Spam grafico: l’immagine traditrice

Sicurezza

Partendo da alcune riflessioni di Ralf Benzmuller, uno dei coautori del
report G Data 2006 sui malware, Vnunet analizza il fenomeno dello spam grafico

Lo spam grafico è ormai diventato una prassi e oltre a sostituire in molti casi lo spam tradizionale mette in atto trucchi e strategie sempre più complessi. Ralf Benzmuller, coautore con Thorsten Urbanski del report G Data 2006 sui malware ha trattato approfonditamente il fenomeno di questa recente tendenza adottata dallo spam internazionale. Le prime e-mail di spam contenenti immagini sono comparse nel 2005. Da allora la loro presenza si è più che triplicata. A novembre la percentuale di spam di questo tipo si aggirava intorno al 45%. Poichè le dimensioni delle immagini sono maggiori rispetto al testo in esse contenuto, il volume di dati aumenta soprattutto dove vengono elaborate le e-mail incriminate. Il flusso di immagini viene sottoposto alla classica procedura di riconoscimento dello spam basata sul testo e con trucchi ingegnosi vengono aggirati anche i procedimenti di analisi delle immagini, di riconoscimento del testo e le impostazioni orientate al database.

La tendenza evidenziata da G Data è confermata anche dal produttore russo di soluzioni antivirus e per la sicurezza Internet Kaspersky, il quale nel proprio Security Bulletin 2006, discusso in questa stessa sezione la scorsa settimana, evidenziava che nel corso del 2006 gli spammers hanno rinnovato i loro tentativi di evadere le soluzioni anti-spam, iniziando ad usare massicciamente il graphical spam (spam il cui messaggio è composto di immagini). Durante gli ultimi tre mesi del 2006 gli spammers hanno perfezionato l’approccio, e gli allegati grafici vengono modificati all’interno di una spedizione di posta di massa. L’unica novità del 2006, secondo Kaspersky, è stata rappresentata dallo spam animato, che si evolve naturalmente con lo spam grafico.

Nonostante certe difficoltà, affrontate dagli sviluppatori anti-spam, la questione dello spam grafico non sembra poi essere così problematica come può apparire da un punto di vista tecnico. Fondamentalmente secondo Kaspersky, spam grafici e animati non rappresentano un grande pericolo per i sistemi e-mail equipaggiati con filtri.

Come funziona

L’idea dell’image spam è che una persona possa vedere cose che il computer non vede, L’essere umano è immediatamente in grado di riconoscere le scritte inserite in un’immagine inviata attraverso e-mail. Il computer invece identifica e cataloga l’immagine come tale, non analizzandone il contenuto alla ricerca di eventuali scritte . Ecco quindi come gli spammer ultimamente sono riusciti a eludere i filtri antispam che si limitano ad analizzare il testo contenuto nei messaggi e-mail. Una prima contromossa messa in atto dai filtri antispam è stata quella di cercare di riconoscere i caratteri all’interno delle immagini sfruttando la tecnologia Ocr (optical character recognition). Questa tecnica converte in testo le immagini scansionate confrontando la geometria unica dei font con un dizionario ad hoc.

La contromossa degli spammer non si è comunque fatta attendere. Utilizzando font non usuali o inserendo del ‘rumore’ nell’immagine (aggiungendo colore, spazi in lettere che l’occhio comunque salta e macchie di colore sulla pagina) il motore Ocr viene confuso e non riesce più a vedere le lettere. L’image spam di nuova generazione sfrutta anche tattiche quali insalate di parole così come immagini in formato GIF animato e su livelli che dividono un messaggio in più immagini sovrapposte l’una sull’altra.

L’evoluzione

L’ultimo tipo di spam, lo spam animato, è particolarmente un problema per i server e le caselle di posta perché contiene diverse immagini gif, che sono ” pesanti” e occupano parecchia memoria.

Questo tipo di spam assorbe banda sui server, rallentandone così la velocità. Inoltre occupa parecchia memoria nella casella di posta elettronica, causandone così un più veloce riempimento ed impedendo alle e-mail ordinarie di poter essere ricevute a causa della mancanza di spazio.

Inoltre, le possibiltà offerte dall’animazione consentono agli spammer di utilizzare alcune tecniche proprie dei filmati, come per esempio l’inserimento di ‘slide’ subliminali che vengono visualzzate in modo rapidissimo, quasi impercettibile. In questo modo, anche se la visualizzazione della slide non viene percepito, l’idea è che il contenuto venga ‘assorbito’ in modo inconscio dal soggetto che legge la mail.

Conclusioni

La lotta tra i criminali di Internet e responsabili della sicurezza si è ormai frammentata su numerosi fronti. Prima almeno la battaglia era circoscritta tra i creatori di virus e chi doveva contrastare tale minaccia. Questa guerra durata per anni ha visto nascere numerose strategie e contromosse degne del migior film di spionaggio. Ora la stessa creatività e fantasia si è trasferita su numerose altre tecnologie di attacco che si sono sviluppate nel corso degli ultimi anni. Un fronte particolarmente prolifico in fatto di creazioni fantasiose è sicuramente quello dello Spam. Nato inizialmente come semplici mail di testo, a seguito delle soluzioni adottate dai vari filtri per intercettarle ed eliminarle si sono evolute in forma grafica. E’ subito seguita la contromossa dei software di protezione che hanno adottato tecniche di OCR per continuare ad individuare e bloccare le mail con contenuto indesiderato. Non poteva certo mancare l’immediata risposta dei criminali che hanno deciso di evolvere lo spam grafico in spam animato, sfruttando tutte le possibilità che le animazioni consentono, tra cui tecniche di comunicazione subliminale. Purtroppo lo spam grafico e quello animato non si limitano a disturbare l’utente con messaggi indesiderati, ma la pesantezza del codice e l’occupazione di banda portano con sè problemi ben più seri. Non resta che attendere le prossime contromosse dei due fronti.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore