阻止垃圾邮件的秘诀:追踪资金流

加入我们的科学爱好者社区!

本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定代表《大众科学》的观点


尽管服务台和安全软件公司为阻止垃圾邮件付出了巨大的努力,但垃圾邮件仍占接收电子邮件的 80% 以上。垃圾邮件量持续增长的原因是,这些努力常常用错了地方,未能击中垃圾邮件发送者的痛处。根据一组研究人员周二在加利福尼亚州奥克兰举行的 IEEE 安全与隐私研讨会上提出的研究结果,与其试图关闭像九头蛇一样复杂的、将垃圾邮件路由到我们收件箱的网络服务器,不如将重点放在禁用垃圾邮件广告宣传的商品(伟哥、保法止脱发治疗、太空袋储物袋等)的付款环节。

加州大学圣地亚哥分校(UCSD)计算机科学与工程学副教授、研究报告《点击轨迹:垃圾邮件价值链的端到端分析》的主要作者斯特凡·萨维奇说:“如果你花很多钱试图堵住一些对坏人的业务影响很小的技术漏洞,那么这种非法活动就会继续下去。”


支持科学新闻报道

如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您将帮助确保未来能够继续讲述关于发现和塑造我们当今世界的思想的具有影响力的故事。


当从供应链的角度来看时,很明显,有许多环节促成了一次成功的垃圾邮件活动。然而,对于大量垃圾邮件背后的供应商来说,最重要的是获得付款。研究人员确定,如果垃圾邮件发送者目前的银行决定停止授权或结算其客户的信用卡或借记卡交易,那么垃圾邮件发送者很难且会受到干扰地在新银行开设新账户。 UCSD互联网流行病学与防御合作中心主任萨维奇说,垃圾邮件活动背后的商家可能需要几天时间才能找到一家新银行。

将此与更常见的减少垃圾邮件的方法(阻止垃圾邮件发送者的网址)进行比较。“对于域名来说,尽管人们花费了大量精力来关闭通过垃圾邮件活动销售商品的公司的 [网站],但替代方案的数量非常庞大,”萨维奇说。“他们可以从数千个注册商那里购买域名。” 切换成本非常低廉,只需几个小时即可获得新域名,因此对垃圾邮件发送者的影响非常小。

作为他们研究的一部分,萨维奇和他的团队建立了一个虚拟网络,以接收各种用户名的电子邮件,并监控垃圾邮件的入站流量,重点关注嵌入在不需要的电子邮件中的网址。这些地址让团队了解了供应链的下一步。“如果你购买大量商品,你可以看看谁在使用相同的供应商,”他补充道。研究人员还通过实际购买价值约 4,000 美元的数百种垃圾邮件广告商品,然后研究他们自己的信用卡账单,从而了解了有关垃圾邮件活动供应链的许多信息,这些账单提供了交易详情,有助于识别为垃圾邮件广告商品收款的银行。

令人惊讶的是,研究人员收到了他们订购的大部分商品。“很多人认为这是他们偷钱的一种方式,”萨维奇说。“事实上,情况并非如此。当你购买商品时,你会得到商品作为回报。”

萨维奇表示,研究人员已将他们的研究结果提供给监管机构——包括美国食品和药物管理局、联邦贸易委员会和司法部——以及拥有通过垃圾邮件销售的品牌的各个公司。“最终,就任何类型的政治或监管干预而言,这不是我们能够主导的事情,”他补充道。“我预测人们会对[我们的]方法感到不安,金融机构可能会对在支付领域不进行大量监管宽容有既得利益,而在公民自由方面,人们也有合理的担忧,即使用全球支付作为执行公共政策的工具。”

萨维奇专门从事新颖的网络安全研究,例如确定汽车计算机是否可以被黑客入侵以及房屋钥匙是否可以使用数字图像复制的项目,他强调他的团队的目标一直是全面看待垃圾邮件,特别是驱动垃圾邮件的经济因素,而不是仅仅将其视为计算机安全问题。从这里开始,政策制定者需要确定攻击垃圾邮件发送者的收入来源的好处是否大于任何政治障碍。

图片由 Felix Möckel 提供,来自 iStockphoto.com

© . All rights reserved.