הנשק של הספאמרים: כתובות אינטרנט מקוצרות
IDG
כתובות אינטרנט מקוצרות (Shortened URLs), שירות בו משתמשים אתרים רבים על מנת לקצר כתובות ארוכות לכדי מחרוזות תווים קצרות יותר, הופך במהירות לדרך פופולרית עבור ספאמרים להגיע לקהל יעד טרי. מחקר עדכני של קבוצת MessageLabs, המשתייכת לחברת סימנטק, מגלה שכתובות אינטרנט מקוצרות אחראיות כיום ל-2% מכלל הודעות הספאם.
לדברי מאט סרג'נט, טכנולוג אנטי-ספאם בכיר ב-MessageLabs, הנוכחות של כתובות אינטרנט מקוצרות בהודעות ספאם זינקה בשבועות האחרונים. "אנחנו עוקבים כבר כמה חודשים אחרי השימוש בכתובות מקוצרות במסגרת הודעות ספאם, ושמנו לב לרמת שימוש נמוכה יחסית. עם זאת, החל מלפני כשבועיים, היינו עדים לגידול אקספוננציאלי", מספר סרג'נט. "השימוש עלה במהירות מכמעט אפס ל-2.23% מכלל הודעות הספאם (נכון ל-8 ביולי)".
הטכניקה צברה תאוצה מכיוון שהודעות הדוא"ל נשלחות על ידי בוט-נט (אוסף של מחשבים נגועים העובדים יחד למען מטרה זדונית אחת) בשם Donbot, אומר סרג'נט. לדבריו, העלייה מלמדת על כך שמפעילי הרשת מצאו דרך לייצר באופן אוטומטי כתובות אינטרנט מקוצרות. "אנחנו עוקבים אחרי הבוט-נט הזה באופן הדוק למדי, ויש לנו מושג די טוב לגבי גודלו. לא מדובר באחת הרשתות הגדולות שקיימות באינטרנט, אבל הוא שולח כמות גדולה של תוכן זדוני, ואחראי על כ-5 מיליון הודעות ספאם".
עשרות אתרי אינטרנט מציעים שירותים של קיצור כתובות אינטרנט, ולטענת MessagelLabs, ספאמרים הבינו ששימוש בשירותים הללו חוסך את הצורך בהתגברות על מנגנוני CAPTCHA (מבחן ויזואלי שמטרתו להבטיח שהצד השני איננו מחשב). "עד היום, כאשר ספאמרים עשו שימוש בסוגים אחרים של שירותים על מנת להסוות את הקישורים שלהם, הם היו חייבים לפתוח חשבון מיוחד, תהליך שחייב בין היתר פתרון של שאילתת CAPTCHA", אומר סרג'נט. "שירותי קיצור כתובות אינטרנט אינם מחייבים רישום על מנת לייצר כתובת מקוצרת, ולכן ספאמרים יכולים בקלות להכניס אוטומציה לתהליך. הסכנה בכתובות המקוצרות הללו היא שאינכם יודעים להיכן הן ייקחו אתכם. הספאמרים שולחים הודעות אותן כלי סינון אוטומטיים מתקשים לחסום מכיוון שאינם רוצים לחסום באופן גורף כתובות מקוצרות, והללו מסוות את שם המתחם האמיתי. ספאמרים מנסים לעשות זאת כבר זמן ארוך באמצעות שירותי הכוונה מחדש (redirection) למיניהם, וזוהי הדרגה החדשה במסגרת המאמץ הזה".
עקבו אחר הרמזים
לדברי סרג'נט, אף שהטקטיקה חדשה, התוכן של הודעות הספאם ממשיך להיות דומה, והן כוללות בדרך כלל קישורים לאתרים המוכרים פתרונות קסם להרזיה, מוצרי הגדלה לאיבר המין הגברי וכדומה. "למרות שאנחנו לא רואים את זה עדיין, בהחלט ייתכן שחלק מהאתרים הללו כוללים סוגים שונים של וירוסים ותוכנות זדוניות אחרות", מזהיר סרג'נט.
לדברי MessageLabs, כותרות נפוצות להודעות דוא"ל המכילות קישורים מקוצרים לאתרי ספאם כוללות: "Read This Article", "Suggested By User", " User has sent you article: Is Working Online At Home The Next Gold Rush?", "We should try something like this", "ust thought you might want to see this", "I just started doing this :) wanted to share it with you".
"ודאו כי מדובר בהודעה לה אתם מצפים, וממישהו שאתם מכירים", מייעץ סרג'נט. "לעיתים קרובות אפשר להיתקל בהודעות ממישהו שאתם מכירים, אבל יש סיכוי גבוה שהמקור הוא בעצם בוט-נט כלשהו. בדקו את התוכן בחיפוש אחרי רמזים, ואם אפשר, ודאו עם השולח (באמצעות מסרים מיידיים או טלפונית) כי אכן שלח לכם הודעה. באופן כללי, הודעות ספאם כוללות בדרך כלל שגיאות תחביר או כתיב המרמזות כי הן יוצרו על ידי מכונה".
לדברי מאט סרג'נט, טכנולוג אנטי-ספאם בכיר ב-MessageLabs, הנוכחות של כתובות אינטרנט מקוצרות בהודעות ספאם זינקה בשבועות האחרונים. "אנחנו עוקבים כבר כמה חודשים אחרי השימוש בכתובות מקוצרות במסגרת הודעות ספאם, ושמנו לב לרמת שימוש נמוכה יחסית. עם זאת, החל מלפני כשבועיים, היינו עדים לגידול אקספוננציאלי", מספר סרג'נט. "השימוש עלה במהירות מכמעט אפס ל-2.23% מכלל הודעות הספאם (נכון ל-8 ביולי)".
הטכניקה צברה תאוצה מכיוון שהודעות הדוא"ל נשלחות על ידי בוט-נט (אוסף של מחשבים נגועים העובדים יחד למען מטרה זדונית אחת) בשם Donbot, אומר סרג'נט. לדבריו, העלייה מלמדת על כך שמפעילי הרשת מצאו דרך לייצר באופן אוטומטי כתובות אינטרנט מקוצרות. "אנחנו עוקבים אחרי הבוט-נט הזה באופן הדוק למדי, ויש לנו מושג די טוב לגבי גודלו. לא מדובר באחת הרשתות הגדולות שקיימות באינטרנט, אבל הוא שולח כמות גדולה של תוכן זדוני, ואחראי על כ-5 מיליון הודעות ספאם".
עשרות אתרי אינטרנט מציעים שירותים של קיצור כתובות אינטרנט, ולטענת MessagelLabs, ספאמרים הבינו ששימוש בשירותים הללו חוסך את הצורך בהתגברות על מנגנוני CAPTCHA (מבחן ויזואלי שמטרתו להבטיח שהצד השני איננו מחשב). "עד היום, כאשר ספאמרים עשו שימוש בסוגים אחרים של שירותים על מנת להסוות את הקישורים שלהם, הם היו חייבים לפתוח חשבון מיוחד, תהליך שחייב בין היתר פתרון של שאילתת CAPTCHA", אומר סרג'נט. "שירותי קיצור כתובות אינטרנט אינם מחייבים רישום על מנת לייצר כתובת מקוצרת, ולכן ספאמרים יכולים בקלות להכניס אוטומציה לתהליך. הסכנה בכתובות המקוצרות הללו היא שאינכם יודעים להיכן הן ייקחו אתכם. הספאמרים שולחים הודעות אותן כלי סינון אוטומטיים מתקשים לחסום מכיוון שאינם רוצים לחסום באופן גורף כתובות מקוצרות, והללו מסוות את שם המתחם האמיתי. ספאמרים מנסים לעשות זאת כבר זמן ארוך באמצעות שירותי הכוונה מחדש (redirection) למיניהם, וזוהי הדרגה החדשה במסגרת המאמץ הזה".
עקבו אחר הרמזים
לדברי סרג'נט, אף שהטקטיקה חדשה, התוכן של הודעות הספאם ממשיך להיות דומה, והן כוללות בדרך כלל קישורים לאתרים המוכרים פתרונות קסם להרזיה, מוצרי הגדלה לאיבר המין הגברי וכדומה. "למרות שאנחנו לא רואים את זה עדיין, בהחלט ייתכן שחלק מהאתרים הללו כוללים סוגים שונים של וירוסים ותוכנות זדוניות אחרות", מזהיר סרג'נט.
לדברי MessageLabs, כותרות נפוצות להודעות דוא"ל המכילות קישורים מקוצרים לאתרי ספאם כוללות: "Read This Article", "Suggested By User", " User has sent you article: Is Working Online At Home The Next Gold Rush?", "We should try something like this", "ust thought you might want to see this", "I just started doing this :) wanted to share it with you".
"ודאו כי מדובר בהודעה לה אתם מצפים, וממישהו שאתם מכירים", מייעץ סרג'נט. "לעיתים קרובות אפשר להיתקל בהודעות ממישהו שאתם מכירים, אבל יש סיכוי גבוה שהמקור הוא בעצם בוט-נט כלשהו. בדקו את התוכן בחיפוש אחרי רמזים, ואם אפשר, ודאו עם השולח (באמצעות מסרים מיידיים או טלפונית) כי אכן שלח לכם הודעה. באופן כללי, הודעות ספאם כוללות בדרך כלל שגיאות תחביר או כתיב המרמזות כי הן יוצרו על ידי מכונה".