• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Как бороться с мобильным спамом

Обмен мобильными сообщениями, включая короткие сообщения и мультимедийные сообщения, – услуга очень популярная благодаря своей низкой цене, высокой гибкости и простоте использования. Однако быстро растет и рынок спама с применением этих мобильных служб.

Договоримся о терминах Понятие «спам» определяется в каждой стране по-своему, исходя из национальной, технологической, экономической, социальной и практической точек зрения. В частности, его смысл расширяется по мере развития технологий, предоставляющих все новые возможности применения электронных коммуникаций. Можно отметить, например, появление голосового спама. Хотя согласованных в глобальном масштабе определений понятия «спам» не существует, этот термин обычно используется для обозначения нежелательных массовых рассылок по электронной почте или посредством мобильных сообщений для целей маркетинга, развития коммерческих продуктов или услуг. Спамер – юридическое или физическое лицо, которое создает и рассылает спам. Понятия «спам» и «спамер» включены в Рекомендацию X.1240 МСЭ-Т.

Для противодействия ему «серебряной пули» пока не нашлось. Поодиночке эффективно бороться с этим явлением не могут ни разработчик антиспам-решений, ни пользователь. Но совместными усилиями, создав так называемые антиспам-домены, с этой трудной задачей справиться можно. Для этого предлагается разработать открытую платформу, на базе которой могут быть развернуты различные инновационные решения с поддержкой быстрого обмена информацией о спамерах.

Способы рассылки спама

Рассылка SMS-спама происходит обычно одним из двух основных способов (рис. 1). В первом случае спамер с помощью специальных программ рассылает большое количество спам-сообщений, используя множество приобретенных или дублированных USIM-карт (Universal Subscriber Identity Module). USIM-карта – это расширенный вариант SIM-карты, принятый в рамках UMTS, европейского стандарта мобильной связи 3-го поколения. При этом система рассылки сообщений работает в «нормальном» режиме, т.е. «точка-точка».

Во втором случае спамер прибегает к рассылке коротких сообщений через SMS-шлюз агрегатора.

SMS-шлюз – интерфейс, который позволяет отправлять и получать SMS-сообщения без использования мобильного телефона. При этом SMS-сообщения преобразуются в сообщения электронной почты или HTTP-запросы и обратно. Рассылка сообщений через подобный шлюз может быть бесплатной для отправителя, однако возможны технические ограничения, например число сообщений, отправляемых с одного компьютера за сутки.

Поскольку не все операторы связи имеют эффективный технический и управленческий механизм надзора за массовой рассылкой коротких сообщений, то спамеры легко могут воспользоваться этим пробелом, зарабатывая немалые деньги.

SMS-спам, сгенерированный спамером, направляется на SMS-центр (SMSC) через MSC-центр (Message service center), в то время как спам, созданный с помощью оператора коротких сообщений, отправляется через шлюз (IMSG), прежде чем он будет передан абонентам. Через SMS-шлюзы спам может попасть и в другую сеть. При этом как только спам попадает в соседнюю сеть, он может быть сразу маршрутизирован получателю, минуя SMS-центр.

Рассылка ММS-спама происходит аналогичным образом (рис. 2), за исключением того, что в этой схеме присутствуют WAP-шлюз, узел GGSN (шлюз поддержки GPRS), который заменяет MSC, и центр MMS (замена SMSC). Необходимо обратить внимание, что MMS-сообщение сначала будет переслано в MMSC, после чего SMSC отправит SMS-сообщение получателям. По этим SMS-сообщениям получатели загрузят MMS-сообщения с MMSC через шлюз WAP.

Антиспам-домены и их федерация

Для борьбы с мобильным спамом предлагается создать антиспам-домены. Это элементы сети оператора связи с определенной им политикой/стратегией. Между операторами, осуществляющими обмен информацией, должна быть разработана политика взаимодействия для противодействия спаму.

В состав доменов войдут блоки, реализующие функции управления (Anti-spam mobile messaging Management function, AMgmt), мониторинга (Anti-spam mobile messaging Monitoring function, AMon) и обработки (Anti-spam mobile messaging Processing function, APr), а также мобильные клиенты (аплеты, мидлеты и т.п.) на абонентских устройствах (рис. 3).

Для облегчения обмена информацией о спаме антиспам-домены могут образовывать федерацию (рис. 4), т.е. согласовывать свое взаимодействие по заранее определенным федеративным правилам или политикам. Взаимодействие доменов происходит с использованием общеизвестных протоколов обмена.

Функции каждого элемента домена состоят в следующем.

Мобильный клиент предоставляет пользователю гаджета механизм отправки сообщений о спаме в блок APr; выполняет фильтрацию сообщений по загруженным правилам.

Блок APr осуществляет противодействие спаму в соответствии с загруженными с блока AMgmt правилами; собирает отчеты о спаме у клиентов; готовит и отправляет отчеты в блок AMon.

Блок AMon собирает отчеты о спаме из блока APr и проверяет их правильность; анализирует новые спам-сообщения на правильность отнесения их к спаму; готовит статистические отчеты для блока AMgmt, в которые включаются и ошибочные определения сообщений как спам.

Блок AMgmt получает отчеты от AMon и анализирует их для генерации новых правил фильтрации; отправляет правила в APr для установки их у клиентов; обменивается информацией о спам-сообщениях, их объемах, источниках, характеристиках, спамерах и т.д. с другими блоками AMgmt в рамках одной федерации; разрабатывает правила для разных профилей клиентов, проверяет их и отправляет в APr.

Опишем показанные на рис. 4 интерфейсы.

Интерфейс А – логический интерфейс между блоками AMgmt и AMon. Используется для обмена отчетами о спаме и спам-статистикой.

Интерфейс В – логический интерфейс между блоками AMon и APr. Предназначен для направления отчетов о спаме от APr в сторону мобильных клиентов.

Интерфейс C – логический интерфейс между блоком APr и клиентским мобильным приложением. Используется для получения информации о спаме и направлении ее в APr. Может поддерживать разные протоколы обмена, например MAP/WAP, HTTP и SMPP.

Интерфейс D – логический интерфейс между блоками AMgmt и APr. Используется для обмена правилами фильтрации.

Интерфейс E – логический интерфейс для обмена между блоками AMgmt в рамках федерации. Применяется для обмена информацией между разными антиспам-доменами.

Блок AMgmt получает отчет о спаме от блока AMon и направляет новые правила фильтрации (черные списки) всем блокам APr в рамках доверенных доменов. При этом блок AMgmt взаимодействует с другими блоками AMgmt в рамках федерации.

Блок APr применяет полученные правила фильтрации к мобильным сообщениям, передаваемым по сети связи оператора. Затем он направляет отчет в блок AMon. Отметим, что блок APr может получать указания как от AMgmt, так и от мобильных клиентов. Блок AMon собирает отчеты о мобильном спаме, анализирует их и определяет, является ли спамом каждое конкретное сообщение. Блок AMon также может составлять отчеты о существующих спам-рассылках и готовить статистику для блока AMgmt.

Необходимо подчеркнуть роль мобильных клиентов в процессе борьбы со спамом. Клиент может отправить сообщение о спам-рассылке в блок APr самостоятельно.

Взаимодействие антиспам-доменов

Возможны два типа взаимодействия антиспам-доменов: доверенное и недоверенное (рис. 5). По умолчанию взаимодействие происходит как недоверенное. В этом случае все сообщения от оператора должны подвергаться фильтрации. Для того чтобы взаимодействие было доверенным, между операторами должно быть заключено соглашение, тогда сообщения с доверенных направлений можно не фильтровать.

После подписания соглашения о доверенном взаимодействии запускаются следующие механизмы:

• обмен информацией о спаме между блоками AMgmt (черные списки, ключевые слова, сведения о недисциплинированных операторах связи, новых видах спама, жалобы от абонентов и т.п.);

• аутентификация источника сообщения (может применяться протокол TCAPsec );

• отмена фильтрации с доверенного домена;

• обратная связь по жалобам абонентов.

10 процедур, которые избавят от спама

Для борьбы с мобильным спамом предлагается использовать 10 процедур (рис. 6), которые выполняются с применением адаптивного механизма (что позволяет оптимизировать сам процесс).

1. Фильтрация сообщений. На основании политик и правил фильтрации блок APr фильтрует и перехватывает спам-сообщения до отправки их пользователю. Правила фильтрации устанавливаются оператором связи или самим пользователем. В зависимости от загруженных политик и правил фильтрация может выполняться на стороне абонента (Mobile Originated, MO), на стороне оператора (Mobile Terminated, MT) или на обеих сторонах.

2. Отправка отчета о спаме пользователем. Если клиенты считают, что получают спам-сообщения, они могут отправить жалобу (различными способами) в блок APr для информации. Это должно помочь оператору улучшить фильтрацию спама. Отчеты пользователей могут включать различную информацию: номер телефона спамера, время получения спам-сообщения и его содержание.

3. Запрос на подозрительные сообщения. Если блок APr заподозрил, что сообщение является спамом, то оно отсылается для верификации. Подозрительное сообщение удаляется или направляется конечному получателю.

4. Верификация спама. Блок AMon оценивает, являются ли сообщения в отчетах спамом, проверяя контент и профиль отправителя. Сама процедура может быть достаточно сложной и базироваться на ручной обработке. Кроме того, применяется анализ репутации источника отчета и подозреваемого отправителя.

5. Мониторинг работы системы. Блок AMon также выполняет мониторинг работы (в том числе производительности) системы фильтрации спама. Блок собирает отчеты о производительности из блока APr и анализирует их. Отчеты могут содержать данные о работе системы в реальном масштабе времени, уровне неправильных срабатываний (когда обычное сообщение классифицируется как спам и, наоборот, когда спам-сообщение за таковое не считается) и т.п.

6. Анализ спама. Подтвержденный спам сохраняется в специальной базе данных. Периодически блок AMon может анализировать эту базу, добавлять в нее новые структуры и характеристики образцов спама. Это помогает улучшить работу системы фильтрации и производительность системы.

7. Генерация отчета (статистика) о спам-сообщениях. Блок AMon отвечает и за генерацию статистических отчетов о собственном анти-спам-домене с отправкой данных в блок AMgmt. Такой отчет может включать как новые структуры и характеристики образцов спама, так и отчет о производительности блока APr.

8. Обмен информацией. Блок AMgmt ведет обмен с доверенными доменами. В рамках взаимовыгодного сотрудничества домены могут обмениваться жалобами, отчетами, характеристиками спама, информацией о наиболее опасных спамерах и производительности системы фильтрации.

9. Обратная связь по статистике. Блок AMon анализирует информацию, полученную от блока AMgmt, который включает сведения о новых видах спама, отчеты от удаленных доменов и т.п. Затем блок AMon обновляет базу данных о новом спаме.

10. Настройка мер противодействия. Сравнивая собственные статистические отчеты и отчеты доверенных доменов, блок AMgmt оценивает реальную работу системы фильтрации и пути ее улучшения, в том числе в рамках федерации. На этой основе производится изменение настроек и идет общее улучшение большой федеральной системы фильтрации.

Спам не стоит на месте

В последнее время на фоне снижения доходов от SMS новым полем боя для спамеров стали системы мгновенного обмена сообщениями через интернет (Instant Messaging Services, IMS). Более того, новый вид спама – спам в системах мгновенного обмена сообщениями (Instant Messaging Spam, SPIM) – злоумышленники используют также для фишинга, распространения вирусов, «червей», шпионского программного обеспечения и других видов вредоносного кода.

В этой сфере уже обозначился целый ряд проблем:

• отсутствие аутентификации;

• перехват обмена и навязывание спама на основе информации, выловленной в сети;

• получение персональной информации, в том числе о круге общения, что применяется для отправки спама с подменой адреса отправителя;

• применяя множественную регистрацию, спамер вводит жертву в заблуждение;

• используя облачное хранение данных, пользователи синхронизируют контакты и телефона и Skype, Viber, WhatsUp и т.п., что дает злоумышленнику возможность получить дополнительную полезную информацию.

В рамках Исследовательской комиссии 17 МСЭ делегация КНР внесла предложение разработать технические требования к противодействию распространения SPIM.