Segurança
Ecossistema dos Spammers
Qua 16 Dez 2009 18:34 |
- Detalhes
- Categoria: Armadilhas na Web
- Atualização: Domingo, 20 Dezembro 2009 21:41
- Autor: vovó Vicki
- Acessos: 4732
Fala-se muito de spam, scam, phishing e outras tranqueiras que, infelizmente, são impingidas aos internautas. Fala-se pouco sobre os spameiros, as figuras macabras que, entre outros males, congestionam as linhas de comunicação fazendo transitar lixo, sobrecarregam servidores de email, sequestram espaços preciosos de armazenamento, roubam nosso tempo e esgotam nossa paciência. Quem são e como agem estes intrometidos sinistros?
A fonte de algumas informações
O Project Honey Pot (Projeto Pote de Mel) foi criado em 2004 e, desde o início, conta com a colaboração da comunidade web para detectar, identificar e estudar o comportamento de spameiros. Em 9 de dezembro de 2009, uma quarta-feira, exatamente às 6:20 (GTM), o Honey Pot recebeu sua bilhionésima (isto mesmo, a bilhionésima!) mensagem bichada. A mensagem, mostrada abaixo, é um phishing usando indevidamente o United States Internal Revenue Service (IRS).
O phishing scam foi enviado por um bot rodando numa máquina comprometida localizada na Índia, cujo endereço IP é 122.167.68.1. A armadilha para spams que capturou a mensagem, criada por um dos colaboradores do projeto, havia sido "garimpada" em 4 de novembro de 2007 por um spameiro incrivelmente ativo: desde então ele enviou nada menos do que 53.022.293 mensagens ao Projeto Honey Pot. Só para constar, o IP deste poluidor compulsivo é 74.53.249.34.
O pessoal do Honey Pot estima que, para cada uma das mensagens que recebem, 125.000 são enviadas para vítimas reais. Se isto for real, a bilhionésima mensagem representa aproximadamente 125 trilhões de spams enviados desde o início das suas atividades em 2004.
Um bilhão de mensagens é mensagem pra caramba. Analisando este vasto arsenal de lixo foi possível chegar a algumas conclusões. Estas caracterizam o ecossistema atual dos spameiros, mesmo porque, vamos e venhamos, a amostragem não é insignificante
Quem são os spameiros
Publicar listas de endereços de IP e dos países onde se encontram, como fazem muitas organizações, não tem muito sentido porque, hoje em dia, os spameiros usam preferencialmente máquinas sequestradas para enviar emails, encobrindo desta forma sua verdadeira identidade e origem. Estas máquinas robô são PCs que foram infectados por vírus que realizam a tarefa sem o conhecimento dos seus responsáveis. Isto significa que, se o spam tem sua origem no Brasil, o spameiro não necessariamente é um brasileiro!
Se, por um lado, a determinação do país de origem do spam não significa grande coisa, por outro lado representa a política de segurança adotada por estes países. Como cada país possui um número diferente de máquinas operantes, é preciso criar um fator de correção para que os dados possam ser comparados. O Projeto Honey Pot resolveu adotar como fator o número de máquinas comprometidas num determinado país versus o número de profissionais que atuam em segurança neste mesmo país. Como é praticamente impossível determinar o número de profissionais em segurança onde quer que seja, o Honey Pot usou os membros que se registraram no projeto, o que, na minha opinião, é perfeitamente aceitável. Aqui estão os resultados:
MELHOR SEGURANÇA | PIOR SEGURANÇA | ||
1 | Finlândia | 1 | China |
2 | Canadá | 2 | Azerbaijão |
3 | Bélgica | 3 | Coréia do Sul |
4 | Austrália | 4 | Colômbia |
5 | Holanda | 5 | Macedônia |
6 | Estados Unidos | 6 | Turquia |
7 | Noruega | 7 | Vietnã |
8 | Nova Zelândia | 8 | Cazaquistão |
9 | Suécia | 9 | Macau |
10 | Estônia | 10 | Brasil |
Com tristeza, vejo o Brasil na décima colocação dos piores em segurança
Como os spameiros conseguem endereços de email
Onde estão os harvesters |
1. Estados Unidos |
2. Espanha |
3. Holanda |
4. Emirados Árabes |
5. Hong Kong |
6. Romênia |
7. Inglaterra |
8. China |
9. África do Sul |
10. Alemanha |
Uma das formas mais rápidas de se conseguir endereços de email é criar bots, que são programas que ficam acessando sites da web à procura de arrobas porque uma arroba no texto tem toda a probabilidade de estar associada a um endereço. Esta atividade é conhecida como harvesting, ou seja, caçar endereços.
As investigações do Honey Pot indicam que, diferentemente dos bots usados para enviar spam, que mudam de endereço com frequência, os bots de caça de endereços são mais estáveis, permanentes e ficam próximos da localização dos spameiros. O resultado destas pesquisas indicam que os sequestradores mais ativos estão nos países indicados na tabela ao lado.
Comportamento dos spameiros
De posse dos endereços, como se comportam os spameiros? Na média, hoje em dia, estão muito mais rápidos. Em 2004, o tempo decorrido entre um sequestro de endereço e o primeiro spam era de 49 dias, 18 horas, 54 minutos e 15 segundos. Dois anos mais tarde, em 2006, este intervalo já era de 29 dias, 29 horas, 10 minutos e 24 segundos. Em 2009 a rapidez da atividade foi reduzida para 21 dias, 17 horas, 17 minutos e 28 segundos. Dá para perceber que a ferocidade da turma está cada vez pior, só que, tem mais uma coisinha. Os spameiros também prezam um descanso e, pelo jeito, curtem mais o reveillon do que o dia de natal: no natal, os spams diminuem 21% e, na virada do ano, diminuem 32%.
Mas não são só os dias de festa que influem na atividade devoradores de banda. O dia da semana também tem influência e não poderia ser diferente: sábado é o dia de sair, de refrescar a moringa. Veja no gráfico abaixo que os spameiros não são diferentes.
Spam de Comentários |
1. Estados Unidos |
2. China |
3. Brasil |
4. Japão |
5. Rússia |
4. Emirados Árabes |
5. Hong Kong |
6. Romênia |
7. Inglaterra |
9. África do Sul |
10. Alemanha |
O tipo de tranqueira que os spameiros costumam enviar pode ser dividido em dois grandes grupos: venda de produtos e arapucas. Na venda de produtos, os produtos farmacêuticos são os campeões. Como os "vendedores" estão carecas de saber que os filtros anti-spam estão calibrados para bloquear mensagens que contenham o nome dos fármacos mais oferecidos, usam de muita imaginação para tentar camuflar os nomes. Só para Viagra, o Honey Pot recebeu pelo menos 956 versões diferentes: V1AGRA, VI@GR@, V!AGRA, VIA6RA e por aí vai.
O spam fraudulento (as arapucas) usa o nome de empresas para tentar um phishing (roubo de informações). Em nível mundial, as empresas mais fraudadas são bancos e instituições financeiras. O fenômeno se repete aqui no Brasil: renovação de cadastro no Bradesco, Itaú ou Banco do Brasil, dívida pendente no Serasa, processo correndo na Receita Federal, intimação do Ministério Público, etc e tal. Até o Ministério da Saúde entrou na dança quando os malandros aproveitaram a gripe suína como isca!
O comportamento deste grupo de espameiros está mudando aos poucos. Por exemplo, em 2008 praticamente não havia arapucas com o Facebook. Hoje em dia o Facebook já está em segundo lugar e não deve demorar muito para ser o mais fraudado. Mas a coisa não para por aí. Os spameiros, sempre muito antenados, já perceberam que os blogs são uma verdadeira mina de ouro: basta usar o sistema de mensagens online para emporcalhar qualquer site. Este tipo de panaca é conhecido como comment spammer e, ao que tudo indica, os espameiros de comentários ainda não estão usando robôs. Mesmo assim, é apenas uma questão de tempo. Se você tem um blog ou um site que permita comentários, fique esperto. Veja na tabela qual é a situação hoje e, mais uma vez, para nossa grande tristeza, o Brasil se destaca de forma negativa.