Chiến lược và kế sách phổ biến của Spammer

Dancho Danchev

Trong suốt năm 2007, spammer trên toàn thế giới cơ bản đã minh chứng được khả năng thích nghi của chúng đối với những cố gắng trong việc phòng chống spam của các hãng phần cứng và phần mềm. Vậy các spammer sử dụng chiến lược gì để thực hiện được hành vi này? Chúng sử dụng những kế sách gì để thu thập được địa chỉ email, thẩm định sự hợp lệ, và nhiều vấn đề khác với thời gian ngắn nhất có thể trong khi vẫn bảo đảm các chiến dịch spam của chúng được duy trì?

Trong bài này chúng tôi sẽ đề cập đến một số chiến dịch spam gần đây để minh chứng cho các khái niệm chính mà spammer sử dụng, và cung cấp những trợ giúp hữu ích về cách làm thế nào để làm giảm các tấn công hiện hành của chúng.

Phá vỡ mô hình tiếp thị trực tiếp

Vào khoảng thời gian chúng tôi kết thúc những dòng cuối cùng của bài này, hàng trăm ngàn email spam được gửi đến nhiều hộp thư. Vậy tại sao spam lại thành công ở điểm mấu chốt như vậy? Sự thực ở đây là vì mô hình tiếp thị doanh nghiệp trực tiếp của họ đã bị phá vỡ. Vậy điều này có thể được thực hiện như thế nào? Khá đơn giản, trong khi một số người tham dự tiếp thị đang bận rộng với việc thu hoạch địa chỉ email để bán nó sau này, các thành phần khác được thực hiện sau sẽ là một hệ thống hiệu quả được sử dụng cho việc spam, nơi có sự đầu tư vào việc gửi hàng triệu thông điệp đến mỗi người dùng, hay đúng hơn là mỗi địa chỉ email khác.

* Pump-and-dump: Một cố gắng có âm mưu để nâng giá của một cổ phiếu thông qua những giới thiệu sai lệnh hay những tuyên bố phóng đại quá mức. Thủ phạm gây ra mưu đồ này là những người đã có một địa vị trong một công ty nào đó, bán vị trí của họ sau khi sự cường điệu này làm cho giá cả của cổ phiếu cao hơn. Hành động này hoàn toàn không hợp lệ với luật chứng khoán và có thể dẫn đến nhiều vấn đề. Nạn nhân của âm mưu này thường bị mất một số lượng đầu tư lớn vì cổ phiếu sẽ bị giảm sau khi tiến trình này được hoàn tất).

Một số trường hợp gần đây nhất có liên quan đến spam có thể làm sáng tỏ cho những gì cuộc chiến mang tính chiến thuật lợi dụng vào đó. Khi các hãng chống spam giải quyết được vấn đề chống spam bằng giải pháp dựa trên ảnh thì các spammer lại sử dụng các file PDF đính kèm và thậm chí cả các thông báo spam pump-and-dump* MP3. Theo một hãng chống spam nổi tiếng, tính riêng trong tháng 10, xấp xỉ có đến 15 triệu file audio mp3 đã lưu thông trên toàn cầu. Vậy kế sách logic tiếp theo được sử dụng bởi spammer là gì. Nó là spam dựa trên video. Ngoài ra, chu trình chiến dịch spam khai thác các lỗ hổng cũng cần phải đề cập đến ở đây, tuy nhiên vẫn chưa phải là một chỉ thị của việc hợp nhất của spammer, kẻ giả mạo và các tác giả malware, những kẻ đang dần trở thành có tổ chức hơn. Cùng với các ví dụ gần đây nhất về sự hợp nhất là một lỗ hổng PDF hiện bị spam với số lượng lớn.
Thủ đoạn của spammer

Các thủ đoạn của spammer thường rất khác nhau. Sau đây chúng ta sẽ tìm hiểu một số thủ đoạn của chúng.

Redirectors và doorway page

Redirector và doorway page lợi dụng vấn đề social engineering** trực quan để các spammer có thể thiết lập một mối quan hệ tin cậy với khách hàng về sau và có thể giúp chúng trong việc vượt qua được các bộ lọc chống spam. Một số trường hợp, tài khoảng tại các nhà cung cấp không gian web miễn phí như Geocities là một ví dụ, được đăng ký và có hai dòng mã javascript để refresh tài khoản, vì vậy hướng người dùng đến một miền spam thực sự. Chúng ta hãy chứng minh điều này. Ví dụ, tất cả các trang Geocities dưới đây hiện đang đáp lại và hoạt động như một redirectors đối với các tên miền spam gần đây như onlinemedcross.com; rxlovecaptain.com và pharmacysitetown.com.

• geocities.com/RickieWood35
• geocities.com/AdolphBarr30
• geocities.com/BlakeBender94
• geocities.com/JohnieWaller66
• geocities.com/ChangWashington95
• geocities.com/AvaMendoza19
• geocities.com/KimberleyHebert77
• geocities.com/TaylorSanchez69
• geocities.com/FrankieCase81
• geocities.com/ElliotPugh01
• geocities.com/VernonCantrell39LI>

** Social engineering là một thuật ngữ bắt nguồn từ giới công nghệ thông tin, ám chỉ việc lừa người sử dụng máy tính và Internet tiết lộ password để nhờ đó hacker có thể giành quyền truy cập hệ thống. Cách tiến hành phổ biến nhất của thủ đoạn này là liên hệ với nạn nhân thông qua việc chat hoặc e-mail, giả vờ là nhân viên phụ trách an ninh hệ thống đang tiến hành kiểm tra và yêu cầu người sử dụng khai báo mật khẩu để xác thực danh tính nếu không sẽ bị đóng tài khoản.

Spammer đang quản lý như thế nào để các tài khoản đăng ký tại nhà cung cấp không gian web miễn phí một cách hiệu quả được qua cả CAPTCHA, CAPTCHA là một cách thích hợp để bảo đảm các đăng ký tự động trở thành vô ích? Bằng việc thích nghi với tiến trình khá vỡ CAPTCHA hay việc outsourcing hoàn toàn nó như bạn sẽ xem ở phần dưới của bài này.

Cuộc chiến mưu lược mau lẹ

Từ ASCII, đến TXT, XLS, FDF, RTF, PDF, image và bây giờ là spam MP3, có rất nhiều ví dụ hấp dẫn về cuộc chiến mưu lược liên tục xoay quanh các vấn đề phân phối sự phản ứng lại bởi các hãng chống spam.

Thẩm định hay xác nhận sự phân phối

Với hàng trăm ngàn email spam đã được gửi, chỉ có một phần trăm nhỏ sẽ được phân phát thành công và điều này không bởi chúng bị lọc mà vì rất nhiều email sẽ là giả mạo hoặc không tồn tại. Chính vì vậy, spammer đã bắt đầu quan tâm đến việc áp dụng các phương pháp khác nhau trong việc thẩm định và xác nhận phân phối, thậm chí thẩm định xem các email được spam là thực hay giả bằng một công cụ phần mềm như High Speed Verifier, hoặc bằng việc vờ là người nhận trong một thẩm định thủ công email bằng cách hỏi anh ta hoặc cô ta về việc không đăng ký.

“Yêu cầu không đăng ký của bạn cho địa chỉ email 'example@example.com' đã được nhận thành công. Hãy cho phép trong khoảng 24-48 giờ email của bạn sẽ được xóa khỏi hệ thống.”

Một thủ đoạn hay được sử dụng nữa là xác nhận cả sự xác nhận và hợp lệ hóa của người nhận, bằng cách nhúng một ảnh được load từ xa với ID kiểm tra duy nhất trên mỗi email, bằng cách đó sẽ lạm dụng được các chức năng load ảnh từ xa mặc định bên trong các ứng dụng đọc email phổ biến và các dịch vụ web.

Các chiến lược phổ biến của spammer

Những chiến lược là các mục đích dài hạn mà spammer thiết lập để thực hiện trong suốt một chu kỳ thời gian cụ thể, trong khi đó các thủ đoạn đã được thảo luận trước thường có được sự quan tâm từ phương tiện thông tin đại chúng. Bây giờ chúng ta sẽ đi vào tìm hiểu bức tranh này.

Sự hợp nhất

Như chúng ta đã biết về việc hợp nhất đang diễn ra giữa spammers, phishers và các tác giả mã độc malware, cũng đáng thảo luận xem tại sao nó lại xảy ra và cách mỗi thành viên tham dự thị trường đã bắt đầu dựa vào nhau để cải thiện hiệu lực của họ. Sự quyến rũ của khả năng tồn tại dường như không phải là một thành phần thích đáng khi nói đến quan điểm hướng kết quả của spammer. Những spammer có thể gặt hái được nhiều và mua bán các địa chỉ email, gửi và phân phối thành công thư tín, những kẻ giả mạo là vấn đề mang tính social engineering, trong khi đó các tác giả malware lại có một con đường khác, cung cấp cơ sở hạ tầng cho cả spam và kẻ giả mạo dưới dạng các host bị tấn công. Chúng ta sẽ có bằng chứng cho sự hợp nhất này qua một số sự kiện gần đây, đó là những minh chứng tuyệt vời cho sự phát triển này của một hệ sinh thái bên dưới. Hãy lấy ví dụ cho các trường hợp như spam với keylogger được nhúng, giả mạo các email có malware và một tình huống châm biếm khác là malware đã xâm nhập các host bên trong Pfizer và spam các email viagra.

Outsourcing

Outsourcing vẫn là một từ mới, hiệu quả giá thành có nhiều ưu điểm khác đi kèm với nó, rõ ràng nó có một ảnh hưởng lớn lên các spammer. Một dịch vụ thiết bị quản lý spam được phát hiện gần đây có thể được sử dụng với tư cách một ví dụ điển hình cho việc outsourcing tất cả các nhu cầu cần thiết của spammer đối với các nhà cung cấp dịch vụ nhóm thứ ba. Một cách cơ bản, dịch vụ này quan tâm đến việc cung cấp các bot bị tấn công xâm nhập, các mẫu spam email và site spam, và cũng có cả cơ sở hạ tầng fast-flux để chiến dịch spam có thể tăng được chu trình của nó và duy trì không bị phát hiện một cách có thể. Lấy một ví dụ redirector URL mà chúng tôi đã cung cấp ở phần đầu của bài báo, onlinemedcross. Nó hiện là một fast-flux khá bình thường hiện hành, khá bình thường trong nghĩa chậm update khi so với các miền fast-flux của Storm Worm.

Các mô hình sát nhập

Mô hình sát nhập là khá mới trong thế giới spam. Spammer dựa vào sự thật được cung cấp đủ khích lệ hay chưa, các nhóm thứ ba sẽ quan tâm đến việc tìm ra các cách của riêng họ đối với việc gửi các thư tín đến một số lượng lớn người dùng, thậm chí ngoài cả lĩnh vực email và bắt đầu nhắm đến trình tin nhắn tức thời.

Kết luận

Giả dụ trong một thế giới hoàn hảo, không có máy tính bị tiêm nhiễm malware để các spammer sẽ không phải tìm kiếm các máy chủ SMTP bị lỗi cấu hình và tấn công chúng. Với thời gian tiếp diễn, spammer sẽ tiến hành mức chiến tranh mưu lược và song song với nó là những kế hoạch tốt nhất mà các hãng chống spam có thể tiến hành trong một thời gian dài là trở nên có nhiều sáng kiến hơn đối với việc lọc spam đang diễn ra từ mạng của tổ chức.


Bức tranh lớn dường như không có tính thực tế lắm và từ viễn cảnh cuộc chiến spam mức quốc tế được tiến hành sai cách. Nó cần phải thực hiện cả quan điểm pháp chế thực tế và sự tự điều chỉnh với tư cách là ISP. Chế độ pháp chế hiện hành phải đẩy mạnh trách nhiệm đến cá nhân người đang gửi spam và một tiến trình nào đó. Tuy nhiên thậm chí nếu lần được vết của spam thì spammer sẽ nhanh chóng thay thế chế độ bị thất bại bằng một cách nào đó khác thích hợp.

Ở mỗi nước thường có đến một hoặc nhiều ISP gây spam, tuy nhiên các ISP đó bản thân chúng cũng cung cấp các dịch vụ chống spam theo một cách nào đó, có thể bằng việc lọc spam đầu vào từ một host bị xâm nhập trên mạng của chính họ. Cuộc chiến incoming spam hoặc outgoing spam? Đó là tất cả vấn đề về giải pháp của bạn thực tế như thế nào đối với vấn đề này và sức mạnh của nó thực sự sẽ ra sao.