L’intelligenza umanartificiale e la lotta contro lo snowshoe spamming

Alcune considerazioni del nostro Eugene Kaspersky, fondatore di Kaspersky Lab, sull’apprendimento automatico e sullo “spam racchette da neve”

A quanto pare sono destinato a ricevere tanto spam nella mia casella di posta in arrivo, probabilmente più del solito. Do in giro a destra e a manca il mio biglietto da visita ormai da anni; il nostro dominio viene incluso nelle slide di presentazione, nelle pubblicazioni, nei cataloghi e in molti altri documenti. Devo aggiungere poi che il mio indirizzo email è estremamente semplice. A volte gli indirizzi mail degli impiegati non si possono più usare perché sono strapieni di spam, situazione che ci obbliga a crearne dei nuovi, un po’ modificati. Ma non possiamo andare avanti così. Perché innanzitutto ho bisogno di sapere esattamente chi è il nemico e, secondo, perché voglio poter controllare personalmente la qualità della nostra protezione antispam. E poi non mi dispiace farmi due risate in più di tanto in tanto.

Proprio come gli entomologi con le loro farfalle, raccolgo tutto lo spam in arrivo in una cartella apposita, controllo il verdetto e stabilisco quali sono le tendenze e i falsi positivi, mentre invio i campioni sbagliati al nostro laboratorio antispam.

Stranamente, dall’inizio dell’anno la quantità di spam è schizzata alle stelle! E dopo aver studiato la sua struttura e il suo stile, sembra che la maggior parte dello spam provenga da una 1 fonte, solo 1! Quasi tutti i messaggi erano in inglese (solo due erano in giapponese) e la cosa più importante: il 100% di questo spam è stato rilevato dai nostri prodotti! I nostri specialisti hanno scoperto che… (era davvero uno tsunami di spam)… si trattava di un tipo speciale di spam conosciuto come lo spam racchette da neve  o snowshoe spamming. Tutto questo è un po’ insolito, dal momento che con l’anno nuovo il volume dell’attività spam in genere diminuisce.

* Dati dall’1 al 10 gennaio

E questi sono i dati secondo cui la percentuale di snowshoe spam è cambiata nel giorno più attivo, il 7 gennaio, nelle caselle di posta in arrivo del nostro dominio aziendale:

Che cos’è lo snowshoe spamming e come ci possiamo proteggere?

Il metodo dello spam denominato “racchetta da neve” non è nuovo; l’abbiamo rilevato per la prima volta all’inizio del 2012. Ma da allora si è diffuso sempre di più perché aggira facilmente i filtri spam che non effettuano un’analisi su più livelli. Lo spam non viene inviato semplicemente da uno o due indirizzi IP ma da molti, eludendo il filtro degli indirizzi IP che si basa sulla reputazione. A proposito, ecco da dove prende il nome: il peso di una persona che indossa le racchette da neve viene distribuito equamente sulla scarpa e fa in modo che la persona non scivoli sulla neve. Beh, questo è più o meno lo stesso principio che viene applicato a questo tipo di spam: lo spam che viene diffuso mediante molti indirizzi IP non viene rilevato dai filtri.

Per gli spammer, utilizzare indirizzi IP multipli è più complicato ma dà loro il risultato desiderato. Devono usare costantemente i domini che si generano automaticamente e i loro fornitori (utilizzando generalmente un vocabolario) e chiudono gli hosting e gli spam proxy. Sì, i trucchetti sono tanti e sono complessi ma come ho già detto per gli spammer vale davvero la pena.

Una volta che lo spam arriva ai suoi destinatari, subentra l’ingegneria sociale. Inizia tutto con un appariscente testo dell’oggetto, mentre nel corpo della mail c’è un link che reindirizza a un sito in cui vengono visualizzati gli importantissimi prodotti o servizi da non perdere (e la cui offerta scade il giorno dopo). Cure miracolose, sconti sull’assicurazione, pillole contro l’impotenza, bollette… c’è di tutto ;). Il tutto servito con una buona dose di truffe classiche: storie tristi (sto davvero male e non ho soldi), finali felici (ho provato questa pillola a 29.99 dollari e tutti i miei sintomi sono subito scomparsi), e così via.

Il link vi rimanda a un sito in base alla zona in cui vivete. Ad esempio, se un utente proviene da un paese molto povero viene rimandato semplicemente alla pagina di Google. Ma se un utente proviene da un paese sviluppato, ad esempio Europa o America del Nord, allora la fonte di truffe si sovraccarica e tira fuori ogni tipo di storia possibile… il patrimonio medico degli Apache o i misteri di Tesla.

Ma non viene utilizzata solo un’ottima ingegneria sociale. Questo tipo di spam può anche attirare i malware.

Che dire sulla protezione?

Dal punto di vista tecnico, lo snowshoe spamming non è poi così sofisticato. Ma questo non vuol dire che non debba essere preso sul serio. I filtri semplici incapaci di adattarsi al polimorfismo dello spam lo fanno semplicemente passare. E non esiste una tecnologia in grado di affrontare lo snowshoe spamming una volta per tutte. Lo combattiamo con una protezione su diversi livelli e l’apprendimento automatico gioca un ruolo principale. È una cosa logica, dal momento che affrontare manualmente gli elevati volumi dello spam “racchette da neve” non sarebbe realistico; sarebbe molto meglio se gli esperti passassero il proprio tempo a fare qualcosa di più utile. E questa cosa più utile sembra essere la creazione di macchine intelligenti che analizzano in maniera automatica, estremamente accurata e affidabile lo spam e che creano algoritmi di contrattacco. Ad esempio, grazie all’apprendimento automatico i nostri prodotti riconoscono automaticamente e bloccano i nuovi domini degli spammer, gli indirizzi IP e le sotto reti e realizzano analisi del contenuto basandosi su diverse caratteristiche. E, come abbiamo già detto, fanno tutto questo ottenendo grandi successi.

Di fatto, la guerra tra il “cyber-bene” e il “cyber-male” è diventata da tempo una guerra di algoritmi. I criminali hanno imparato a camuffarsi abilmente e ad alterare l’aspetto e la natura dei propri cyberattacchi, e anche questo si fa in maniera sempre più automatica, comportando attacchi effettuati in base ad una logica complessa. Ma per ogni algoritmo esiste un algoritmo contrario, anzi uno più lungo :). Oggi l’efficacia dipende dalla flessibilità e l’affidabilità dei sistemi di autoapprendimento creati dagli esperti. E il merito va a chi è in grado di fornire una combinazione di (I) abilità matematiche umane e (II) infrastruttura complessa che permette di sviluppare nuovi algoritmi. Questa combinazione è quella che noi chiamiamo Intelligenza umanartificiale.

Consigli