یک مکانیسم بازخورد چیزی است که اِوا به آن نیاز دارد. اگر او میدانست که کدام پیامهایش به آلیس رسید و کدامها نرسید، میتوانست با استفاده از یک فیلتر تطبیقی و با پیامهای رسیده و نرسیده به آلیس، این فیلتر را آموزش دهد.
اِوا این کار را با بمباران کردن صندوق پستی آلیس با پیامهایی که حاوی متنهای تصادفی هستند انجام میدهد. پیامهای رسیده به آلیس احتمالا دارای کلمات مفید و پیامهای نرسیده دارای کلمات شبه اسپم هستند. بعد از مدتی او اطلاعات کافی برای تشخیص ارسال پیامهای به آلیس خواهد داشت.
متاسفانه مکانیسمی وجود دارد که اوا میتواند از دیده شدن پیامهایش توسط آلیس مطلع شود طوریکه آلیس از این موضوع باخبر نشود. – حشره وبی. حشره وبی یک تصویر کوچک (مثلا یک پیکسلی)است که در یک ایمیل گنجانده میشود و وقتی که پیام خوانده میشود به تولیدکننده اسپم خبر میدهد. با فعال شدن حشره وبی، اِوا راهی برای اطلاع یافتن از خوانده شدن ایمیل خود توسط آلیس خواهد داشت.
برای ارسال یک پیام حشره دار، اوا یک ایمیل به قالب HTML به آلیس میفرستد که شامل محتوای اسپم و لینکی به یک تصویر یک پیکسلی بر روی سایتی میباشد که تحت کنترل اوا است. در اسم این تصویر نام آلیس و یک کد یکتا که مشخصکننده آن پیام است، وجود دارد. با آگاهی یافتن از این دو مورد، اوا میتواند پیام خوانده شده توسط آلیس را مشخص کند.
خوشبختانه این تکنیک هنوز برای حمله به فیلترهای تطبیقی استفاده نمیشود اما با در نظر گرفتن نبوغ تولیدکنندگان اسپم، چندان هم بعید بنظر نمیرسد. مقابله با حشرات وبی آسان است، و در قسمت روشهای دفاع در پایان این مقاله آمده است.
بدون کلمه
تکنیک دیگر که اوا میتواند بیازماید ارسال ایمیل بدون کلمه است. چون او میداند که کلماتی مانند رهن باعث حذف پیامش میشود، میتواند در عوض یک کد HTML را که شامل یک لینک به یک تصویر روی وبسایت است، ارسال کند. هنگامی که ایمیل باز میشود، تصویر دانلود میشود و پیام اصلی نمایش داده میشود.
در اینجا، یک فیلتر تطبیقی خوب میتواند اسپم بودن این پیام را تشخیص دهد. زیرا این فیلتر فقط به کلمات توجه نمیکند و شبهکلمات مانند URLها را که در پیام قرار دارند را بررسی میکند. همچنین میتواند این حقیقت را در نظر بگیرد که پیام شامل یک تگ است که باعث بارگذاری یک تصویر از وب در هنگام خواندهشدن پیام میشود.
مسموم کردن یک فیلتر تطبیقی
بزرگترین امیدواری اوا این است که اگر بتواند یک پیام را از فیلتر عبور دهد، آلیس و باب فیلترهایشان را روی آن پیام عبور داده شده، آموزش دهند. و اگر آن پیام پر از کلمات خنثی باشد، او امیدوار است که در آینده بعنوان اسپم تشخیص داده شوند و باعث شوند که بعضی ایمیلهای مناسب و خوب آلیس و باب، اسپم تشخیص داده شوند.
از آنجاکه آلیس و باب نسبت به تشخیص اشتباه ایملیهای خوب بعنوان اسپم نسبت به حالت دیگر حساستر هستند ، یعنی ترجیح میدهند که اسپمها را دریافت کنند تا اینکه ایمیلهای مناسبشان بعنوان اسپم تشخیص داده شود، اگر اوا در مسمومکردن فیلترهای اسپم موفق شود، باعث خواهد شد که آلیس و باب نسبت به فیلترکردن تطبیقی ناامید شوند و شاید حتی آن را رها کنند.
بهرحال، بعید است نقشه اوا درست از آب درآید، زیرا حتی اگر یک پیام هم از فیلتر عبور کند و آلیس و باب به فیلترشان اطلاع دهند، در میزان اهمیت کلماتی که برایشان مهمترین هستند، خدشه وارد نمیشود. یعنی کلمات مربوط به بافتنی برای آلیس و اتومبیل برای باب. برای اینکه نقشه مسمومکردن فیلترها توسط اوا عملی شود، او باید ابتدا یک پیام را از فیلتر اسپم عبور دهد و فیلتر را با کلماتی برای هر کاربر آلوده کند. امکان عبور دادن این چنین پیامی را در نظر بگیرید. کل آنچه باب انجام داده است اضافه کردن کلماتی به لیست کلمات اسپمی است. حتی اگر در آینده باب به مساپلی که اکنون در لیست اضافه شده است، علاقهمند شود، وجود و قدرت این کلمات آنقدر نیست که باعث اسپم شناخته شدن ایمیلهای مورد نظر باب شود.
قدرت یک فیلتر تطبیقی در توانایی برای وزن دادن بسیاری از احتمالات در تصمیمگیری برای خوب یا بد بودن یک پیام است.
در مقابله چگونه با اسپم مقابله کنیم به طور مختصر به روشهایی برای مقابله با اسپمها اشاره شد. در اینجا به چند نکته دیگر اشاره میشود.
چند روش مقابله
۱- تا حد امکان از ایمیلهای متنی ساده استفاده کنید.
بیش از ٪۸۵ ایمیلهای اسپمی با استفاده از HTML نوشته میشوند. تولیدکنندگان اسپم این کار را میکنند، زیرا به این طریق میتوانند پیامهای جدابتری با رنگها و فونتهای متفاوت ایجاد کنند. همچنان میتوانند از حقههای HTML برای پنهانکردن کلمات اسپمی از دید یک فیلتر استفاده ببرند. البته ممکن است برای بعضی از افراد غیرعملی باشد، اما بعضی استفادهکنندگان اینترنت این را روش موثری برای نبرد با اسپم میدانند. بنابراین اگر ایمیل با فرمت HTML دریافت کنند، تقریبا به اسپم بودن آن مطمئن هستند.
۲- فیلتر اسپم شما نیاز به قدرت تحلیل فایلهای HTML برای تشخیص “جوهر نامرئی” و “استتار ” دارد.
یک فیلتر اسپم باید بتواند بین ایمیلهای واقعی که با فرمت HTML هستند (برای مثال از طرف کسی که از Outlook Express با فرمت پیشفرض HTML استفاده میکند) با HTML از طرف یک تولیدکننده اسپم تمایز قائل شود.
بعلاوه، فیلتر باید HTML را تحلیل کند تا از حقههای بکار رفته در آن برای پنهان کردن حجم زیادی از متن مطلع شود. یک فیلتر تطبیقی خوب برای جلوگیری از گول خوردن متنهایی را که قابل دیدن نیستند دور میریزد.
۳- فیلتر اسپم شما احتیاج به امتحان هر MIME(Multi-purpose Internet Mail Extensions) برای یافتن حقه “MIME is Money” دارد.
یک حقه هوشمندانه که بعنوان “MIME is Money” شناخته میشود، ارسال دو پیام در یک ایمیل با استفاده از یک روش کد کردن با عنوان MIME است. با استفاده از یک پیام متن ساده که از کلمات خنثی تشکیل شده و یک پیام در قالب HTML که شامل پیام اسپمی است، تولید کننده اسپم معتقد است که برنامه ایمیل کاربر نسخه HTML را بجای متن ساده نشان خواهد داد در حالیکه امیدوار است که نسخه متن ساده توسط فیلتر خوانده شود و به این ترتیب فیلتر گول بخورد. یک فیلتر اسپم خوب این تشخیص را خواهد داد که بخشهای متن ساده و HTML یک پیام تا حد زیادی با هم متفاوتند و از نسخه HTML برای تصمیمگیری استفاده خواهد کرد.
۴- اجازه بارگذاری تصویرها از یک وبسایت دیگر را ندهید
یک راه دیگر جلوگیری از بازخورد دادن به تولیدکننده اسپم در هنگامی است که پیام از فیلتر عبور میکند. تولیدکنندگان اسپم بسیار از حشرات وبی در پیامهای اسپمی برای فهمیدن اینکه دقیقاً کدام دریافتکننده پیام را خوانده است، استفاده میکنند. این دریافت کنندگان در آینده اسپم بیشتری دریافت خواهند کرد. برای این منظور یک کاربر باید تنظیمات برنامه ایمیل خود را طوری انجام دهد که تصاویر داخل ایمیلها بارگذاری نشود.
تولیدکنندگان اسپم شاید برای نفوذ به فیلترهای تطبیقی با ارسال پیام در حجمهای بالا با چندین کپی به هر آدرس، بیشتر و سختتر تلاش کنند. هر کپی از بقیه کمی متفاوت خواهد بود.
در نهایت شاید تولیدکنندگان اسپم تصمیم بگیرند که کمتر از کلمات اسپمی استفاده کنند و متنهای آنها به سمت ایمیلهای مفیدتر پیش برود!!!
منبع: مرکز امداد امنیت کامپیوتر ایران