「折磨」反垃圾郵件過濾系統好幾年的圖片型垃圾郵件,在資安廠商竭盡全力阻擋這類檔案之後,有稍微冷卻的跡象。就技術而言,圖片型垃圾郵件是將要表達的文字訊息內嵌在圖片裡,以方便躲避反垃圾郵件過濾機制。到目前為止,各資安廠商並沒有提出一項真正有效的內容過濾方式來阻擋圖片型垃圾郵件。
事實上,圖片型垃圾郵件在今年一月已經攀升到歷史高峰期,許多資安服務廠商與企業IT人員皆明顯感覺到其數量不斷減少。根據賽門鐵克五月份報告指出,現階段的總量甚至只有一月份的一半左右。
尚未有理想解藥的圖片型垃圾郵件,歷經幾年的囂張之後,短期看來似乎有減緩的趨勢,對企業IT管理而言實屬好消息。然而,新品種垃圾郵件繼之而來,技術上是走多數防垃圾郵件過濾技術所沒有攔阻的漏洞—以「PDF」附加檔案形式趁隙潛入。
這種型態的垃圾郵件散佈者會以附加PDF檔案形式來發送,讓多數過濾垃圾郵件技術找不到問題,使得最近的PDF垃圾郵件有開始取代圖片型垃圾郵件的跡象。截至目前為止,資安廠商發現兩種類型,一個為附有專業圖表說明的PDF夾帶檔,其內容多為說服收信者去購買德國某間公司的股票,郵件安全廠商IronPort(已被Cisco收購)就偵測到這封信件在幾天之內已經發送了五十億封以上。
另一種類型則是在六月底由賽門鐵克所發現,內容只有簡易的文字訊息、同樣是說服購買股票的PDF夾帶檔的郵件,在十天之內發送給三千多萬個用戶。此外,根據Mail2000垃圾信防治中心的調查,分析Mail2000電子信箱每天超過兩百萬封郵件的結果顯示,第二季尚未發現PDF垃圾郵件的蹤影,但從7月初開始在台灣地區快速增加,其影響程度有機會超越圖片型垃圾郵件的威脅。
至目前為止,PDF垃圾郵件的數量還不如圖片型垃圾郵件來得多,七月初所被統計出來的比例大約只佔了所有垃圾郵件的4%,但是可預期是這種新伎倆可能會造成更大的影響。
根據Commtouch(知名電子郵件安全解決方案開發商,提供垃圾信防治、零時差病毒防禦及IP信譽服務)統計,PDF垃圾郵件大小相較於圖片型垃圾信高達3倍以上,每封PDF垃圾信約為75至90KB,佔用相當可觀的企業頻寬與儲存空間。PDF垃圾信來源是由遍布全世界的殭屍電腦發出,其中有24%來自於美國,而台灣以14%高居第二大發送國。截至目前為止,PDF垃圾信風暴已造成全球垃圾郵件流量驟增30到40%,佔全球垃圾信件量10到15%,並且有持續攀升的現象。
由於PDF垃圾郵件無法以現行內容過濾或關鍵字判斷的技術加以攔阻,加上PDF垃圾信的內容同時交錯運用圖片型垃圾信的手法,以破解OCR光學字元辨識技術。網擎科技表示,為了有效防堵PDF垃圾郵件與未來推陳出新的惡意郵件威脅,建議採取結合「行為分析」的雙核心防護系統,以便瞬間掌握全球垃圾信的脈動,並於第一時間攔阻各種垃圾郵件的變形。
IronPort Systems台灣業務總監許勝雄則表示,IronPort不僅利用機器自動產生規則(Machine Generated Rules),更藉由一個全年無休的威脅管控中心(Threat Operations Center)進行人工監控,結合IronPort的聲譽評分(SenderBase Reputation Score,SBRS)機制,辨識可疑的傳送者,讓垃圾郵件甚至還沒送出就已被阻擋,無論其內容是何種型態(包括PDF檔),都可以基於聲譽機制有效濾除。