image

Na PDF en plaatjes nu Excel spam

zondag 22 juli 2007, 12:36 door Redactie, 15 reacties

Spammers mogen plaatjes spam dan voor PDF bijlages hebben verruild, inmiddels is men toe aan een nieuwe tactiek, namelijk het gebruik van Microsoft Excel bestanden. Net als bij de PDF spamberichten wordt er reclame gemaakt voor de aandelen van een bedrijf aan de Duitse beurs, in dit geval Exchange Mobile. De Excel bijlages hebben als onderwerp "detail invoice" en "account info".

Reacties (15)
22-07-2007, 13:03 door Anoniem
Da's ten minste handig ... niemand die mij normaal gesproken
excel files opstuurd, dus gewoon blocken die handel :-)
22-07-2007, 17:12 door Anoniem
Excel? Wordt dat dan nog ergens gebruikt?
22-07-2007, 18:41 door Anoniem
Door Anoniem
Da's ten minste handig ... niemand die mij normaal gesproken
excel files opstuurd, dus gewoon blocken die handel :-)

Goed dat deze tactiek voor de rest van de wereld ook zo goed
werkt.
22-07-2007, 20:26 door Anoniem
Contentscanning lijkt me het nieuwe modewoord voor 2007.
22-07-2007, 22:57 door spatieman
snel mailwasher aan gaan passen !!
23-07-2007, 09:30 door Coop
Geen enkel probleem als je een spamdetectie gebruikt die niet afgaat op
de inhoud, maar op het verspreidingspatroon van de spam, zoals het
OutbreakShield uit de AntiVirusKit van G Data. Die gebruik ik al lang en ook
van de anti-spam functie ben ik heel tevreden.
23-07-2007, 10:15 door Erik Loman
Geen enkel probleem als je een spamdetectie gebruikt die niet
afgaat op de inhoud, maar op het verspreidingspatroon van de spam
In hoeverre verschilt dit functioneel van publieke DNSBL (of RBL) zwarte
lijsten?
DNSBL zijn lijsten waar IP-nummers en hostnames opkomen die bekend
zijn dat er spam vandaan komt. Deze worden automatisch getriggert
dankzij spam traps en andere methoden. Zie ook:
http://en.wikipedia.org/wiki/DNSBL
23-07-2007, 11:23 door Anoniem
Door Anoniem
Da's ten minste handig ... niemand die mij normaal gesproken
excel files opstuurd, dus gewoon blocken die handel :-)
Nog een oplossing:
Als je jeogen dicht doet, dan zie je het ook niet.
23-07-2007, 11:25 door Anoniem
Door spatieman
snel mailwasher aan gaan passen !!
Ik betwijfel of dit in deze gevallen zal werken. Maar wie geeft echt
uitsluitsel?
23-07-2007, 15:28 door Anoniem
Door Anoniem
Door Anoniem
Da's ten minste handig ... niemand die mij normaal gesproken
excel files opstuurd, dus gewoon blocken die handel :-)

Goed dat deze tactiek voor de rest van de wereld ook zo goed
werkt.
Deze reactie had ik inderdaad wel verwacht. Ik zeg toch
alleen dat het voor mij een optie is, ik beweer nergens dat
die voor de rest van de wereld ook zo is. Al hoewel ...
misschien een goede optie om meteen naar ODF om te schakelen
? :-)
23-07-2007, 17:20 door Coop
Door Erik Loman
Geen enkel probleem als je een spamdetectie gebruikt die niet
afgaat op de inhoud, maar op het verspreidingspatroon van de spam
In hoeverre verschilt dit functioneel van publieke DNSBL (of RBL) zwarte
lijsten?
DNSBL zijn lijsten waar IP-nummers en hostnames opkomen die bekend
zijn dat er spam vandaan komt. Deze worden automatisch getriggert
dankzij spam traps en andere methoden. Zie ook:
http://en.wikipedia.org/wiki/DNSBL

De OutbreakShield bij G Data werkt met technologie van Commtouch. Zij
monitoren wereldwijd het e-mailverkeer en maken een classificatie op
basis van het verspreidingspatroon van mass-mailings. Heeft dus niets
met blacklists of IP-adressen te maken (want die technieken zijn
inderdaad relatief makkelijk te omzeilen).

De uitleg vind je op

http://www.commtouch.com/Site/Resources/rpd_overview.asp

Mijn praktijkervaring met deze technologie is heel goed. Uiteraard komt er
af en toe nog een spam mail door (vooral als de spammers met een
nieuwe methode op de propen komen), maar dan aan een tempo van
eentje om de 2 dagen of zo.
23-07-2007, 17:40 door Anoniem
Commtouch gebruikt gewoon DCC. Inclusief de talloze false positives. Dit
is nauwelijks een serieuze spam engine te noemen.
23-07-2007, 20:46 door Anoniem
Zij monitoren wereldwijd het e-mailverkeer en maken een
classificatie op basis van het verspreidingspatroon van mass-mailings.
Dat betekend uiteindelijk toch dat ze de bron blokkeren op basis van wat er
vandaan komt? Zo werkt DNSBL ook. Als er veel spam vanaf een bepaal
locatie komt dan kom die locatie op een zwarte lijst. Net zoals bij
OutbreakShield. Wellicht dat ze een iets ander trigger mechanisme
hebben maar elke DNSBL werkt ook anders. Het criterium om ge-
blacklisted te worden verschil per lijst.
24-07-2007, 14:47 door Coop
Door Anoniem
Zij monitoren wereldwijd het e-mailverkeer en maken een
classificatie op basis van het verspreidingspatroon van mass-mailings.
Dat betekend uiteindelijk toch dat ze de bron blokkeren op basis van wat er
vandaan komt? Zo werkt DNSBL ook. Als er veel spam vanaf een bepaal
locatie komt dan kom die locatie op een zwarte lijst. Net zoals bij
OutbreakShield. Wellicht dat ze een iets ander trigger mechanisme
hebben maar elke DNSBL werkt ook anders. Het criterium om ge-
blacklisted te worden verschil per lijst.
Ze maken in feite een gigantische database van alle mass-mailings en op
basis van de specifieke verspreidingspatronen classificeren ze een mail
als spam / worm / newsletter / enz. Er wordt dus niet gekeken naar wie de
afzender is, maar naar de manier waarop de mail van de ene naar de
andere gaat. Elke mail krijgt vervolgens een soort fingerprint en op basis
daarvan wordt er nagegaan in die database of de mail OK is of niet.

Een bijkomend voordeel daarbij is dat het werk niet gebeurt op jouw PC,
maar op de servers van Commtouch (en dus bijna geen lokale
systeemresources verbruikt).

In de praktijk scoort G Data heel goed in de tests, ook op gebied van
spamdetectie (al gebruiken zij meerdere methodes, niet alleen
Commtouch-technologie) en met een zeer laag aantal false positives
01-08-2007, 12:17 door Anoniem
Is er ook niet zoiets mogelijk als PDFInfo
(http://www.rulesemporium.com/plugins.htm) en ImageInfo om
deze spam tegen te houden via MailScanner en SpamAssassin?
Ik heb al zitten zoeken online, maar vond zo snel niet wat
ik zocht. Iemand hier dit al gevonden en getest?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.