Рекламная энтомология.

Previous Entry Поделиться Next Entry
16 января, 2017
e_kaspersky
Само собой разумеется, что мой e-mail весьма подвержен спаму. Долгие годы раздачи визиток направо и налево, «засвечивания» адреса в публикациях, на выступлениях, каталогах и пр. Ну и, конечно, его простота. Иногда мы такие «спалившиеся» адреса умышленно переделываем в ловушки для спама, а сотрудникам выдаём новые, похожие. Но, сами понимаете, это не мой случай – надо не только знать врага в лицо, но и лично следить о качестве нашей антиспам защиты. А ещё иногда бывает очень смешно :)

Как энтомолог бабочек, так и я складываю входящий спам в отдельную папку, смотрю на вердикты, выявляю тенденции, ложные срабатывания, а пропущенные образцы пересылаю в нашу антиспам лабораторию.

Что любопытно – после НГ просто прорвало! Спам мутными реками начал заливаться в мой ящик, причём, судя по структуре и уловкам, – всё это из одного источника. Почти все рассылки английские (было только два письма на японском) и, что самое главное, 100% этого спама было выловлено нашими решениями! Обратился к нашим спецам – и точно: зафиксировали всплеск рассылки специфического спама по методу snowshoe («снегоступ»). А ведь обычно всё наоборот - на НГ-праздники активность спамеров падает!

snowshoespam-1

* данные за 1-10 января

А вот как интересно изменялась доля snowshoe-спама в самый активный день, 7 января, в почтовых ящиках нашего корпоративного домена:

snowshoespam-2

Что это за снегоступ и как против него защищаться?

Метод snowshoe не новый – первые атаки этого типа мы видели ещё в начале 2012г., но с каждым годом его становится всё больше, поскольку он удачно обманывает глупенькие спам-фильтры без многоуровневого анализа. Дело в том, что snowshoe-спам рассылается не с одного-двух, а с большого количества IP-адресов, таким образом обходя фильтрацию по репутации IP-адресов. Отсюда, и название – как вес человека равномерно распределяется по снегоступу, чтобы не провалиться под снег, так и спам по IP-адресам, чтобы не «спалиться».

snowshoespam-2-1

Да, это более затратная и технически сложная задача, но её решение даёт лучший результат. Спамерам приходится постоянно использовать автогенерацию доменов и их регистраторов (обычно по словарю), «палить» ломанные хостинги и спам-прокси. В общем, мороки тут много.

Как только спам доходит по получателя – дальше в дело вступает обычный разводилово социнжиниринг. Сначала броский заголовок, а в письме редирект на сайт, где уже втюхивается крайне необходимый товар или услуга, без которых жизнь – не жизнь: сэкономить на страховке, электричестве, квартплате, вылечиться от страшных болезней и прочий гербалайф в коробочках. При этом обрабатывают как по шаблону - леденящая душу история (заболел, а денег нет), счастливый конец (случайно выпил таблетку за $29,99 и как рукой сняло), супер-предложение по спецакции.

snowshoespam-3

snowshoespam-4

Часто редиректы идут на разные сайты в зависимости от региона. Например, пришёл пользователь из Конго – его просто в Гугл перебрасывают. А если из Штатов, то тут пляски по полной программе - развесистый скам-ресурс с байками про лечебное наследие апачей и тайны Теслы.

Разумеется, бывает такой спам приносит и малвару.

Ну а что насчёт защиты?

С технической точки зрения snowshoe, конечно, не адское исчадье, но и не детские игрушки. Простенькие фильтры, не способные адаптироваться к полиморфизму спама, его пропускают. При этом нельзя назвать какую-то одну технологию, способную раз и навсегда пригвоздить snowshow. Мы боремся с этой гадостью многоуровневой защитой, причём первую скрипку тут играет машинное обучение. Это логично, ведь справиться руками с таким потоком просто нереально, но им есть более уместное применение. У нас эти руки по локоть :) заняты созданием умных машин, которые сами, автоматически и с высокой надёжностью анализируют спам и создают алгоритмы противодействия. Например, благодаря машинному обучению наши продукты автоматически распознают и блокируют новые спамерские домены, IP-адреса и подсети, проводят контентный анализ по разным атрибутам. И, как рассказано выше, очень даже успешно.

На самом деле, противостояние кибердобра и киберзла давно уже превратилось в борьбу алгоритмов. Негодяи научились искусно маскировать и видоизменять кибератаки, причём чаще всего это делается в автоматическом режиме – атаки проводятся в соответствии с непростой логикой. Но на каждый алгоритм найдётся контр-алгоритм, причём длиннее :) Сегодня эффективность защиты зависит от гибкости и надёжности самообучающихся систем, созданными экспертами. И успех обеспечивает сочетание математических способностей человека и сложности инфраструктуры, которая позволяет разрабатывать новые алгоритмы. Мы называем это Humachine Intelligence.



Метки: , ,
Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «humachine»

  • Одержимость фигурами.

    Дамы и господа, Без лишних предисловий сим спешу сообщить, что мы являемся официальным спонсором талантливого шахматиста Сергея Карякина. По этому…

  • Миллиард в облаке.

    Не так давно хорошие наблюдательные пользователи засекли "миллиард" в нашей базе и поздравили меня с этим событием. Спасибо! Но надо объясниться -…

  • Фичи невидимого фронта-2017.

    19 лет мы спасаем мир от киберугроз. Увы, спасти раз и навсегда невозможно – угрозы развиваются, кибернегодяи находят новые векторы атак в…


Лавинообразное увеличение количества различной информации и рекламных "талантов" естественным образом подталкивает современные технологии к глубинному анализу информации (сегодня заткнуть конкретного "спам-рассыльщика" старыми дедовскими способами уже не достаточно).
я предполагаю, что антиспам-фильтры будущего будут понимать контекст (будь то текст или картинки, в том числе во вложении), какую информацию они несут и насколько она близка к "портрету" пользователя (полезна или ценна для него).

p.s. если продвинутый машинный разум вдруг не понял контекста, то показывать сие чудо-письмо пользователю тоже не нужно ))

(Удалённый комментарий)
4 3 2 1 = 2017 (недавнее)
-- где? Ну, помогите, даже с излишествами (корни, #, !!!..!!!, F(n), L(n), ... и прочие извращения, прощаю!)
Ну, давай, а??

(Удалённый комментарий)
(Удалённый комментарий)
(Удалённый комментарий)
(Удалённый комментарий)
(Удалённый комментарий)
(Удалённый комментарий)
Кто-нибудь знает, как побороть периодическое открывание вкладки с рекламой в гугл.хроме?

(Удалённый комментарий)
(Удалённый комментарий)
(Удалённый комментарий)
Всегда удивляло, что почтовики как только ни изощряются, постоянно совершенствуются, фильтруя спам. А не менее нужные народу соц.сети - загибаются, зарастая фейковыми постами, джинсой, сетями клон-ботов, спам-френдингом;
репостинг - самый же что ни на есть спам - поощряется, хотя результат тот же, что в ящике для спама - нужной информации не найти среди пустопорожних вбросов рекламщиков-продвиженцев.
А ведь можно бы отсеивать, вон у людей техника какая!

(Удалённый комментарий)
Подписка на "приз за репост".. мсье знает толк в извращениях, похоже обиделся за свои прокачиваемые бот-сети.

(Удалённый комментарий)
(Удалённый комментарий)
(Удалённый комментарий)
(Удалённый комментарий)
(Удалённый комментарий)
Применить технологию это бы не помешало, буде такое желание централизованных владельцев.. На форумах порой даже в подписи ссылку запрещали, не то что жжешные безобразия с репостами и джинсой.

(Удалённый комментарий)

Я сейчас в Иране, и на компах собеседников установлен Касперский.
Мессенджер тут юзают Телеграм чаще других.
Приятно видеть русские продукты в высокотехнологичных сферах.
Что удивило в Иране - нет навигаторских программ, и аналогов Яндекс-такси.


?

Log in

No account? Create an account