domenica 29 maggio 2011

Spam: attenzione alle URL shortening utilizzate da servizi fasulli


MessageLabs Intelligence ha pubblicato un rapporto sulla sicurezza in cui evidenzia una nuova tecnica di spam che già nell'ultimo mese ha contribuito a far salire questo fenomeno del 2,9 percento. I servizi di abbreviazione URL che permettono lunghi e ingombranti link o URL di essere convertiti in altri URL brevi hanno avuto una crescita in popolarità con l'avvento dei servizi di social media e micro-blogging (Facebook e Twitter), dove la lunghezza dello status e gli aggiornamenti sono limitati. Purtroppo, questi servizi sono molto utili agli spammer perchè per natura sono relativamente anonimi e facili da automatizzare, il che li rende semplici da diffondere per ogni abuso. Nel 2010, MessageLabs Intelligence ha pubblicato la sua previsione di sicurezza per il 2011, che comprendeva la probabilità di attacchi più sofisticati che utilizzano i servizi di URL accorciati da imprese criminali. Ciò per acquisire il controllo di un servizio di accorciamento URL legittimo o per creare da uno di questi gruppi un servizio che appare legittimo, operando in modo lecito, prima di essere rivolto ad uso malicious. Questo mese, MessageLabs Intelligence ha avuto per la prima volta prove di spammer che attuano il loro falso servizio per accorciare le URL. I link accorciati creati in questi falsi siti per accorciare le URL non sono inclusi direttamente in messaggi di spam, invece, le email spam contengono URL abbreviati creati su siti legittimi di accorciamento URL. Piuttosto che condurre direttamente al sito Web finale dello spammer, questi link fanno riferimento ad un URL accorciato sul falso sito Web, che a sua volta reindirizza al sito Web finale dello spammer. In breve, quello che è stato architettato è un complesso sistema a matrioska che al momento sembra mettere in difficoltà anche i filtri antispam più efficienti. Questo processo è mostrato in figura, qui di seguito.


La ricerca di MessageLabs Intelligence ha individuato vari e simili siti Web falsi per accorciare le URL associati agli spammer stessi, ognuno dei quali si comporta nello stesso modo. Tutti i nomi a dominio dei siti in uso sono .RU (russo), e molti sono ospitati in Russia e Ucraina. Per rendere le cose più interessanti, i domini sono stati registrati diversi mesi prima di essere utilizzati, come un sistema potenziale per eludere il rilevamento da parte dei servizi per accorciare le URL in quanto l'età del dominio può essere utilizzata come un indicatore di legittimità che rende più difficile per i servizi di abbreviazione genuini identificare potenziali abusi. Il team di MessageLabs Intelligence ha tenuto sotto controllo come gli spammer abusino dei servizi per accorciare le URL per diversi anni, e hanno osservato che gli spammer utilizzando una vasta gamma di questi servizi, spesso creando migliaia di link in un breve periodo di tempo su un singolo sito. Utilizzando il metodo di cui sopra per stabilizzare un proprio sito Web, gli spammer inoltre creano spesso elaborazioni "a catena" in cui uno delle URL breve punti ad un altro URL di un sito diverso per accorciare l'URL. Questo a volte è ripetuto più di dieci volte prima di arrivare al sito dello spammer. La figura sotto, mostra l'andamento nel tempo di affidamento dei servizi per accorciare le URL utilizzati nelle e-mail spam. A seguito di un aumento alla fine del 2010, l'uso è recentemente diminuito in quanto gli spammer hanno commutato lo spamming attraverso i social media, come riportato sul numero di aprile del MessageLabs Intelligence Report. Tuttavia, nelle ultime settimane, la pratica sembra essere il ritorno alle e-mail spam, contribuendo al recente aumento dei livelli di spam.


Come accennato in precedenza, non ci sono link a qualsiasi pagina in cui un breve URL possa essere creato, e non ci sono dettagli sul servizio. Questa stessa pagina è generata da legittimi Web hosting dal "pannello di controllo" del software. Nonostante questo messaggio, il sito viene utilizzato attivamente come un servizio di accorciamento URL, reindirizzando i visitatori a siti Web di spam. È interessante notare che queste URL accorciate dei siti spammer non vengono utilizzate direttamente nei messaggi di spam. Invece, sono utilizzati come punti intermedi o stepping stones tra (di solito) un collegamento a un servizio pubblico di accorciamento URL, e il sito dello spammer. Inoltre, questi servizi per accorciare le URL non funzionano nello stesso modo di quelli legittimi: qualsiasi ID spam del servizio reindirizza al sito Web di spam stesso. Ciò suggerisce che gli spammer in questa fase stanno utilizzando una tecnica dress-up per dare l'aspetto e la funzionalità di un vero e proprio servizio per accorciare le URL. La possibilità di utilizzare qualsiasi ID apparentemente autentico per reindirizzare lo stesso sito Web significa che non si ha la difficoltà di generare ID genuini e con un basso livello di ri-uso, e ciò può contribuire maggiormente ad eludere i tradizionali filtri anti-spam. “Per evitare illeciti cresce il controllo dei servizi ufficiali di URL shortening e gli spammer stanno quindi sperimentando nuove modalità per fornire questo servizio ed evitare interruzioni e attività di disturbo”- ha commentato Paul Wood, MessageLabs Intelligence Senior Analyst - “Ad ogni modo fino a quando verranno creati nuovi servizi di abbreviazione degli URL, ci aspettiamo che gli spammer continueranno ad utilizzarli e ad abusarne”. Il rapporto completo è disponibile a questo link http://www.messagelabs.com/mlireport/MLI_2011_05_May_FINAL-en.pdf

Foto 1: http://www.flickr.com/
Foto 2 e 3: http://www.messagelabs.com/

Nessun commento:

Posta un commento