeeld 5 dat mailtjes spam zijn. Die beoordeling kun je als beheerder variëren”, aldus Bosse. Als het spamfilter te strak is ingesteld kunnen legitieme berichten in het spamfilter opgevangen en weggegooid worden. Als de grens te laag is ingesteld, worden spamberichten niet goed afgevangen.
‘Geleende’ technieken
Om de aanvallen af te slaan zijn bedrijven verwikkeld in een oneindige wapenwedloop in de strijd tegen spam. Beide fronten verbeteren hun technieken, bestuderen de technieken van de ander en gebruiken de ‘geleende’ technieken om elkaar tegen te werken. “Het is een wapenwedloop tussen de spammer en de netwerkbeheerder waar geen eind aan komt”, vertelt spamexpert John Graham-Cumming tijdens het onlangs voor het eerst gehouden EU Spam symposium in Maastricht.
Een spammer stuurt bijvoorbeeld gewone tekst met een url naar een mailserver. Anti-virusbedrijven vangen het mailtje en volgen de url. De spamsite wordt op een zwarte lijst gezet en in updates doorgegeven aan het spamfilter. De spammer maakt een redirector aan, die vanuit een onschuldig uitziende site doorlinkt naar een spamsite. De redirector wordt gevolgd en de uiteindelijke spamsite wordt op de zwarte lijst gezet. De volgende stap voor de spammer is bijvoorbeeld een JavaScript plaatsen op de website van een gratis hostingbedrijf. In het script staat een redirector naar de spamsite. Na ontcijfering van het script en het volgen van de redirector wordt de spamsite op de zwarte lijst gezet. Het is een gebed zonder einde, waarbij spammers wel steeds vaker op zoek gaan naar alternatieve spammethodes, die ze deels uit de anti-spamwereld halen.
Omdat tekstspam steeds vaker wordt tegengehouden, stappen veel spammers volgens Graham-Cumming bijvoorbeeld over op beeldspam. De techniek was oorspronkelijk een anti-spamtechniek. Hij wordt gebruikt op bijvoorbeeld fora om e-mailadressen van gebruikers te kunnen laten zien zonder dat webcrawlers erbij konden om mailadressen te identificeren.
Nu wordt de techniek gebruikt om beeldspam langs filters te krijgen. Een spammer verstuurt een plaatje met de spamboodschap via de mail voor spamfilters. Als reactie daarop wordt de integriteit van het beeld gecheckt. “Spammers maken het plaatje dan in elke mail uniek door bijvoorbeeld een gekleurd kader toe te voegen. Daarop voeren filters een optische karakterscan uit. Vervolgens voegt de spammer ruis toe aan het beeld.”
Kat en muis
De nieuwste technieken die op dit moment door anti-spambedrijven worden toegepast hebben dan ook betrekking op beeldscanning. Spammers voegen ruis toe of verschuiven een paar letters om traditionele beeldscanners in de war te maken. Er worden op grote schaal zogenoemde ‘fuzzy logic’-technieken toegevoegd aan filters. Spam komt vaak met veel tegelijk op een mailserver af. Fuzzy logic voegt de mogelijkheid van afwijking toe aan de regels die filters hanteren. Ze kijken of een plaatje heel erg op een eerder binnengekomen plaatje lijkt. Als dat het geval is, zal het mailtje als spam aangemerkt worden.
Ex-spammer Eddy, die ook sprak tijdens het symposium, ziet het scannen van beelden niet als een groot probleem voor spammers. “Je kunt met een spamfilter niet alle berichten met beeld scannen. Dat kost te veel tijd en moeite.” Van zijn 17e tot zijn 22e spamde hij miljoenen mensen. Ook Eddy zag het spammen als een oneindig kat-en-muisspel tussen hem en de filters. “Filters maken het moeilijker voor spammers, maar het is niet onmogelijk om spam door filters heen te krijgen.” Een klein percentage van de wereld is goed beschermd tegen spam, volgens hem, maar niet alle bedrijven gebruiken goede spamprotectie. “Die is namelijk duur en loont de moeite niet altijd”, weet Eddy. “Met behulp van huis-, tuin- en keuken-ontwijktechnieken kunnen spammers vrij gemakkelijk langs een doorsnee-filter komen.”