Само собой разумеется, что мой e-mail весьма подвержен спаму. Долгие годы раздачи визиток направо и налево, «засвечивания» адреса в публикациях, на выступлениях, каталогах и пр. Ну и, конечно, его простота. Иногда мы такие «спалившиеся» адреса умышленно переделываем в ловушки для спама, а сотрудникам выдаём новые, похожие. Но, сами понимаете, это не мой случай – надо не только знать врага в лицо, но и лично следить о качестве нашей антиспам защиты. А ещё иногда бывает очень смешно :)
Как энтомолог бабочек, так и я складываю входящий спам в отдельную папку, смотрю на вердикты, выявляю тенденции, ложные срабатывания, а пропущенные образцы пересылаю в нашу антиспам лабораторию.
Что любопытно – после НГ просто прорвало! Спам мутными реками начал заливаться в мой ящик, причём, судя по структуре и уловкам, – всё это из одного источника. Почти все рассылки английские (было только два письма на японском) и, что самое главное, 100% этого спама было выловлено нашими решениями! Обратился к нашим спецам – и точно: зафиксировали всплеск рассылки специфического спама по методу snowshoe («снегоступ»). А ведь обычно всё наоборот - на НГ-праздники активность спамеров падает!

* данные за 1-10 января
А вот как интересно изменялась доля snowshoe-спама в самый активный день, 7 января, в почтовых ящиках нашего корпоративного домена:

Что это за снегоступ и как против него защищаться?
Метод snowshoe не новый – первые атаки этого типа мы видели ещё в начале 2012г., но с каждым годом его становится всё больше, поскольку он удачно обманывает глупенькие спам-фильтры без многоуровневого анализа. Дело в том, что snowshoe-спам рассылается не с одного-двух, а с большого количества IP-адресов, таким образом обходя фильтрацию по репутации IP-адресов. Отсюда, и название – как вес человека равномерно распределяется по снегоступу, чтобы не провалиться под снег, так и спам по IP-адресам, чтобы не «спалиться».

Да, это более затратная и технически сложная задача, но её решение даёт лучший результат. Спамерам приходится постоянно использовать автогенерацию доменов и их регистраторов (обычно по словарю), «палить» ломанные хостинги и спам-прокси. В общем, мороки тут много.
Как только спам доходит по получателя – дальше в дело вступает обычный разводилово социнжиниринг. Сначала броский заголовок, а в письме редирект на сайт, где уже втюхивается крайне необходимый товар или услуга, без которых жизнь – не жизнь: сэкономить на страховке, электричестве, квартплате, вылечиться от страшных болезней и прочий гербалайф в коробочках. При этом обрабатывают как по шаблону - леденящая душу история (заболел, а денег нет), счастливый конец (случайно выпил таблетку за $29,99 и как рукой сняло), супер-предложение по спецакции.


Часто редиректы идут на разные сайты в зависимости от региона. Например, пришёл пользователь из Конго – его просто в Гугл перебрасывают. А если из Штатов, то тут пляски по полной программе - развесистый скам-ресурс с байками про лечебное наследие апачей и тайны Теслы.
Разумеется, бывает такой спам приносит и малвару.
Ну а что насчёт защиты?
С технической точки зрения snowshoe, конечно, не адское исчадье, но и не детские игрушки. Простенькие фильтры, не способные адаптироваться к полиморфизму спама, его пропускают. При этом нельзя назвать какую-то одну технологию, способную раз и навсегда пригвоздить snowshow. Мы боремся с этой гадостью многоуровневой защитой, причём первую скрипку тут играет машинное обучение. Это логично, ведь справиться руками с таким потоком просто нереально, но им есть более уместное применение. У нас эти руки по локоть :) заняты созданием умных машин, которые сами, автоматически и с высокой надёжностью анализируют спам и создают алгоритмы противодействия. Например, благодаря машинному обучению наши продукты автоматически распознают и блокируют новые спамерские домены, IP-адреса и подсети, проводят контентный анализ по разным атрибутам. И, как рассказано выше, очень даже успешно.
На самом деле, противостояние кибердобра и киберзла давно уже превратилось в борьбу алгоритмов. Негодяи научились искусно маскировать и видоизменять кибератаки, причём чаще всего это делается в автоматическом режиме – атаки проводятся в соответствии с непростой логикой. Но на каждый алгоритм найдётся контр-алгоритм, причём длиннее :) Сегодня эффективность защиты зависит от гибкости и надёжности самообучающихся систем, созданными экспертами. И успех обеспечивает сочетание математических способностей человека и сложности инфраструктуры, которая позволяет разрабатывать новые алгоритмы. Мы называем это Humachine Intelligence.
Как энтомолог бабочек, так и я складываю входящий спам в отдельную папку, смотрю на вердикты, выявляю тенденции, ложные срабатывания, а пропущенные образцы пересылаю в нашу антиспам лабораторию.
Что любопытно – после НГ просто прорвало! Спам мутными реками начал заливаться в мой ящик, причём, судя по структуре и уловкам, – всё это из одного источника. Почти все рассылки английские (было только два письма на японском) и, что самое главное, 100% этого спама было выловлено нашими решениями! Обратился к нашим спецам – и точно: зафиксировали всплеск рассылки специфического спама по методу snowshoe («снегоступ»). А ведь обычно всё наоборот - на НГ-праздники активность спамеров падает!

* данные за 1-10 января
А вот как интересно изменялась доля snowshoe-спама в самый активный день, 7 января, в почтовых ящиках нашего корпоративного домена:

Что это за снегоступ и как против него защищаться?
Метод snowshoe не новый – первые атаки этого типа мы видели ещё в начале 2012г., но с каждым годом его становится всё больше, поскольку он удачно обманывает глупенькие спам-фильтры без многоуровневого анализа. Дело в том, что snowshoe-спам рассылается не с одного-двух, а с большого количества IP-адресов, таким образом обходя фильтрацию по репутации IP-адресов. Отсюда, и название – как вес человека равномерно распределяется по снегоступу, чтобы не провалиться под снег, так и спам по IP-адресам, чтобы не «спалиться».

Да, это более затратная и технически сложная задача, но её решение даёт лучший результат. Спамерам приходится постоянно использовать автогенерацию доменов и их регистраторов (обычно по словарю), «палить» ломанные хостинги и спам-прокси. В общем, мороки тут много.
Как только спам доходит по получателя – дальше в дело вступает обычный разводилово социнжиниринг. Сначала броский заголовок, а в письме редирект на сайт, где уже втюхивается крайне необходимый товар или услуга, без которых жизнь – не жизнь: сэкономить на страховке, электричестве, квартплате, вылечиться от страшных болезней и прочий гербалайф в коробочках. При этом обрабатывают как по шаблону - леденящая душу история (заболел, а денег нет), счастливый конец (случайно выпил таблетку за $29,99 и как рукой сняло), супер-предложение по спецакции.


Часто редиректы идут на разные сайты в зависимости от региона. Например, пришёл пользователь из Конго – его просто в Гугл перебрасывают. А если из Штатов, то тут пляски по полной программе - развесистый скам-ресурс с байками про лечебное наследие апачей и тайны Теслы.
Разумеется, бывает такой спам приносит и малвару.
Ну а что насчёт защиты?
С технической точки зрения snowshoe, конечно, не адское исчадье, но и не детские игрушки. Простенькие фильтры, не способные адаптироваться к полиморфизму спама, его пропускают. При этом нельзя назвать какую-то одну технологию, способную раз и навсегда пригвоздить snowshow. Мы боремся с этой гадостью многоуровневой защитой, причём первую скрипку тут играет машинное обучение. Это логично, ведь справиться руками с таким потоком просто нереально, но им есть более уместное применение. У нас эти руки по локоть :) заняты созданием умных машин, которые сами, автоматически и с высокой надёжностью анализируют спам и создают алгоритмы противодействия. Например, благодаря машинному обучению наши продукты автоматически распознают и блокируют новые спамерские домены, IP-адреса и подсети, проводят контентный анализ по разным атрибутам. И, как рассказано выше, очень даже успешно.
На самом деле, противостояние кибердобра и киберзла давно уже превратилось в борьбу алгоритмов. Негодяи научились искусно маскировать и видоизменять кибератаки, причём чаще всего это делается в автоматическом режиме – атаки проводятся в соответствии с непростой логикой. Но на каждый алгоритм найдётся контр-алгоритм, причём длиннее :) Сегодня эффективность защиты зависит от гибкости и надёжности самообучающихся систем, созданными экспертами. И успех обеспечивает сочетание математических способностей человека и сложности инфраструктуры, которая позволяет разрабатывать новые алгоритмы. Мы называем это Humachine Intelligence.
2017-01-16 12:02 (UTC)
я предполагаю, что антиспам-фильтры будущего будут понимать контекст (будь то текст или картинки, в том числе во вложении), какую информацию они несут и насколько она близка к "портрету" пользователя (полезна или ценна для него).
p.s. если продвинутый машинный разум вдруг не понял контекста, то показывать сие чудо-письмо пользователю тоже не нужно ))
2017-01-16 13:52 (UTC)
2017-01-16 20:31 (UTC)
-- где? Ну, помогите, даже с излишествами (корни, #, !!!..!!!, F(n), L(n), ... и прочие извращения, прощаю!)
Ну, давай, а??
2017-01-16 17:09 (UTC)
2017-01-16 17:22 (UTC)
2017-01-16 17:42 (UTC)
2017-01-16 21:47 (UTC)
2017-01-16 17:20 (UTC)
репостинг - самый же что ни на есть спам - поощряется, хотя результат тот же, что в ящике для спама - нужной информации не найти среди пустопорожних вбросов рекламщиков-продвиженцев.
А ведь можно бы отсеивать, вон у людей техника какая!
2017-01-16 21:44 (UTC)
2017-01-17 06:34 (UTC)
В статье еще правильнее материал, как забить топ жж спамом безо всяких навыков.
СУПу достаточно бы прикрыть лазейки для постинга-взаимокомментинга на автомате, чтоб мутотени на Главной поубавилось. сколько ни скрывай из рейтинга, новые клоны генерятся пачками.
2017-01-17 20:32 (UTC)
Так и представляю любителя открыть по утрецу папку "спам", с наслаждением ознакомиться, поотвечать.. благолепие! Мсье, однако, любитель изощренных удовольствий )
Со спамом борются повсеместно, печатным, телефонным, электронным, попадетесь на спаме в почтовиках - вплоть до можно нарваться на санкции, в зависимости от места пребывания.
А в жж заповедник непуганых спамеров. Последние живые юзеры, не хотят прокручивать вороха рекламы - вот же ж люди, от такого кайфа отказываются!
2017-01-17 21:12 (UTC)
Мечтать недолго осталось, гуглояндексы сами борются со спам-контентом, забитым ссылочной массой, и активно осваивают фильтрацию джинсы. А без гугло-ранжирования кому они нафиг сдались, болезные.
2017-01-17 23:15 (UTC)
2017-01-16 21:47 (UTC)
2017-01-16 21:50 (UTC)
Математика успешно существует !!!!! лет, децентрализована, и не принадлежит. Но успешно пользуется всего несколькими компаниями и государствами.
так? или нет?
2017-01-16 23:25 (UTC)
Я сейчас в Иране, и на компах собеседников установлен Касперский.
Мессенджер тут юзают Телеграм чаще других.
Приятно видеть русские продукты в высокотехнологичных сферах.
Что удивило в Иране - нет навигаторских программ, и аналогов Яндекс-такси.