Inteligência humana combatendo malwares

É obvio, eu recebo muitos spams na minha caixa de e-mails – provavelmente mais do que a maioria. Décadas entregando meu cartão de visita aqui e ali; nosso domínio incluído em apresentação de slides, publicações, catálogos e assim por diante. Somados à simplicidade do meu endereço de e-mail. Às vezes endereços de e-mail de alguns funcionários são deixados de lado como isca de spams, enquanto configuramos novos endereços com pequenas alterações. Mas não dá pra fazer isso com o meu, dá?! Infelizmente não, por que, primeiro, eu preciso manter o inimigo bem perto e observado, segundo, quero ser capaz de, pessoalmente, monitorar a qualidade da nossa proteção anti-spam. Além disso, não me importo com uma piada de vez em quando.

Assim como entomologistas com borboletas, eu arquivo os e-mails de spam em uma pasta separada, analiso, e determino tendências de veracidade e falsos positivos, e encaminho os que escaparam para nosso laboratório anti-spam.

Curiosamente, desde o começo do ano, a quantidade de spam aumentou muito. E depois de estudar a estrutura e o estilo, parece que a maioria vem de apenas uma (1) fonte! Quase todas as mensagens são em Inglês (só duas em Japonês), e – o mais importante – 100% dos spams foram detectados pelos nossos produtos!  Eu disse aos nossos especialistas – e foi confirmado: houve uma tsunami desses tipos específicos de spam – Spam Snowshoe! Isso é atípico nessa época do ano novo, em que os e-mails desse tipo não são tão frequentes.

* Data de 1-10 de janeiro

E aqui estão as informações de como o compartilhamento desse spam Snowshoe mudou no seu dia mais ativo – 7 de janeiro – nas caixas de e-mail dos domínios da nossa empresa:

Então, o que é e como funciona esse spam snowshoe? E como conseguiremos nos proteger?

O método snowshoe de spam não é nada novo; nós o detectamos primeiro em 2012. Mas desde então está saindo do controle, e ficando cada vez maior, por que engana facilmente os filtros de spam mais fraquinhos, que não fazem analises em vários níveis. O método funciona com o e-mail sendo enviado não só de um ou dois endereços de IP, sim de muitos deles, burlando os filtros de IP baseados em reputação. À propósito, é daí que vem o seu nome, o peso de uma pessoa usando tênis de neve (snowshoe) é distribuído de maneira igual na área toda das raquetes o que impede a pessoa de escorregar na neve. Bom, o mesmo princípio aplica-se nesse spam para não ser detectado nos filtros.

Para os Spammers, usar vários endereços de IP é mais complicado, mas tem o resultado que eles desejam. Eles, constantemente, têm que usar domínios e provedores (geralmente usando um dicionário) auto-gerados e desativar sistemas de detecção e proxies de spam. Sim, as trapaças são muitas e bastante complexas, mas, como eu digo, para os spammers vale muito a pena.

Uma vez entregue ao destinatário a engenharia social assume seu papel. Começa com um assunto que chame a atenção, enquanto que o corpo do e-mail tem um link de redirecionamento para um site no qual o produto ou o serviço super essencial é divulgado, com ofertas imperdíveis – e aqueles preços promocionais que só vão até amanhã. Curas milagrosas, descontos maravilhosos em seguros, pílulas para impotência, ferramentas… você escolhe J. Tudo enfeitado com uma dose saudável de truques clássicos: histórias tristes (estou muito doente, e não tenho dinheiro), finais felizes (eu comprei essa pílula aqui por $29,99, e todos os meus sintomas desapareceram da noite para o dia!), e assim por diante.

Os redirecionamentos levam você para um site dependendo da sua região. Por exemplo, se um usuário é de um país bem pobre eles simplesmente são redirecionados para o Google. Mas e o usuário for de um país desenvolvido, como a Europa ou a América do Norte, aí o esquema-fonte aparece com todo tipo de conversa e contos de fadas sobre… a herança medicinal dos Apache ou os mistérios de Tesla.

Mas não é só com esse objetivo que a engenharia social é usada. Esse tipo de spam pode também vir carregado de malwares…

E a proteção como fica?

Do ponto de vista técnico, o snowshoe, não é lá muito sofisticado. Mas isso não significa que não deve ser levado a sério. Filtros simples incapazes de se modificar ao polimorfismo desse spam o deixam passar tranquilamente. E não há tecnologia que possa acabar com o snowshoe de uma vez por todas. Nós lutamos contra esse método numa proteção em muitos níveis, com o primeiro truque sendo encontrado pelo aprendizado de máquina. Essa é a ideia, já que não há como combater esse volume de spams manualmente; e os experts tem mais o que fazer da vida. Como criar essas máquinas inteligentes, que analisam os spams e criam um contra-ataque algoritmo automaticamente, com acurácia extrema e confiabilidade. Por exemplo, graças ao aprendizado de máquina nossos produtos reconhecem e bloqueiam automaticamente novos domínios de spam, endereços de IP e subredes, além de conduzir uma análise de conteúdo baseada em várias características. E fazem tudo isso, como eu já mencionei, muito bem.

De fato, a guerra entre o bem e o mal na internet se tornou uma guerra em algoritmos. Os malvados aprenderam como disfarçar com maestria e alterar a aparência/ natureza dos seus ciberataques, sendo também feitos de maneira automática, resultando em ataques logicamente complexos. Mas para todo algoritmo existe um contra algoritmo, e o melhor- um maior e melhor :-). Hoje, a efetividade depende da flexibilidade e confiabilidade dos sistemas auto aprendizes criados pelos e especialistas. E o sucesso vem daqueles que conseguem combinar as habilidades matemáticas do homem (i) e a infraestrutura complexa da máquina (ii), desenvolvendo novos algoritmos. O que chamamos de Inteligência Homem-máquina.   

LEIA COMENTÁRIOS 0
Deixe um comentário.