Summary: | === The transmission of unwanted messages through the Internet, or spam, is a serious problem, still unsolved, and which leads to million-dollar losses all over the world, be it for the resources consumed by that message trafic or for the impact of scams. The goal of this work is to better understand the behavior of spammers (those responsible for sending spam messages) in the network. For that we used a metodology of factorial experiments as a structural basis that allowed us to evaluate the influence of multiple factors (connection limitations, vulnerabilities available to be exploited, among others) on relevant metrics (such as number of messages sent, origins identified, and types of attacks used). The analysis of those metrics make it possible to draw a profile of the attacks issued by spammers to disseminate their messages, revealing some important details about their practices, preferences and tecnology. To do that, a special data gathering system was designed and implemented, where a virtualized structure served as a substrate for the execution of multiple mail collecting honeypots, created to deceive spammers and store the messages they tried to send as they abused the system. Each honeypot ran as an complete, independent, virtualized machine that represented a specific scenario among the multiple available combinations of possible factors, enabling a comparative analysis of the data collected in each of the diferent scenarios. The results show that variations in configuration may drastically afect the volume of spam received, as well as its internal characteristics (type of messages, sources, etc.). In particula, this work identifed two very diverse kinds of spammers: large scale senders, which use a few machines with ample resources to send larger spam messages, with attached documents, through open proxies, and botnets, which manifest themselves as a large number of machines which abuse open mail relays and rely on test messages to identify the systems to attack, each bot sending a limited number of messages, often short, with some text and links to advertisement and sales servers, in most of the cases. === O envio em massa de mensagens não desejadas na Internet, ou spam, é um problema grave, ainda sem solução e que, seja pelo custo de tráfego das mensagens ou por esquemas de fraude, gera anualmente milhões de dólares em perdas em todo o mundo. O propósito deste trabalho é entender melhor o comportamento de spammers (responsáveis pelo envio de mensagens de spam) na rede, e assim trazer mais informações para o combate a eles. Para isso utilizamos como fundamento estrutural a metodologia de experimentos fatoriais, que possibilita avaliar a infuência de diversos fatores (restrições de banda, tipos de protocolo utilizados no abuso, entre outros) em várias métricas relevantes (como quantidade de mensagens enviadas, Country Codes dos endereços de rede utilizados e tipos de abuso aplicados). A avaliação dessas métricas possibilita traçar um perfil dos ataques de disseminação de mensagens aplicados pelos spammers, revelando detalhes importantes sobre suas práticas, preferências e tecnologia. Para alcançar esses objetivos foi projetada e implementada uma coleta de dados especial, onde uma estrutura de virtualização de sistemas serviu como base para execução de diversas armadilhas (honeypots) criadas para atrair e armazenar tentativas de abuso de spammers. Cada armadilha é um sistema virtualizado de coleta independente e completo que representa um cenário dentre as diversas combinações de fatores possíveis, permitindo uma análise comparativa entre dados coletados nos diferentes cenários. Os resultados mostram que as variações na configuração dos cenários pode afetar drasticamente o volume de spam coletado, bem como suas características internas (tipos de mensagem, origem, etc.). Em particular, o trabalho identificou dois tipos bastante diversos de transmissores: spammers em larga escala, que usam poucas máquinas com muitos recursos para enviar mensagens de spam maiores, com anexos, através de open proxies e botnets, que usam mensagens de teste para identificar mail relays e que se manifestam como um grande número de máquinas que abusam essa funcionalidade, cada uma enviando um número limitado de mensagens, usualmente curtas, com texto e alguns links para servidores de propaganda e venda de produtos, na maioria dos casos.
|