image

Spammers omzeilen filters met "eiland-hopping"

donderdag 2 november 2006, 12:59 door Redactie, 11 reacties

Onderzoekers van McAfee hebben een nieuwe trend bij spammers ontdekt om spamfilters te omzeilen. In plaats van .com, .net en .org top-level domeinen te gebruiken, worden nu de domeinen van kleine onbekende eilanden gebruikt, zoals die van het Afrikaanse eilandje Sao Tome en Principe (.st).

Door te kiezen voor onbekende top-level domeinen wordt het lastiger voor de filters om spam van legitieme mail te onderscheiden. De hoeveelheid spam die dit soort top-level domeinen gebruikt blijft maar toenemen. Op dit moment zijn vooral Tokelau, Cocos (Keeling) eilanden, Tuvalu, Amerikaans-Samoa, eiland van Man, Tonga en Sao Tome en Principe erg populair bij het spammersgilde.

Reacties (11)
02-11-2006, 13:20 door G-Force
Neu, daar ben ik niet mee eens. Gewoon de top-level domeinen
(*.st) in de spamfilters zetten. Want wie ontvangt nou
legitieme mail uit Sao Tome als je in Nederland woont of zo?
Zelfs Mailwasher kan deze crap aan. Bovendien kun je ook de taal selekteren van spammers. De meest crap is Engels, dus elke mail in het Engels gewoon in de spambox zette.

ff kieke in de cia-factbook voor de top-level domeinen van de andere eilandjes

https://www.cia.gov/cia/publications/factbook/fields/2050.html
02-11-2006, 13:33 door Anoniem
Je moet wel een bijzonder selectief spamfilter hanteren als
het voornamelijk van gebruikte top-level domains afhankelijk
is om te bepalen of een bericht spam is.
02-11-2006, 13:36 door awesselius
Of je selecteerd het merendeel aan IP-reeksen waar je nooit
e-mail van zult verwachten. Zuid-Amerika, Afrika en Azie
zijn toch echt streken waar ik niets mee te maken heb
(tenminste, niet bewust).

Als je dat al blokkeert dan kom je al een heel eind.

Dichterbij huis, heb ik ook niets met Spanjaarden,
Italianen, Fransen, Zweden, Finnen, Denen, Noren etc.

Engels, Duits en Nederlands zijn de enige talen die ik
spreek/lees. De rest is dus meuk voor mij.

- Unomi -
02-11-2006, 13:37 door Anoniem
Kijken naar het IP adres van de afzender is nog altijd beter
dan het (doorgaans fake) TLD. Bv een Reverse DNS op een
afzender die als resultaat een string geeft dat begint met
een IP is 99% zeker een spambot op een geïnfecteerde PC.

Je moet vooral kijken naar de postbode, niet naar de brief.
Als de postbode er niet betrouwbaar uitziet moet ie z'n post
al niet meer komen afleveren.
02-11-2006, 14:59 door G-Force
Door Un0mi
Of je selecteerd het merendeel aan IP-reeksen waar je nooit
e-mail van zult verwachten. Zuid-Amerika, Afrika en Azie
zijn toch echt streken waar ik niets mee te maken heb
(tenminste, niet bewust).

Als je dat al blokkeert dan kom je al een heel eind.

Dichterbij huis, heb ik ook niets met Spanjaarden,
Italianen, Fransen, Zweden, Finnen, Denen, Noren etc.

Engels, Duits en Nederlands zijn de enige talen die ik
spreek/lees. De rest is dus meuk voor mij.

- Unomi -

precies..dat bedoel ik nou ook...
02-11-2006, 15:02 door Anoniem
Door Anoniem
Kijken naar het IP adres van de afzender is nog altijd beter
dan het (doorgaans fake) TLD. Bv een Reverse DNS op een
afzender die als resultaat een string geeft dat begint met
een IP is 99% zeker een spambot op een geïnfecteerde PC.

Nee, het is niet beter. Met een filter als SURBL heb je een veel lagere
fp rate en een hoge detectie score van 70-80%. Dat is onhaalbaar met
jouw string-IP methode. Die produceert zeer veel false positives en haalt
bij lange na niet dezelfde detectiescore.
02-11-2006, 15:31 door Anoniem
Een beetje spam-filter pakt al 90% van de spam er tussenuit, ook als het
verknipte plaatjes zijn waar de spam in staat.
Blocklists vullen verder aan. Afzenders controleren dmv. Reverse DNS.
Hoef je je helemaal niet druk meer te maken over het domein dat
eventueel gebruikt wordt.

Zeer tevreden over Mailmarshal :-)
02-11-2006, 15:38 door Anoniem
ik ben geen groot voorstander van gegevens loggen om daarop
te rechercheren, maar in dit geval kan het helpen. Op de
beurs bijhouden wie er allemaal aandelen inkoopt voor kleine
bedrijfjes die via spam onder de aandacht gebracht worden.
op een gegeven moment wordt er vanzelf een patroon zichtbaar
en dan is het tijd om het een en ander in beslag te nemen.

filteren is symptoombestrijding. het probleem moet gewoon
bij de hufters worden aangepakt.
02-11-2006, 20:26 door Anoniem
Wat een onzin verkopen die lui van McAfee zeg. Alsof filters echt zo zouden
werken. Tja, waarschijnlijk de filters van hunzelf. Maar alle overige
beschikbare spamfilters doen echt niet moeilijk en ieder TLD wordt op
dezelfde manier behandeld. Een TLD mag en kan geen enkele invloed
hebben op de spamscore.
02-11-2006, 22:26 door extranion
vind het bij gmail ook wel meevallen met spam, eigenlijk
haast alle spam zit in me spamfilter direct al zonder wat in
te stellen.
06-11-2006, 08:51 door koekblik
Door Un0mi
Of je selecteerd het merendeel aan IP-reeksen waar je nooit
e-mail van zult verwachten. Zuid-Amerika, Afrika en Azie
zijn toch echt streken waar ik niets mee te maken heb
(tenminste, niet bewust).

Ik dacht ook niets met Zuid Afrika te maken te hebben. Toch
heb ik een email-wisselling met iemand van een universiteit
aldaar gehad, waarbij ik 'm geholpen heb met Python code.
Dat had ik toch niet willen missen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.