Рекламная энтомология.

Previous Entry Поделиться Next Entry
16 января, 2017
e_kaspersky
Само собой разумеется, что мой e-mail весьма подвержен спаму. Долгие годы раздачи визиток направо и налево, «засвечивания» адреса в публикациях, на выступлениях, каталогах и пр. Ну и, конечно, его простота. Иногда мы такие «спалившиеся» адреса умышленно переделываем в ловушки для спама, а сотрудникам выдаём новые, похожие. Но, сами понимаете, это не мой случай – надо не только знать врага в лицо, но и лично следить о качестве нашей антиспам защиты. А ещё иногда бывает очень смешно :)

Как энтомолог бабочек, так и я складываю входящий спам в отдельную папку, смотрю на вердикты, выявляю тенденции, ложные срабатывания, а пропущенные образцы пересылаю в нашу антиспам лабораторию.

Что любопытно – после НГ просто прорвало! Спам мутными реками начал заливаться в мой ящик, причём, судя по структуре и уловкам, – всё это из одного источника. Почти все рассылки английские (было только два письма на японском) и, что самое главное, 100% этого спама было выловлено нашими решениями! Обратился к нашим спецам – и точно: зафиксировали всплеск рассылки специфического спама по методу snowshoe («снегоступ»). А ведь обычно всё наоборот - на НГ-праздники активность спамеров падает!

snowshoespam-1

* данные за 1-10 января

А вот как интересно изменялась доля snowshoe-спама в самый активный день, 7 января, в почтовых ящиках нашего корпоративного домена:

snowshoespam-2

Что это за снегоступ и как против него защищаться?

Метод snowshoe не новый – первые атаки этого типа мы видели ещё в начале 2012г., но с каждым годом его становится всё больше, поскольку он удачно обманывает глупенькие спам-фильтры без многоуровневого анализа. Дело в том, что snowshoe-спам рассылается не с одного-двух, а с большого количества IP-адресов, таким образом обходя фильтрацию по репутации IP-адресов. Отсюда, и название – как вес человека равномерно распределяется по снегоступу, чтобы не провалиться под снег, так и спам по IP-адресам, чтобы не «спалиться».

snowshoespam-2-1

Да, это более затратная и технически сложная задача, но её решение даёт лучший результат. Спамерам приходится постоянно использовать автогенерацию доменов и их регистраторов (обычно по словарю), «палить» ломанные хостинги и спам-прокси. В общем, мороки тут много.

Как только спам доходит по получателя – дальше в дело вступает обычный разводилово социнжиниринг. Сначала броский заголовок, а в письме редирект на сайт, где уже втюхивается крайне необходимый товар или услуга, без которых жизнь – не жизнь: сэкономить на страховке, электричестве, квартплате, вылечиться от страшных болезней и прочий гербалайф в коробочках. При этом обрабатывают как по шаблону - леденящая душу история (заболел, а денег нет), счастливый конец (случайно выпил таблетку за $29,99 и как рукой сняло), супер-предложение по спецакции.

snowshoespam-3

snowshoespam-4

Часто редиректы идут на разные сайты в зависимости от региона. Например, пришёл пользователь из Конго – его просто в Гугл перебрасывают. А если из Штатов, то тут пляски по полной программе - развесистый скам-ресурс с байками про лечебное наследие апачей и тайны Теслы.

Разумеется, бывает такой спам приносит и малвару.

Ну а что насчёт защиты?

С технической точки зрения snowshoe, конечно, не адское исчадье, но и не детские игрушки. Простенькие фильтры, не способные адаптироваться к полиморфизму спама, его пропускают. При этом нельзя назвать какую-то одну технологию, способную раз и навсегда пригвоздить snowshow. Мы боремся с этой гадостью многоуровневой защитой, причём первую скрипку тут играет машинное обучение. Это логично, ведь справиться руками с таким потоком просто нереально, но им есть более уместное применение. У нас эти руки по локоть :) заняты созданием умных машин, которые сами, автоматически и с высокой надёжностью анализируют спам и создают алгоритмы противодействия. Например, благодаря машинному обучению наши продукты автоматически распознают и блокируют новые спамерские домены, IP-адреса и подсети, проводят контентный анализ по разным атрибутам. И, как рассказано выше, очень даже успешно.

На самом деле, противостояние кибердобра и киберзла давно уже превратилось в борьбу алгоритмов. Негодяи научились искусно маскировать и видоизменять кибератаки, причём чаще всего это делается в автоматическом режиме – атаки проводятся в соответствии с непростой логикой. Но на каждый алгоритм найдётся контр-алгоритм, причём длиннее :) Сегодня эффективность защиты зависит от гибкости и надёжности самообучающихся систем, созданными экспертами. И успех обеспечивает сочетание математических способностей человека и сложности инфраструктуры, которая позволяет разрабатывать новые алгоритмы. Мы называем это Humachine Intelligence.



Метки: , ,
Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «humachine»

  • Умная пробирка для злобной малвары.

    Вы задавали себе вопрос - почему компьютерные вирусы назвали именно «вирусами»? Вопрос на самом деле риторический, но если для кого-то это не…

  • Одержимость фигурами.

    Дамы и господа, Без лишних предисловий сим спешу сообщить, что мы являемся официальным спонсором талантливого шахматиста Сергея Карякина. По этому…

  • Миллиард в облаке.

    Не так давно хорошие наблюдательные пользователи засекли "миллиард" в нашей базе и поздравили меня с этим событием. Спасибо! Но надо объясниться -…


Лавинообразное увеличение количества различной информации и рекламных "талантов" естественным образом подталкивает современные технологии к глубинному анализу информации (сегодня заткнуть конкретного "спам-рассыльщика" старыми дедовскими способами уже не достаточно).
я предполагаю, что антиспам-фильтры будущего будут понимать контекст (будь то текст или картинки, в том числе во вложении), какую информацию они несут и насколько она близка к "портрету" пользователя (полезна или ценна для него).

p.s. если продвинутый машинный разум вдруг не понял контекста, то показывать сие чудо-письмо пользователю тоже не нужно ))

(Удалённый комментарий)
4 3 2 1 = 2017 (недавнее)
-- где? Ну, помогите, даже с излишествами (корни, #, !!!..!!!, F(n), L(n), ... и прочие извращения, прощаю!)
Ну, давай, а??

Кто-нибудь знает, как побороть периодическое открывание вкладки с рекламой в гугл.хроме?

(Удалённый комментарий)
помоги Мёфистусу с субфакториалами, он будет рад.

Всегда удивляло, что почтовики как только ни изощряются, постоянно совершенствуются, фильтруя спам. А не менее нужные народу соц.сети - загибаются, зарастая фейковыми постами, джинсой, сетями клон-ботов, спам-френдингом;
репостинг - самый же что ни на есть спам - поощряется, хотя результат тот же, что в ящике для спама - нужной информации не найти среди пустопорожних вбросов рекламщиков-продвиженцев.
А ведь можно бы отсеивать, вон у людей техника какая!

(Удалённый комментарий)
Подписка на "приз за репост".. мсье знает толк в извращениях, похоже обиделся за свои прокачиваемые бот-сети.

(Удалённый комментарий)
Нехитрая наука. Как сделать "бота" с приветами
В статье еще правильнее материал, как забить топ жж спамом безо всяких навыков.
СУПу достаточно бы прикрыть лазейки для постинга-взаимокомментинга на автомате, чтоб мутотени на Главной поубавилось. сколько ни скрывай из рейтинга, новые клоны генерятся пачками.

(Удалённый комментарий)
Исходный коммент о почтовых фильтрах.
Так и представляю любителя открыть по утрецу папку "спам", с наслаждением ознакомиться, поотвечать.. благолепие! Мсье, однако, любитель изощренных удовольствий )
Со спамом борются повсеместно, печатным, телефонным, электронным, попадетесь на спаме в почтовиках - вплоть до можно нарваться на санкции, в зависимости от места пребывания.
А в жж заповедник непуганых спамеров. Последние живые юзеры, не хотят прокручивать вороха рекламы - вот же ж люди, от такого кайфа отказываются!

(Удалённый комментарий)
Почтовики научились резать спам на подлете. В ящике без фильтров завалы непролазные.

Мечтать недолго осталось, гуглояндексы сами борются со спам-контентом, забитым ссылочной массой, и активно осваивают фильтрацию джинсы. А без гугло-ранжирования кому они нафиг сдались, болезные.

(Удалённый комментарий)
Гуглы свою копну молотят, если корея, так что теперь, мусор не убирать.

(Удалённый комментарий)
Применить технологию это бы не помешало, буде такое желание централизованных владельцев.. На форумах порой даже в подписи ссылку запрещали, не то что жжешные безобразия с репостами и джинсой.

Хммм....
Математика успешно существует !!!!! лет, децентрализована, и не принадлежит. Но успешно пользуется всего несколькими компаниями и государствами.

так? или нет?

Я сейчас в Иране, и на компах собеседников установлен Касперский.
Мессенджер тут юзают Телеграм чаще других.
Приятно видеть русские продукты в высокотехнологичных сферах.
Что удивило в Иране - нет навигаторских программ, и аналогов Яндекс-такси.


?

Log in

No account? Create an account