Traduzido do Inglês para o Português - www.onlinedoctranslator.
com
Spamalytics: uma análise empírica
de conversão de marketing de spam
Chris Kanich∗ Christian Kreibich† Kirill Levchenko∗
Geoffrey M. Voelker∗ Vern Paxson† Stefan Savage∗
†Instituto Internacional de Ciência da Computação
Berkeley, EUA
christian@icir.org , vern@cs.berkeley.edu
ABSTRATO
A “taxa de conversão” do spam – a probabilidade de que um e-mail não
solicitado acabe por provocar uma “venda” – está subjacente a toda a proposta
de valor do spam. No entanto, a nossa compreensão deste comportamento
crítico é bastante limitada e a literatura carece de qualquer estudo
quantitativo sobre o seu verdadeiro valor. Neste artigo apresentamos uma
metodologia para medir a taxa de conversão de spam. Usando uma infiltração
parasitária na infraestrutura de uma botnet existente, analisamos duas
campanhas de spam: uma projetada para propagar um Trojan malware, a
outra para comercializar produtos farmacêuticos on-line. Para quase meio
bilhão de e-mails de spam, identificamos o número que é entregue com
sucesso, o número que passa pelos filtros anti-spam populares, o número que
provoca visitas de usuários aos sites anunciados e o número de “vendas” e
“infecções”. ”produzido.
Categorias e Assuntos Descritores
K.4.1 [Questões de Políticas Públicas]:ABUSO E CRIME ENVOLVENDO
COMPUTADORES
Termos gerais
Medição, Segurança, Economia
Palavras-chave
Spam, Email Não Solicitado, Conversão
1. INTRODUÇÃO
O marketing baseado em spam é uma fera curiosa. Todos nós recebemos
anúncios - “Dureza excelente é fácil!” - mas poucos de nós encontramos uma
pessoa que admite seguir esta oferta e fazer uma compra. E, no entanto, a
implacabilidade com que esse tipo de spam obstrui continuamente as caixas
de entrada da Internet, apesar de anos de implementação enérgica de
tecnologia anti-spam, constitui uma prova inegável de que os spammers
consideram as suas campanhas lucrativas. Alguém está claramente
comprando. Mas quantos, com que frequência e quanto?
A permissão para fazer cópias digitais ou impressas de todo ou parte deste trabalho para
uso pessoal ou em sala de aula é concedida gratuitamente, desde que as cópias não sejam
feitas ou distribuídas com fins lucrativos ou vantagens comerciais e que as cópias
contenham este aviso e a citação completa na primeira página . Para copiar de outra forma,
republicar, postar em servidores ou redistribuir em listas, é necessária permissão prévia
específica e/ou pagamento de uma taxa.
CCS'08,27 a 31 de outubro de 2008, Alexandria, Virgínia, EUA.
Direitos autorais 2008 ACM 978-1-59593-810-7/08/10 ...$5,00.
Brandon Enright∗
∗Departamento de Ciência da Computação e Engenharia
Universidade da Califórnia, San Diego, EUA
{ckanich,klevchen,voelker,savage}@cs.ucsd.edu
bmenrigh@ucsd.edu
Desvendar tais questões éessencialpara compreender o apoio económico
ao spam e, portanto, onde podem residir quaisquer deficiências estruturais.
Infelizmente, os spammers não apresentam relatórios financeiros trimestrais
e a natureza clandestina de suas atividades torna a coleta de dados de
terceiros um desafio, na melhor das hipóteses. Na ausência de uma base
empírica, os defensores muitas vezes ficam especulando sobre o sucesso das
campanhas de spam e até que ponto são lucrativas. Por exemplo, Joshua
Corman da IBM foi amplamente citado como tendo afirmado que o spam
enviado apenas pelo worm Storm estava gerando “milhões e milhões de
dólares todos os dias” [2]. Embora esta afirmação possa de facto ser
verdadeira, não temos conhecimento de quaisquer dados públicos ou
metodologia capaz de a confirmar ou refutar.
O principal problema é a nossa visibilidade limitada dos três parâmetros
básicos da proposta de valor do spam: o custo do envio de spam, compensado
pela “taxa de conversão” (probabilidade de que um e-mail enviado acabe por
resultar numa “venda”), e o lucro marginal por venda. O primeiro e o último
são independentes e podem pelo menos ser estimados com base nos custos
cobrados por remetentes de spam terceirizados e através dos preços e
margens brutas oferecidos por vários “programas afiliados” de marketing na
Internet.1No entanto, a taxa de conversão depende fundamentalmente de
ações de grupo – do que centenas de milhões de utilizadores da Internet
fazem quando confrontados com um novo spam – e é muito mais difícil de
obter. Embora existam vários números anedóticos, não temos conhecimento
de qualquer medição bem documentada da taxa de conversão de spam.2
Em parte, este problema é metodológico. Não existem métodos aparentes
para medir indiretamente a conversão de spam. Assim, a única maneira óbvia
de extrair esses dados é construir um site de comércio eletrônico,
comercializá-lo via spam e então registrar o número de vendas. Além disso,
para capturar a experiência do spammer com total fidelidade, tal estudo
também deve imitar o uso de botnets ilícitos para distribuição de e-mail e
proxy das respostas dos usuários. Na verdade, a melhor maneira de medir o
spam é ser um spammer.
Neste artigo, conduzimos efetivamente este estudo, embora
evitandoos óbvios problemas legais e éticos associados ao envio de
spam.3Criticamente, nosso estudo faz uso de umaexistirSpam-
1Nossas investigações superficiais sugerem que as comissões sobre
programas afiliados farmacêuticos tendem a oscilar em torno de 40-50%,
enquanto o varejoo custo da entrega de spam foi estimado em menos de US$
80 por milhão [22].
2O mais conhecido entre esses números anedóticos vem da investigação de
2003 do Wall Street Journal sobre Howard Carmack (também conhecido como
“Buffalo Spammer”), revelando que ele obteve uma taxa de conversão de
0,00036 em dez milhões de mensagens de marketing de um estimulante de
ervas [4].
3Conduzimos nosso estudo sob os critérios éticos de garantirações neutras
para que os usuários nunca fiquem em pior situação devido às nossas ações
botnet. Ao infiltrar-se parasitariamente em sua infraestrutura de comando e
controle, nós o convencemos a modificar um subconjunto do spam que elejáenvia,
direcionando assim quaisquer destinatários interessados para servidores sob nosso
controle, em vez daqueles pertencentes ao spammer. Por sua vez, nossos servidores
apresentavam sites que imitavam aqueles realmente hospedados pelo spammer,
mas “desativados” para remover funcionalidades que comprometeriam o sistema da
vítima ou receberiam informações pessoais confidenciais, como nome, endereço ou
informações de cartão de crédito.
Usando esta metodologia, documentamos três campanhas de
spam abrangendo mais de 469 milhões de e-mails. Identificamos
quanto desse spam é entregue com sucesso, quanto é filtrado por
soluções antispam populares e, o mais importante, quantos
usuários “clicam” no site que está sendo anunciado (taxa de
resposta) e quantos deles progridem para uma “venda” ou
“infecção” (taxa de conversão).
O restante deste artigo está estruturado da seguinte forma.
Seção2 descreve a base econômica do spam e analisa pesquisas
anteriores nesta área. Seção3descreve o botnet Storm e a seção4
descreve nossa metodologia experimental usando Storm. Seção5
descreve nossa filtragem de spam e resultados de conversão, seção
6analisa os efeitos da lista negra na entrega de spam, e a Seção7
analisa as possíveis influências nas respostas de spam. Sintetizamos
nossas descobertas na Seção8e concluir.
2. ANTECEDENTES
O marketing direto tem uma história rica, que remonta à distribuição dos
primeiros catálogos por correspondência no século XIX. O que torna o
marketing direto tão atraente é que é possível medir diretamente o retorno do
investimento. Por exemplo, a Direct Mail Association relata que as campanhas
de vendas de mala direta produzem uma taxa de resposta de 2,15% em média
[5]. Enquanto isso, estimativas aproximadas de mala direta custo por mil(CPM)
– o custo para endereçar, produzir e entregar materiais para mil alvos – varia
entre US$ 250 e US$ 1.000. Assim, seguindo estas estimativas, poderia custar
250.000 dólares enviar um milhão de solicitações, o que poderia então
produzir 21.500 respostas. O custo de desenvolvimento desses clientes
potenciais (cerca de US$ 12 cada) pode ser calculado diretamente e, supondo
que cada cliente potencial conclua uma venda de valor médio, pode-se
equilibrar essa receita diretamente com os custos de marketing para
determinar a lucratividade da campanha. Desde que o produto da taxa de
conversão e o lucro marginal por venda exceda o custo marginal de entrega, a
campanha é lucrativa.
Dada esta proposta de valor subjacente, não é de todo surpreendente que
o marketing direto por e-mail em massa tenha surgido muito rapidamente
após o próprio e-mail. O custo marginal para enviar um e-mail é pequeno e,
portanto, uma campanha baseada em e-mail pode ser lucrativa mesmo
quando a taxa de conversão é insignificante. Infelizmente, um subproduto
perverso dessa dinâmica é que enviar o máximo de spam possível
provavelmente maximizará o lucro.
O incômodo social resultante gerou uma vibrante comunidade anti-spam, que
acabou produzindo uma indústria multibilionária focada no mesmo problema. No
entanto, com cada inovação anti-spam, os spammers adaptaram-se em espécie e,
embora a co-evolução resultante não tenha alterado significativamente o problema
do spam, mudou a forma como o spam é fornecido. Por exemplo, o advento da lista
negra de IP em tempo real implementada em Agentes de Transferência de Correio
(MTAs) forçou os spammers a retransmitirem as suas mensagens através de
anfitriões terceiros “imaculados” – impulsionando a criação de botnets modernos em
grande escala. Da mesma forma, os filtros anti-spam baseados em conteúdo, por sua
vez, forçaram os spammers a criar mecanismos sofisticados de polimorfismo,
modificando cada mensagem de spam para ser
atividades, embora estritamentereduzindo danospara aquelas situações em que a
propriedade do usuário estava em risco.
distinto. Além disso, forçou-os a enviar ainda mais spam. Assim, estima-
se que mais de 120 bilhões de mensagens de spam são enviadas todos
os dias [11].
No entanto, embora o spam seja há muito entendido como um
problema económico, só recentemente tem havido um esforço
significativo na modelização da economia do spam e na compreensão da
proposta de valor do ponto de vista do spammer. Raramente os
spammers falam sobre os aspectos financeiros de suas atividades,
embora tais contas existam [14,21]. Juiz e outros. descrevem um modelo
prototípico de lucratividade de spam, incluindo tanto a proposta de valor
básica quanto o impacto da filtragem anti-spam e da aplicação da lei.
Eles especulam que taxas de resposta tão baixas quanto 0,000001 são
suficientes para manter a lucratividade [17]. Hong [13] também emprega
um modelo de custo econômico do spam, comparando o sucesso de
diversas estratégias anti-spam. Goodman e Rounthwaite constroem um
modelo mais complexo, destinado a derivar os fatores de custo para o
envio de spam, e concluem de forma deprimente que a estratégia ideal
para enviar spam é enviar o mais rápido possível [9]. Serjantov e Clayton
exploram essas questões do ponto de vista de um ISP e tentam entender
como colocar incentivos apropriados em torno do uso de listas negras
anti-spam [19].
No entanto, o trabalho que está mais intimamente relacionado com o
nosso são os vários artigos sobre “Stock Spam” [7,8,10]. Spam de ações refere-
se à prática de enviar “anúncios” positivos para um título de baixo volume, a
fim de manipular seu preço e, assim, lucrar com uma posição existente na
ação. O que distingue o spam de ações é que ele é monetizado por meio da
manipulação de preços e não por meio de uma venda. Consequentemente,
não é necessário medir a taxa de conversão para compreender a
rentabilidade. Em vez disso, a lucratividade pode ser inferida correlacionando
o volume de mensagens de spam de ações com as alterações no volume de
negociação e no preço das ações associadas.
O trabalho de Ma e Chen é semelhante ao nosso na medida em que analisa
detalhadamente a estrutura de uma operação de spam. No entanto, seu foco está
nas cadeias de redirecionamento empregadas por spammers como estratégia de
otimização de mecanismos de busca [20].
3. O BOTNET DA TEMPESTADE
As medições neste artigo são realizadas usando o botnet Storm e seus
agentes de spam. Embora uma descrição técnica completa do Storm
esteja fora do escopo deste artigo, revisamos os principais mecanismos
nos protocolos de comunicação e na hierarquia organizacional do Storm.
Storm é um botnet peer-to-peer que se propaga via spam (geralmente
direcionando os destinatários a baixar um executável de um site). Storm se
comunica usando dois protocolos separados: o primeiro é uma versão
criptografada do protocolo Overnet baseado em UDP (por sua vez baseado no
Kademlia DHT [16]) e é usado principalmente como um serviço de diretório
para localizar outros nós. Além disso, Storm usa um protocolo personalizado
baseado em TCP para gerenciar comando e controle – as instruções que
informam a cada bot quais ações ele deve tomar. Descrevemos cada um deles
abaixo.
3.1 Protocolo Overnet
Existem quatro mensagens básicas para facilitar o funcionamento básico
da Overnet:Conectar,Procurar,Divulgar, ePublicar. Durante a fase de
inicialização, um nó Storm possui apenas a lista inicial de pares com os quais
foi enviado. Para reunir mais pares, Storm escolhe um OID pseudo-
aleatoriamente no espaço de endereço Overnet de 128 bits e prossegue para
Conectarpara todos os pares em sua lista de bootstrap. Cada peer disponível
contatado retorna uma lista de até 20 peers. Storm faz isso por algumas
rodadas até reunir pares suficientes para se conectar adequadamente na
Overnet. Uma vez que um novo nó tenha aprendido sobre pares suficientes,
ele muda paraDivulgaçãosua presença para pares próximos e
 provedor na porta TCP 25. Se esta verificação falhar, o trabalhador
permanecerá ativo, mas não participará de campanhas de spam.4
Figura2descreve as etapas gerais para o lançamento de campanhas de spam
quando a verificação da porta for bem-sucedida. O trabalhador encontra um proxy
(usando o protocolo variável no tempo descrito anteriormente) e, em seguida, envia
uma solicitação de atualização (por meio do proxy) para um servidor mestre
associado (Etapa 1), que responderá com uma tarefa de carga de trabalho de spam
(Etapa 2). Uma carga de trabalho de spam consiste em três componentes: um ou
mais modelos de spam, uma lista de entrega de endereços de e-mail e um conjunto
de “dicionários” nomeados. Os modelos de spam são escritos em uma linguagem
macro personalizada para gerar mensagens polimórficas [15]. As macros inserem
elementos dos dicionários (por exemplo, endereços de e-mail de destino, linhas de
assunto de mensagens), identificadores aleatórios (por exemplo, identificadores de
mensagens SMTP, endereços IP), data e hora, etc., nos campos e no texto da
Figura 1: A hierarquia do botnet Storm.
mensagem. As mensagens geradas parecem originárias de um MTA válido e usam
conteúdo polimórfico para evitar filtros de spam.
Ao receber uma carga de trabalho de spam, um bot de trabalho gera uma
procurando periodicamente seu próprio OID para se manter conectado e aprender sobre
mensagem exclusiva para cada um dos endereços na lista de entrega e tenta
novos pares próximos para acompanhar a rotatividade.
enviar a mensagem para o MX do destinatário via SMTP (Etapa 3). Quando o
Overnet também fornece duas mensagens para armazenar e localizar
bot de trabalho esgota sua lista de entrega, ele solicita duas cargas de
conteúdo na rede:PublicareProcurarque exportam uma interface de par
trabalho de spam adicionais e as executa. Em seguida, ele envia um relatório
DHT (chave, valor) padrão. No entanto, Storm usa essa interface de uma
de entrega de volta ao seu proxy (Etapa 4). O relatório inclui um código de
forma incomum. Em particular, as chaves codificam um código de
resultado para cada tentativa de entrega. Se a tentativa for bem-sucedida,
encontro que muda dinamicamente e permite que os nós do Storm se
inclui o endereço de e-mail completo do destinatário; caso contrário, reportará
encontrem sob demanda.
um código de erro correspondente à falha. O proxy, por sua vez, retransmite
Um nó Storm gera e usa três chaves de encontro simultaneamente:
esses relatórios de status de volta ao servidor mestre associado.
uma baseada na data atual, uma baseada na data anterior e uma
baseada na próxima data. Para determinar a data correta, o Storm
Para resumir, Storm usa uma hierarquia auto-organizada de três níveis composta
primeiro ajusta o relógio do sistema usando NTP.
por bots trabalhadores, bots proxy e servidores mestres. O comando e o controle
Em particular, cada chave é baseada em uma combinação de tempo (com
são “baseados em pull”, impulsionados por solicitações de trabalhadores bots
resolução de 24 horas) misturada com um número inteiro aleatório entre 0 e 31.
individuais. Essas solicitações são enviadas para proxies que, por sua vez, as
Portanto, existem 32 chaves Storm exclusivas em uso por dia, mas um único bot
retransmitem automaticamente para os servidores mestres e, da mesma forma,
Storm usará apenas 1 dos 32. Como as chaves são baseadas no horário, Storm usa
encaminham quaisquer respostas do atendente de volta aos trabalhadores.
NTP para sincronizar o relógio de um bot e tenta normalizar o fuso horário. Mesmo
assim, para garantir que os bots de todo o mundo possam permanecer
sincronizados, o Storm usa três dias de chaves de uma só vez, no dia anterior, no 4. METODOLOGIA
atual e no dia seguinte.
Nossa abordagem de medição é baseada eminfiltração de botnet-isto
Por sua vez, essas chaves são usadas para encontro com nós Storm
é, insinuando-nos na rede de “comando e controle” (C&C) de uma botnet,
que implementam o canal de comando e controle (C&C). Um nó Storm
observando passivamente os comandos e dados relacionados ao spam
que deseja oferecer o serviço C&C usará o algoritmo de hashing baseado
que ela distribui e, quando apropriado, alterando ativamente elementos
em tempo para gerar uma chave e codificar seu próprio endereço IP e
individuais dessas mensagens em trânsito. A arquitetura do Storm se
porta TCP no valor. Em seguida, ele procurará os pares apropriados
presta particularmente bem à infiltração, já que os bots proxy,por design
próximos à chave e publicará seu par (chave, valor) para eles. Um par
, interpõem-se nas comunicações entre os trabalhadores bots individuais
que deseja localizar um canal C&C pode gerar uma chave baseada em
e os servidores mestres que os dirigem. Além disso, como o Storm
tempo e procurar valores publicados anteriormente para decodificar e
compromete hosts indiscriminadamente (normalmente usando malware
conectar-se à rede TCP.
distribuído através de sites de engenharia social), é simples criar um bot
proxy sob demanda, infectando um host globalmente acessível sob
3.2 Hierarquia da tempestade
nosso controle com o malware Storm.
Existem três classes principais de nós Storm envolvidos no envio de spam
Figura2também ilustra nossa infraestrutura básica de medição.
(mostrados na Figura1). Os Worker Bots fazem solicitações de trabalho e, ao
Basicamente, instanciamos oito bots proxy Storm não modificados em um
receberem pedidos, enviam spam conforme solicitado. Os bots proxy atuam como
ambiente de máquina virtual controlado hospedado em servidores VMWare
canais entre trabalhadores e servidores mestres. Finalmente, os servidores master
ESX 3. O tráfego de rede para esses bots é então roteado através de um
fornecem comandos aos trabalhadores e recebem seus relatórios de status. Em
gateway centralizado, fornecendo um meio para bloquear comportamentos
nossa experiência, há um número muito pequeno de servidores mestres
imprevistos (por exemplo, participação em ataques DDoS) e um ponto de
(normalmente hospedados nos chamados centros de hospedagem “à prova de
interposição para analisar mensagens C&C e “reescrevê-las” à medida que
balas”) e estes provavelmente são gerenciados diretamente pelo botmaster.
passam de proxies para trabalhadores. Mais importante ainda, ao reescrever
No entanto, a distinção entre trabalhador e procurador é determinada
cuidadosamente o modelo de spam e as entradas do dicionário enviadas pelos
automaticamente. Quando o Storm infecta um host pela primeira vez, ele testa se
servidores mestres, fazemos com que os bots de trabalho substituam os links
pode ser alcançado externamente. Nesse caso, ele está qualificado para se tornar
de sites pretendidos em seu spam por URLs de nossa escolha. A partir desta
um procurador. Caso contrário, torna-se um trabalhador.
capacidade básica sintetizamos experimentos para medir as taxas de cliques e
de conversão para diversas grandes campanhas de spam.
3.3 Mecanismo de spam
Tendo decidido se tornar um trabalhador, um novo bot primeiro verifica se 4Esses bots ainda são “úteis” para outras tarefas, como montar ataques
consegue acessar o servidor SMTP de um popular e-mail baseado na Web. DDoS coordenados que Storm perpetra de tempos em tempos.

Figura 2: O fluxo de dados da campanha de spam Storm (Seção3.3)
e nossa infraestrutura de medição e reescrita (Seção4). (1) Os trabalhadores
solicitam tarefas de spam por meio de proxies, (2) os proxies encaminham
respostas de carga de trabalho de spam dos servidores mestres, (3) os
trabalhadores enviam o spam e (4) os relatórios de entrega de devolução.
Nossa infraestrutura se infiltra nos canais C&C entre trabalhadores e
procuradores.
No restante desta seção, fornecemos uma descrição detalhada de nosso
mecanismo de reescrita Storm C&C, discutimos como usamos essa ferramenta
para obter estimativas empíricas para entrega de spam, taxas de cliques e
conversão e descrevemos as heurísticas usadas para diferenciar visitas reais
de usuários daquelas. conduzido por rastreadores automatizados,
honeyclients, etc. Nesse contexto, revisamos então a base ética sobre a qual
essas medições foram conduzidas.
4.1 Reescrita do protocolo C&C
Nosso reescritor de protocolo C&C em tempo de execução consiste em dois
componentes. Um elemento de rede personalizado baseado em clique
redireciona o tráfego C&C potencial para um endereço IP e porta fixos, onde
um servidor proxy de espaço do usuário implementado em Python aceita
conexões de entrada e representa os bots proxy. Este servidor, por sua vez,
encaminha as conexões de volta para o elemento Click, que redireciona o
tráfego para o bot proxy pretendido. Para associar conexões ao servidor proxy
àquelas encaminhadas pelo servidor proxy, o elemento Click injeta um
cabeçalho de destino no estilo SOCKS nos fluxos. O servidor proxy usa esse
cabeçalho para encaminhar uma conexão para um endereço e porta
específicos, permitindo que o elemento Click faça a associação. Desse ponto
em diante, o tráfego flui de forma transparente através do servidor proxy
onde o tráfego C&C é analisado e reescrito conforme necessário. As regras
para reescrita podem ser instaladas independentemente para modelos,
dicionários e listas de endereços de e-mail. O reescritor registra todo o tráfego
C&C entre o trabalhador e nossos bots proxy, entre os bots proxy e os
servidores mestres, e todas as ações de reescrita no tráfego.
Como o tráfego C&C chega em portas arbitrárias, projetamos o servidor
proxy para que ele inicialmente lide com qualquer tipo de conexão e retorne à
passagem passiva para qualquer tráfego não C&C. Desde
o servidor proxy precisa manter uma conexão para cada um dos (muitos)
trabalhadores, usamos um design pré-bifurcado e multithread. Um conjunto
de 30 processos nos permitiu lidar com a carga total de trabalho dos oito bots
proxy Storm em todos os momentos.
4.2 Medindo a entrega de spam
Para avaliar o efeito da filtragem de spam ao longo do caminho de entrega de e-
mail para as caixas de entrada dos usuários, estabelecemos uma coleção de contas
de e-mail de teste e organizamos para que os robôs trabalhadores do Storm
enviassem spam para essas contas. Criamos várias contas em três provedores de e-
mail gratuitos populares (Gmail, Yahoo! e Hotmail), contas filtradas por meio de
nosso dispositivo comercial de filtragem de spam do departamento (um Barracuda
Spam Firewall Modelo 300 com marcação de spam um pouco mais permissiva do que
a configuração padrão), e vários “sumidouros” SMTP em instituições distintas que
aceitam qualquer mensagem enviada a eles (estes serviam como “controles” para
garantir que os e-mails de spam estavam sendo entregues com sucesso, na ausência
de qualquer filtragem de spam do lado do destinatário). Quando os trabalhadores
bots solicitam cargas de trabalho de spam, nosso reescritor anexa esses endereços
de e-mail ao final de cada lista de entrega. Quando um bot de trabalho relata
sucesso ou falha aos servidores mestres, removemos todos os relatórios de sucesso
de nossos endereços de e-mail para ocultar nossas modificações do botmaster.
Pesquisamos periodicamente cada conta de e-mail (pastas de caixa de
entrada e “lixo eletrônico/spam”) em busca das mensagens recebidas e as
registramos com seus carimbos de data e hora. No entanto, algumas das
mensagens que recebemos nada têm a ver com o nosso estudo e devem ser
filtradas. Essas mensagens ocorrem por vários motivos, incluindo spam
gerado por “bots de dicionário” que visam exaustivamente endereços de e-
mail em potencial ou porque os endereços que usamos são “vazados”
involuntariamente (isso pode acontecer quando um bot de trabalho Storm se
conecta ao nosso proxy e então sai antes de terminar de enviar o spam;
quando ele se reconecta através de um novo proxy, o relatório de entrega aos
servidores mestres incluirá nossos endereços). Para filtrar esses e-mails,
validamos se cada mensagem inclui uma linha de assunto usada por nossas
campanhas selecionadas e contém um link para um dos sites sob nosso
controle.
4.3 Medindo cliques e conversões
Para avaliar com que frequência os usuários que recebem spam realmente
visitam os sites anunciados, é necessário monitorar os próprios sites
anunciados. Como geralmente é impraticável monitorar sites que não estão
sob nosso controle, providenciamos para que uma fração do spam do Storm
anuncie sites criados por nós.
Em particular, nos concentramos em dois tipos de campanhas de spam
Storm: uma campanha de autopropagação projetada para espalhar o malware
Storm (normalmente sob o pretexto de anunciar um site de cartão postal
eletrônico) e a outra anunciando um site de farmácia. Estas são as duas
campanhas de spam mais populares do Storm e representam mais de 40%
das atividades recentes do Storm [15].
Para cada uma dessas campanhas, os servidores mestres do Storm distribuem
um “dicionário” específico que contém o conjunto de URLs alvo a serem inseridos em
e-mails de spam à medida que são gerados por trabalhadores bots. Em vez disso,
para desviar as visitas dos usuários aos nossos sites, o reescritor substitui quaisquer
dicionários que passam pelos nossos proxies por entradas contendo apenas URLs
para os nossos servidores Web.
Em geral, buscamos verossimilhança com a operação Storm real.
Portanto, temos o cuidado de construir esses URLs da mesma maneira
que os sites reais do Storm (sejam endereços IP brutos, usados nas
campanhas de autopropagação, ou o esquema de nomenclatura
específico “nounnoun.com” usado pela campanha de farmácias). ) para
garantir que o spam gerado seja qualitativamente indistinguível do
“real”. Uma exceção importante, exclusiva da campanha de farmácia, é
um identificador que adicionamos ao final de cada URL modificando-o.

(a) Local farmacêutico
(b) Site de autopropagação com tema de cartão postal
Figura 3: Capturas de tela dos sites operados para medir
cliques e conversões do usuário.
fying o modelo de spam associado. Este identificador permite-nos associar de
forma inequívoca mensagens de spam individuais a acessos subsequentes ao
site. Não adicionamos esse identificador às campanhas de autopropagação,
pois seus URLs normalmente consistem inteiramente em endereços IP brutos.
A adição de um sufixo identificador de texto pode, portanto, parecer
deslocada, reduzindo a verossimilhança e talvez distorcendo o
comportamento de clique do usuário.
Finalmente, criamos dois sites para imitar aqueles usados nas campanhas
associadas (as capturas de tela desses sites são mostradas na Figura3). O site
farmacêutico, que comercializa principalmente medicamentos para “aumentar
a masculinidade”, como o Viagra, é uma réplica quase precisa do site
normalmente anunciado pela Storm, usando a mesma convenção de
nomenclatura para os próprios domínios. Nosso site reflete a interface de
usuário do site original, a adição de produtos anunciados para venda a um
“carrinho de compras” e a navegação até, mas não incluindo, a entrada de
informações pessoais e de pagamento (há uma série de regras complexas
regulatórias, legais e questões éticas na aceitação de tais informações). Em vez
disso, quando um usuário clica em “Checkout”, retornamos uma mensagem
de erro 404. Registramos todos os acessos ao site, o que nos permite
determinar quando um visitante tenta fazer uma compra e qual é o conteúdo
do seu carrinho de compras naquele momento. Assumimos que uma tentativa
de compra é uma conversão, o que especulamos ser uma suposição razoável,
embora a nossa metodologia não nos permita validar se o utilizador teria
efetivamente concluído a compra ou se as informações do seu cartão de
crédito seriam válidas.
A campanha de autopropagação é o principal mecanismo de crescimento da
Storm. A campanha incentiva os usuários a baixar o malware Storm por meio de
fraude; por exemplo, dizendo-lhes que é um software de cartão postal essencial para
visualizar uma mensagem ou piada enviada a eles por um
amigo. Ao contrário do exemplo da farmácia, não conseguimos espelhar o
conteúdo gráfico do site de cartões postais, uma vez que ele próprio foi
roubado de um site legítimo de cartões postais da Internet. Em vez disso,
criamos um análogo próximo projetado para imitar a aparência geral.
Também “destruímos” nosso site, substituindo seu link para o malware Storm
por um executável benigno. Se executado, nosso executável foi projetado para
executar um HTTP POST simples com uma carga útil inofensiva (“dados = 1”)
para um servidor sob nosso controle e depois saia. Como mecanismo de
tempo limite aproximado, o executável não enviará a mensagem se a data do
sistema for 2009 ou posterior. Como o site de cartão postal que
representamos serviu três executáveis diferentes com nomes diferentes,
também servimos três executáveis com nomes de arquivo de destino
diferentes no comando POST. Novamente, todos os acessos ao site são
registrados e conseguimos identificar quando nosso binário foi baixado. Além
disso, ao correlacionar com o sinal POST, somos capazes de determinar se um
download específico é executado na máquina do visitante (e, portanto, é uma
conversão). Os downloads e as execuções podem diferir porque o usuário tem
dúvidas sobre permitir uma execução ou porque o software de segurança do
usuário impede sua execução (na verdade, observamos que vários
fornecedores de antivírus desenvolveram assinaturas para nosso executável
benigno poucos dias após a nossa introdução. ).
4.4 Separando usuários de rastreadores
Tal como acontece com as nossas contas de e-mail, nem todas as visitas ao nosso
site são conversões potenciais. Há uma série de processos automatizados e
semiautomáticos que visitam nossos sites, desde rastreadores puros da Web, até
sistemas “honeyclient” projetados para coletar informações sobre sites anunciados
como spam, até pesquisadores de segurança que tentam identificar novos malwares.
Para filtrar essas visitas (que genericamente chamamos de “rastreadores”)
daquelas intencionais, desenvolvemos uma série de heurísticas para
identificar rastreadores e usar esses dados para preencher uma lista negra
global de IP em todos os nossos sites. Descrevemos essas heurísticas abaixo.
Primeiro, consideramos todos os hosts que acessam o site da farmácia e que não
utilizam uma URL contendo o identificador exclusivo discutido na Seção4.3ser
rastreadores. Em segundo lugar, colocamos na lista negra os hosts que acessam
robôs.txt (instruções específicas do site destinadas apenas a rastreadores da Web) e
hosts que fazem solicitações malformadas (na maioria das vezes tentativas de
exploração). Terceiro, colocamos na lista negra todos os hosts que desabilitam o
javascript e não carregam imagens incorporadas. Presumimos que usuários típicos
não navegam nessas condições, enquanto alguns honeypots antispam de grande
escala que seguem links incorporados em suspeitas de spam exibem esse
comportamento para reduzir a carga.
Além da lista negra baseada no comportamento de visitas individuais ao
site, outro padrão comum que observamos foi o mesmo endereço IP
acessando o site da farmácia usando vários identificadores exclusivos
diferentes, presumivelmente como parte de um mecanismo de defesa ou
medição de spam. Consequentemente, colocamos na lista negra um endereço
IP visto acessando o site da farmácia com mais de um identificador exclusivo
com o mesmoAgente do usuário ficampo. Essa heurística não filtra os usuários
que navegam por trás de serviços proxy da Web maiores, mas filtra os acessos
homogêneos vistos em honeyclients de spam. Da mesma forma, também
colocamos na lista negra qualquer host que solicite o executável baixado do
site de cartão postal dez ou mais vezes, sob a suposição de que tais hosts
sejam usados por pesquisadores ou outros observadores interessados em
rastrear atualizações do malware Storm.
Finalmente, tornou-se comum que pesquisadores antimalware encontrem
novas versões do malware Storm acessando diretamente as entradas do
dicionário de autopropagação. Para detectar esses usuários, injetamos novos
endereços IP (nunca anunciados em mensagens de spam) no dicionário de
autopropagação durante um período de inatividade (ou seja, quando nenhum
spam de autopropagação estava sendo enviado). Qualquer visitante de
 3

Número de trabalhadores conectados

Emails atribuídos por hora (milhões) Cartão postal

Farmacia
2,5 primeiro de abril

1,5

0,5

0
07 de março 12 de março 17 de março 22 de março 27 de abril 01 de abril 06 de abril 11 de abril 16 de abril

Data
Figura 5: Linha do tempo da carga de trabalho do bot proxy.

Figura 4: Quantidade de mensagens de e-mail atribuídas por hora para DOMAIN FREQUERIMENTO.

cada campanha. hotmail.com 8,47%

yahoo.com 5,05%
CAMPANHA DATES COPERADORES E-CORREIOS gmail.com 3,17%
Farmacia 21 de março a 15 de abril 31.348 347.590.389 aol.com 2,37%
Cartão postal 9 de março – 15 de março 17.639 83.665.479 sim
ahoo.co.in 1. 13%
primeiro de abril 31 de março a 2 de abril 3.678 38.651.124 ébcglobal.net 0,93%
Total 469.906.992 mail.ru 0,86%
shaw.ca 0,61%
Tabela 1: Campanhas utilizadas no experimento.
wanadoo.fr 0,61%
msn.com 0,58%
Total 23,79 %

esses endereços IP não poderiam ter resultado de spam e, portanto, também os

Mesa 2: Os 10 meses e-mail direcionado domínios de endereço e
adicionamos à nossa lista negra de rastreadores.
sua frequência nas listas combinadas de t aendereços direcionados
Ainda é possível que alguns dos acessos tenham sido feitos através de honeyclients
três campanhas.
completos e de baixo volume, mas mesmo que existam, acreditamos que é pouco provável
que tenham um impacto significativo nos dados.

4.5 Ética de medição 5. RESULTADOS EXPERIMENTAIS

Apresentamos agora os resultados gerais de nosso experimento de reescrita. Primeiro
Tivemos o cuidado de projetar experimentos que acreditamos serem consistentes
descrevemos a carga de trabalho de spam observada pelo nosso proxy de reescrita C&C. Em
com a atual doutrina jurídica dos EUA e também fundamentalmente éticos. Embora
seguida, caracterizamos os efeitos da filtragem na carga de trabalho de spam ao longo do
esteja além do escopo deste artigo descrever completamente o complexo cenário
caminho de entrega, dos robôs de trabalho às caixas de entrada dos usuários, bem como o
eu de segurança ativas, acreditamos que a base
igualitário em que operam as medições
número de usuários que navegam nos sites anunciados.
ética para o nosso trabalho
é muito mais fácil t ó explique: nósestritamente re dcausar dano. st, nosso em Abeto estrutura
a segundo ato ónão
t e conteúdo há.
th
euprocuração inserida simbots não não crie nenhum novo dano. Aquilo é um b
óvocê está envolvido ent, o mesmo e conjunto de usuário seria recomendado eeu sou o mesmo
enviado

e conjunto
5. 1 Ca eupagar conjuntos de dados

óenviar spam para eles afoi enviado por o mesmo w robôs de trabalho. Tempestade é uma grande eecampanhas de spam resumidas na Tabela1.
Nosso estudo cobre
self-organizado nsistema g a nd quando ap Roxi falha bot trabalhador é au- A campanha “Farmácia” é uma amostra de 26 dias (19 dias ativos) de
para
automaticamente c coceira para outro er proxy ocioso es (na verdade, c galinha nosso pr oix aem andamento paign anunciar uma farmácia on-line. As
Câmera de tempestade

favamos ver w trabalhadores rápidos troque um c sim). Segundo d, nosso procurador é são “ Cartão postal” um e “Abril F campanhas ool” são duas campanhas
pator passivo é e não eles mesmos se envolver no a t
chapéu qualquer comportamento
eu
instâncias de autopropagação distintas e em série, que tentam instalar a

é intrinsecamentevocê se opõe capaz; eles d ó não enviar psou um e-mail, º ei an executável e sobre o uso máquina do r sob o pretexto de serem pós-
do não é compatível anfitrião romise é, nem o ei, até mesmo con tactrabalhador bóts csoftware avançado e. Para cada campanha.4mostra o número de bots
asincronizado éalias. Na verdade, t herdeiro apenas fu nção é poR vide um co não d isto euensaios pe Ratribuição de horasenviados para envio.
bentre trabalho ker bots mak solicitações e mestre éerverso prov eu ding você
Thors tem Quão grande astúcia é explorar os culons dos usuários -
Tempestade é uma

répatrocinadores. Fi finalmente, onde nós fazemos mod especificar C&C m essidades em tr comon isto,
tural e social expectativas iais daí a edição limitada da cama do Primeiro de Abril por
º essas ações eles mesmos estritamente redu ce haR . éersw eh lceuk eu sou você sobre
paign era r ópreenchido para volta de 1º de abril. Nosso microfone da Web é a
spestou alterado bei, esses cha nvai ser diRCEtefazer t óne de nnócu- nosso eu
éisso foi desi com vontade de mi campanha anterior do cartão postal e, portanto, não reflete
ónós, sósia dedo Web si teste. Diferente º e éeu é nóReuatudo
você sim verissoEd de Anúncios
ó bhabilmente faz perfeitamente o comportamento do usuário para esta e é
seus dados profissionais

be tempestade, ou Rsites não infectar usuários c eu º euah eua e n nótc ol- de Anúncios
fazer
ccampanha, b você os dois são de natureza semelhante o suficiente para supormos
eucred do usuário ct eu tc ardn euparaeuação. qui eh, não você ser éhou eud RCEe4 eeuóRe que qualquer impacto é pequeno.

Nós começamos a experiência eriment com 8 bots proxy, dos quais 7 sobreviveram à
spsou devido a óvocê emvocêeu
vemsim, mas algo nós somos eR sw eueu
euReceivsesou p that
é menos perigo oust hat isso é eu
seeb . poderia de outra forma
você
até o fim . Um p Roxi queda no final de 31 de março. O total atribuído
ber de trabalho r bots c um aos nossos proxies foi 75.869.
Figura5é como vai tempo linha da carga de trabalho do bot proxy. O número
beh f c órkers cum cvocê
d para cada proxy é aproximadamente uniforme em
 A B C D E
rastejante

endereços
visadas
conversor

e-mail não bloqueado por ignorado usuário saiu do site

entregue filtro de spam por usuário

Figura 6: O pipeline de conversão de spam.

STAGE PHarmácia PCARTÃO DE OSTRA APRILFOOL

A–Alvos de spam B–Entrega 347.590.389 100% 83.655.479 100% 40.135.487 100%
MTA (est.) C–Entrega na caixa 82.700.000 23,8% 21.100.000 25,2% 10.100.000 25,2%
de entrada D–Visitas ao site do —— —— ——
usuário E–Conversões de 10.522 0,00303% 3.827 0,00457% 2.721 0,00680%
usuários 28 0,0000081% 316 0,000378% 225 0,000561%

Tabela 3: Filtragem em cada etapa do pipeline de conversão de spam para campanhas de autopropagação e farmácia. Os percentuais referem-se à taxa
de conversão relativa ao Estágio A.

todos os proxies (23 trabalhadores bots em média), mas mostra fortes picos
SPAMFILTRO PHarmácia PCARTÃO DE OSTRA APRILFOOL
Gmail 0,00683% 0,00176% 0,00226%
correspondentes a novas campanhas de autopropagação. No pico, 539
Yahoo 0,00173% 0,000542% nenhum
trabalhadores bots estavam conectados aos nossos proxies ao mesmo tempo. Hotmail nenhum nenhum nenhum

A maioria dos trabalhadores se conectou aos nossos proxies apenas uma vez:
78% dos trabalhadores se conectaram aos nossos proxies apenas uma vez, 92% no
máximo duas vezes e 99% no máximo cinco vezes. O endereço IP do trabalhador
mais prolífico, um host em uma rede acadêmica na Carolina do Norte, EUA, contatou
nossos proxies 269 vezes; uma inspeção mais aprofundada identificou este como um
ponto de saída NAT para 19 infecções individuais. Por outro lado, a maioria dos
trabalhadores não se conecta a mais de um proxy: 81% dos trabalhadores se
conectam apenas a um único proxy, 12% a dois, 3% a quatro, 4% conectados a cinco
ou mais e 90 trabalhadores bots conectados a todos dos nossos procuradores. Em
média, os trabalhadores bots permaneceram conectados por 40 minutos, embora
mais de 40% dos trabalhadores tenham se conectado por menos de um minuto. A
conexão mais longa durou quase 81 horas.
Os trabalhadores foram orientados a enviar spam de cartões postais para
um total de 83.665.479 endereços, dos quais 74.901.820 (89,53%) são únicos. A
campanha do Primeiro de Abril teve como alvo 38.651.124 endereços, dos
quais 36.909.792 (95,49%) são únicos. O spam de farmácias teve como alvo
347.590.389 endereços, dos quais 213.761.147 (61,50%) são únicos. Mesa2
mostra os 15 domínios segmentados com mais frequência das três
campanhas. As distribuições de campanha individuais são idênticas na ordem
e com uma precisão de um décimo de percentagem, portanto mostramos
apenas a repartição agregada.
5.2 Pipeline de conversão de spam
Conceitualmente, dividimos a conversão de spam em um pipeline com
cinco estágios de “filtragem”, de maneira semelhante à descrita por Aycock e
Friess [6]. Figura6ilustra esse pipeline e mostra o tipo de filtragem em cada
estágio. O pipeline começa com listas de entrega de endereços de e-mail de
destino enviadas para trabalhadores bots (Estágio A). Por uma ampla gama de
razões (por exemplo, o endereço de destino é inválido, os MTAs recusam a
entrega devido a listas negras, etc.), os trabalhadores entregarão com êxito
apenas um subconjunto de suas mensagens a um MTA (Estágio B).
Barracuda 0,131% N/D 0,00826%
Tabela 4: Número de mensagens entregues na caixa de entrada de um
usuário como uma fração daquelas injetadas em contas de teste em
provedores de e-mail gratuitos e em um dispositivo comercial de
filtragem de spam. A conta teste do appliance Barracuda não foi incluída
na campanha do Postcard.
Nesse ponto, os filtros de spam do site identificam corretamente muitas
mensagens como spam e as descartam ou as colocam de lado em uma pasta
de spam. As mensagens restantes sobreviveram ao desafio e aparecem na
caixa de entrada do usuário como mensagens válidas (Estágio C). Os usuários
podem excluí-los ou ignorá-los, mas alguns usuários agirão de acordo com o
spam, clicarão no URL da mensagem e visitarão o site anunciado (Estágio D).
Esses usuários podem navegar no site, mas apenas uma fração “converte” no
spam (Estágio E) ao tentar comprar produtos (farmácia) ou ao baixar e
executar um executável (autopropagação).
Mostramos o fluxo de spam em duas partes, “rastreador” e “conversor”,
para diferenciar entre usuários reais e usuários mascarados (Seção4.4). Por
exemplo, as listas de entrega fornecidas aos trabalhadores contêm endereços
de e-mail honeypot. Os trabalhadores entregam spam a esses honeypots, que
então usam rastreadores para acessar os sites referenciados pela URL nas
mensagens (por exemplo, nosso próprio projeto Spamscatter [3]). Como
queremos medir a taxa de conversão de spam para usuários reais, separamos
os efeitos de processos automatizados como rastreadores — um aspecto
necessário do estudo de um artefato que também está sendo ativamente
estudado por outros grupos [12].
Mesa3mostra os efeitos da filtragem em cada estágio do pipeline
de conversão para campanhas de autopropagação e farmacêuticas.
O número de endereços direcionados (A) é simplesmente o to-
número total de endereços nas listas de entrega recebidos pelos
1
trabalhadores bots durante o período de medição, excluindo os endereços de
teste que injetamos.
Obtemos o número de mensagens entregues a um MTA (B) com base
0,8
nos relatórios de entrega gerados pelos trabalhadores. Infelizmente,
uma contagem exata de mensagens entregues com êxito não é possível

Fração de cliques
porque os funcionários frequentemente trocam de proxies ou ficam off- 0,6
line, causando relatórios de entrega estranhos (resultantes de uma
sessão de proxy anterior não interposta) e ausentes. Podemos, no
entanto, estimar a taxa de entrega agregada (B/A) para cada campanha 0,4
usando a taxa de sucesso de todos os relatórios de entrega observados.
Essa proporção nos permite estimar o número de mensagens entregues
ao MTA e até mesmo fazê-lo por domínio. 0,2 Rastreadores

O número de mensagens entregues na caixa de entrada de um usuário (C) é um Usuários

valor muito mais difícil de estimar. Não sabemos qual filtro de spam, se houver, é Conversores
0
usado por cada provedor de e-mail e, em seguida, por cada usuário individualmente 1s 10s 1 minuto 10 minutos 1h 6h 1d 1w 1m
e, portanto, não podemos estimar razoavelmente esse número no total. É possível, Hora de clicar
entretanto, determinar esse número para provedores de e-mail individuais ou filtros
de spam. Os três provedores de e-mail e o dispositivo de filtragem de spam que Figura 7: Distribuições time-to-click para acessos ao setor farmacêutico
usamos neste experimento tinham um método para separar os e-mails entregues site macy.
nas categorias “lixo eletrônico” e caixa de entrada. Mesa4fornece o número de
mensagens entregues na caixa de entrada de um usuário para os provedores de e-
mail gratuitos, que juntos representaram cerca de 16,5% dos endereços visados Figura7mostra a distribuição acumulada do “tempo de clique” dos acessos ao site
pelo Storm (Tabela2), bem como o dispositivo comercial de filtragem de spam do da farmácia. O tempo de clique é o tempo desde o momento em que o spam é
nosso departamento. É importante notar que estes são resultados de uma enviado (quando um proxy encaminha uma carga de trabalho de spam para um bot
campanha de spam durante um curto período de tempo e não devem ser usados de trabalho) até o momento em que um usuário “clica” na URL do spam (quando um
como medidas da eficácia relativa de cada serviço. Dito isto, observamos que todos host acessa o site pela primeira vez). . O gráfico mostra três distribuições dos acessos
os provedores de web mail populares fazem um ótimo trabalho na filtragem das de todos os usuários, dos usuários que visitaram a página de compra (“conversores”)
campanhas que observamos, embora seja claro que eles usam métodos diferentes e dos rastreadores automatizados (14.716 desses acessos). Observe que nos
para chegar lá (por exemplo, o Hotmail rejeita a maior parte do spam Storm no nível concentramos no site da farmácia, pois, na ausência de um identificador exclusivo,
MTA , enquanto o Gmail aceita uma fração significativa apenas para filtrá-la não temos um mecanismo para vincular as visitas ao site de autopropagação a
posteriormente como lixo eletrônico). mensagens de spam específicas e seu horário de entrega.

O número de visitas (D) é o número de acessos aos nossos sites emulados de
farmácias e cartões postais, excluindo quaisquer rastreadores, conforme
determinado usando os métodos descritos na Seção4.2. Observamos que as
solicitações do rastreador vieram de uma pequena fração de hosts, mas
representaram a maioria de todas as solicitações aos nossos sites. Para o site da
farmácia, por exemplo, dos 11.720 endereços IP exclusivos vistos acessando o site
com um identificador exclusivo válido, apenas 10,2% foram colocados na lista negra
como rastreadores. Em contraste, 55,3% de todos os identificadores únicos usados em req
os visitantes se originam d destes e rastreadores. Para asolicitações ge
todos não-eu
euade ao site, o 87,43% nós foi feito por bla IP listado aendereços.
número óconversão óns (E) é o nnúmero de vé para o
As distribuições de usuários e rastreadores mostram comportamentos
distintamente diferentes. Quase 30% dos acessos do rastreador ocorrem dentro de
20 segundos após os bots de trabalho enviarem spam. Esse comportamento sugere
que esses rastreadores estão configurados para verificar sites anunciados como
spam imediatamente após a entrega. Outros 10% dos acessos de rastreadores têm
um tempo de clique de 1 dia, sugerindo que rastreadores configurados para acessar
sites anunciados com spam periodicamente em lotes. Em contrapartida, apenas 10%
da população de usuários acessa URLs de spam imediatamente, e o
réeuaining distr ibuição é suave sem quaisquer modos distintos. Os usuários que
diéatribuições para todos os usuários “convertem” são aproximadamente uma comparação
grande, sugerindo pequeno corr entre o tempo de clique e a possibilidade de conversão.

ppágina de compra o f a farmácia asite, ou o nnúmero de e xecuções de a você

estar visitando um site com Embora a maioria das visitas de usuários ocorra, 10% dos
º e falso auto-profissional pagamento pr ógrama. wifino o primeiro 24 horas tempos de clique levam uma semana para que os sites
Nossos resultados para r Tempestade spa m campanhas como isso e spam euóenésimo, indicativo esse anúncio verificados precisem estar disponíveis para um longo
vtaxa de ersão é q e- você está baixo. Para exemplo, fora óf 350 milhões farmácia você
rações para ca pcheia potencial de receita.
cmail de campanha tem apenas 28 anos resultado de conversões ted (e não c mais cru de todos os tempos

ccompletou um pur perseguir então er Rors no rastreador filtragem pla não há função). 6. EFEITO CTS O F LISTA NEGRA
Hno entanto, um muito baixa conversão taxa de missão faz nnão é necessárioeu insinuo baixo
ect no
Um grande efeito A eficácia da entrega de spam é o emprego de listas
rélocal ou perfil thabilidade. Nós discutir o im plicações de a conversão
euent por número Rnossos ISPs negras baseadas em endereços para rejeitar aqueles
sina taxa do éPam Conve Rproposta de missão ómais adiante Seção8.
euaeu do anfitrião é anterior que são relatados como fonte de spam. Para avaliar
º e impacto de bfalta de lista ng, durante o curso de nossos experimentos Lista de
c e monitorou teleComp. bloqueio de site(CBL) [1], uma lista negra de atores
5. 3 vezes tó clique urce usada por
então a ópera de algumas de nossas instituições. Em qualquer
A conversão ón pipeline como está o que fra cção de spa euem última análise vem tempo o Listas CBL na ordem de 4 a 6 milhões de endereços IP,
soldado

révisitas sultadas t ó o anunciante sites adaptados. H óbem, isso dnão é re- º anão enviei e - e-mail para v várias spamtraps. Conseguimos monitorar
FLect a latência entre w hptº e spam wconforme enviado e quando um usuário º e CBL de Marco 21 – 2 de abril de 2008, desde o início da campanha
clambeu isso. T he mais tempo leva os usuários a act, o longo é o golpe eua n até o Pharend do Primeiro de Abril. Embora cubramos
campanha cibernética

hinfraestrutura de visualizaçãocultura vai n preciso permanecer disponível para extrair rev- º e monitoramento não toda a extensão de todas as campanhas,
enue do s psou [3]. Pu de outra maneira, quanto tempo d é um spam- ser
acredite em nossa res você
É para ser Rrepresentamos os efeitos do CBL durante os
asite anunciado m preciso ser av disponível para colle ct é potente eu todas as receitas? º e prazo do nosso e x períodos.
Figura 9: Localização geográfica dos hosts que “convertem” em spam: os 541 hosts que executam o programa de autopropagação
emulado (cinza claro) e os 28 hosts que visitam a página de compra do site da farmácia emulado (preto).

Dos hosts que nunca apareceram na lista, mais de 75% nunca relataram
entrega bem-sucedida de spam, indicando que o motivo de sua falta
1,0

- - -
-
de listagem era simplesmente sua incapacidade de irritar alguém de maneira eficaz.
-
- - - - - - -----
-
-
-- -
- -- - - -- - - -- --
-
-- - - - -- -
-
-
-
-
- -
- - ---- - - - - - -
-
-
- - - -- -- -
-
-
-
- -- - - - - -- ---- - -- - - - --- -- - - ----- - ---- --
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
- --- - - -
-
-
-
-
-
-- - -
-
--

-
- --- -
-
- - - - - - - - ----- -- --- ----- -- - ------- - ---------- - -- - -- -
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-- --
-
-
-
-- -
-
-
-
-
-
-
--
-
-
- - - - - - - - - ------ - - ----- - - --
--
-
-
-
-
-
-
-
-
-
-
-
-
-
--
-
-
-
-
-
-
-
- -
-
-
-
-
-
- -
-
-
-
-
-
-
-- -
-
-
- -- - --- -- -- -- - --
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- - - - -- - - - - - - -
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
- - - -------- - --- -------- - - ---- - -- -- -- - - - - - -
-
-
-
-
-
-
-
---
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-- -
-
- - -- - - -
-
-
-
- --- - -- - - - - --- -- -- -- - --- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- - - - --- - -- -- - -- - -- ------ ---- -- - - - --
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- - --
-
-
-
-
-
-
-
-
- - -- -
-
-
-
-
-
-
-
-
-
-
--

-
-
-
-
-
-
-
-
-
-
-
- - - -
-
-
- -
-
-
-
-
-
Um fator confuso é que o CBL exibe um fluxo considerável quando um
-
-
- - -- - - - --- - - -- -- - - - --- -
-
-
- - - -- - - - -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-- -
-
-
-
---
-
-
-
-
-
-
-
-
- - --
-
-
-
- - - -- - - -- -
- - - - ---- - - -- - - - -- - --
-
-
-
-
-
-
-
-
-
-
- - -
-
-
-
-
- --
-
- -- --
-
-
-
-
-
-
-
-
- - - ----- - ----- - - ---- -- -----
-
-
-
- - - -- -
-
-
-
-
- --
-
-
-
-
-
-
-
-
-
-
--
-
-
--
-
- -
-
-
-
- - - - - -- --- -- - - - -- -- -- --- --- -- - -- - -- - - -- -- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- ----
-
- -
-
-
-
-
-
-
-
-
-- - - -- - - --- - -- - - -- -- - --
-
-
-
-
-
-
-
-
- --
-
-
-
-
- - -- - - -
-
-
-
-
-
- --- - - -
-
- -- - -- - - - -- ---- -- - - -- - ---- - -
-
-
- -- -- - -- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- - -- - -- ---- -
-
-
-
-
-
- - --
-
-
-
-
-
-
-
- - - - -
-
-
- -- --- -- -
-
-
-
- ---- --- -- ------ --- - - - -- --- - - - -
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
--
-
-
-
- --
-
-
-
-
-
-
-
- - - - -- - - - - -- ---
-
-
-
-
- - --
-
-
-
-
-
--
-
-
- -- - - -
-
-
-
- --
-
-
-
-
-
- - - -- - -- -- -- - - --
-
- - --
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- - -
-
-
-
-
-
-
-
-
-
-
- -
-
- -
-
-- - - --- - - -- - -
-
-- - - -
-
-
-
-
- -- - - - - --- -
-
-
-
-
-
-
-
-
-
-
-
-
-
- - - -- - --
-
-
-- -
-
-
- -- - -- - -- - -
-
-
- - - - -
-
-
-
-
-
-
-
-
- -
-
-
-
- -- --
-
-
-
-
-
-
-- - -
- -
-
-
--
-
-
- - -- - - -- -- -- -- - - - --- - - -- - --- - -
-
-
-
-
-
-
-
-
-
- -- -
-
-
-
-
-
-
-
-
-
----
-
--- - - -
-
-
-
- - - - - -- -- -- -
-
-
-----
-
- -- -- - --- - - - --
-
-
-
-
-
-- -
-
-
- - -- - - --- -

-
- - --
-
-
-
- - --
- -
- -
-
-
-
- - -- - -- -
-
--
-
-
-
-
- - --- - - - -- -
-
-
-
- - ----
-
-
- --
-
- -- -
-
-
-
-
-
-
- - - --
-
-
-
-
- - --- - -
-
- - - - - -
-
-- - -- - - - -- - - -
-
-
- -
-
-
-
-
-
-
-
-
-
- -- -
-- - -
-
- -- -- - -- - -- -
-
-
-
-
-
- - - - -- -- --
-
-
-
-
-
-
-
-
-
- --- --
-
-
- -- - -
-
-
-
-
- --
- - - - --
- -- - - - - -- - - -
-
-
-
-
-- -
- ----
-
---
-
--
-
- -
-
-
-
-
--
-
-
-
-
-
-
-
- - -- - -- - - - -
-
-
- --
-
- ---- -
-
- --- -- -
-
- - - -- -- - -
-
- --- -- - -
-
-
-

endereço aparece pela primeira vez na lista negra: os trabalhadores bots

-
-
-
- - - -- - - - -
-- -
-
-
-
-
- - -
-
- - -- - -
-
-
- - -
- - - - -- -- -
-
- - -
-
-
- - - - -
-
- -
-
-
-
- - - - - -- - - - - - - -
-
--
-
-
- - -
- -
-
-
- -- --
-
- - -
-
- - - -- -
- - -
-
-
-
- - - -- -
-
-
- --
-
-- - --
-
-- - - - - --
-
-
-- - -- - -
-
- - - - - -
-
-- - -- - - - - - - - -
-
-
-
-
- - ---
-
-
-- - - -- -
-
-
-
- --
-
- - - - - -- -
-
-
--
-
- -- - - - -
-
-
- -- - -
-
-
-- - - --
-
-
- - -
-
-
-
-
- - - -
- -
-
- -
-
-
-
-
-
-
- - - -
-
-
- - -
-
-
-
-
-
-
-
- -
-
-
0,8

- -
-
-
-
-
-
-
- -- -- -
-
- - ---
-
-
-
--
-
-- -- -- --

-
-
Taxa de entrega pós-lista negra

-
-
-- - - -
-
-
-
- - -- - -

-
-
-
-
-- -- - -
--
-
-
-
- - - -
-
-- - - - - - -- --- --
-
- -
-
-
- - -
- -
- --
-
-
- -- -
-
-
-
-
- -
- -
- ---
-
-
-
- -
-
- --
-
- - ---- - --- -
-
-- - - -
-
-
-
- - --
-- - -
--
-
-
-
-
-
-
- - - --
-
-
-
- -
-
-
-
-
-
- - -
-
-
- --
-
-- --
-
-- -- -- - - --- -
-
- - -
-
-
-
- - - -
-
-
-
-
-
-
- -- - - --
-
-
-
--
-
- -
-
- -
-
-
-
- -
-
-
- -
-
- - - ---- - - - -
-
-
-
-
-
-
--
- - -- -- - -
-
-
- -
-
-- --- -- - -- - -
- - -- -

normalmente (em média) experimentam 5 ciclos de listagem seguida de

- - -
-
- -
-
-
- -- -- -
-- - -- - -
-
- -
-
-
--
-
-
- - - -
-
-
- -- - -
-
-
-

-
-
- -
-
-
-
- - - - --
-
-
-
- -- -- -
-
-
- - --
-
-
-
-
-
- -

-
- - - - - - --
-
-
-
- - -- - --

-
-
-
-
- -
-
-
-
-
-
--
--
-
-
- --
-
-- - -
-
-
-
-
-
- -
- --
-
-
-
-
-
- - -
-
-
- - - -
-
- - -
-
-
- - -
-
-
-
-
- - - -
-
- --- -
-
-
-
-
-
-
- -- - -
-
-
- -- - -- - -
-
-
-
-
- -- - - -- -
-
-- - -
-
-
-
-
-
- - -
-
- -
-
-
- - -
-
- - - -
-
--
-
- - - - -
-
--
-
-
- -- -
-
-
-
- --
-
- -
-
-
-

-
-
-
-
-
-
-
-
-
- -- -
-
-
-
-
-
- - - -
-
-
-
-
-
- - - - - -- -- -
-
-
-
-
-
- - - - -
-
-
- - - - --
-
-
- -
-
-
-
-
-
-
- -

-
-
- -
- - - -
-
- -
-
-
-
-
-
- - - -
-
-
-
-
- -
-
-
-
-

exclusão da lista. Grande parte desta rotatividade provém de alguns períodos

- - -
-
-- - - -- -
-
-
-
- -
-
- -
-
- -

--
-
-
- -
-
-
- -

-
-
-- - -
-
-- - -- -- - - -- - -
-
- - - - -
-
- -- -
-
--
-
-
- -
-
-
- - -
-
-
-
-
- -
-
-- - -
-
- - - - --
-
-
-
-
-
-
-
-
- - -- - --
-
- - - -

-
- -
- - - - -
- -
-
--

-
-
- - - -
-
-
-
--- - -- -- --
-
- - - -
-
- -
-
-
-
-
- -
-
-
-
- -
-
- -
-
-
-
-
-
-
-
- -- - --
-
- - - -
-
- - - - -
-
-
-
-
-
-
- -
-
-
- -
-
- - -- - - - - -

-
-
-
- - -- -
-
--
-
-
-
-- - - - -
-
-
- - - -
-
- -
-
- -
-
-
- - -
-- -- -
-
-
-
-
-- - -

-
-
-
-
-
- -
-
- --
-
- - -

-
- -
-
- -- - - -
-
-
-
-
-- - -
-
-
-
- -- - -
-
-
-
- - --
-
- - -
-
-
-
-
-
--
-
-
-
-
-
0,6

-
-
-
- - --
-
-
-
-
-
-
-
-
-
- - -- -
-
-
-
-
-
-
-
- -
-
-
-
- -
--
-
-
- - -
-- -
-

de deslistagens massivas, que parecem ser falhas na manutenção (ou

-- - -
-
- - --
-
-
- - - -
-
-
-
-
-
- -
- - - -- - -- - - - -
-
-
-
-
- -

-
-
- -
-
-

-
-
-
-
- -- -

-
- - - - -- -
-
-
-
- -
- --
-
-
-
-
-
-
-
-
-
- - -- - - - - - - - - - -
-
-
-
-
-
-
-
-
-
- -
-
-
-
--
-
-
-
- -
-
- - -
-
-
- - -
-
- -
-
-
-
- - - -- - -
-
- -
-
-
- -
-
-
- - - - - -

-
-
-
-

-
-
-
- - - - -- -
-
- -
-
-
-
-- ---
- - - - -
-
-
- -- - - -
-
-
-
-
- -
-
-
-
- - -
-
- - -
- -
---
-
-
-
-
-
-
-
-
-
-
-
-- - - - -
-
-
-
-
-
- - -- -
-
- -
- - - -
-
-
--
-
-
-
- - - - - - - - -
-
-
-
-
-
- - - - - - - -
-
-
- -
- - - - -- - -- - - ---
-
-
-
--
-
-
-
-
-
-
-
-
-
-- -- -
-
-
- - -
-- - -
-
-

-
-
-
-
-
- --
-
-
--
-
-
-
- - - -
- --
-
--
-
-
-
-
-

--
- --
-
- - - - -
-
-
- -
-
-
-
-
- - -
-
-
-
-
- - -
-
--
-
- - --
-
-
-
- - - - -
-
-
- - - - -
-
- - -
-
-
-
-
- -
-
- -
-
-
- --
-
- -
-
- - - -
-
-- - - -
-
-
-
-
- - - - - - - -
-
-
--
- -- -
-
-
- -
-
- -
-
-

--
- -
-
-
-
- - -
-
- - - - -
-
-
propagação) da lista negra, e não uma resposta a eventos externos.
--
- - -- -
-
-
-
-
-

-
-
-
-
-
-
-
- - - - -
-
- -
-
-
-
-
-
-
-
-
- -
- -- -
-
-
--
-
- - - -
-
- - - - - - -
-
-
- - - - - - - -
-
-
-
-
-
-
-
-
- --
-
- - - -
-
-- - -
-
-

-
- -- - --
-
- - -
-
-- - - -- -
-
-- -
-
-
- -
- --
- -
-
-
-
- - - - - - - --
-
-
- -
-
-
-
-
- -
-
-
- -- -
-
- - - -
-
- - - - --
- --
- - - -
- --
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
- - -
-
-
-
-
-
-
-
-
-
- -- -

-
-
-
-
-
-
-
-
-
-
- - - -- - - -

- -
-
-
-
-
-
-
- - -- - - --
-
- -
-
-
- - - - -
- -
-
-- - - - -

-
-
-
-
-
-
-
-
-
- - - - -
-
-
-
-
-
- - - -
-
-
- --
-
-
-
-
-
- -
-
-
- - -

-
- -
-
-
-
- - - -
- - -
-
-
-
-
-
-
-
--
-
-
-
-
- - -
-
-
-
-
-
- -
-
- - - -
-
- -
-
- -- -
-
-
-
-
- - - -
-
- - - -

--
-
-
-
- -
-
- -
-
- -

-
- -- - - -
-
-
-
-
-
-
-
-
--
- - - - - -
--
-
-
-
- - --
-
-
-
-
-
-
-
- - - -
-
- -
-
-
-
- - - -
-
-
- -
-
-
- - - - - -
-
-

(Se as exclusões surgiram devido aos botmasters usarem o processo de exclusão

- --

- -
-
-
- -
-
- - - --
-
- - - -
-
- - -
-
-
-
-
-- - - -

- -
-
- -- - - - - - -
-
- - - - - - - - --- - -- -
-
-
-
-

- -
-

-
-
-
-
-
-
-
-
- - -
-
-
-
-
- -

-
-
-
- - - - -
-
-
-
- -- - - - - -
-
-
-
- - -
-
-
- - -
- -
-
- - - - - - - --
-
-
--
-
- -
-
0,4

--
- - - --

-
- - -- - - --

-
-
-
- - - - - -
- - -- - -
-
- -
-
-
-
-
-
-- - - - -
-
- - - - -

--
- - - - - - -
-
-
- - -
-
- -
-
-
-
-
-
- - - -
- -- -
- - - - -
-
- -
-
-
-
-
--
--
-
-
--
-

- -
-
- - - -
-
- - --
-
-
-
-
-
- - -- - - - -
-
- -
-
-
-
-

-
-

-
-
-

-
-
-

-
- - -
-
-
- - - -
-
-
- -

-
-
-
-
-
-
- - -
--
-
-
- - - -
-
-
-
-
-
-
-
-
- -

-
-
- - -
-
-
- -
-
-
- -
-
-
-
- -
- -
-
-
-
-
-- - -
-
-
-
- -

-
-
-
-
- -
- - -
- - -
-
- -
-
-
-
- - -
-
-
-
-
-
-
-
-
-
para tornar seus trabalhadores mais eficazes por um tempo, então pode ser
-
-
- -
- --
-
- - - - - - --
- -
-
-
- - - -
-
-

-
-
-
- -
-
-
- -- - - --
-
-
-
- -
-
- -
-
- - - - - --

-
-
-
-
-
- - -
-
- -- -
-
- -
-
-

-
- - - -- -
-
- -
-
- - - - - --
- - - - -
-
- - - -- - -- - - - - - --
-
- - -
-
-
-
- -
-
- - - - -
-- - -
-
- - --
-
-
-
- --- --

-
- -
-
- - - - - ---
-
--
-
--
-
-
--
-
-- - - --
-
-
-
- -
-
-
-
- - - - - - -- -
-
-
-
- - -
-
- - - - -- - - - -
-
-
-
- -- - --- - - -- -
-
- - - -
-
-
- - -
-
-
-
-
-
-
- - --

-
-- -
-
-
-
-- - -- -- -- - -
-
--- -
-
- - -
-
-
-- -
- -

-
-
- - -
-
-
-
-
- -
-
-

- -
- - - - -- - -
-
-
-
-
-- --
-
-
-
- - -
-
- - -
-
- - - -
- -- -- -
-
-
-
--
-
-
- - - -
-
- - -
-
-
-
-
-
- - - - - -
-
-
-
-
- - - -
-
-
-- - -
-
-
-
- - --
-
-
-
-

-
-
-
- - -- -
-
-
-
-
-
-
-
- - -
-
-
- -
-
- - -

-
-
- -
-
- --
- - -
-
- - - - --
-
-
-
-
- - -
-
-

-
-
-
-
-

possível monitorar a processo de exclusão da lista, a fim de conduzir o botnet

-
- - - - - -
-
-
-
- -
-
- - - - - -
-
-
-
- - -
-
-
- - -- - - -
-
-
-
-
- -
-
-
- - - -
-
-
- - - -
-
- - -
- -
- -

-
- - - - - - -
-
-
- - - -
-
- - - - - -
-
-
- -
- -
- -
-
-
-
-
- - - -
-
-
-
- - - - - - -
-
- - - - -
- -
-- - -
-
-
- - - - - -
-- -
-
-

-
-
- -
-
-
- -

-- -
- -
-
- - - - -

- - - --
-
- -
-
-
-
- - -
-
-
-
-
- -
-
-
- - -
-
- -

-
- - - -
-
-
- -
- - - - -
-
-

- -
- - --
-
-- - - - - - -

-
- - - -- -
- - -
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
--
-
- -
- - -
- -

-
-
-
- -
- - -

-
-
-
- - - - - - --
-
-
-
- - - -
-
-
- -
-
- - - - -
-- - - -
- -
- - --
-
-
- - - -
-
-

contrainteligência, si semelhante ao desenvolvido anteriormente para o black - Devido ao

-
-
- - - - -
- - --
-
-
-
- - -
0,2

- - -
-
- - -

- -
-
-
-
-
-
-
- -
-
- - -
-
-
-
- -
-
- - -
- -
- -
--
-
-
-
- -
- - - -
- - -

-
-

-
-

-
- - -
- - - - -
-
-
-
--
--
-
-
-
- - - - - -
-

-
-
- - - --

-
-

-
-- - - -

-
- - -
-
- -
-
- - --
-
-
-
-
- -
-
-
-
-
-
-
- - -- - -
- - - - -- - - - -
-
- -
-
-
-
- - -- -
--
-
-
- --
-
-
-
- - -
-
-
-
-
- -
-
-
- -
-
- ---
-
- - - - -- -
-
- - -

-
-
-
--
-
-
- - -
-- - -
-
- - - - - -- --
-
- - -

- -
- - - -- -

-
-
-
-
- - -

-
- -
-
-
- - --
-
-
- - --

--
- - - - - -- -
-
- --- - - -
-
-

-
-
- -- - --
- -- --
-
-
-
-
- -
-
-
-
- -
-
- -
-
- - - - - - - -

-
- -
-
- -
-
-- -
-
- -
-
-
- - -
-
-
- -
-
-
-
-
-
- - --
-
-- - -
-
-
--

-
- - -
-
-
- --
-
--
- --
-

-
-
-
-
-
- - - - - -
-
- - - - - - - - - - -
-
- -
-
- -
-
-
-
- -
-
-
-
-

-
- - - - - --
-
-
-
-- -
-
-
- -

-
-
-
-
- -
-
- -
- -
-

-
- - - - -

-
-
-
-
-
-
-
- - - - - - -
-
- - -

-
-
--
-
-
-
- --
-
- - -
-
-
- -
-
-
-
--
-
- - - - - - - -
-
- - --
-
-
-

-
- - - - -- -
-
-
--
- -
-
-
-
-- - -
-
-
- - -
- --
-
-
-
--

- -
- -
-- --
- - - - - - -

-
- -
-
-
-
- - -
-
-
-
- - - -
-
-
- - - -
-
-
--
- -