L’evoluzione dello spam

I mailing di spam (invio di pubblicità indesiderate via e-mail) hanno fatto la loro comparsa, nel mondo digitale, verso la metà degli anni ’90, non appena il numero degli utenti Internet ha raggiunto un’ampiezza tale da suscitare il vivo interesse degli “inserzionisti” nei confronti del nuovo genere di campagna pubblicitaria, condotto tramite la posta elettronica. Nel 1997 si iniziava già a parlare diffusamente del “problema spam”; in questo stesso anno, faceva poi la sua comparsa la prima blacklist di indirizzi IP relativi a macchine adibite alla distribuzione dei messaggi di spam.

L’evoluzione dei metodi adottati per l’invio di spam

L’evoluzione di tali metodi è stata in sostanza determinata dall’evoluzione degli strumenti via via utilizzati per filtrare il traffico di spam. In effetti, non appena una delle possibili modalità di invio dei messaggi di posta indesiderata inizia a prevalere decisamente sulle altre, vengono subito messi a punto – da parte delle società operanti nel settore della sicurezza IT – tool particolarmente efficaci per esercitare una valida azione di contrasto nei suoi confronti; gli spammer, a loro volta, sono ovviamente “obbligati” a cambiare il tipo di tecnologia di cui si avvalgono. Maggiori sono le dimensioni assunte dal “problema spam”, tanto più attivamente viene condotta la ricerca di nuovi strumenti per contrastare la diffusione delle e-mail “spazzatura” nel traffico di posta elettronica globale. Di pari passo, mutano con velocità crescente le tecnologie adottate dagli spammer, soprattutto se l’entità raggiunta dal loro business permette a questi ultimi di reinvestire parte dei profitti nello sviluppo di nuove tecniche e strumenti atti a bypassare i nuovi filtri anti-spam dispiegati nell’ambito dei sistemi e-mail.

Mailing diretti

Lo spam, inizialmente, veniva distribuito per mezzo di mailing diretti; ciò significa, in pratica, che gli spammer inviavano i messaggi e-mail a loro nome, attraverso i propri server di posta elettronica. Tale genere di spam può essere bloccato piuttosto agevolmente (in base all’indirizzo del server di posta o all’indirizzo del mittente del messaggio). Non appena la pratica di bloccare lo spam attraverso tali procedure si è largamente diffusa, gli spammer si sono visti costretti ad iniziare a falsificare sia l’indirizzo del mittente, sia le ulteriori informazioni tecniche relative all’e-mail inviata.

Mailing condotti attraverso gli “open relay”

Il server “open relay” è un server di posta che consente ad un utente arbitrario di inviare un messaggio e-mail arbitrario verso qualsiasi indirizzo di posta elettronica. A metà degli anni ’90, tutti i server e-mail erano, in pratica, dei server open relay; si è quindi rivelato necessario sostituire e riconfigurare il software utilizzato su tutti i server di posta elettronica del mondo. Non tutti i proprietari e gli amministratori dei sistemi e-mail, tuttavia, hanno compiuto l’operazione in tempi rapidi, dimostrandosi particolarmente desiderosi di collaborare; hanno così fatto la loro comparsa sulla scena appositi servizi di ricerca degli “open relay” rimasti ancora attivi, attraverso i quali sono stati poi stilati degli elenchi relativi a questi ultimi (le cosiddette RBL – “realtime blackhole list” – basate sulla tecnologia DNS). Ciò ha permesso di poter bloccare i messaggi di posta provenienti dai server presenti nella lista. Il suddetto metodo di invio dello spam viene tuttora utilizzato; esistono quindi, nell’ambito degli attuali mass mailing, dei server open relay ancora in attività.

Mailing realizzati tramite pool di modem

Non appena la distribuzione dello spam via server “open relay” ha iniziato a perdere la propria efficacia, gli spammer hanno subito fatto ricorso ai mailing condotti attraverso connessioni dial-up, sfruttando le seguenti peculiarità tecniche:

  • in genere, il server e-mail del provider riceve i messaggi di posta inviati attraverso i propri client e provvede poi ad inoltrare ulteriormente tali e-mail;
  • le connessioni dial-up sono supportate da indirizzi IP dinamici (i quali mutano ad ogni nuova connessione realizzata); gli spammer possono così utilizzare un nuovo indirizzo IP per ogni sessione di posta da essi condotta ed avvalersi, quindi, di una moltitudine di indirizzi IP per l’esecuzione dei mailing via via allestiti.

In risposta allo sfruttamento improprio delle connessioni dial-up da parte degli spammer, i provider hanno iniziato a porre dei limiti al numero delle e-mail che un singolo utente può inviare nel corso di una sessione di posta; sono inoltre comparse apposite blacklist relative agli indirizzi dial-up sospetti; sono stati infine implementati dei filtri preposti a bloccare le e-mail provenienti da pool di modem “estranei”.

Mailing eseguiti tramite proxy server

All’inizio degli anni 2000 gli spammer sono passati all’utilizzo delle connessioni Internet ad alta velocità (ADSL, via cavo), sfruttando, al contempo, le vulnerabilità in esse individuate a livello di hardware. Molti modem ADSL disponevano di SOCKS server o proxy server HTTP incorporato (software che consentono di suddividere un canale Internet tra vari computer). L’elemento di reale interesse, per gli spammer, era rappresentato dal fatto che qualsiasi utente, da qualsiasi parte del mondo, avrebbe potuto ottenere l’accesso a tali server, visto che gli stessi non disponevano di alcuna protezione (nessuna password, nessun controllo sulle procedure di accesso, allo scopo di semplificare le operazioni di configurazione da parte dell’utente finale). In altre parole, gli utenti malintenzionati avrebbero potuto utilizzare le connessioni ADSL altrui per condurre a loro piacimento qualsiasi tipo di attività, incluso, ovviamente, l’invio di spam. Per di più, i messaggi di spam sarebbero risultati provenire proprio dall’indirizzo IP della vittima. Visto che milioni di utenti, in tutto il mondo, disponevano delle suddette connessioni Internet, gli spammer hanno avuto davvero molto tempo a disposizione prima che i produttori dell’hardware iniziassero a mettere in sicurezza i dispositivi da essi fabbricati.

Violazione dei computer degli utenti

Attualmente, la maggior parte dei mailing di spam viene condotta attraverso i computer degli utenti; su tali macchine, in un modo o nell’altro, viene installato un programma Trojan, il quale consente poi agli spammer (e ad altri individui senza scrupoli) di ottenere agevolmente l’accesso ai computer presi di mira, a totale insaputa dell’utente-vittima. Per violare i computer degli utenti i malintenzionati ricorrono ai seguenti metodi:

  • programmi Trojan, distribuiti assieme a software pirata attraverso le reti di file sharing (Kazaa, eDonkey ed altre ancora); 
  • sfruttamento di vulnerabilità individuate in varie versioni dell’OS Windows e all’interno di applicazioni largamente diffuse (in primo luogo MS Internet Explorer e MS Outlook), per realizzare l’installazione di insidiosi backdoor sui computer sottoposti ad attacco; 
  • worm di posta elettronica di ultima generazione, anch’essi utilizzati per produrre l’installazione di programmi backdoor.

Secondo le stime più prudenti, i temibili programmi Trojan risultano già installati su alcuni milioni di computer, situati in ogni angolo del mondo. Tali programmi malware, al giorno d’oggi, sono piuttosto complessi e sofisticati; essi sono in grado, ad esempio, di aggiornare la propria versione, ricevere istruzioni da siti web malevoli precedentemente allestiti (oppure da canali IRC), inviare spam, compiere attacchi DDoS, etc. Secondo i dati resi noti dalla società statunitense Return Path, il 96,7% dei computer dai quali vengono inviati messaggi di posta elettronica è controllato dagli spammer, ovvero fa parte delle cosiddette reti-zombie (botnet).

L’evoluzione dei contenuti dei messaggi di spam

La comparsa di appositi strumenti preposti al rilevamento dello spam, basati sull’analisi del contenuto dei messaggi di posta elettronica, ha portato ad una significativa evoluzione dei contenuti delle e-mail indesiderate; queste ultime vengono in effetti allestite dagli spammer in maniera tale da rendere particolarmente difficile l’analisi automatica delle stesse. Così come nel caso dei progressivi cambiamenti messi in atto relativamente ai metodi adottati per l’invio delle e-mail indesiderate, gli spammer si vedono costretti, nella circostanza, a lottare contro i filtri anti-spam.

Semplici e-mail di testo e messaggi HTML

I primi messaggi di spam, inviati nel corso di un mailing di massa, risultavano del tutto identici tra loro; a tutti i destinatari delle e-mail veniva in effetti inviato lo stesso identico testo. Messaggi del genere possono essere agevolmente filtrati (ad esempio in base alla frequenza con cui si ripetono le e-mail che presentano testi identici).

Messaggi e-mail personalizzati

Il passo successivo è stato rappresentato dall’aggiunta di elementi di personalizzazione (quali, ad esempio “Hello, joe!” all’inizio di un messaggio di posta elettronica inviato all’indirizzo ); questo, ovviamente, ha reso diversi tra loro tutti i messaggi di spam inviati nell’ambito di uno stesso mailing. Per poter filtrare tali e-mail occorreva innanzitutto individuare la parte di testo che rimaneva invariata, ed inserire poi la stessa nell’elenco delle regole applicate per le operazioni di filtraggio dello spam. Come metodo di lotta nei confronti di simili messaggi indesiderati sono state proposte le firme “fuzzy”, in grado di tollerare piccole variazioni del testo, oltre ad efficaci metodi di filtraggio basati sulla statistica, capaci di adattarsi in maniera dinamica alle nuove tipologie di spam (filtro bayesiano, etc.).

Introduzione di testi casuali, “imbrattamenti” vari, testi invisibili

All’inizio o alla fine del messaggio lo spammer può collocare un brano estratto da qualche testo classico, o semplicemente un insieme casuale di parole. Nei messaggi HTML può essere inserito del testo “invisibile” (scritto con caratteri estremamente piccoli, oppure utilizzando un colore che coincide esattamente con il colore dello sfondo). Tali aggiunte complicano considerevolmente il lavoro svolto sia dalle suddette firme “fuzzy” (fuzzy matching), sia dai metodi di filtraggio statistici sopra menzionati. In risposta, gli analisti di spam hanno introdotto la ricerca delle eventuali “citazioni”, metodo in grado di contrastare efficacemente l’aggiunta di testi, l’analisi dettagliata del codice HTML ed altri metodi di analisi approfondita del contenuto del messaggio e-mail. In molti casi, poi, è possibile determinare lo presenza, in seno all’e-mail, dei classici “trucchi da spammer”, e classificare quindi il messaggio di posta immediatamente come spam, senza dover analizzare in dettaglio il relativo testo.

I messaggi di spam “grafico”

I messaggi pubblicitari possono essere ugualmente inviati agli utenti sotto forma di file grafico, fattore che rende estremamente complessa l’analisi automatica del messaggio di posta elettronica. In risposta, le società che sviluppano soluzioni di sicurezza IT, hanno messo a punto speciali metodi di analisi delle immagini contenenti testo in forma grafica.

Lo spam grafico si caratterizza per la grande varietà delle sue possibili realizzazioni. Una parte di tale genere di spam si compone di semplici immagini, che possono essere agevolmente rilevate dai filtri anti-spam. Gli spammer, tuttavia, fanno ricorso in misura sempre maggiore a tipologie piuttosto complesse di e-mail di spam grafico: essi utilizzano, in effetti, immagini dallo sfondo “imbrattato”, contenenti lettere e righe di testo che sembrano ondeggiare (le lettere risultano disposte non in maniera uniforme rispetto alla relativa riga); inoltre, gli spammer sostituiscono le singole lettere con apposite immagini, ruotano l’immagine di alcuni gradi, utilizzano al suo interno caratteri rari o caratteri di dimensioni diverse, cercando in tal modo di eludere l’azione protettiva svolta dai filtri anti-spam. Tutto questo, ad ogni caso, fa sì che il testo presente nelle immagini di spam divenga spesso quasi illeggibile, per cui il destinatario del messaggio potrà difficilmente valutare, poi, l’offerta trasmessa dagli spammer; in pratica, in tal modo, l’obiettivo principale del mailing non viene raggiunto (la pubblicità semplicemente non funziona).

Un’altra tecnica cui fanno ricorso gli spammer consiste nell’utilizzo di animazioni. Si tratta, più precisamente, di spam inviato non in veste di abituali immagini statiche (allegati grafici), bensì sotto forma di realizzazioni grafiche animate. Nella fattispecie, gli spammer utilizzano le animazioni GIF, visto che esse vengono riconosciute e riprodotte automaticamente da tutti i browser più popolari. Lo spam animato contiene, abitualmente, dai 2 ai 4 fotogrammi; soltanto uno di essi risulta significativo, ovvero contiene l’effettiva componente informativa.

Gli spammer intraprendono regolarmente tentativi di vario genere per cercare di aggiornare le tecnologie utilizzate per generare gli allegati grafici presenti nei messaggi di spam. Nel corso del primo semestre del 2007, ad esempio, hanno fatto la loro comparsa alcuni nuovi metodi per recapitare all’utente le immagini di spam, e far sì che quest’ultimo potesse subito visualizzarle sul proprio schermo:

  1. Collocamento di file grafici sulle pagine di un servizio di hosting gratuito dedicato ad ospitare immagini (quale, ad esempio, imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com, etc.). Nel corpo del messaggio di spam viene inserito un apposito link preposto a condurre l’utente verso l’URL che custodisce l’immagine. Quando il destinatario dell’e-mail apre il messaggio, nella maggior parte dei mailer più diffusi l’immagine viene scaricata direttamente dall’URL indicato.
  2. Utilizzo di immagini di spam sotto forma di immagini di sfondo. Il file grafico non viene inserito nel messaggio di posta, ma, anche in tal caso, viene pubblicato all’interno di qualche sito web. Nel corpo del messaggio viene indicato esclusivamente l’URL del sito Internet, posto all’interno del tag ‘body’, attributo ‘background’. Ne consegue che, in alcuni mailer, l’immagine in questione può essere scaricata in maniera automatica, così come nelle interfacce web di una parte dei servizi di posta elettronica.
  3. Spam con allegati in formato PDF. Questo tipo di allegato non si apre e non si carica automaticamente. Per visualizzare il contenuto inserito dagli spammer, l’utente deve necessariamente provvedere per conto proprio all’apertura dell’allegato.
  4. Spam con allegati in formato FDF. Si tratta, in un certo senso, di qualcosa di analogo agli allegati PDF, tanto più che, l’apertura e la visualizzazione dell’allegato può essere effettuata, anche in tal caso, tramite Adobe Acrobat Reader.

Tutte queste novità sono risultate piuttosto efficaci al momento della loro comparsa, ma già soltanto alcuni mesi dopo (talvolta dopo alcune settimane) si è provveduto alla realizzazione di filtri anti-spam in grado di contrastare i nuovi metodi adottati dagli spammer.

Parafrasi dei testi

Lo stesso identico messaggio pubblicitario viene allestito con numerose varianti del medesimo testo. Ogni singolo messaggio e-mail presenta, quindi, un testo logico e coerente; solo disponendo di molteplici copie dello stesso messaggio è possibile rendersi conto del fatto che gli spammer sono ricorsi alla parafrasi del testo in questione. In tal modo, i filtri anti-spam possono essere efficacemente impostati e regolati solo dopo aver ricevuto una consistente parte dei messaggi di cui si compone il mailing.

Al momento attuale gli spammer fanno ampio utilizzo degli ultimi tre metodi sopra descritti, visto che non tutti gli strumenti anti-spam sono in grado di poterli contrastare efficacemente; tale circostanza fornisce agli spammer l’opportunità di poter recapitare i messaggi e-mail indesiderati a tutti quegli utenti che fanno uso di strumenti di filtraggio non sufficientemente avanzati.