2017年 Feb月 7日
人机智能狙击”雪鞋”垃圾邮件
当然,我的收件箱还是会收到大量的垃圾邮件 – 可能比大多数人的都要多。几十年来,我的名片四处散发;演示幻灯片、出版物和产品目录等上面都会有我们的域名。要拿到我的电子邮件地址非常容易。有时候,被泄露的员工电子邮件地址会被我们”打入冷宫”,因为垃圾邮件会像蜜蜂闻到花蜜一般,蜂涌到这些地址,同时我们会为员工设置略微修改的新电子邮件地址。但是现在不能对我这样做,对吧?当然不能,因为:首先,我需要准确地追踪敌方,其次,我想亲自监控我们的反垃圾邮件防御能力。我不介意会被人笑话,你们随便笑好了。
我像昆虫学家对待蝴蝶一样,把所有传入的垃圾邮件放在一个单独的文件夹中,检查判定结论,确定趋势和误报率,凡是未检测出的样本都会被我送到公司的反垃圾邮件实验室。
奇怪的是,从年初以来,垃圾邮件的数量暴增!在研究了垃圾邮件的结构和风格后,我发现似乎它们中大部分都发自一个(1)来源!几乎所有邮件都是英文(只有两封是日文),最重要的是 – 我们的产品检测到了100%的垃圾邮件,无一遗漏!我又向公司专家进行求证,得到了肯定的答复:确实这是一股海啸式的特定类型垃圾邮件浪潮,即”雪鞋”垃圾邮件。这是很不寻常的,因为一般在新年前后垃圾邮件活动量会下降。
* 1月1日至10日的数据
下面的数据说明了”雪鞋”垃圾邮件在我们公司域的收件箱中最活跃的一天(1月7日)的变化情况:
那么,这次”雪鞋”垃圾邮件对于家庭用户是什么样的,该如何防御呢?
“雪鞋”垃圾邮件采用的方法并不是新出现的;我们最早在2012年初就检测到过。但是从那以后,这种邮件变得越来越多,因为它很容易骗过不进行多级分析的愚蠢垃圾邮件过滤器。它并不是通过一、两个IP地址发送的,而是很多IP地址,因此能避开基于信誉的IP地址过滤。对了,把这种垃圾邮件命名为”雪鞋”是因为:穿雪鞋的人会将重量均匀分布在鞋的宽面部分,这样能避免滑入雪中。嗯,同样的原则也适用于这种垃圾邮件:垃圾邮件通过大量IP地址广泛分发,避免了垃圾邮件被过滤器滤除。
对于垃圾邮件发件人来说,使用多个IP地址更复杂,但能达到他们想要的结果。他们必须不断使用自动生成的域及其提供程序(通常会使用字典),关闭泄露的托管和垃圾邮件代理。是的,具体过程相当繁杂,但正如我说的,对于垃圾邮件发件人来说,这都是值得的。
一旦垃圾邮件送达收件人,社交工程随即会接管后续工作。首先是一个抓人眼球的主题文本,同时电子邮件的正文中会有一个链接用于重定向到某个网站,一般是大力宣传必不可缺的产品或服务的网站,你很难不被诱惑,因为网站上会宣称这个优惠的销售价格明天就结束了。奇迹般的治愈、千载难逢的保险折扣,壮阳丸、水电费帐单…形式不一而足:-)。所有这一切都有经典诈骗技巧的套路:催人泪下的故事(我病得很重,没钱治病)、美满的结局(我试着服用标价29.99美元的药丸,结果所有病症瞬间消失了)等等。
重定向使你转至的网站取决于你所在地区。例如,如果用户来自一个非常贫穷的国家,那么他们只是被重定向到,比如说,谷歌。但是,如果用户来自发达国家,例如欧洲或北美,则骗局资源会高度集中,编造出各种各样的故事,比如美洲印第安部族阿帕切族遗留下的药物,或者特斯拉的奥秘等等。
但是这种垃圾邮件还不仅仅采用了狡猾的社交工程,它还可能伴之以恶意软件……
那么该怎样防御呢?
从技术的角度来看,”雪鞋”垃圾邮件其实没有那么复杂。但这并不意味着不应该认真对待。简单的过滤器无法适应垃圾邮件的多态性,而只是任由其通过。没有一种单一的技术能够一劳永逸地解决”雪鞋”垃圾邮件。我们是通过多级保护机制来对抗”雪鞋”垃圾邮件,第一道保护是机器学习。这是合乎逻辑的,因为手动处理大量”雪鞋”垃圾邮件是不现实的;专家最好还是把时间用在更有用的方面。而且”更有用的方面”恰恰是建造智能机器,利用机器来自动、精准、可靠地分析垃圾邮件并创建对策算法。例如,通过机器学习,我们的产品能自动识别并阻止新的垃圾邮件发件人域、IP地址和子网,并根据各种属性进行内容分析。机器会完成所有这些操作,如前所述,做得相当成功。
事实上,网络正邪势力之间的战争早已演变成了算法之战。坏人们学会了如何巧妙地伪装和改变网络攻击的外观/性质,这本身也提高了自动执行能力,导致根据复杂逻辑开展攻击。但对于每一种算法,都会有一种反算法,而且是更长的算法:-)。如今,算法有效性取决于专家创建的自学系统的灵活性和可靠性。要想成功,算法必须具备是下面两点的组合:(i) 人的数学能力,和 (ii) 允许开发新算法的复杂基础架构。我们将该组合称之为人机智能。
