Спам-фильтры и спамеры ведут непрекращающуюся гонку вооружений, в которой на каждую технологию защиты быстро находится новый обходной маневр. Спамеры уже научились в автоматическом режиме менять почтовые домены и IP-адреса, а также маскировать свои послания с помощью бессмысленных маскировочных слов. Тем не менее у них остается одно слабое место – для отправки спама нужен ботнет.
Организовать массированные рассылки без использования десятков тысяч «зомбированных» компьютеров невозможно, поэтому спамеры работают рука об руку с создателями вирусов. Цены на ботнеты измеряются шестизначными суммами, но для индустрии, где годовой оборот составляет около 130 миллиардов долларов, это не критично.

Вместе с тем у ботнетов есть и существенный недостаток – они никогда не находятся во владении единственного спаммера, а предоставляются в аренду на определенный промежуток времени. Так, например, рассылка той или иной нежелательной рекламы может осуществляться с 10 до 11 каждые вторник, четверг и субботу, а в остальное время ботнет обслуживает других заказчиков.

Время отправления указывается в теле электронного письма без шифрования – его можно прочесть с помощью любого подходящего программного инструмента. Выяснив время, вы узнаете точный временной промежуток работы ботнета, а с помощью направленного мониторинга вычислите входящие в него компьютеры – их реальное местоположение и IP-адрес.

Дополнительным способом определить разницу между живым отправителем и компьютером-«зомби» стало деление всех интернет-пользователей на категории по интенсивности использования электронной почты. Дин Мэлгрим и Джейк Хофман изучили поведение в Сети двух групп студентов – европейцев, которые имеют ограниченный по времени доступ к интернету, и американцев, предпочитающих оставаться онлайн круглый сутки.

На основании результатов наблюдений исследователи смогли разделить всех пользователей интернета на две основные группы – «работяг», которые слали письма исключительно в рабочее время, и «электронных маньяков», которые развивали бурное социальное общение вечерами и по ночам. Если же пользователь совершал регулярные перемещения из одной группы в другую и обратно, его компьютер подвергался тщательной проверке. Во всех без исключения случаях было найдено присутствие троянских вирусов, превративших рабочее место студента в бот.

Ученые уверены, что подобное разделение на группы распространены среди всех интернет-пользователей. Совмещая знание о подобных внутренних кастах и анализируя время отправки сообщений, можно существенно расширить возможности существующих антиспам-программ, считают авторы технологии.

«Любая подобная технология является огромным вкладом в борьбу со спамом, - говорит Джейк Хофман. – Даже если удается понизить процент спама на доли процента – это все равно большая победа». Сложно не согласиться – в настоящее время спам составляет от 80 до 90 процентов всей электронной корреспонденции, а в Японии и Австралии он достигал значения 93 процента. В таких условиях даже десятые доли процента - это сотни тысяч единиц почтового «мусора».

Пока ученые гоняются за спамерами и разрабатывают самые современные спам-фильтры, пользователи начали гораздо чаще и интенсивнее использовать электронную почту и активно посещать самые разные сайты. Это стало возможным благодаря развитию интернет-технологий на базе мобильных телефонов и смартфонов. Между тем в подобной ситуации, из-за частого обращения с интернет- ресурсами, есть шанс ложного срабатывания защитных технологий. Исследователям из Северо-западного университета еще предстоит довести свою антиспам-методику до совершенства.