image

Plaatjes-spammers leren nieuw trucje

dinsdag 29 mei 2007, 16:59 door Redactie, 26 reacties

Plaatjes-spammers hebben een nieuwe manier gevonden om spamfilters te omzeilen en tegelijkertijd de omvang van hun spamberichten te verkleinen. De nieuwste techniek bestaat uit het linken van afbeeldingen op populaire plaatjes-websites. Het is moeilijker om deze links te blokkeren, omdat het de kans op false positives enorm doet groeien.

De eerste generatie plaatjes-spam was voorzien van zowel het bericht als de afbeeldingen. Dit veroorzaakte grote berichten, waardoor de hoeveelheid berichten afnam. De plaatjes veroorzaken meer dataverkeer en zijn een ware plaag voor bedrijven die door wetgeving verplicht zijn om al hun e-mail op te slaan.

"Het enige dat een spammer nodig heeft is een link naar de afbeelding, en via HTML code wordt de plaatjes-spam automatisch getoond," zegt onderzoeker Dmitri Alperovich. Zolang de nieuwe techniek succesvol blijft, blijven spammers die gebruiken, gaat Alperovich verder, die denkt dat de kleine plaatjes-spamberichten voor een grotere hoeveelheid spam zorgt.

Reacties (26)
29-05-2007, 17:08 door wimbo
Standaard worden deze plaatjes toch niet door e-mail clients
getoond?
Mijn Thunderbird en Outlook clients vragen expliciet of ik
de plaatjes wil laden, omdat die plaatjes voorzien kunnen
zijn van een referentie naar het e-mail adres.
29-05-2007, 17:10 door Anoniem
*yawn*

Uit mijn onderzoek blijkt dat ze dat al een paar maanden doen.

Tip voor het nieuws voor over 3 maanden: dan is er vast een
onderzoeker die heeft "ontdekt" dat tegenwoordig
pump-and-dump-scammers zich richten op de Duitse aandelenhandel.
29-05-2007, 18:29 door Anoniem
Sinds wanneer kun je met Pine non-ascii-art plaatjes zien ?
29-05-2007, 18:36 door Anoniem
klopt......
maar je wilt niet weten hoeveel mensen dat uit zetten omdat
hun nieuwsbrief anders niet te lezen is.....
29-05-2007, 19:06 door Anoniem
Door wimbo
Standaard worden deze plaatjes toch niet door e-mail clients
getoond?

Precies!

De definitie van goede email clients krijgt de toevoeging
dat het geen plaatjes automatisch toont.
29-05-2007, 19:58 door Anoniem
Dit is niet echt een effectieve manier van spammen. Zo moet je blijkbaar
op de links klikken of de plaatjes worden niet eens opgehaald (omdat de
client het niet toestaat of dat je client niet rechtstreeks met internet kan
lullen vanwege een proxy).
29-05-2007, 21:39 door Anoniem
Door wimbo
Standaard worden deze plaatjes toch niet door e-mail clients
getoond?
Mijn Thunderbird en Outlook clients vragen expliciet of ik
de plaatjes wil laden, omdat die plaatjes voorzien kunnen
zijn van een referentie naar het e-mail adres.

Wellicht bedoelen ze dat hierdoor niet meer op netwerkniveau
mogelijk is te filteren? En we dus afhankelijik zijn van de
beveiliging van de client. Thunderbird doet dat inderdaad
automatisch voor onbekenden, maar:
1. Spam wordt vaak het adres gefaket
2. Ik kan me voorstellen dat er genoeg mensen zijn die die
functie/beperking uitzetten. En dat de balans tussen mensen
die je met de nieuwe techniek niet bereikt vanwege plaatjes,
tegenover de mensen die je wel bereikt, wel eens een
positieve balans kan zijn, omdat er gewoon veel meer
berichten worden verstuurd. (Als je nog maar 90% procent
bereikt, maar minstens 11% meer berichten kan versturen, heb
je winst)
29-05-2007, 22:52 door fd0
laat maar komen, html mail staat default uit. De meest
gezonde instelling
29-05-2007, 23:24 door Anoniem
Door wimbo
Standaard worden deze plaatjes toch niet door e-mail clients
getoond?

Maar de titels van de mailtjes worden wel getoond in je inbox. sommige
emailadressen ontvangen zoveel spam dat het emailadres onbuikbaar
wordt door dat er iedere dag 100den of 1000den nieuwe titels in de inbox
verschijnen.

Ook de oplossing van fd0 is om de zelfde rede geen oplossing voor het
probleem dat de nieuwe spamtechniek met zich mee brengt.

Greetingz,
Jacco
30-05-2007, 00:08 door Anoniem
telnet email vind ik nog steeds het best :) never spam :D
30-05-2007, 00:53 door nixfreak
Pfffff....gaan we weer.

Ik zeg het nog 1 keer: ALLEEN PLATTE TEKST is alles wat een
mailcliënt moet accepteren !! De rest is flauwekul.
30-05-2007, 02:34 door Anoniem
Dank u wel koning Nixfreak!!
30-05-2007, 02:56 door Anoniem
Door nixfreak
ALLEEN PLATTE TEKST

Wel eens een mail bekeken? Veel platter dan base64 kan je
niet gaan... Als jij nu graag wilt dat ook de weergave van
je email in ASCII only is, dan is dat jouw keus. Maar laat
alsjeblieft voor anderen een beetje creativiteit toe op
Internet. Dus ook e-mail.

Natuurlijk wordt er in dit geval misbruik van gemaakt. Maar
jij laat toch ook niet meteen je voordeur ombouwen omdat er
2x per jaar door een stel schooljochies aan je deurbel wordt
getrokken?

Owja nog een PS. Schrijven in hoofdletters is irritant.
30-05-2007, 08:03 door Anoniem
Door nixfreak
Pfffff....gaan we weer.

Ik zeg het nog 1 keer: ALLEEN PLATTE TEKST is alles wat een
mailcliënt moet accepteren !! De rest is flauwekul.

En een auto met ABS, Airco, radio, achterbank en electrische
ramen is ook flauwekul. Een auto moet rijden en dat is alles
wat een auto moet doen.
30-05-2007, 08:06 door _Peterr
Ik heb gewoon HTML aanstaan. Beetje meegaan met de tijd is
niet verkeerd.

Dit soort mailtjes zag ik laatst wel door de spamfilter
glippen. Maar ze worden nu netjes tegengehouden. De
SPAM-boeren moeten weer een nieuw trucje leren om mij te
bereiken.
30-05-2007, 09:09 door Anoniem
Door nixfreak
Pfffff....gaan we weer.

Ik zeg het nog 1 keer: ALLEEN PLATTE TEKST is alles wat een
mailcliënt moet accepteren !! De rest is flauwekul.

Lekker conservatief mannetje ben jij zeg.
30-05-2007, 09:46 door Anoniem
De laatste tijd krijg ik af en toe een e-mailtje in platte
tekst met een link naar een plaatje op imageshack.us.
Kennelijk denken ze dat de mensen daar op klikken.
Op dit moment laat de filter ze door, maar ze zijn lekker kort.
30-05-2007, 09:50 door Anoniem
platte tekst niet alleen maar vanwege spam-filtering maar platte tekst kan naar
gelieve van de gebruiker ingesteld worden. Denk aan mensen die minder
goed kunnen zien en die een groter lettertype gebruiken, Willen printen
zonder te veel inkt te gebruiken etc.. Ik krijg vaak mailtjes met enkel tekst van
outlook gebruikers die font 9 standaard gebruiken (ook nog in blauw)... heel
vervelend en ik heb geeneens problemen met m'n ogen.
30-05-2007, 10:02 door Anoniem
Ik ben het eens met nixfreak: E-Mail behoord plain text te
zijn. HTML (en andere wazige opmaak) neemt veel te veel
risico's met zich mee.

@Anoniem op woensdag 30 mei 2007 08:03

Zou je al die toeters en bellen ook op je auto willen hebben
als de kans dat er dan iets mis gaat met je auto erg groot
is ? Bijvoorbeeld 50% kans dat je ABS op de snelweg ineens
zwaar in de remmen gaat, of dat je airbag spontaan af gaat ?
30-05-2007, 10:25 door Anoniem
Je auto is een stuk metaal dat voorgedreven wordt door
gecontroleerde explosies. Ik denk dat we die risico's
ondertussen wel aanvaard hebben lijkt me.

Een gasfornuis heeft in theorie ook 50% kans om je huis op
te blazen, ik bedoel je draait het ding open of dicht. Jij
gebruikt een kampvuur zeker?
30-05-2007, 17:10 door Anoniem
2. Ik kan me voorstellen dat er genoeg mensen zijn die die
functie/beperking uitzetten. En dat de balans tussen mensen
die je met de nieuwe techniek niet bereikt vanwege plaatjes,
tegenover de mensen die je wel bereikt, wel eens een
positieve balans kan zijn, omdat er gewoon veel meer
berichten worden verstuurd. (Als je nog maar 90% procent
bereikt, maar minstens 11% meer berichten kan versturen, heb
je winst)

ik ga der dus vanuit dat je bedoelt 90% van de mensen die je
nu bereikte door het plaatje mee te sturen:

dus nu komen er bv 100 aan door er 100 te versturen
als je er 111 verstuurd en er komt 90% aan, is dat maar 99,9
30-05-2007, 20:27 door Mark Loman
Het vandaag verschenen spamfilter Caretaker Antispam heeft
ondersteuning voor dergelijke URL-spam:
http://www.caretaker.nl/antispam-details.htm#urlimagespam

Je kunt hem hier downloaden: http://www.caretaker.nl/downloads.htm

Caretaker Antispam heeft in Computer!Totaal juni 2007 de grote spamfilter-
test gewonnen. Ding hoeft nooit te leren, geen interactie met gebruiker
nodig, direct effectief, right out of the box. Ook op Vista.
31-05-2007, 00:51 door nixfreak
Lekker conservatief mannetje ben jij zeg.

Nee hoor, beslist niet. Eerder een controlfreak met
securitykennis.
31-05-2007, 08:22 door Anoniem
Door Mark Loman
Het vandaag verschenen spamfilter Caretaker Antispam heeft
ondersteuning voor dergelijke URL-spam:
http://www.caretaker.nl/antispam-details.htm#urlimagespam

Je kunt hem hier downloaden: http://www.caretaker.nl/downloads.htm

Caretaker Antispam heeft in Computer!Totaal juni 2007 de grote spamfilter-
test gewonnen. Ding hoeft nooit te leren, geen interactie met gebruiker
nodig, direct effectief, right out of the box. Ook op Vista.

Snakeoil alert! Dit "werkt" door het plaatje op te halen. Aangezien plaatjes
worden gebruikt als middel om te zien of ontvangers mail lezen, is dat
absoluut uit den boze. Je krijgt er alleen maar meer spam door.

Overigens is dit gewoon SpamAssassin met checks die buitengewoon
hoge scores krijgen. Dat zorgt zeker voor false positives.

Een animated gif met tekst is al voldoende om de filter af te laten gaan.
31-05-2007, 09:02 door Anoniem
Door Mark Loman
Het vandaag verschenen spamfilter Caretaker Antispam heeft
ondersteuning voor dergelijke URL-spam:

Je werkt voor dit bedrijf en ongevraagd reclame maken in comments is
spam.
31-05-2007, 12:37 door Mark Loman
Door Anoniem
Snakeoil alert! Dit "werkt" door het plaatje op te halen. Aangezien plaatjes worden gebruikt als middel om te zien of ontvangers mail lezen, is dat absoluut uit den boze. Je krijgt er alleen maar meer spam door.
Daar is bij de bouw van Caretaker rekening mee gehouden. Het haalt niet
zomaar het plaatje op. Bij URL-imagespam is het bericht platte tekst en wordt het plaatje gehost op een publieke image hosting site en spammers kunnen zeker niet bij de loggegevens van deze server. Ze uploaden ook niet voor elke geadresseerde een nieuw plaatje. Dan zouden ze naast het versturen van het spambericht ook nog eens binnen een seconde een plaatje moeten kunnen uploaden en dat gaat voorbij aan het hele idee van deze vorm van URL-spam.


Overigens is dit gewoon SpamAssassin met checks die buitengewoon hoge scores krijgen.
Caretaker Antispam heeft geen bit code van SpamAssassin aan boord. Het is gloednieuw en van de grond af aan gebouwd in Hengelo. De werking lijkt op dat van SpamAssassin. We hebben gekeken naar goede eigenschappen van verschillende spamfilters en ons eigen spamfilter gebouwd. Daarbij is SpamAssassin een PERL script en Caretaker Antispam is geschreven in C++. Het is een compleet nieuw en ander programma.


Dat zorgt zeker voor false positives.

Een animated gif met tekst is al voldoende om de filter af te laten gaan.
Ah, ik zie dat je dagelijks een heleboel animated image spam krijgt en Caretaker uitgebreid hebt getest vannacht :-) (het filter is sinds gisteravond pas beschikbaar). Maar wie ontvangt er dagelijks een animated gif image met tekst? Ik ken wel wat programma's. IncrediMail verstuurd bijvoorbeeld berichten standaard met animated gifs maar die berichten worden echt niet als spam bestempeld. Caretaker Antispam is niet zo zwart/wit als je het stelt of zoals te lezen is op de ins en outs pagina (die is gemaakt om je een snel beeld te geven van wat het filter kan). Probeer het filter zelf eens zou ik zeggen.


Je werkt voor dit bedrijf en ongevraagd reclame maken in
comments is spam.
Aangezien de discussie over platte tekst als middel tegen spam en geen enkel spamfilter een middel heeft tegen URL-spam leek het mij de moeite van het vermelden waard.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.