by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
จาก eWeek ฉบับที่แล้ว เราได้ทราบถึงเหตุผลและแรงจูงใจของพวกสแปมเมอร์กันแล้ว ทำให้เรารู้ว่าทำไมปัญหาสแปมอีเมล์ถึงเป็นปัญหาใหญ่ที่เราไม่อาจมองข้ามได้ คำถามที่ยังคาใจก็คือ พวกสแปมเมอร์เอา Email Address มาจากไหนในการส่งสแปมอีเมล์จำนวนมาก
คำตอบมีหลายข้อได้แก่ จากการซื้อ Email Address มาจากเว็ปที่ขาย Email Address (ตัวอย่าง เช่น http://www.fxstyle.net/ ) หรือ มาจากการใช้โปรแกรม Email Spider หรือ Email Harvester หา Email Address จากอินเทอร์เน็ต และ เทคนิคล่าสุด จากวิธี “Directory Harvest Attacks” หรือที่เรียกสั้นๆว่า “DHAs”

ในอินเทอร์เน็ตนั้นมีการจำหน่าย Email Address และ โปรแกรมที่ใช้ในการทำธุรกิจสแปมอีเมล์อยู่เป็นจำนวนมาก จากการสำรวจของบริษัทจำหน่ายอุปกรณ์ Anti-SPAM รายหนึ่งได้ระบุว่าใน eBay.com นั้นมีการเสนอประมูล eMail address 100 ล้านรายการพร้อมทั้งโปรแกรมที่ใช้ในการส่ง SPAM โดยมีราคาเริ่มต้นต่ำกว่า 500 บาท อยู่เป็นจำนวนมาก หรือ ในบางครั้งอาจมีการจัดแยก Email Address ออกเป็นกลุ่มต่างๆ เพื่อการกำหนดกลุ่มเป็นหมายในการส่งสแปมอีเมล์ที่ชัดเจน เช่นในรูปที่ 1 เป็นการขาย Email Address ของคนที่ชอบสะสมภาพศิลปะ บนhttps://richter.wwar.com/orders/email-index.html 

รูปที่ 1 : การขาย eMail Address เพื่อการสแปมอีเมล์บน Web Site

สำหรับการเก็บ Email Address จากการใช้โปรแกรม Email Spider หรือ Email Harvester โดยเก็บ Email Address ที่ถูกโพสต์อยู่บน web site ต่างๆในอินเทอร์เน็ต ทั้งนี้ท่านสามารถทดสอบด้วยตัวเองว่าบริษัทของท่านนั้นมี eMail ที่หลุดอยู่ในอินเทอร์เน็ตบ้างหรือไม่ โดยการค้นหาใน Google Search Engine โดยใช้คีย์เวิร์ด “@yourcompany.com” ซึ่งจะได้ผลดังรูปที่ 2

รูปที่ 2: ผลการทดสอบหา Email Address ด้วย Google Search Engine จาก Keyword : @acisonline.net

ในช่วงต้นปี 2004 พวกสแปมเมอร์ก็ได้คิดค้นเทคนิคใหม่ที่เน้นการโจมตีที่บริเวณ “SMTP connection point” เป็นหลัก ซึ่งเรียกว่า “Directory Harvest Attacks” หรือ “DHAs” การโจมตีประเภทนี้จะทำให้พวกสแปมเมอร์ นั้นสามารถขุดหา Email Address ขององค์กรของคุณเพื่อส่ง สแปมอีเมล์เอง หรือ ขายให้กับ พวกสแปมเมอร์คนอื่นๆ การทำงานของ DHAs คือ การที่สแปมเมอร์จะส่ง Email delivery attempt requests ไปยัง Mail Transfer Agent (MTA) ขององค์กร แล้วคอยรับสัญญานการตอบกลับ ถ้าตอบกลับเป็น “No” จะแปลว่า Email Address นั้นไม่มีอยู่จริง แต่หากตอบกลับเป็น “Yes” นั้นหมายความว่า Email Address นั้นมีอยู่และพร้อมที่จะให้ พวกสแปมเมอร์นำไปใช้ในการทำธุรกิจต่อไป
ในทางปฎิบัตินั้นพวกสแปมเมอร์ จะค้นหา Email Address ในหน่วยงานและองค์กรต่างๆ โดยการสุ่มส่ง Email Address ในชื่อต่างๆ เช่น [email protected] [email protected] [email protected] – [email protected] เปลี่ยนไปเรื่อยๆ เป็นแสนเป็นล้านครั้ง เพื่อที่พวกสแปมเมอร์ จะได้เก็บ Email Address ที่เมื่อส่งอีเมล์ไปแล้วไม่เกิดข้อความ error โดยคอยสังเกตุข้อความที่ Email server ถ้าตอบกลับเป็น “Yes” ก็ถือว่า Email Address เหล่านั้นมีอยู่จริง
ยิ่งไปกว่านั้น เทคนิค DHAs นั้นมักจะมีการโจมตีพร้อมๆกันจากเครื่องคอมพิวเตอร์หลายๆเครื่อง ซึ่งทำให้ SMTP Traffic พุ่งขึ้นสูง ดังนั้นการโจมตีด้วยเทคนิค DHAs จึงสามารถทำให้เครื่อง Email server ขององค์กรล่มได้อย่างง่ายดาย ผลกระทบรุนแรงโดยการโจมตีโดยใช้ เทคนิค DHAs ดังกล่าว ก่อให้เกิดผลกระทบต่อประสิทธิภาพในการทำงานของระบบ Email server ขององค์กร 

การป้องกัน DHAs นั้นต้องกระทำที่บริเวณหน้า Mail Relay Server ในแบบ Real-time โดยป้องกันก่อนที่ Email จะมาถึง Email Gateway โดยใช้อุปกรณ์ป้องกันการสแปมอีเมล์ที่สามารถป้องกันบริเวณ SMTP connection point โดยควรต้องมีเทคโนโลยีในการ Block IP Address ของต้นทางที่ส่ง Email delivery attempt requests โดยพวกสแปมเมอร์ ระบบป้องกันที่ดี ควรต้องฉลาดถึงขั้นที่สามารถ Block IP Address ของพวกสแปมเมอร์ ได้ถึงแม้ว่าสแปมเมอร์ จะเปลี่ยน IP address ไปเรื่อยๆก็ตาม
แต่ถึงแม้ว่า อุปกรณ์ดังกล่าวจะสามารถป้องกันการทำ DHAs ของสแปมเมอร์ได้ แต่ SMTP traffic ของพวกสแปมเมอร์ก็ยังคงอยู่ในเครือข่ายของเรา ซึ่งทำให้เราต้องสิ้นเปลือง bandwidth ไปโดยใช่เหตุ ดังนั้นทางแก้ปัญหาที่ดีที่สุดคือ การย้าย Mail Relay Server ไปยัง IDC (Internet Data Center) หรือ ISP (Internet Service Provider) เพื่อลดการสิ้นเปลือง bandwidth อย่างเปล่าประโยชน์ระหว่างเรากับ IDC หรือ ISP

การโจมตีของพวกพวกสแปมเมอร์ จึงไม่ใช่ปัญหาเล็กๆ ที่เป็นแค่ทำให้เกิดความรำคาญแก่ ผู้ใช้คอมพิวเตอร์ทั่วไป แต่เป็นปัญหาใหญ่ที่กระทบกับ Availability โดยรวมของระบบ Email องค์กรที่จะมองข้ามไม่ได้อีกต่อไป ดังนั้นองค์กรควรให้ความสำคัญกับปัญหาสแปมอีเมล์ อย่างจริงจังและเตรียมการป้องกันให้พร้อมกับปัญหาสแปมอีเมล์ที่จะทวีความรุนแรงมากขึ้นเรื่อย ๆ 

จาก : หนังสือ eWeek Thailand
ปักษ์หลัง ประจำเดือน เดือนมิถุนายน 2548
Update Information : 22 มิถุนายน 2548