اسپم های PDFتهدید جدید اینترنت

اسپمرها برای عبور از فیلترهای اسپم از روش های خلاقانه ای استفاده می کنند. عکس های اسپم، برای سال ها یکی از معمول ترین انواع اسپم بوده است که فرستندگان این اسپم ها با استفاده از روش های متفاوت برای استفاده تصادفی از عکس ها، ردیابی را برای فیلترها مشکل کرده اند. اما به مرور زمان روش های جدیدی برای ردیابی و جلوگیری از ارسال این اسپم ها به کار گرفته شد که اسپمرها را ناچار به استفاده از فرمت جدیدی کرد: فرمتPDF .
● پیدایش اسپم های PDF
فرمت PDF(Format Document Portadle) یک فرمت پرطرفدار برای اسناد متنی و تصویری است که توسط Systems Abode ابداع شده است و برای ارایه اطلاعات در بین فعالان بخش های تجاری، آکادمیک و... استفاده می شود. فرمت PDF اصولا فرمت قابل اطمینانی و برای مدت ها در لیست سفید فیلترهای اسپم قرار داشت. مقبولیت و محبوبیت فایل های PDF، آن ها را به گزینه ای مناسب برای استفاده در فرستادن اسپم ها تبدیل کرده است.اسپم های PDF در حجم گسترده برای اولین بار در اواسط ژوئن ۲۰۰۷ مشاهده شدند که تبلیغ یک شرکت آلمانی بودند. اسپم های PDF در ابتدا همه حاوی پیغامی یکسان بودند که فیلتر کردن آن ها را آسان می کرد.
● رشد سریع
کمی پس از این موج ابتدایی، الگوی اسپم های PDF تغییر کرد و رو به پیچیده شدن رفت. حالا ایمیل ها همراه با فایل های PDF پیوست شده متفاوت ارسال می شدند. فرستندگان اسپم ها سابقه زیادی در استفاده تصادفی از تصاویر برای عبور از فیلترها دارند و این بار هم از تصاویر تصادفی در ساختن این فایل های PDF استفاده کردند. این به این معنی است که هر فایل PDF ارسال شده توسط اسپمر، فایل منحصر به فردی است که باعث دشواری ردیابی و بلوکه کردن آن ها می شود.
● PDF های تصادفی
عکس های این صفحه به خوبی نشان دهنده "تصاویر تصادفی" را نشان می دهند. در همه تصاویر، از متن یکسانی استفاده شده، ولی با اندازه ها و رنگ های متفاوت. این تکنیک باعث می شود که فیلترها، تصور کنند که با فایل های متفاوتی رو به رو هستند، در حالی که محتوای عکس ها کاملا یکسان است. تفاوت اصلی اسپم های PDF با فایل های PDF حاوی مطالب تجاری و آموزشی، این است که در حالت عادی از اندازه های استاندارد مانند A۴ یا letter برای PDF ها استفاده می شود. در حالی که در اسپم ها، اندازه استفاده شده در PDFها نیز تصادفی است. برای مثال ممکن است در یک فایل از اندازه ۴.۷۴ ۹۶x میلی متر و در فایلی دیگر از ۳.۱۶۸ x ۷.۵۴ میلی متر استفاده شود.
● فایل های خراب
بسیاری از عکس های به کار رفته در اسپم های تصویری، به طور عمدی خراب هستند. به عبارت دیگر، این عکس ها بدون در نظر گرفتن استانداردها ساخته می شوند. استفاده از فایل های خراب، به فرستندگان اسپم کمک می کند تا از باز شدن فایل های عکس و تحلیل آن ها توسط ابزارهای ضد اسپم جلوگیری کنند. این فایل ها اگر روی سیستم ها باز شوند، یا خوانده نمی شوند و یا باعث کندشدن عملکرد سیستم و حتی از کار افتادن آن می شوند. اما نکته این جاست که اکثر نرم افزارهای ایمیل، این عکس ها را بدون مشکل نشان می دهند و در واقع اسپم ها با این روش، به راحتی از فیلترها عبور می کنند.در مورد اسپم های PDF نیز مورد مشابه، یعنی ارسال فایل های PDF خراب مشاهده شده است. هنوز به درستی مشخص نیست که آیا ارسال PDFهای خراب، تعمدی است و یا بعضی از فایل های PDF در حین ارسال به طور خودکار خراب می شوند. اما به هر حال خراب بودن فایل های PDF ارسال شده، تحلیل و ردیابی این اسپم ها را نیز مشکل می سازد. با این وجود PDFهای خراب، توسط Reaber Acrodat پس از بازسازی بخشی از ساختار داخلی فایل قابل خواندن می شوند.
● اندازه متفاوت فایل ها
تکنیک دیگری که توسط فرستندگان اسپم ها به کار گرفته می شود، استفاده از فایل های PDF با اندازه های متفاوت است. PDFهای اسپمی که در روزهای اول باب شدن این گونه اسپم ها فرستاده می شدند، عمدتا تنها یک صفحه داشتند. اما پس از گذشت مدتی، تعداد صفحات PDFهای اسپم متغیر شد. از این مقطع به بعد، نیم صفحه یا تمام صفحه اول این فایل های PDF حامل پیغام اسپم و بقیه صفحات(که تعدادشان نیز کاملا تصادفی است) حاوی عبارت تصادفی و بی معنی هستند. ظاهرا هر چه تعداد صفحات یک فایل PDF بیشتر باشد، امکان مظنون شدن فیلترهای اسپم به آن کمتر است. به همین دلیل هر روز به تعداد صفحات و حجم اسپم های PDF افزوده می شود. به حدی که حتی PDFهای ۱۴ صفحه ای نیز دیده شده است. افزایش حجم این PDFهای ارسالی به نوبه خود مشکل بزرگی هستند که باعث می شوند تا تهدید بازگشت اسپم های PDF جدی گرفته شود.
● گوناگونی در اسپم های PDF
فرمت PDF باعث شده است تا اسپم ها شکل کاملا جدیدی به خود بگیرند. ویژگی های جدید این اسپم ها دست فرستندگان اسپم ها را باز می گذارد تا از راه های مختلف، شیوه استفاده از آن ها را پیچیده تر کنند تا ردیابی آن ها باز هم مشکل تر شود.اخیرا از فایل های PDF برای ارسال اسپم های مشهور مانند اسپم های مربوط به داروها یا کازینوهای آنلاین استفاده شده است.
● ساختمان اسپم های PDF
اسپمرها از ابزارهای مختلفی برای ساختن فایل های PDF مورد نظر خود استفاده می کنند که نام ابزار تولیدکننده نیز با عنوان probucer یا creator ذکر می شود. عمدتا برای ساختن این PDFها از ابزارهای office معمول مانند Worb Microsoft یا OpenOffice استفاده می شود. برخی دیگر از اسپمرها از ابزارهایی مانند PowerPDF، text۲pbf و... نیز برای تولید این PDFها استفاده می کنند. اما اخیرا اسپمرها از ابزارهای ساخت خود برای تولید PDF استفاده می کنند. این امر به اسپمرها حداکثر انعطاف را می دهد. استفاده کنندگان از این ابزارها می توانند برای probucer نیز از عبارات تصادفی و بیمعنی استفاده کنند تا ردیابی آن ها توسط فیلترهای اسپم هر چه بیشتر دشوار شود.
روش دیگری که توسط اسپمرها برای عبور از فیلترها استفاده می شود، قرار دادن پسوندهایی مشابه پسوندpbf. مانندfbf. در نام فایل است. این روش باعث عبور فایل اسپم از فیلترهایی می شود که از طریق پسوند فایل، اسپم ها را ردیابی می کنند.
● مقابله با تهدیدات
اسپم های PDF تهدیدی روزافزون هستند و در حال حاضر ۲۰درصد کل اسپم ها را تشکیل می دهند. آسیبی که اسپم ها می توانند به شرکت های تجاری وارد کنند، به هیچ وجه نباید نادیده گرفته شود. اگر اسپم ها به ایمیل کاربران راه پیدا کنند، زمان و انرژی صرف شده برای شناسایی، حذف کردن و مقابله با ایمیل های ناخواسته، کارآیی شرکت های تجاری و کاربران را به شدت پایین خواهد آورد.راه هایی که برای مقابله با اسپم های PDF به کار گرفته می شوند، به تناسب نوع این تهدید باید متفاوت باشد. شیوه های معمول مانند بلوکه کردن IPهای فرستنده اسپم و شیوه های خاص مانند ردیابی فایل های PDF خراب، برخی از این روش ها هستند.تا به حال در مدت چند ماه، دو بار اسپم های PDF اینترنت را تحت تاثیر خود قرار داده اند. آیا اسپم های PDF با روش های جدید باز می گردند؟ و آیا برای مقابله با روش های جدید احتمالی این اسپم ها، تمهیدهای مناسب وجود دارند؟