Webbmail spam når nya toppar och dalar
Alla tycker att webbmail är bekvämt och effektivt, vilket tyvärr också inkluderar skräpposten. MessageLabs antyder att det mellan februari och mars 2008 skedde en enorm ökning med 100 % av mängden skräppost som kom till Gmail-konton, till exempel, med 4,6 % av all skräpposttrafik som nu kommer från en eller annan webbaserad e-posttjänst. Gmail kan ha fördubblat mängden skräppost som kommer från sina användare under de senaste månaderna, men Yahoo Mail har fortfarande slagit med – enligt MessageLabs forskning – häpnadsväckande 88,7 % av all webbmail-spam som kommer från användarna. Mycket av detta verkar bero på den ökande framgången med vilka organiserade skräppostgäng nu kan besegra standard CAPTCHA-säkerhetsskärmar, som presenteras när du öppnar ett nytt konto för att utesluta robotar. Det verkar inte spela någon roll längre om dessa är av ”mekaniska turk” eller algoritmiska varianter, spammarna lyckas ta sig förbi dem med tillräcklig framgång för att kunna generera de nya konton de behöver för att upprätthålla skräppostflödet.
En gång förbi dessa försvar använder fler och fler spammare nu en autosvarsmetod för att besegra system för att blockera skräppost och lura det mänskliga ögat. Det är ännu inte fråga om att skicka ett meddelande som säger ”John Smith är borta från kontoret just nu, men läs denna skräppost medan du väntar på att han ska återvända”, men det kan bara vara inom en snar framtid . McAfee Avert Labs har berättat för mig att spammare i allt högre grad använder autosvarsfunktionen ”inte på kontoret” som tillhandahålls av sådana som Gmail för att distribuera sina meddelanden. Det är väldigt logiskt egentligen: om du råkar skicka ett e-postmeddelande till ett av dessa konton kommer det automatiskt att svara med skräppost istället för ett frånvaromeddelande, och även om det är beroende av att få användarna att skicka e-post till den adressen i För det första finns det massor av sociala ingenjörsknep som kan lura dig att göra just det. En McAfee antispam-ingenjör tror att den senaste tidens ökning av mängden skräppost som skickas via legitima webbmailsystem åtminstone delvis beror på detta autosvarsfenomen. Han berättade för mig att han misstänker att spammarnas programvara automatiskt skapar konton och ställer in deras svarstext, med lite eller inget manuellt ingripande som krävs.
Mu
Som om allt det inte vore illa nog kan jag inte avsluta krönikan den här månaden utan att nämna kulten av den döda kon. Detta ökända hackerkollektiv har i många år använt ett verktyg som det uppfann kallat Goolag Scan, som ger snabb åtkomst till många Google-sökningar för serverinloggning och kreditkortsdata, men problemet är att det nu har släppt verktyget för alla att använda.
Vem som helst kan redan göra den typ av avancerad Google-sökning som krävs för att gräva upp osäkrad data av denna karaktär utan att använda Dead Cows verktyg, även om jag inte tänker avslöja hemligheterna för hur man gör det här. Poängen är att det har krävt ett visst mått av beslutsamhet att undersöka sådana anpassade söktekniker fram till nu, men med lanseringen av Goolag Scan är cirka 1 500 anpassade sökrutiner automatiskt tillgängliga för alla som laddar ner och installerar en mjukvara. Argumentet som lagts fram av Cow boys är att det kommer att få folk att tänka på webbaserad säkerhet för deras onlinedata mer seriöst, men det är en skändlig undanflykt enligt min mening, lite som att släppa hundarna för att göra folk medvetna om att hundar kan bita . Som sagt, om du inte börjar leta efter att skydda dina faktiska datasidor såväl som själva gateway-tillgängliga data, kommer dessa sidor att förbli i riskzonen att bli synliga för verktyg som Goolag Scan och de läskiga människor som använder dem.
