Le tecnologie utilizzate dagli spammer

Al giorno d’oggi, i mailing di spam hanno assunto proporzioni decisamente impressionanti: ogni giorno, nel mondo, vengono distribuite decine di miliardi di messaggi e-mail indesiderati (dal 60 al 90% del volume complessivo del traffico di posta elettronica globale). Questo richiede, ovviamente, significativi investimenti, in termini di tempo e denaro, riguardo alle tecnologie impiegate per realizzare e condurre simili mailing di massa. Gli spammer, in effetti, nell’ambito delle campagne di spam, utilizzano tecnologie e programmi dedicati.

Una vera e propria “catena” tecnologica

Le attività svolte dagli spammer possono essere suddivise negli step qui di seguito elencati; si tratta di una sorta di stabile e persistente “catena” tecnologica, la quale ha ormai assunto sembianze e caratteristiche ben definite:

  1. Raccolta e verifica degli indirizzi e-mail relativi ai destinatari dei messaggi di spam. Classificazione per tipologia di target degli indirizzi raccolti.
  2. Preparazione delle piattaforme da utilizzare per la conduzione del mailing di massa (server e/o personal computer attraverso i quali verranno poi inviate le e-mail di spam).
  3. Creazione del software necessario per eseguire il mass mailing.
  4. Ricerca dei clienti, mediante apposite campagne di marketing relative ai servizi offerti dagli spammer.
  5. Creazione dei messaggi pubblicitari da distribuire attraverso lo specifico mailing di spam in programma.
  6. Esecuzione del mailing vero e proprio.

Ognuno dei singoli step di cui si compone la “catena” qui sopra illustrata può essere realizzato indipendentemente dagli altri.

Raccolta e verifica degli indirizzi e-mail; creazione di appositi elenchi degli indirizziM

Per realizzare l’invio dei messaggi di spam occorre innanzitutto avere a disposizione un elenco degli indirizzi di posta elettronica dei potenziali destinatari delle e-mail (in pratica un database e-mail). Gli indirizzi presenti in tale elenco possono essere corredati da informazioni supplementari:

  • area geografica;
  • sfera di attività dell’impresa (o specifici interessi degli utenti);
  • elenco degli indirizzi relativi agli utenti di un determinato servizio di posta elettronica (Yandex, AOL, Hotmail, etc.) o di un particolare servizio online (eBay, Paypal).

Per effettuare la raccolta degli indirizzi e-mail gli spammer si avvalgono dei seguenti metodi:

  • selezione, tramite dizionario elettronico, di nomi propri, parole “ad effetto”, comuni combinazioni di parole e cifre (ad esempio “john@”, “destroyer@”, “alex-2@”);
  • metodo delle analogie — se esiste l’indirizzo , sarà del tutto ragionevole ricercare il nominativo anche nei domini , , Paypal;
  • scansione di tutte le fonti di informazione pubblicamente accessibili — siti web, forum, chat, bacheche, Usenet, database Whois e via dicendo, alla ricerca di combinazioni quali “parola1@parola2.parola3” (in tal caso, la parte finale della combinazione dovrà contenere un dominio di primo livello — .com, .ru, .info, etc.);
  • furto di database relativi a servizi online, provider Internet, etc.
  • furto dei dati personali degli utenti, per mezzo di virus informatici ed altri programmi malware.

Eseguendo la scansione delle fonti di informazione pubblicamente accessibili (metodo 3) è possibile cercare di determinare la sfera degli interessi degli utenti individuati attraverso le varie fonti disponibili; tale circostanza offre agli spammer la non trascurabile opportunità di poter stilare database tematici. In caso di furto dei dati custoditi dai provider ISP si ottengono, piuttosto di frequente, informazioni aggiuntive riguardo agli utenti; questo permette agli spammer di introdurre, in seguito, elementi di personalizzazione all’interno dei messaggi e-mail da essi allestiti.

Risulta sempre più diffuso il furto dei dati personali degli utenti – memorizzati nelle rubriche dei client di posta elettronica (la maggior parte degli indirizzi in esse presenti risultano validi e attivi a tutti gli effetti), così come il furto di altri dati personali. Purtroppo, le massicce epidemie informatiche che si sono registrate nel corso di questi ultimi anni hanno ampiamente dimostrato come la diffusione di adeguati strumenti di protezione antivirus non sia ancora sufficiente; di conseguenza, la frequenza di utilizzo di tale metodo, a livello di raccolta dei dati personali, sembra destinata a crescere.

Gli indirizzi e-mail così ottenuti debbono essere sottoposti a verifica; tale operazione viene generalmente compiuta nei modi seguenti:

  • Test di invio messaggi. Si tratta, in genere, di messaggi e-mail contenenti del testo casuale, in grado di bypassare i filtri anti-spam. Analizzando la risposta fornita dal server di posta elettronica (messaggio accettato o rifiutato), è possibile determinare se ognuno degli indirizzi presenti nell’elenco risulta attivo oppure no.
  • Inserimento nel testo del messaggio di spam di un link unico preposto a condurre verso una determinata immagine collocata su un server web. Non appena il messaggio viene aperto, l’immagine sarà automaticamente scaricata (in molti degli attuali programmi di posta elettronica tale funzionalità risulta bloccata), mentre il proprietario del sito web potrà avere la conferma o meno riguardo all’accessibilità dell’indirizzo e-mail. Il metodo verifica non la validità dell’indirizzo stesso, bensì se il messaggio è stato effettivamente letto dal destinatario.
  • Inserimento di un link “unsubscribe” nel messaggio di spam. Se il destinatario dell’e-mail clicca su tale hyperlink, non viene di fatto avviato alcun processo di rinuncia alla “sottoscrizione”; l’indirizzo dell’utente, tuttavia, potrà essere considerato valido a tutti gli effetti. Questo metodo, basato su una tecnica di ingegneria sociale, permette inoltre di verificare se l’utente è attivo.

Nessuno dei tre metodi sopra descritti risulta tuttavia infallibile; qualsiasi database in uso presso gli spammer, pertanto, conterrà sempre un elevato numero di indirizzi inattivi.

Creazione delle piattaforme da utilizzare per la conduzione del mailing di massa

Attualmente, i mailing di spam “professionali” vengono condotti mediante l’utilizzo di tre metodi principali:

  • mailing diretti eseguiti attraverso server presi in affitto;
  • utilizzo di “open relay” e “оpen proxy” — si tratta, nella fattispecie, di server configurati in maniera erronea dai loro proprietari, al punto da rendere possibile, attraverso tali servizi, l’invio di messaggi di spam;
  • installazione furtiva, sui computer degli utenti, di programmi malware che consentono di ottenere l’accesso non autorizzato alle risorse di cui dispone il computer violato (backdoor).

Per condurre campagne di spam mediante i server presi in affitto occorre avere a disposizione un set di server che possa essere costantemente rinnovato. Tali server, in effetti, vengono rapidamente inseriti nelle blacklist di indirizzi IP progressivamente allestite dalle società produttrici di soluzioni anti-spam; di conseguenza, è possibile realizzare l’invio di messaggi di spam, avvalendosi del metodo in questione, soltanto verso le e-mail box degli utenti di quei servizi di posta elettronica che non fanno uso di blacklist.

L’utilizzo dei server “open relay” e dei proxy server “aperti” si rivela particolarmente costoso e “time consuming”; in primo luogo, gli spammer debbono scrivere e mantenere in piena efficienza appositi programmi (robot) preposti ad individuare, mediante rapide scansioni in Rete, i server vulnerabili. In seguito, tali server dovranno essere violati.

Al giorno d’oggi, ad ogni caso, il metodo che gode di maggior popolarità – presso le folte schiere degli spammer – è indubbiamente rappresentato dall’installazione di programmi backdoor sui computer degli utenti ordinari, allo scopo di creare estese e potenti reti botnet (queste ultime, se pronte all’uso, possono essere anche direttamente “acquistate” dagli spammer). Quanto descritto può essere realizzato, in pratica, mediante l’utilizzo di uno dei seguenti metodi:

  • Inclusione di programmi Trojan nel software pirata: modifica di programmi di ampia diffusione, inclusione di un programma Trojan nei “generatori di chiavi”, “programmi per raggirare i provider”, e via dicendo. Piuttosto di frequente tali programmi vengono distribuiti attraverso le reti di file-sharing (eDonkey, Kazaa), oppure tramite i siti “warez” (in gergo informatico, tale termine indica le copie pirata dei programmi).
  • Sfruttamento delle vulnerabilità individuate nei browser Internet (in primo luogo Microsoft Internet Explorer) — tutta una serie di versioni di tali programmi contiene errori a livello di verifica dei diritti di accesso; questo consente ai malfattori di collocare nel sito web insidiosi componenti malevoli che, in seguito, verranno scaricati ed eseguiti sul computer dell’utente-vittima, a totale insaputa di quest’ultimo. In tal modo, il computer preso di mira risulterà disponibile per eventuali accessi da remoto da parte di malintenzionati. Tali software nocivi vengono principalmente diffusi attraverso siti web che ricevono, di solito, un considerevole numero di visite (in primo luogo i siti che presentano contenuti di natura pornografica). Nell’estate del 2004, tuttavia, è stato individuato uno schema malevolo condotto in due fasi: violazione in massa di siti web gestiti attraverso Microsoft IIS, e successiva modifica delle pagine Internet ospitate su tali siti, con relativa “iniezione” di codice nocivo all’interno degli stessi; questo, ovviamente, ha prodotto l’infezione informatica dei computer degli utenti che erano soliti visitare i siti in questione (peraltro con contenuti del tutto ordinari). Nel mese di novembre del 2006 hanno poi subito un attacco analogo i server che si avvalevano dei servizi del noto hosting provider Valuehost.
  • Utilizzo di virus informatici ed altri programmi malware, diffusi attraverso i canali di posta elettronica e in grado di sfruttare le vulnerabilità rilevate nei servizi di rete di Microsoft Windows: al momento attuale, l’intensità e la frequenza dei tentativi di utilizzo delle vulnerabilità individuate nell’OS Windows hanno assunto proporzioni davvero considerevoli. Appositi test indipendenti hanno dimostrato come un computer collegato ad Internet, provvisto del sistema operativo standard Windows XP, senza la protezione di un efficace firewall o di un valido programma antivirus, e sprovvisto dei service pack progressivamente rilasciati dalla software house, può essere agevolmente infettato dal malware entro una ventina di minuti dal momento in cui viene stabilita la connessione ad Internet.

Gli attuali programmi malware risultano piuttosto sviluppati e sofisticati dal punto di vista tecnico: i loro autori, tra l’altro, applicano notevoli sforzi per rendere particolarmente difficile il rilevamento degli stessi da parte, ad esempio, di un provider i cui client di posta sono stati adibiti all’invio di enormi quantità di messaggi di spam, operazione di fatto compiuta in maniera del tutto furtiva. I componenti Trojan possono in pratica comportarsi come dei veri e propri browser Internet, rivolgendosi a determinati siti web per ottenere apposite istruzioni riguardo alle attività da eseguire: lanciare un attacco DoS, avviare un mailing di spam, etc. (nella circostanza, le istruzioni possono contenere specifiche indicazioni riguardo ai tempi ed al “luogo” in cui verranno ricevute le istruzioni successive). Un altro metodo ampiamente utilizzato dai cybercriminali per mascherare la ricezione dei comandi da essi impartiti ai computer-vittima è costituito dai canali IRC.

Dall’altro lato, una delle destinazioni previste per le macchine infettate dal malware è rappresentata dalla concessione in affitto delle stesse (per effettuare, ad esempio, estesi mailing di spam). La “vendibilità” dei computer compromessi è agevolata dal fatto che i programmi malware operano sulla base di protocolli standard (HTTP o SOCKS proxy), attraverso un elenco di numeri di porta decisamente limitato; tali circostanze ne permettono l’utilizzo a terze parti e facilitano, al contempo, la ricerca delle macchine infette da parte degli amministratori di sistema.

Software adibiti all’invio di spam

Un mailing di spam di medie proporzioni risulta composto, al giorno d’oggi, da non meno di alcune decine di milioni di messaggi di posta elettronica. Tali messaggi debbono essere necessariamente inviati in tempi rapidi, allo scopo di condurre in porto la campagna di spam prima che vengano opportunamente riconfigurati i filtri antispam, oppure aggiornati i database di cui questi ultimi si avvalgono.

Il rapido invio di un’elevata quantità di messaggi e-mail rappresenta, indubbiamente, una sfida piuttosto ardua dal punto di vista tecnologico, la cui soluzione richiede l’impiego di risorse considerevoli. Ne consegue che, sul mercato, risulta presente una quantità relativamente esigua di programmi in grado di soddisfare le specifiche esigenze degli spammer professionisti. Questi programmi, attualmente, sono provvisti di numerose funzionalità:

  • essi sono in grado di inviare le e-mail di spam sia attraverso servizi “open” (relay di posta, proxy server), sia attraverso i computer-vittima infettati dal malware;
  • hanno la capacità di creare testi dinamici da inserire nei messaggi di posta (vedi il successivo capitolo dedicato alla composizione dei testi);
  • provvedono a mascherare piuttosto accuratamente le intestazioni dei messaggi; il riconoscimento dell’e-mail di spam sulla base delle intestazioni della stessa diviene pertanto un compito tutt’altro che banale e agevole;
  • possono monitorare la validità dei database degli indirizzi e-mail;
  • sono in grado di monitorare lo status del messaggio, per ogni singolo indirizzo contattato, e provvedere, al tempo stesso, a reinviare il medesimo messaggio di posta elettronica attraverso un’altra “piattaforma” di distribuzione, nel caso in cui, sul lato ricevente, si faccia uso di apposite blacklist.

I programmi in questione vengono concepiti sia in forma di servizio fruibile mediante sottoscrizione, sia in veste di software disponibile per l’acquisto.

Ricerca dei clienti

A quanto pare, il metodo principale utilizzato dagli spammer per acquisire nuovi clienti è costituito proprio dalla conduzione di apposite campagne di spam volte ad auto-reclamizzare i servizi da essi offerti. Tali messaggi pubblicitari rappresentano una quota significativa del volume complessivo di spam presente all’interno del traffico di posta elettronica globale. Allo stesso modo vengono pubblicizzati, in seno ai flussi di spam, servizi specificamente dedicati agli spammer; si tratta, nella fattispecie, dei programmi utilizzati per effettuare i mailing di massa, dei database di indirizzi e-mail e delle offerte relative all’acquisto o “noleggio” di botnet, le famigerate reti-zombie attraverso le quali possono essere condotte estese campagne di spam.

Composizione del testo dei messaggi di spam

Attualmente, il semplice invio di un elevato numero di messaggi di spam identici tra loro (o quasi identici) non risulta affatto efficace. E-mail del genere vengono istantaneamente rilevate da numerosi filtri antispam, in primo luogo per la frequenza con cui si ripetono i messaggi identici; la stessa impostazione dei filtri in base allo specifico contenuto dei messaggi di spam risulta essere un compito piuttosto agevole. Per tale motivo, al giorno d’oggi, i messaggi e-mail indesiderati si caratterizzano per la loro specifica “singolarità”; il messaggio successivo, in pratica, si differenzia sempre da quelli precedenti. Le principali tecnologie utilizzate dagli spammer per realizzare questo processo di “individualizzazione” sono le seguenti:

  • Introduzione di testi casuali, “imbrattamenti” vari, testi invisibili. All’inizio o alla fine del messaggio lo spammer può collocare un brano estratto da qualche testo classico, o semplicemente un insieme casuale di parole. Nei messaggi HTML può essere inserito del testo “invisibile” (scritto con caratteri estremamente piccoli, oppure utilizzando un colore che coincide esattamente con il colore dello sfondo). Tali aggiunte complicano considerevolmente il lavoro svolto sia dalle cosiddette firme “fuzzy” (fuzzy matching), sia dai metodi di filtraggio statistici. In risposta, gli analisti di spam hanno introdotto la ricerca delle eventuali “citazioni”, metodo in grado di contrastare efficacemente l’aggiunta di testi, l’analisi dettagliata del codice HTML ed altri metodi di analisi approfondita del contenuto del messaggio e-mail. In molti casi, poi, è possibile determinare lo presenza, in seno all’e-mail, dei classici “trucchi da spammer”, e classificare quindi il messaggio di posta immediatamente come spam, senza dover analizzare in dettaglio il relativo testo.
  • Le e-mail di spam “grafico”. I messaggi pubblicitari possono essere ugualmente inviati agli utenti sotto forma di file grafico, fattore che rende estremamente complessa l’analisi automatica del messaggio di posta elettronica. In risposta, le società che sviluppano soluzioni di sicurezza IT, hanno messo a punto speciali metodi di analisi delle immagini contenenti testo in forma grafica. 
  • Messaggi di posta contenenti spam grafico “mutevole”. All’interno dell’e-mail “grafica” possono essere introdotti appositi elementi di disturbo, con il preciso scopo di “imbrattare” il testo del messaggio, e quindi complicare considerevolmente l’analisi in seguito effettuata dal filtro anti-spam. 
  • Frammentazione dell’immagine. L’immagine contenente testo, che gli utenti visualizzano sul proprio schermo, può risultare composta da vari “frammenti”, sebbene l’utente ordinario non noti un simile dettaglio e veda, invece, l’immagine nella sua interezza. Una possibile variante è rappresentata dall’utilizzo di un’animazione; nella circostanza, l’immagine contiene vari fotogrammi che si sovrappongono l’un l’altro. Il risultato finale, ad ogni caso, è che l’utente visualizza l’intero testo relativo all’offerta di spam.
  • Parafrasi dei testi. Lo stesso identico messaggio pubblicitario viene allestito con numerose varianti del medesimo testo. Ogni singolo messaggio e-mail presenta, quindi, un testo logico e coerente; solo disponendo di molteplici copie dello stesso messaggio è possibile rendersi conto del fatto che gli spammer sono ricorsi alla parafrasi del testo in questione. In tal modo, i filtri anti-spam possono essere efficacemente impostati e regolati solo dopo aver ricevuto una consistente parte dei messaggi di cui si compone il mailing.

Tali metodi vengono supportati direttamente dai programmi ai quali gli spammer ricorrono per condurre i mailing di massa; l’utilizzo di un determinato metodo di “individualizzazione” del messaggio di spam dipende, pertanto, dallo specifico software impiegato.

Spam e psicologia

Sebbene il rapido invio dei messaggi di spam, e il recapito degli stessi ai destinatari delle e-mail – aggirando tutti i filtri – rappresenti una parte essenziale nel processo di conduzione del mailing, non si tratta certamente dell’unico elemento di vitale importanza per l’effettiva riuscita di una campagna di spam. Per gli spammer, in effetti, è altrettanto fondamentale riuscire a far sì che l’utente legga il messaggio inviato ed esegua le azioni in esso richieste (telefonare, cliccare sul link presente nel corpo dell’e-mail, etc.); per tale motivo, gli spammer si avvalgono di particolari metodi “psicologici” per influenzare il comportamento dei destinatari dei messaggi di posta indesiderata. In particolar modo, per attirare l’attenzione degli utenti, e “provocare”, quindi, la lettura dei messaggi, gli spammer cercano di indurre i destinatari delle e-mail a credere che essi non si trovano di fronte ad un fastidioso messaggio di spam, bensì hanno a che fare con un messaggio di natura personale. Agli inizi del 2006, gli spammer ricorrevano ancora, principalmente, all’impiego di tecniche alquanto “primitive”: essi aggiungevano all’oggetto del messaggio le sigle RE o FW, come indice del fatto che l’e-mail rappresentava la risposta ad un’e-mail precedente, oppure era stata inoltrata da qualche mittente conosciuto. Verso la metà dello stesso anno, tuttavia, queste tecniche particolarmente “semplici”, sono state integrate da metodi di camuffamento decisamente più sofisticati; alcuni dei testi elaborati dagli spammer, in effetti, venivano realizzati, dal punto di vista stilistico e lessicale, come si trattasse di una corrispondenza a livello personale. Spesso, tale genere di spam non conteneva espliciti riferimenti a qualcuno in particolare, oppure utilizzava, ad esempio, parole quali “girlfriend” o “sweety”, per creare l’illusione, nel destinatario della missiva, che l’e-mail fosse indirizzata proprio a quest’ultimo. Talvolta, nel messaggio mascherato in veste di corrispondenza personale, si ricorreva anche all’utilizzo dei nomi propri. Per mezzo di metodi del genere, ad ogni caso, la curiosità dell’utente viene indubbiamente stimolata, per cui il destinatario dell’e-mail può desiderare di scoprire la natura del messaggio, la sua provenienza, se occorre inoltrare o meno lo stesso ad altri utenti, etc.; in tal caso, l’obiettivo che si prefiggono gli spammer può dichiararsi raggiunto, nel momento in cui l’utente procede effettivamente alla lettura dell’e-mail di spam ricevuta.

Un’ulteriore tecnica di ingegneria sociale consiste nell’utilizzo, per ciò che riguarda la composizione del testo che compare nell’e-mail, di notizie relative ai temi “caldi” del momento; gli spammer, inoltre, ricorrono piuttosto di frequente a notizie più o meno “sensazionali” da essi stessi ideate.

Suddivisione del lavoro

Risulta evidente, da quanto sopra riferito, come le principali componenti tecnologiche che ruotano attorno al business degli spammer possano essere di fatto “utilizzate” indipendentemente l’una dall’altra. Ne consegue che, al momento attuale, operano nell’ambito dello spam varie categorie di “professionisti”, ben distinte tra loro: vi sono, in effetti, i “produttori” di virus e programmi Trojan, gli autori dei software impiegati per condurre i mailing di massa, così come coloro che si dedicano alla raccolta degli indirizzi e-mail. Gli spammer veri e propri – ovvero coloro che percepiscono denaro dai clienti ed effettuano i mailing di volta in volta commissionati – possono quindi semplicemente “noleggiare” i servizi a loro necessari, acquistare i database e gli elenchi delle macchine utilizzate per l’invio dei messaggi di spam, avvalendosi, in pratica, di tutti questi singoli elementi per lo svolgimento della propria attività. In tal modo, l’ingresso in questo genere di mercato si rivela relativamente poco costoso.

Al tempo stesso, appare ben evidente la suddivisione del mercato dello spam tra professionisti (coloro che, in genere, dispongono di qualcosa di proprio, come i database degli indirizzi o il software necessario per realizzare l’invio delle e-mail indesiderate, oppure un proprio programma malware) – per i quali lo spam rappresenta la principale fonte di reddito – e spammer “dilettanti”, che cercano semplicemente di guadagnare un po’ di soldi.

Le prospettive

Conoscendo gli specifici costi relativi alla conduzione di un mailing di spam (circa 100 dollari USA ogni milione di messaggi spediti) e l’effettiva quantità di e-mail indesiderate distribuite in tutto il mondo (decine di miliardi al giorno) non è affatto difficile poter stimare l’entità del volume di denaro che circola attorno a questo particolare mercato: si tratta, in pratica, di centinaia di milioni di dollari all’anno. È logico attendersi che, nell’ambito di un’industria che muove un giro di affari così elevato, debbano prima o poi comparire società in grado di operare “a ciclo completo”, capaci di realizzare in maniera “altamente professionale” l’intero complesso dei servizi necessari per la conduzione delle attività di spamming su larga scala. L’unico problema è rappresentato da certi aspetti criminosi dell’intero business: la diffusione di programmi Trojan, ad esempio, costituisce reato – punibile penalmente – in tutti i paesi in cui risulta presente anche un numero minimo di computer. La raccolta di dati personali all’insaputa dell’utente è anch’essa punibile dalla legge.
Per quanto società del genere sopra descritto non abbiano ancora fatto la loro comparsa nel complesso mondo dello spam, è lecito aspettarsi, con ogni probabilità, che ciò possa avvenire a breve termine.