Image spam:
herkennen, filteren & blokkeren

Brievenbus

Image spam, een ouder type spam

Een type spam dat door spamfilters moeilijker wordt herkend is 'image spam'. Het gaat om e-mails die een of meer afbeeldingen bevatten waarin de boodschap staat. Normaal gesproken interpreteert een spamfilter de tekst van een bericht als een van de controlepunten. Dat lukt bij deze e-mails niet goed. In veel gevallen wordt bij de afbeelding een willekeurige tekst toegevoegd. Tezamen met een willekeurige afzender en variŰrend onderwerp wordt het herkennen als spambericht lastig.

Dit is inmiddels een oud type spam. Wat ook aangeeft dat er telkens nieuwe vormen van spam -of virus- worden bedacht, waarvoor een oplossing wordt gevonden. Daarna komt er een nieuw type in zwang, enz.

De inhoud

De feitelijke boodschap staat in een afbeelding, vandaar de naam image spam. In veel gevallen gaat het om het aanprijzen van aandelen. De verzenders van deze mailings proberen de koers van het betreffende aandeel te be´nvloeden. Bij gestegen belangstelling en prijsopdrijving doen zij hun aandelenpakket snel van de hand.
Ook pillen en andere traditionele spullen worden met behulp van spam-afbeeldingen aan de man gebracht.

Afbeelding in spambericht
Klassiek voorbeeld van image spam, de afbeelding is rood gemarkeerd

Herkenning, een pragmatische oplossing

In de meeste gevallen wordt een afbeelding van het gif-formaat gebruikt omdat de tekst dan goed leesbaar is en het bericht niet te groot wordt.
Een afbeelding wordt opgeslagen in een bepaalde indeling. Vooraan in het bestand staat wat voor type het is (gif, jpg), hoe groot de afbeelding is en nog wat algemene zaken. Daarachter staat de echte inhoud.
Een afbeelding in een e-mail wordt gecodeerd - in ASCII - meegestuurd. Dezelfde afbeelding levert altijd dezelfde gecodeerde versie. Dit betekent dat berichten met dezelfde spamboodschap in een afbeelding - hoe verschillend ze verder ook zijn - herkenbaar zijn aan dezelfde gecodeerde afbeelding(en).

Zelf toevoegen aan spamfilter

Omdat nog niet alle spamfilters image spam herkennen geven we de volgende praktische tip om een eigen filterregel toe te voegen.
  • Kijk in de bron van het bericht. Zoek een regel die begint met "R0lGOD" waarbij de voorgaande regel leeg is.
  • Dit is letterlijk het begin van de codering van een afbeelding in gif-formaat. Kopieer deze eerste regel.
  • Ga nu naar de spamfilter en definieer een nieuwe filterregel. Laat de bron van het bericht controleren op de gekopieerde karakters.
Wanneer meerdere afbeeldingen gebruikt worden volstaat de controle op de eerste afbeelding.
Gecodeerde jpg-afbeeldingen zijn herkenbaar aan een regel die begint met "/9j/" (direct voorafgegaan door een lege regel).

In beide voorbeelden zijn de e-mails gecodeerd volgens base64. Er zijn e-mailprogramma's die een afwijkende codering gebruiken.
Theoretisch gezien zouden alle gecodeerde karakters van een afbeelding gecontroleerd moeten worden. Omdat de gekopieerde eerste regel belangrijke informatie over de afbeelding bevat is hij redelijk uniek. Een normale afbeelding met dezelfde kenmerken (afmetingen) kan onbedoeld worden tegengehouden.


Herkennen van digitale handtekening

Berichten die dezelfde 'handtekening' hebben, bijv. een bedrijfslogo, kunnen ook op deze manier herkend worden. Bepaalde e-mails kunnen zo een speciale behandeling of markering (prioriteit) krijgen.
Deze afbeeldingen kunnen ook herkend worden aan de naam. Anders dan bij image spam is de naam van een dergelijke afbeelding altijd dezelfde.