Spam a colori

Diversi miei conoscenti, in numero basso ma comunque preoccupante, mi hanno contattato, pressoché nella stessa giornata, chiedendomi lumi su dei messaggi di posta elettronica che sospettavano essere phishing, ma che erano passati liberi e belli attraverso i filtri anti-spam. Tagliando corto, adesso bisogna fare anche l’analisi cromatica…

Si tratta effettivamente di phishing, ho verificato.

Questo è il messaggio come lo visualizza uno dei miei conoscenti:

Normalissimo phishing, no?

No. Non del tutto.

Il tempo necessario per analizzare la faccenda è stato sostanzialmente zero per una fortunata coincidenza: per puro caso, io lavorando coi miei computer sono immune a questo particolare tipo di inganno. Il contrasto del bianco e nero mi infastidisce gli occhi, e a fine giornata mi bruciano, così dovunque sia possibile, abbasso il contrasto scegliendo un diverso colore di sfondo, chiaro ma non troppo. Ecco lo stesso messaggio come lo visualizzo io:

Tutto chiaro?..

Alcuni filtri anti-spam (ma non tutti) vengono ingannati da questo mezzuccio. Un filtro serio, dopo qualche tempo, si adatta e riesce a filtrare via anche questo, ma non tutti utilizzano filtri seri (e non tutti utilizzano filtri…) State in guardia.

Autore: Alessandro Pini

Sinclair ZX-81; Commodore VIC-20; Apple ][ Europlus; Apple //e; Amiga 2000 (Motorola 68000); Amiga 4000 (Motorola 68040, 68060, PPC); Sinclair ZX Spectrum; PC compatibile (Intel 8088 @ 4.77 MHz); ... poi ho perso un po' il conto (due o tre, troppo simili l'uno all'altro)... tower assemblato custom "galactica"; tower assemblato custom "pegasus"; IBM Thinkpad [boh? qualcosa] "defiant"; Compaq/HP Pavilion ze4300 "defiant"; virtual machine VMWare Server "phantom" (fu defiant); MSI Wind U100 "defiant"; Nokia e71 *nero* "blackbird"; tower assemblato custom "spaceball1"; HP Pavilion g6 "gunstar"; Raspberry Pi 2 "lamponcino", "rasputin"; virtual machine assortite. Sì, esatto, non ho mai posseduto il Commodore 64. Non sono quel tipo di geek.

5 pensieri riguardo “Spam a colori”

  1. Notevole. Non me ne sono ancora capitati. Forse anche perche` usando RBL e greylisting, in pratica al filtro bayesiano quasi non arriva piu` nulla. Si ferma tutto prima.

  2. Vedo che ci sono dei caratteri aggiuntivi,ma non capisco quale sia il trucco per superare l’antispam, me lo puoi spiegare in poche parole?

    Sta forse nel fatto che in questo modo le stringhe di testo perdono di significato e non rientrano nel vocabolario di parole da ricercare?

    Grazie in anticipo per la risposta 🙂

    1. Esattamente.

      Semplificando e tagliando con l’accetta il discorso… Solo come esempio, magari il filtro si era autoaddestrato (o era stato addestrato da interventi appositi) a riconoscere come spam qualsiasi messaggio contenente la stringa “Gentile Cliente”, ma qui quella stringa non è presente, e al suo posto c’è la stringa “aGentileaClienteaPosteaItaliane,a”, che non è (ancora) marchiato come indicatore di probabile spam, quindi il filtro lascia passare. Se il filtro riesce ad adattarsi (o se qualcuno lo adatta a mano), questo tipo di fregatura non passerà più.

      Naturalmente allora gli spammer faranno ricorso a “bGentilebClientebPostebItaliane,b” (che per lo meno non suona come Ciu Ci Ciao in Delitto al Ristorante Cinese)…

      Non tutti i filtri lavorano allo stesso modo. Alcuni usano in maniera diversa le catene di Markov; alcuni “fanno a fettine” con vari criteri il messaggio e poi applicano i filtri sulle fettine, proprio per evitare questo genere di trucchetti; alcuni prendono in considerazione anche il markup (da qualche parte dovranno pure aver markuppato tutti quei cambi di colore, no?); alcuni esaminano solo i link…

  3. Caratteri bianchi su sfondo bianco, diventano invisibili.
    Mi aspetto che qualcuno faccia la stessa cosa con la homepage di Google.

Spazio per un commento