Уникальность спам-сообщений.
Спам-сообщения, рекламирующие один и тот же товар или услугу, но отправленные пользователям разными маршрутами, могут быть уникальны. Другими словами, в каждое отдельное письмо вносятся случайные последовательности символов, персональные обращения, анекдоты, большие куски связного текста и так далее, что делает спам-сообщения невидимыми для фильтров, основанных на технологии проверки сигнатуры или одинакового текста..
К середине 2003 г. сформировался механизм спамерской рассылки, обладающий определенными характерными признаками, своеобразная типовая «спам-машина»:
- участие в рассылке нескольких десятков тысяч инфицированных пользовательских машин;
- наличие профессионального ПО для спама и автоматическое скачивание обновлений данного ПО;
- автоматическая модификация писем при посылке, в том числе, модификация и частичный перебор почтовых адресов;
- организация постоянного обмена информацией между спам-серверами.
Организация «псевдорассылок».
Для борьбы со спам-фильтрами нередко спамерами используется прием – «спамерские псевдорассылки». Это анонимные рассылки, не содержащие никаких предложений. Чаще всего в тексте подобных писем содержится бессмысленный набор символов или дата, или письмо вообще не имеет никакого текста, ни аттачмента. Целью подобных рассылок является общее «замусоривание» почтового трафика, и затруднение работы антиспамового ПО, особенно вероятностных статистических (байесовских) фильтров.
Использование графики.
Другим известным приемом борьбы со спам-фильтрами является создание рассылок, в которых рекламный текст сообщения представлен в виде изображения. Начиная от замены на картинки отдельных букв сообщения, до полностью графических объявлений. Наиболее активно в рассылках представлены форматы *.gif и *.jpeg, что связано с хорошим сжатием изображений в этих форматах.
Технология модифицируемого графического спама была опробована в 2003-2004 годах и тогда же была фактически заморожена, в основном из-за нехватки вычислительных ресурсов на генерацию разных картинок в ходе одной рассылки. Тогда спамеры достаточно быстро вернулись к использованию средств языка HTML.
В 2005 году спамеры в основном стремились обойти спам-фильтры за счет увеличения скорости рассылки спама. Однако в 2006 году большая часть антиспам-модулей стала реагировать на спам быстрее, чем раньше. По этой причине спамерам, которые уже не имели возможности принципиально увеличивать скорость рассылок, пришлось возрождать и развивать старые трюки по уникальному изменению каждого почтового сообщения.
В 2006 году спамеры снова сделали ставку на графику. Наиболее успешными при использовании «графического» спама оказались две технологии:
- доведенная до совершенства модификация графических вложений в пределах одной рассылки (в каждом отдельном образце спам-рассылки меняются параметры вложенной «картинки» - шрит, цвет символов, фон)
- новинка 2006 года – анимированный спам.
Анимированный спам.
В августе 2006 года спамеры начали активно использовать технологию анимированного спама. Пик анимированного спама пришелся на сентябрь-октябрь, с ноября и до конца года количество и доля анимации резко уменьшились.
Спамеры использовали GIF-анимацию, т.к. она воспроизводится всеми популярными браузерами. Анимированное вложение содержало от трех до нескольких десятков кадров. При этом значимым являлся один или часть кадров, т.е. только они содержали информационную составляющую. Все остальные кадры были предназначены для «зашумливания» анимации. Они не несли смысловой нагрузки и содержали элементы фона, геометрические фигуры и т.п.
Значимые кадры демонстрировались пользователю от нескольких секунд до 10 минут, а вспомогательные – всего десятые доли секунды, и человеческий глаз просто не успевал их воспринять. Потом изображение повторялось. Дальнейшее развитие технологии: текст спамерского предложения разносится по разным кадрам, на каждом - по 1-2 строчки из рекламного письма. Кадры накладываются друг на друга, и в итоге пользователь видит полный текст спамерского предложения. В анимации по-прежнему сохранены «зашумленные» кадры в начале и в конце. Данная мера предназначена для борьбы с OCR-технологиями (распознавание текста из графики), которые разработчики спам-фильтров могут противопоставить спамерам.
Несмотря на то что с появлением спамерской анимации все разработчики антиспамерского ПО столкнулись с определенными сложностями, с технической точки зрения проблема оказалась не так сложна, и серьезной угрозы для почты анимированный спам не представляет.