spam

有別於購買 Email 名單、付錢給擁有僵屍網路的駭客代發垃圾信的方式，另一種更省錢、更有效方法─夥伴計畫 (Affiliate Program) 正慢慢的興起。何謂夥伴計畫：Affiliate Program 是利用網民帶進流量的一種行銷手法，以 Amazon 為例，申請加入夥伴計畫的會員會得到一組 HTML 碼，將之置入於自己網站上後，當網頁被瀏覽時會自動帶出 Amazon 廣告，讀者點該廣告連到 Amazon下單購買，會員就可得到本次消費的某個百分比作為抽成。結果現在有網站採用這種概念，經營 Spammer 夥伴計畫，我想教行銷學的教授們知道了，一定對於這些人的創意頭腦感到無言。

Glavmed 這個網站是 Spammer 夥伴計畫中的佼佼者，他們的商業模式：Clavmed 扮演掮客角色，代收廣告主的付款，然後提供會員一個 URL連結，當會員透過轉寄信、部落格連結將流量導到那個連結時，就會按流量或下單金額多寡支付會員酬勞。乍看之下其實很正常，就像 Google Adsense 及其他沒兩樣夥伴行銷一樣，但 Glavmed 引發爭議的原因是，他們的廣告主是一些販賣威爾剛(Viagra)、減肥藥及不合法藥品的購物網站，Glavmed 巧妙的運用自己身為掮客的身分游走於法律邊緣。

Glavmed 不自己建構僵屍網路，所有的垃圾信都是從會員電腦發出，所以Glavmed 不會被關站或被抓，但這對於反垃圾郵件產品廠商來說，可就相當惱人了。因為垃圾郵件可以從任何一個人的電腦發出，只要他加入Spammer 夥伴計畫，就成為 Spammer 的一員，而且發出的垃圾郵件可能是五花八門，看起來很正常，會員也許只寄給自己的親朋好友，或是把內容寫成心得分享，再利用轉寄連環信 (Email Forwarding) 的方式做置入性行銷。黑名單、白名單失效，內容過濾也無法攔截，是許多反垃圾郵件產品廠商的痛，好在 Cellopoint 採用雲端運算─CelloCloud™，對於這種動態的暫時性 Spam 發送來源可以做有效的監控，「SRL 發信者信譽評等」與「ICA 智慧型內容分析技術」並可依據 IP 與信件內容準確辨別正常信與垃圾信，不漏攔也不誤攔，提供讓客戶滿意的高防護水準。

想了解更多 CelloCloud™請上網：http://www.cellopoint.com/tw/solution/cellocloud

用這樣的標題實在是因為 Viagra Spam 藥性太強，讓我在 Cellopoint High 了長達四年之久！話說今天一早去公司上班就接到 CGAC 的通知，又有新變種的 Viagra 型垃圾信出現。有時候真的是非常佩服 Spammer 的巧思跟創意，竟然能讓同樣的東西持續不斷地變型進化。

我們公司 Cellopoint 主要的研發方向是 Email UTM，其中 Anti-spam 技術是我們奮戰多年玩意。各位朋友有興趣的話不仿先聽我講古一下反垃圾郵件技術的演化史吧！四年前的 Anti-spam 技術主要是以 Rule Base 以及 Heuristics 的方式來進行的，最有名的就是 SpamAssisam。接著出現以 Signature Base 的方式主的相關技術與產品，廣為人知的應該是Symantec 的 Brightmail。接下來就是以 Sender Base 的方式為主的相關技術，這也是目前的主流，例如 Cisco 的 IronPort、TrendMicro 的 NRS 以及許許多多的 RBL(Real-time Blocking List) 等等。雖說有上述技術，但 Viagra 型的垃圾信永遠就像是打不死的蟑螂一樣，Spammer 都能一一擊破，這實在是太超過了。

變種的 Viagra Spam 會讓每一封垃圾都產生不同的Signature – 特徵值 (隨機產生一段雜湊文配上隨機的扭曲 Viagra 圖片)，如此一來 Rule Base 與 Signature Base 就被攻破了。而更高竿的方式是，這些 Spammer 會下符咒(指令)給那些被植入後門程式的郵件伺服器來幫忙發送這些 Spam，等幹完這些勾當之後，符咒的效果就結束了。這是一種類似 Botnet (僵屍網路)的手法，利用高信譽評等的伺服器幫忙發垃圾的方式，讓 Sender Base 破功。

所以我才會氣到說， Viagra! 你讓我持久了快四年。當然，CelloCloud 還是有解決之道，仍然能一網打盡這些討人厭的垃圾信。最近除了變種 Viagra 外，CGAC 並未發現其他特異垃圾郵件攻擊，這意味著 CelloCloud 威脅聯防與即時分析運作效率良好，都能把球門好好守住，保護我們的客戶免於各種郵件威脅！

原文 by CelloCloud 雲端安全計畫主持人 Yukoh Wu

這幾天心血來潮、將1998年的一部電影翻出來看、[You've got mail] 喜歡Meg Ryan 與 Tom Hanks的人應該都不會錯過.

Well、重點是、工作環境真的會影響你的生活、一邊搭配SimplyScript網站看字幕時、居然注意到了當Meg Ryan開啟AOL的撥接軟體、出現那個令人驚喜的 "You've got mail" 聲音後、很驚訝的發現、前幾封是廣告信件(spam) :

• Big Cache Op: You can make $$$ ....
• Maximize your selling ability nowwww...
• ......
• NY 152 Brinkley

現在回想起來、當時透過龜速撥接的時代、如果還收到一大堆spam、真的會收到暈倒在鍵盤上、所幸現在除了網路頻寬大大提昇外、anti-spam的技術也大大提昇了.

以Cellopoint為例,  除了整合各類型的anti-spam技術 : SpamAssassin、貝氏演算法(Bayes)、RBL、SPF..等、更加上自行研發的ICA (Intelligent Content Analysis)、透過全球的防垃圾郵件中心 (Cellopoint Global Anti-Spam Center)提供給客戶最即時且最精確的垃圾郵件阻擋防禦、近來更將整個防禦機制與雲端運算結合 (CelloCloud)、提供給客戶零時差的防禦.

當然, spam的問題在完整的郵件解決方案其實只是前端的一環、其他還包括後端的Mail Server與後續的郵件資產保存、這些就先不討論了.

也希望你的email中多點浪漫、少點spam.

熱門時事總是最容易引起大家的興趣，駭客也善用此一社交工程手法散佈垃圾郵件，隨著H1N1新型流感（豬流感）在全世界傳出疫情，利用「豬流感」相關話題之垃圾郵件的惡意攻擊也已開始傳播。CelloCloud™威脅感知系統(Threat Sensor System)於全球已觀察到多種「豬流感」相關垃圾郵件及惡意攻擊案例。此類垃圾郵件以聳動的標題吸引收件人，如”Madonna caught swine flu!”或”Swine flu in USA”，引導收件人點擊郵件中的惡意網址，下載木馬程式至收件人電腦中，以盜取個人資訊。甚至結合Flash漏洞，攻擊尚未修補該漏洞的電腦。

針對此次攻擊，Cellopoint提醒大家1. 對可疑郵件須保持警戒心，不隨意打開並點閱不明郵件中的連結網址。絕對不要在郵件表單中填入個人的敏感資料，如銀行帳號、密碼等，因為正常的公司是不會向使用者要求這些資訊的。2. 不回覆垃圾郵件，因為這會讓駭客知道這是一個有效的郵件地址，進而發送更多的垃圾郵件。此外許多垃圾郵件會提供取消訂閱連結，當使用者按下去時，同樣會讓駭客確認郵件地址的正確性。遇到垃圾郵件最好的方式就是直接刪除不要回應。3. 小心社交工程的陷阱，駭客的手法有複雜化及個人化的傾向，魚叉式攻擊(針對特定的對象進行個人化的釣魚郵件攻擊)時有所聞。4. 不轉寄連鎖信，這可能是駭客為了蒐集郵件帳號的所製作的郵件。

CelloCloud™威脅感知系統偵測到此波「豬流感」垃圾信威脅時，立即發布了「反垃圾郵件特徵資料庫更新」，即時保護全球的客戶。CelloCloud™提供「全球聯合威脅防禦」與「即時線上更新防護」功能，可解決垃圾郵件、病毒郵件、間諜程式、釣魚郵件、中繼轉信、DoS攻擊、駭客入侵等威脅。CelloCloud™像一朵虛擬的安全雲，隨時將客戶納入保護範圍，實現「電子郵件雲端安全」服務的目標。

國家通訊傳播委員會（NCC）在上周的委員會議中已通過，明年將修正「濫發商業電子郵件管理條例」並向立法院提案。法案若能通過，民眾將可對垃圾郵件散佈者求償最高每封兩千元，同一主旨信件最高求償總金額為兩千萬元，希望改善目前垃圾郵件氾濫的情形。綜觀世界各國對於濫發垃圾郵件的問題，許多國家皆利用立法的方式處罰嚇阻這類行為，但是實際執行時蒐證不易，駭客們大多利用國外的網路位置當作跳板，著實考驗執法單位的決心與能力。

以美國來說，FBI從今年六月份就開始針對botnet-runner(利用殭屍電腦發送垃圾信的駭客)進行蒐證及逮捕，日前他們發表聲明說，目前已經逮捕八名美國籍botnet-runner並提起訴訟，其中一名駭客更需面對最高長達60年的刑期，這些是針對美國境內的駭客們，然而有更多的駭客及不法公司其實都在俄羅斯、中國等地，必須透過國際合作才能順利抓住這些人，但是目前各國對於濫發垃圾信的問題抱持的態度不一，談跨國合作並不容易。即使與法有據，事後的補救對於企業來說其實緩不濟急，更重要的還是防範未然，不只防範外部垃圾郵件，也要預防企業內部的電腦變成垃圾信件的跳板，Cellopoint Email Firewall 針對內部人員寄外的郵件也可以進行掃描，如果遇到不正常的發信行為，可在第一時間進行隔離，讓IT人員可以進行確認，排除電腦中毒可能後才予以放行，維護企業形象及信譽。

自PDF垃圾信爆發數月以來，一直以來人們被告知此類信件在安全上無虞，並沒有夾帶病毒之隱憂，但直至上周Adobe發布最新的漏洞修補程式，此項憂慮成真，PDF垃圾信並不安全。駭客利用Adobe的漏洞，將後門程式偽裝成PDF，透過垃圾信大量發送，由於使用者被告知打開此類附件除了被詐騙的風險外，對於作業系統來說是尚稱安全的，所以並沒有太多的戒心，但是事實上使用者卻大量暴露在個人資料遭竊的威脅中。

根據Cellopoint Lab指出，針對此種問題，除了儘速安裝patch修補程式漏洞外，最好的方法還是從源頭做起，一開始就阻擋此類垃圾信件進入收件夾，保護使用者免於中毒威脅，Cellopoint Email Firewall完美的結合防垃圾信引擎及掃毒引擎，在郵件未進入郵件伺服器前就先行阻攔，有效減輕主機負擔並且防護主機以及終端收信電腦的安全，並可增進郵件處理效率。Cellopoint Email Firewall採用智慧型內容分析技術，提供客戶九層防護及7X24X365全球零時差監控服務，可配合客戶各種網路環境，進行快速架設與設定。

Cellopoint 全球反垃圾郵件中心指出，最近一周中心偵測到一種新型態的垃圾郵件---影音檔，目的仍為炒作股票，Spammer 把握住目前市面上所有防垃圾郵件引擎皆無法判讀聲音檔內容的漏洞，開始散發聲音檔垃圾信，利用社交工程手法，誘使收件者開啟，因為一般使用者對於mp3之類的聲音檔案並不會有太多防範，所以點選開啟此種附加檔案比例極高。此類信件通常無內文，標題則是”熱門鈴聲”, “婚禮音樂”等，播放後內容為鼓吹收件者買進某支股票，等到股價上漲後 Spammer 藉機倒貨謀取暴利 (pump-and-dump)。目前過濾垃圾郵件的產品還沒有辦法辨識影音檔的內容，且 Spmmer 不斷的變換聲音格式與檔案大小，以避開防垃圾郵件產品的掃描，防不勝防。

Cellopoint 技術長指出，從影像到 PDF 再到影音檔案垃圾信，這個變化的趨勢是可以預料到的，要防範此種垃圾信，無法單靠內容掃描，必須配合行為特徵的阻攔以及全球7*24*365無時差的監控，才能在第一時間內，防止此類垃圾郵件進入郵件主機及收件者信箱內，Cellopoint 全球反垃圾郵件中心 (CGAC) 提供客戶零時差保護，透過即時監控與立即的ICA特徵資料庫更新，有效阻擋各種新爆發的PDF及影音垃圾信，減少企業頻寬耗損與郵件主機負載，提升郵件使用效率，並且防止收件者暴露於社交工程詐騙的危險陷阱。

Cellopoint Lab 發現，以往駭客藉由木馬程式來竊取使用者個人信用卡資訊、銀行帳號以詐取金錢的行為，隨著防毒業者對惡意程式的偵測率增加，金融單位針對金融交易驗證機制的加強，成功詐騙的機率已逐漸降低，於是網路詐騙業者轉向另一種較為輕鬆的詐財手法—透過散發大量廣告郵件來炒作股票。

詐騙業者選定標的後，先行低價買進該檔股票，再選定時機發送大量廣告郵件，為了突破傳統 Anti-SPAM 系統的防線，會利用挾帶 PDF 附檔或圖檔型垃圾信散發各類炒股訊息，誘騙收件者幫忙抬轎，達到其獲利的目的‧通常此類目標非交易量大的上市股票，而是一些 OTC 櫃台交易股，或是粉紅單 (PinkSheet) 之類的股本小的個股，每股單價低、容易炒作是其特點。此種手法遊走於法律灰色地帶，並非直接騙取金錢或帳戶資料，而是散布消息藉由投資人之手哄抬股價，詐騙業者再趁機賺取暴利，讓投資人慘遭套牢損失。以技術的角度來說，產生PDF或圖檔垃圾信來炒股比撰寫一隻惡意後門程式容易得多，而且法律拿他們沒有辦法。

根據 CGAC (Cellopoint Global Anti-SPAM Center) 統計，許多標榜採用知名防垃圾郵件軟體的免費信箱，並不能有效阻擋此類 PDF 垃圾信，漏攔的垃圾信的數量有越來越增長的趨勢。近來有大量的PDF垃圾信在鼓吹一檔默默無名的股票 Synegrate Corp (SYGT.PK)，從爆發日起算，五日內此檔股票的價格已經從 5 美分飆漲至 0.19 美元，估計獲利已超過數十萬美元。Cellopoint Lab 針對此類信件進行大量實測及統計客戶端反映，結果發現 ICA 特徵資料庫之攔截率為 100%，可以有效阻擋此類 PDF 垃圾信進入客戶端信箱，以預防客戶誤信此類消息造成投資損失。

根據 Cellopoint 全球反垃圾郵件中心 (CGAC^TM) 的監控與統計發現，從原始型態 PDF 型垃圾信快速地發展出許多不同型態的 PDF 垃圾信變化。病毒會變種，垃圾信也會變化，這些變化快速的廣告信仍舊突穿大多數 Anti-SPAM 系統的防線，因此如何快速因應與攔截最新型態垃圾郵件，已成為反垃圾郵件廠商展現競爭力的重要指標。

自今年上半年出現的 PDF 型態垃圾信後，Spammer 繼續嘗試各種社交工程方法 (猜測模擬人心以達到欺騙目的)，以躲過防垃圾信系統的過濾，當許多防垃圾郵件廠商宣稱可以解決圖片型垃圾信 (Image SPAM) 時，Spammer 就推出 PDF 型態的圖片型垃圾信，他們嘗試在 PDF 型垃圾郵件中挾帶圖型、或外加壓縮檔形式傳遞垃圾郵件。傳統搜集多類華文資料庫或分類資料庫已是治標不治本的做法，無法追趕上 Spammer 變化多端的手法，也不符合處理效能要求，只能讓 IT 人員疲於奔命。

Cellopoint Labs 發言人指出，Spammer 發送廣告信的來源、及改變的內容與型態雖然持續在變化；但其發送行為是類似的，不論是 PDF 形態的各種變形，或是近期爆發的 ZIP 郵件炸彈，皆可歸納出特殊徵兆，並產生其特徵規則，比對特徵值來判斷是否為垃圾郵件。不論何種變形只要其發送行為近似，應用 Cellopoint 7*24*365 全時的監控與自動更新服務，即可有效阻擋變種垃圾郵件，發揮以一擋百的功效，有效解決組織內部遭受垃圾郵件侵襲的煩惱。

Cellopoint 全球反垃圾郵件監控中心 (Cellopoint Global Anti-SPAM Center, CGAC^TM) 日前發佈了針對新爆發之 ZIP 型態垃圾信的特徵資料庫，中心負責人表示，繼 PDF 型態的垃圾信之後，近來又出現夾帶 ZIP 附檔形式的垃圾信攻擊，此種垃圾信是將廣告圖檔放在文件中 (如 Office 文件)，放入未加密的壓縮檔案中發送，其特徵為信件本文 (Body) 空白，主旨 (Subject) 則可能是該壓縮檔之檔名或是空白。

此種 ZIP 垃圾信將廣告文件放入壓縮附件中，收信者必須下載解壓縮後才能觀看到文件內容，對收信者來說操作步驟繁瑣，且垃圾信發送者會更改檔案型態，像是 WINRAR 偽裝成 ZIP，讓收信者無法直接解壓縮，使用者處理這種信件需要花費比平常垃圾信更多的時間。此種郵件通常不大，但是一般 Anti-SPAM 軟體並不會過濾壓縮檔，即使會針對壓縮檔解壓縮掃描內容，也會拖慢 Anti-SPAM 郵件系統本身的效能，如果持續不間斷的大量發送，是會對整體郵件系統及網路有相當程度的影響。

Cellopoint 2007 年 08 月 01 日的報告表示，與 PDF 垃圾郵件類似，由於目前大多數的收件者並不認為 PDF 及 ZIP 可能是垃圾信，因此應用社交工程變種手法，揣摩使用者降低防衛心理，因此突破攔截的成功率已較的圖像式垃圾郵件 (Image SPAM) 高，隨著各家 Anti-SPAM 產品可支援阻擋掃描 PDF 垃圾信後，垃圾郵件發送者漸漸採用 ZIP 型態垃圾郵件攻擊，此種形式更容易突破 Anti-SPAM 郵件產品的掃描，反而越來越頻繁，值得使用者提高警覺。