Tak už je to konečně tady. Spam končí, dlouhotrvající válku plnou několika značně prohraných bitev jsme ve finále vyhráli my, běžní uživatelé, správci sítí a konzumenti obsahu. Tak se na první pohled mohou jevit v nedávném horizontu publikované výsledky a prognózy, které se vždy tu a tam objeví. Jedná se sice jisté, a to že nevyžádaná pošta pomalu přichází o svůj glanc, resp. dlouhodobě známá nebezpečí z ní plynoucí nemají natolik markantní dopad, nicméně není dobré podlehnout přespříliš optimistickým předpokladům…
Při analýze vývoje nevyžádané pošty je zapotřebí vrátit se zpět proti proudu síťového času, přesněji do dob odstavení jednoho z hlavních zdrojů. Rozesílatelé spamu v prvních měsících loňského roku dostali tvrdou ránu, objem spamu výrazně poklesl díky odstavení botnetu Rustock. V prvních dnech po jeho odstavení bylo dle tehdejších aktuálních statistik rozesíláno přibližně 33 miliard nevyžádaných e-mailů denně, což byl výrazný rozdíl oproti v průměru 52 miliardám spamu v předchozím období.
Botnet Rustock se na výsluní mezi botnety dostal v první polovině roku 2010, kdy mu první místo nechtěně přepustil Cutwail. Stalo se tak díky počtu zotročených zombie počítačů, stejně jako stoupajícímu objemu rozeslaných zpráv – v době převzetí moci se jednalo o zhruba 33 % veškeré nevyžádané pošty. Po kompletním odstavením botnetu, se jeho podíl pohyboval pod padesáti procentní hranicí, denně byl odpovědný za rozeslání desítek miliard nevyžádaných e-mailů. Ve špičce dokonce Rustock odpovídal takřka za každý druhý spam. Jakmile se tedy Rustock dočkal náhlého umrtvení, vlna euforie propukla a okamžité výsledky byly dobře měřitelné. Rozsáhlé botnety využívají miliony zotročených počítačů a stejně jako jejich menší varianty se staly žádaným zbožím. Pronájem botnetu ušetří práci nejen při nutnosti rozeslat spam, ale také v dalších hromadných útocích, typicky například DDoS.
I když byl však Rustock odstaven, stále zůstali další hlavní hráči, mezi nimiž nechyběly například Cutwail, Mega-D nebo například Bahle. Všichni navíc disponují společným jmenovatelem: jsou představiteli nástrojů současných organizovaných útoků. Je zapotřebí si uvědomit, že nevyžádaná pošta neslouží pouze k neškodné reklamě, kterou většina uživatelů ze spamboxu automaticky smaže, ale také jako prostředek šíření podvodných a infikovaných e-mailů, tedy potenciálním bacilonosičem. A proto se jí útočníci tak snadno nevzdají, i když to jak v odchycené poště, tak podle posledních čísel může vypadat.
Objem rozesílaného spamu podle objemu. Rustock měl kdysi významné postavení, dnes si útočníci vypomáhají
Skoro zdarma, skoro bezpečně
Podle aktuální analýzy Internet Security Threat Report společnosti Symantec, se spam i přes svou klesající tendenci nestává nijak méně nebezpečným, proměňují se však jeho formy a potenciální cíle. Objem podílu nevyžádané pošty dle výsledků poklesl, zmenšily se velikosti takto rozesílaných zpráv a na prvních příčkách jazykových mutací útočníci i podvodníci vsadili na dlouhodobě prověřenou klasiku – první místo zaujala angličtina, následovaná portugalštinou, ruštinou a holandštinou. V tomto ohledu tedy z pohledu bezpečnosti můžeme být stále rádi za umělé phishingové zprávy ve stylu „Já chtít reset tvůj e-mail banking heslo“, které se občas k pobavení všech oslovených objeví.
Řada uživatelů bere nevyžádané e-maily stále jako významné přímé šiřitele virové infekce, nicméně podíl takovýchto infiltrovaných hromadně rozesílaných zpráv není nijak veliký. Důvodem je hlavně zvyšující se spolehlivé filtrování na straně jednotlivých poštovních serverů, kdy již nejen profesionální řešení na straně firemních sítí nebo freemailů zdarma nabízejí vysoké procento úspěšnosti, ale také vyšší povědomí uživatelů. I kdyby se k uživateli dostala zpráva s nebezpečnou přílohou ZIP nebo EXE od neznámého odesilatele, v naivní víře ji otevře jen velmi malý zlomek příjemců. Útočníci tak od podobných pokusů upouštějí, dle nedávných statistik je podíl přímo infikovaných e-mailů těsně nad 0,5% procentní hranicí všech kolujících zpráv.
Hlavní problém však spočívá v tom, že útočníci na své choutky nerezignovali, pouze změnili charakter jednotlivých lákadel. Kromě odstavení některých hlavních botnetů je k tomu ponoukla také nestále větší obliba sociálních sítí a služeb i mezi počítačově méně znalými uživateli. Jakmile totiž zkušenější uživatel obdrží standardní phishingovou či jinak podezřelou zprávu, která jakkoliv pronikne antispamovým filtrem, nevěnuje ji žádnou pozornost. Nicméně právě mezi začínajícími konzumenty obsahu se vždy najdou někteří, kteří zpanikaří a ve finále provedou akci, za níž se později stydí (obdobně je tomu i v případě falešných antivirů, různých programů pseudozdarma apod.). Tak proč by útočníci nezvolili za vektor útoku rovnou ještě o něco osobnější cesty, kam právě sociální varianty spadají?
Speciální variantou spamu jsou podvržené PDF soubory, které se snaží oblafnout klasické filtry
Nejlepší filtr se skrývá v nás
Nevyžádaná pošta tedy v žádném případě nekončí, její podíl v celkovém objemu kolující klasické pošty pouze znatelně klesl. Vzhledem ke stále účinnějším antispamovým filtrům má běžný spam menší a menší šanci na úspěch, a proto se útočníci snaží zlákat oběti jinými cestami. Kromě již zmíněných lákadel zneužívajících sociální sítě a jejich popularitu je zapotřebí mít se na pozoru i před některými prozatím méně prokouknutými a o to možná více strašidelnějšími scénáři.
Spustitelné soubory nebo podezřelé přílohy filtry většinou odříznou, mnohem hůře si však vedou v blokaci falešných odkazů, které jsou na stálém vzestupu – ať už v e-mailech, různých fórech, Facebooku či mikroblogovacích službách. Jedná se o zneužití zkracovacích služeb. U nás, v Česku, naštěstí nejde o tak velký problém, nicméně v anglicky mluvících zemích nemusí být tak těžké následovat podvodný odkaz, který se tváří, že přišel od někoho ze známých uživatelů, resp. neznámých, ale po konverzaci toužících. Uvedené zkracování URL prostřednictvím specializovaných služeb není použito náhodně, jedná se totiž o jednu z oblíbených praktik.
Pokud by uživatel na první pohled viděl nějakou čínskou nebo japonskou doménu, nejspíš zbystří, nicméně takto je vše pěkně skryto. Jedná se o rafinovanější metodu než jen klasické skrývání odkazu za jiný text v HREF tagu, oblibě se ze strany útočníků těší v automatickém komentářovém spamu, maskování odkazů na Twitteru, Facebooku apod. Zapomenout však nesmíme ani na SMiShing, spamové reklamní a podvodné zprávy, které mohou obsahovat odkaz přímo na web a jež jsou zasílány prostřednictvím SMS. Pokud se útočník dostane k libovolné databázi telefonních čísel sdružující například klienty konkrétní služby, lze velice elegantně (i když s nutnou znalostí technických detailů) rozeslat personalizované podvodné SMS zprávy, které oběť pod libovolnou záminkou nasměrují na potřebnou stránku.
Spam sice i přes vlnu na první pohled pozitivních predikcí nekončí, nicméně ať už se nás útočníci a podvodníci budou snažit nalákat nejrůznějšími praktikami, vždy se spoléhejme hlavně sami na sebe a své rozhodnutí, nikoliv software, který by to měl udělat za nás. Ten může bez problémů nastoupit až jako reaktivní obrana, proaktivní složka by měla spadat především na naše bedra. Nejlepším filtrem je totiž náš vlastní mozek a jeho správné použití v kritických okamžicích. Ať už pak útočníci a podvodníci přijdou se sebelepšími inovacemi, dokáže správné rozhodnutí v kritický okamžik vyřešit mnoho problémů.