Un email de spam este un tip de email nesolicitat care ajunge in inbox-ul utilizatorului. Email-ul de spam poate fi un mod prin care atacatorii incearca sa raspandeasca fisiere care contin malware sau sa trimita utilizatorii spre site-uri malitioase care sa colecteze credentiale si alte informatii personale prin URL-uri incluse in continut. Spam-ul poate contine si continut relativ benign sub reclame ca parte dintr-o campanie de telemarketing. Chiar daca emailul este “curat”, el consuma spatiu de stocare si aglomereaza inbox-ul ceea ce face ca emailuri legitime sa fie mai greu de identificat. Ajungem sa primim email-uri de spam atunci cand o companie cumpara liste de email din anumite surse si adresa noastra se afla pe acele liste. De asemenea, atacatorii pot publica pe net adresele de email obtinute in urma unei brese de securitate provocata unei organizatii. In fiecare zi au loc campanii masive de spamming care vizeaza sute de mii de adrese de email si este suficient ca un singur utilizator dintr-o mie sa execute ceea ce scrie in email pentru ca atacul sau schema de marketing sa aiba succes.
Furnizorii de internet si companiile implementeaza filtre de detectie a spam-ului pentru a reduce volumul de mesaje primite de utilizatori si pentru a-i proteja de malware. Exista mai multe tipuri de filtre de spam printre care si:
- filtre de continut: un astfel de filtru analizeaza textul din corpul unei email si pe baza acestuia incearca sa decida daca sa marcheze mesajul sau nu mesajul ca spam. Filtrele cauta de regula cuvinte cheie precum “discount”, “numai pentru o perioada limitata de timp” sau continut care tine de reclama, promotii sau exprimari care fac apel la emotiile umane
- filtre care folosesc blacklist-uri pe care se afla trecute surse de spam, adica domenii de email folosite in campaniile de spam. Solutiile de securitate pot folosi filtre predefinite de anumite feed-uri de inteligenta cibernetica pentru a examina header-ul emailului pentru a determina daca acesta provine de la o sursa de spam. Eficienta unui astfel de filtru este data de cat de la zi este informatia primita prin fluxurile de securitate.
- filtre bazate pe reguli: organizatia sau utilizatorul isi pot crea propriile reguli de identificare a spam, atunci cand un domeniu inca nu este “vazut/cunoscut” de Internet ca sursa de spam si filtrele de blacklist nu pot opri emailul. Daca un email face match pe o astfel de regula, atunci acesta va fi trimis direct in folderul Spam. Desi un astfel de filtru protejeaza utilizatorul, managementul multor reguli de spam poate sa cauzeze stres si oboseala pentru acesta.
- filtre bayesiene care pot rezolva problema de mai sus. Prin algoritmi de machine learning, un astfel de filtru observa continutul emailurilor atunci cand acestea sunt marcate ca spam si creeaza reguli corespunzatoare, degrevand utilizatorul de acest task.
Filtrele de spam poate ajuta organizatia sa blocheze emailurile nadorite inainte ca acestea sa ajunga in inboxurile utilizatorilor. Desi pare destul de simplu un task destul de simplu, pentru filtrele care nu se pot adapta usor la noile tehnici de spam folosite de atacatori sau cele care nu pot recunoaste noile domenii sau IP-uri care origineaza spam sarcina nu este una usor de indeplinit. Spammer-ii pot modifica adresa de pe care trimit emailul, pot schimba frazarea din textul inclus in mesaj pentru a se eschiva de filtre si pot include cod malitios intr-o imagine anexata emailului care la prima vedere pare inocenta. Emailul este de multi ani vectorul #1 folosit de hackeri pentru a compromite utilzatorii si pentru a se infiltra in retelele organizatiilor. Filtrele de spam trebuie sa fie actualizate permanent cu feed-uri de securitate la zi si sa dispuna de suficienta inteligenta pentru a recunoaste emailurile malitioase care tintesc organizatia.
Portofoliul de securitate Cisco Secure dispune de solutii dedicate, on premises sau in cloud, de protectia a emailului construite de la zero cu obiectivul de a elimina, pe langa spam, amenintarile cibernetice specifice acestui serviciu: phishing, spoofing, fisiere malitioase, business emai compromise (BEC) si exfiltrarea de informatii confidentiale din perimetrul organizatiei.
Mihai Dumitrascu, Sr Systems Engineer