杀毒厂商麦咖啡（McAfee）在4月做了一个有些“变态”的试验，它招募了来自全球10个国家的50名志愿者，为他们每人配备了一台不带任何防护措施的电脑，和一个全新的email地址，并且鼓励他们大胆的回复那些垃圾邮件，点击邮件当中的链接，去“看个究竟”。志愿者们被要求每天写日志，记录下每天的遭遇。这里是全部日志。

当然，麦咖啡搞这个试验并不是为了好玩。今年是垃圾邮件诞生30周年，麦咖啡想通过这个试验来获得关于垃圾邮件的一些感性的数字。比如，这50名志愿者平均每天收到的垃圾邮件超过70封，男性比女性平均每天多收到15封。30天的时间，50人收到的垃圾邮件数超过12万。

下图是收到的垃圾邮件类别的top 10排行榜。

前10位分别是金融、广告、健康和药品、成人内容、免费商品、信用卡、教育、挣钱及致富主题、IT相关、尼日利亚骗局。这第10位的尼日利亚骗局你是否注意过？一般是说，你会得到一份尼日利亚政府的捐赠 的遗产。

这些垃圾邮件当中很多是钓鱼邮件（Phishing e-mail）。以意大利人收到的最多，占到总垃圾邮件数量的22%，美国人以18%居第二位。

以上提到的仅是很少部分的数据分析，完整的报告可以在这里下载。

（消息来源：cnBeta）

Tags: 安全,Security by sawyer
No Comments »

美国洛杉矶联邦地方法院宣判，依据CAN-SPAM（Controlling the Assault of Non-Solicited Pornography And Marketing Act of 2003）法案，两名臭名昭著的垃圾邮件制造者Sanford Wallace和Walter Rines，须向MySpace支付近2.34亿美元的法定损害赔偿；另外根据加利福尼亚州反钓鱼法令（California anti-phishing statute），两名被告需赔偿150万美元。这是美国自2003年针对垃圾邮件（包括手机）颁布CAN-SPAM法案以来，赔偿金额最大的一宗案例。排在第二位的是今年3月宣判的，ValueClick须向FTC（Federal Trade Commission，联邦贸易委员会）支付290万美元赔偿金。

这两个臭名昭著的垃圾邮件制造者在1990年代，每天发送3000万封垃圾信息。Wallace还获得了“垃圾邮件大王”的绰号。Myspace说，这两个人在网站上创建了自己的帐号并窃取别人密码，每天发送垃圾信息达到将近73.6万次。

不过这很可能只是一场象征性的胜利，对垃圾邮件制造者起到震慑作用，因为现在还不知道两个人躲在哪里，法院作出的是缺席宣判。

MySpace Wins Largest Anti-Spam Award in History

(via TechCrunch) MySpace has informed us that on Monday it was awarded $234 million in statutory damages, the largest anti-spam sum ever made under CAN-SPAM and apparently ever under any law. This is also the first time damages have been awarded under the California Anti Phishing Act. Read more.

Tags: 安全,Security by sawyer
No Comments »

只要邮件地址留在公开的网页上，基本就会被垃圾邮件盯上。关于怎样拒绝垃圾邮件，我们介绍过Spam proof email generator，它是把邮件地址变成一张图片，这样垃圾邮件机器人就认不出来了。现在要说的Contactify采取的是另一种办法，把邮件地址交给它，它会给你一个链接，点击这个链接会进入一个类似于博客留言的页面。比如我的邮件地址的链接是http://www.contactify.com/4c719，点击就会看到下面这个留言页面。

显然它比博客留言的防范程度要高，因为还要填写图形验证码。Contactify同时提供了一个留言widget，你可以嵌入到自己的页面上。但它也有一个明显的问题，就是只能留言，不能发文件了。

据Mashable报道，contactify的作者正在寻找买家，出价10000美元立刻成交，contactify的流量和widget用户的数量都不错哦。

Contactify Up On the Auction Block

(via mashable) Back in May, Kristen wrote about an interesting startup that gave you the ability to turn your email address into a web-accessible URL. It’s a simple service that is easy to use.  Once you’ve set up an account, you simply give out a URL with a contact form, and those interested in emailing you can do so without there being a danger of releasing your email address into the spam-scraping wilderness. Read more.

Tags: 网络应用,webapp by sawyer
No Comments »

上图是注册Gmail时随机出现的一个图片验证码，英文叫captcha，为的是防止机器注册垃圾邮件地址，这也被认为是目前最有效的方法之一。但是gmail captcha在最近的一轮垃圾邮箱注册中，被识别并攻破的几率达到了大约20%。

这个比例比我们一个月前介绍雅虎邮箱captcha被攻破的几率（30%以上）要低的多。 这得益于gmail captcha系统由两台主机运行，并且程序略有差别。而只在一台主机上运行的windows live邮件，在月初的一波攻击中被攻破的几率大约在33%。

至此，世界三大邮件服务防线均被攻破。这些邮件服务用户众多，垃圾邮件不容易被识别，不容易被加入黑名单。再引述一下前文提到过的俄罗斯黑客的一番话：

15%的准确率对于攻击邮件应经足够了，攻击者每天可以尝试10万次攻击，而每攻破一个captcha就相当于得到1美分的收入。

Spammers crack Gmail Captcha

(via The Register) Spammers, fresh from the success of cracking the Windows Live captcha used by Hotmail, have broken the equivalent system at Gmail.

Internet security firm Websense reports that miscreants have created bots which are capable of signing up and creating random Gmail accounts for spamming purposes, defeating Captcha-based defences in the process. It reckons the same group of spammers are behind both attacks. Read more.

Tags: 安全,Security by sawyer
2 Comments »

上边这幅图大家看着都眼熟吧，很多邮件、论坛注册都有，是验证码的一种，主要是防止机器恶意注册。这个东西的英文名字叫Captcha，2000年诞生于卡耐基梅隆学院，并被世界上最大的电子邮件服务商雅虎率先使用，上图就是一个雅虎captcha。

这个雅虎邮件的坚强防线可能被攻破了。一个俄罗斯博客（此链接国内需代理）发表声明说，他们研发的注册系统识别captcha的准确率达到了35%。这些“研究人员”在几个月前开始这项研发工作，起因是他们收到一封电子邮件，另一些人声称他们的系统对captcha的识别率达到了30%。

这意味着一旦这样的captch识别技术被用来注册垃圾信箱、发送垃圾邮件，垃圾邮件的数量将成N倍增长。

这些“研究人员”说，其实没有必要做到这么高的准确率，15%的准确率对于攻击邮件应经足够了，攻击者每天可以尝试10万次攻击，而每攻破一个captcha就相当于得到1美分的收入。

这是这个研究团体的邮件地址：NetworkSecurityResearch@gmail.com

Russian researchers alleged that “Yahoo!Captcha is broken”

A  Russian research group has alleged that Yahoo!Captcha is broken. The system they created to recognize the yahoo captcha is 35% in accuracy.

“Few months ago we received information that yahoo CAPTCHA recognition system exists in the wild with the recognition rate about 30%. So we decided to conduct few experiments. We explored yahoo CAPTCHA and designed a similar system with even better recognition rate (about 35%). “

Read more what they said.

Tags: 安全,Security by sawyer
1 Comment »