Cerca nel blog

2006/11/26

Due spam originali

Nuove frontiere dello spam

Questo articolo vi arriva grazie alle gentili donazioni di "tele2italia" e "graziani".

Avete notato anche voi un aumento dello spam, magari nonostante i filtri del vostro provider e quelli che avete attivato sul vostro computer? Non siete i soli. Ecco due esempi di spam molto difficili da bloccare, che testimoniano l'inventiva degli spammer.

I messaggi arrivano dai soliti mittenti generati automaticamente (bfkvhb@fruitpoint.com e xpqwaks@yahoo.com, rispettivamente), ma sono interessanti per le tecniche di elusione adottate.

Spam grafico

Il primo contiene un'immagine che veicola il messaggio pubblicitario: in questo modo il messaggio è leggibile dalle persone ma non dai filtri automatici, che agiscono normalmente soltanto sui caratteri presenti nel testo e ignorano le immagini. I filtri vengono inoltre depistati dal blocco di testo sottostante, che è vero testo, non generato graficamente, e contiene molte parole inconsuete che hanno una bassa probabilità di apparire in un messaggio pubblicitario.

L'aspetto particolarmente interessante di questo spam è la sofisticazione dell'immagine: per ingannare eventuali filtri antispam abbastanza astuti da fare riconoscimento d'immagine e scoprire le lettere disegnate, le lettere stesse sono in colori differenti, sono disallineate fra loro e sono collocate su uno sfondo multicolore.

Anche il prodotto reclamizzato è abbastanza atipico, anche se lo spam di questa categoria non è una novità: non è il solito medicamento che allunga, rassoda o snellisce una parte anatomica o l'altra, ma un consiglio d'investimento in borsa. Il meccanismo è il cosiddetto "pump-and-dump": si annuncia come sicuro un aumento di un titolo e si convince la gente a comperarlo in massa. Questo crea un aumento di domanda per il titolo, che effettivamente sale di valore, ma soltanto fino al momento in cui gli organizzatori della truffa decidono di vendere in blocco le proprie azioni e interrompere la campagna di promozione; i truffatori portano a casa un congruo utile, mentre gli acquirenti che hanno abboccato restano fregati dal crollo del titolo acquistato.

Spam grafico 2

Questo secondo esempio di spam, invece, promuove un "prodotto" più tradizionale (di genere pornerotico) usando un'altra tecnica di elusione. Il messaggio effettivo è nascosto ai filtri antispam perché è composto da un mosaico di lettere disposte in modo da formare dei caratteri giganti, sulla falsariga della ASCII Art. Molto astuto.

Va detto che in entrambi i casi i messaggi eludono sì i filtri antispam, ma non vengono visualizzati se avete impostato il vostro programma di posta in modo da non interpretare i codici HTML necessari per generare questi effetti. Praticamente tutti i programmi di posta sono impostabili in questo modo (le istruzioni variano da programma a programma e dovrebbero essere indicate nella guida d'uso). E' anche per questo che l'HTML nella posta è male.

34 commenti:

Andrea Sacchini ha detto...

Sempre più astuti questi spammer. Anche a me, recentemente, è capitato di ricevere messaggi di questo tenore.

E, anche nel mio caso, per bypassare i filtri antispam gli astuti spammer hanno utilizzato una tecnica consistente nel mischiare sapientemente (neanche fosse una ricetta di cucina ^_^) caratteri molto grandi e molto piccoli:

1) in questa era contenuto un link che reindirizzava a un sito residente su un server cinese

2) e in questa mi veniva chiesto di dedicare qualche ora del mio tempo (mettendo a disposizione il mio c/c bancario) in cambio di 480$ a settimana.

Grandi!!!

thisend ha detto...

Non ricevo messaggi di post da oltre un anno usando gmail + thunderbird che mi filtrano tutto... e se vado nella casella gmail solo in questo mese di novembre ne ho ricevuto 397! e strano caso non mi ha bloccato neanche un'e-mail buona. Come sono felice! :D

Federico Segrate ha detto...

non so perchè, ma in tutta la mia vita, nonostane abbia una dozzina di caselle di posta, non abbia mai ricevuto spam, tranne un messaggio l'anno scorso, che piu' che spam era un virus perlopiu' bloccato dal server mail.
Eppure spnp circondato di gente che si lamenta del continuo spam che riceve decine di messaggi a settimana

Federico Segrate ha detto...

>Non ricevo messaggi di post da oltre >un anno usando gmail + thunderbird >che mi filtrano tutto... e se vado >nella casella gmail solo in questo >mese di novembre ne ho ricevuto 397! >e strano caso non mi ha bloccato >neanche un'e-mail buona. Come sono >felice! :D

Io con nessuna casella, ho 8 indirizzi email con @box.enel.it, ne ho una con Alice, una con Gmail, e 2 con Tele2 (anche se tele2 non ti blocca nemmeno le immagini remote)

Anonimo ha detto...

Confermo l'impressione di thisend. Il filtro di Thunderbird si comporta molto bene: Mai un falso positivo, anche se a volte lascia passare uno spam (Meno dello 0.1% comunque).
I filtri di gmail sono ancora meglio: Con una media di 20/30 SPAM al giorno mi e' capitato due volte dall'inizio dell'anno di avere uno SPAM non filtrato.
Noi di lingua madre italiana inoltre abbiamo il vantaggio di poter a colpo d'occhio identificare un soggetto o un mittente o al limite il testo di un messaggio si SPAM :)

Francesco C. ha detto...

Post molto interessante (come al solito).

Mi permetto un'osservazione marginale: hai usato il termine "medicamento", che e' quello adottato nella Svizzera italiana al posto del piu' consueto "medicinale"...

Skop ha detto...

Ciao Paolo,
ti avevo mandato il secondo spam qualche tempo fa, forse il tuo antispam l'ha intercettato e neutralizzato! :-)

Anonimo ha detto...

Però non è così grave. Il problema non è vedere lo spam ma seguirne o meno i "consigli".

Anche sono non ho mai mandato una email in HTML tengo sempre attivo il rendering: talvolta ricevo delle email HTML legittime e che traggono vantaggio da questo formato.

Di conseguenza di tanto in tanto vedo uno spam, ma non per questo mi sono messo a comprare v1.a§r@ o azioni bidone.

Insomma, mi pare che nella estenuazione a cui ci ha portato la continua violazione delle nostre caselle email confondiamo il vero fine (non ricevere spam) con la ripicca equivalente (riceverle ma non vederle appieno).

Vedo addirittura sul blog di Andrea Sacchini che consiglia di cestinare le email di mittenti sconosciuti! Pura follia, se avessi seguito questo consiglio avrei perso, senza nemmeno rendermene conto, la possibilità di collaborare con persone fantastiche.

Per concludere: lo spam è un grande fastidio, costa soldi e tempo; ma non dobbiamo farci prendere la mano. Ho l'impressione che per alcuni la lotta contro lo spam sia un specie di hobby, e come tale costa molto più tempo e fatica di quanto sia giusto dedicargli.

paulatz

Claudio Porcellana ha detto...

ciao Paolo

in effetti è da tempo che avrei voluto ricevere una tua opinione in merito, e mi pare anche di averti mandato una mail in proposito ma non ne sono sicuro

A ogni modo l'unico spam che ricevo quasi quotidianamente è il primo, quello "pump-and-dump";

Cercando in rete ho trovato il consiglio di leggere i messaggi in formato testo (e in generi li mando anche in questo modo) per indurre lo spammer a credere che l'indirizzo sia "morto"

Mi risulta infatti che gli spammer includano nelle mail html codice nascosto in grado di avvisare automaticamente lo spammer se la lettura avviene in formato html, anche se il ricevente non clicca da nessuna parte

In effetti da quando faccio così lo spamming è calato

Morale della favola, bisogna fare come dice Paolo: leggere le mail in formato testo e usare quest'ultimo di default per l'invio, e poi naturalmente usare un indirizzo spazzatura da lasciare nei siti di cui non è nota l'affidabilità

Ritengo infatti, sulla scorta delle mie esperienze finora, che gli spammer usino prevalentemente programmi automatici per carpire gli indirizzi

Infatti io faccio il traduttore e perciò i miei indirizzi sono visibili per chiunque scarichi il mio CV, ma quello spamming è arrivato solo su uno degli indirizzi che vi si trovano, quindi è ovvio che è stato carpito per altra via, magari una stupidissima catenadisantantonio o per mia distrazione xchè lasciato in qualche sito diacquisti/blog

Anonimo ha detto...

Scusate l'ot.

Paolo, che ne pensi di quello che si dice in questi giorni sulla responsabilità di google per i contenuti dei video scaricabili dal suo archivio? Io ne ho lette di tutti i colori tipo richiesta di google di FILTRARE i risultati del motore di ricerca per il mercato italiano (come accade in Cina, per intenderci)... ma stanno impazzendo tutti?

Tra l'altro, sentenze californiane stanno andando in senso esattamente opposto: chi dà lo spazio internet non è responsabile di quello che ci viene caricato/scritto sopra, lo è solo l'autore del testo/ del video.


Marco B.

gughi ha detto...

Confermo che i filtri di Thunderbird bloccano le e-mail della prima tipologia vista. La seconda non l'ho mai ricevuta

Anonimo ha detto...

Nulla di nuovo! E' da tempo che gli spammer usano le immagini. Non hai scoperto nulla di nuovo!

MG55 ha detto...

Anch'io ricevo un sacco di pump-and-dump ultimamente, come nel primo esempio. E riflettendo sul modo in cui il messaggio è mascherato nell'immagine, mi viene da pensare che il meccanismo dei captcha ci si stia rivoltando contro ;-) Infatti si sente dire proprio in questi giorni che gli spammer recluterebbero, soprattutto nei paesi in via di sviluppo, impiegati col compito di spammare i blog digitando i captcha stessi.

robin hood ha detto...

parliamo di cose serie..
http://www.signoraggio.com/

se questa notizia e vera..dobbiamo ribellarci

Anonimo ha detto...

@robin hood
Ma che e' ? Magari contiene materiale interessante, ma e' il sito piu' disordinato del mondo :D !

ivy phoenix ha detto...

sì... mi salvo con hotmail e gmail... ma con tiscali è uno spam tremendo a chiedermi se voglio viagra o vedere donne nude... fossi un uomo potrei pure arrivare ad offendermi

Anonimo ha detto...

Le scritte presenti nell'immagine della prima mail sono state scritte disallineate per impedire un controllo antispam via OCR vero?
Jac

Jac ha detto...

Le scritte presenti nell'immagine della prima mail sono state scritte disallineate per impedire un controllo antispam via OCR vero?
Jac

Maurizio Grillini ha detto...

Un anonimo ha detto...
Nulla di nuovo! E' da tempo che gli spammer usano le immagini. Non hai scoperto nulla di nuovo!

Paolo ha detto:
...per ingannare eventuali filtri antispam abbastanza astuti da fare riconoscimento d'immagine...

Possibile che gli Anonmimi siano solo capaci di scrivere e non di leggere? Con rispetto per l'Arma (prendo in prestito le famose barzellette), questi Anonimi cosa sono, Carabinieri in pensione? Quello che legge che fine ha fatto?

Lo SPAM e' un grave problema, va affrontato seriamente. E seriamente e' affrontato da chi realizza filtri e chi, come Paolo, informa.
Se lo SPAM continua a imperversare, vuol dire che i pesci abboccano, purtroppo.

Scusate lo sfogo, ora dico la mia.
Lo SPAM ha per primo alleato la mancanza di controlli da parte di un consistente numero di Nazioni, creando veri paradisi dello spammer. Altre Nazioni hanno fatto la vergognosa scelta di regolarizzare de facto lo spam permettendo di inviare messaggi agli utenti fin quando questi rispondono che non vogliono piu' saperne. Basti pensare agli Stati Uniti:
http://www.collinelli.net/antispam/as0010.htm

Se poi osi rispondere agli spammer dicendo che non vuoi ricevere la loro immondizia, ti freghi con le tue mani e ti ritrovi bombardato.

Io ho il (relativamente) grave problema del Forged Email Address, vale a dire che utilizzano il mio dominio per inviare spam a poveri diavoli in tutto il mondo. Me ne sono accorto dalla notevole quantita' di reclami automatici degli antivirus (che nei miei confronti si comportano peggio degli spammer), indirizzati a nominativi inesistenti nel mio dominio. Dall'analisi dei messaggi sono arrivato a conclusione che gran parte di questo spam e' inviato da virus, trojan e altre pestilenze che si annidano nei computer di ignari utenti.

Non tutto, naturalmente, ma a mio parere GRAN PARTE dello spam ha questa origine.

Vorrei sentire anche il vostro parere, grazie.

Ciop ha detto...

Uso Qurb.

Lista bianca.

Percentuale di errore: 0,000%.

spaz ha detto...

hai provato a vedere se nell'immagine c'è "attaccato" altro? mi sembra che una volta ne parlasti anche te di come sia possibile attaccare archivi o files di teso allinterno di un dile ommagine con il semplice comando copy.

questo tipo di spam lo ricevo anche io. adesso cerco un editor esadecimale, ti saprò dire...

spaz ha detto...

no mi pare non ci sia nulla..

TM ha detto...

Io non mi fiderò mai dei filtri.
Una volta mi era stata catalogata come spam un'email importantissima riguardo a un contratto. Forse la parola contratto non piace ai filtri anti spam. Per fortuna mi sono trovato solo con un prefisso [spam?] prima dell'oggetto.
Non oso pensare cosa sarebbe successo se me l'avesse cancellata.
Insomma... perso 30 secondi al giorno a cancellare spam ma non rischio!

gughi ha detto...

"Ma che e' ? Magari contiene materiale interessante, ma e' il sito piu' disordinato del mondo :D !"
Infatti, non l'ho capito neanche io. Ma una cosa ho capito e non mi è piaciuta su quel sito. Si dice che Beppe Grillo è un bugiardo, e questo è INACCETTABILE.

Andrea Sacchini ha detto...

paulatz: "Vedo addirittura sul blog di Andrea Sacchini che consiglia di cestinare le email di mittenti sconosciuti! Pura follia...

Sì, in effetti mi sono accorto di aver detto una piccola castroneria. Il consiglio di cestinare le e-mail provenienti da mittenti sconosciuti è infatti più indicato nel caso queste abbiano un allegato sospetto.

Sab ha detto...

Dove lavoravo prima di dove sono ora, mandavamo una newsletter a chi si iscriveva al nostro sito. Era in html così ci mettevamo la grafica e le immagini belle da vedere. Una delle immagini era salvata sul nostro server così, quando la gente vedeva il messaggio, ricevevamo un log sul server e sapevamo in quanti la leggevano.
Ciao ciao

Dan ha detto...

Grazie dell'informazione, in effetti questo può essere un utile meccanismo di segnalazione "mail letta" per uno spammer.
Ora disattivo anch'io l'HTML rendering, per vedere se così cala lo spam su quelle caselle. Piccolo esperimento...

Anonimo ha detto...

Thunderbird non scarica automaticamente le immagini nei messaggi html (compare una barra che indica la cosa). Quindi su può lasicare attivo il rendering HTML con la ragionevole certezza che lo spammer non riceva il "segnale" di lettura e-mali.

a_lounge_lizard ha detto...

"Parliamo di cose serie"..."Nulla di nuovo! Non hai scoperto niente"!!

Ma chi e' sta gente che si permette di decidere quali sono le cose serie e quali no, per postare l'indirizzo di un sito illeggibile???

'A tipo, vai a disquisire sul sito del signoraggio se qua per te si parla di caz...ehm, baggianate. Lo spam e' un problema, e grosso. Per non parlare di quello che fa il saputello, "gne gne gne non hai scoperto niente di nuovo"....

rodri ha detto...

@Dan

Credo tu possa aspettarti di non ricevere più spam di ora, ma non che il numero di messaggi spam diminuisca.
Quegli indirizzi sono già listati.

Dan ha detto...

Non so, in passato mi è già successo che dopo ondate di spam di nuovo tipo (con subject "re[]", piuttosto che sul rolex, software OEM, o sul Viagra...), queste si acquietassero e diminuissero di molto. Non so se tutti i mail server che uso hanno filtri antispam (specialmente considerando che per antivirus a antispam chiedono soldi in più, come Libero), ma credo che gli spammer ogni tanto facciano una scrematura perlomeno degli indirizzi che non rispondono mai... almeno qualcuno degli spammer.

Anonimo ha detto...

paulatz, se ricevi molta posta, allora E' un problema.

può darsi che ti si intasi la casella perchè stai in ferie una settimana, può darsi che tu faccia la segretaria e il tuo indirizzo sia pubblico e che la mattina di lunedì ti trovi a dover spulciare tra la corrispondenza estera anche offerte di oscenità varie (che potrebbero anche infastidirti) , medicamenti, truffe e robaccia che comunque ti fa PERDERE TEMPO.

ricevere e mettere da parte è già un sistema per leggere quello che SICURAMENTE E' BUONO. Poi comunque quel tempo lo perderai, ma ne perderai meno.

anche io, infatti, non sono per i filtri senza umani. Mi capita anche di dover lavorare con gente che viene considerata "spammer".
Eppure magari sono miei clienti.

Come fai a fidarti delle spamlist?

non puoi.

Valerio ha detto...

Anche io da qualche giorno ho iniziato a ricevere e-mail del primo tipo citato sulla mia casella aziendale e non sapevo cosa fossero.
Grazie per la delucidazione

Anonimo ha detto...
Questo commento è stato eliminato da un amministratore del blog.