Xì pam
Ngô Quang Hưng | 12 tháng 12, 2006 | 
Bản để in
NY Times vừa có bài cho biết tổng số spam emails 6 tháng vừa qua đã tăng gấp đôi. Hiện nay hơn 90% emails là thư rác. Điều này hoàn toàn chính xác trong hộp thư của tôi.
Bài báo liệt kê nhiều “phương thức mới” mà bọn spammers dùng để gửi spam mails. Thật ra một số phương thức này cũ rồi, ví dụ chuyện dùng botnets để gửi. Một trong các phương thức mới mà tôi chú ý trong mailbox của mình gần đây là bọn nó dùng hình ảnh thay vì texts để tránh các loại bộ lọc từ khóa. Như vậy các spam filters sẽ từ từ phải dùng các kỹ thuật xử lý ảnh phức tạp và tốn tài nguyên, thay vì một dạng bayesian filter thô sơ dựa trên nội dung như Paul Graham đã đề nghị. Ví dụ này cho thấy không thể chống spam emails bằng cách thiết kế các filters tốt hơn được, vì như thế là không nhổ cỏ tận gốc.
Như thế nào là nhổ cỏ tận gốc? Có vài giải pháp:
- Tử hình bọn spammers. Bắt được chú nào xử chú nấy. Bọn ACLU sẽ lồng lộn lên. Không được :-).
- Tử hình bọn kiếm lợi từ spam emails. Cũng có lý, nhưng cũng không xong.
- Làm sao cho người ta không kiếm lời được từ spam emails nữa. Như thế thì phải giáo dục người dùng đừng click bậy click bạ. Chuyện này lịch sử cho thấy là không thể được trong thời gian trước mắt. Nói chung là users hoặc là rất tham, hoặc là rất ngốc, cho nên bọn nó vẫn kiếm lợi từ spam được:
Well, not anymore. Many of the messages in the latest spam wave promote penny stocks — part of a scheme that antispam researchers call the “pump and dump.” Spammers buy the inexpensive stock of an obscure company and send out messages hyping it. They sell their shares when the gullible masses respond and snap up the stock. No links to Web sites are needed in the messages. Though the scam sounds obvious, a joint study by researchers at Purdue University and Oxford University this summer found that spam stock cons work. Enough recipients buy the stock that spammers can make a 5 percent to 6 percent return in two days, the study concluded.
- Không dùng emails nữa. Thật ra không phải là không có lý. Ta đã bỏ telnet, ftp, thì không có lý do gì lại không bỏ cái protocol smtp rất là phiền toái và cổ lỗ sĩ này. Khổ ở chỗ, không dùng emails nữa thì dùng gì để liên lạc với nhau? Spams không chỉ có ở emails, spim chẳng hạn. Chuyển sang dùng cái gì cũng có khả năng bị spam.
Tóm lại, nếu các bạn nghĩ ra một giao thức truyền thông người-đến-người tiện lợi và hiệu quả như emails, nhưng lại không hoặc ít bị spams, thì bạn nhiều khả năng sẽ thành Page/Brin mới.
Hehe, vài cái ý nghĩ con con
1/Thiết lập danh sách các địa chỉ email cho phép nhận mail. Thằng nào mới thì mail service chỉ trình địa chỉ mail, người dùng duyệt địa chỉ xem có chấp nhận xem thư không. Cách này có vẻ cũng khó như cách dạy user vì user vẫn có thể chấp nhận lung tung.
2/Lạp ra một cái dịch vụ, người nào muốn gửi mail thì phải đăng ký với dịch vụ đó. Dịch vụ đó sẽ có nhiệm vụ chứng nhận cái địa chỉ có được phép gửi mail không.
Chứng nhận bằng cách nào? Bộ lọc không khả quan. Dựa vào thông báo của người dùng, nếu quá n người thông báo đó là spam thì nội dung sẽ được người quản lý kiểm duyệt nội dung, rồi quyết định chặn hay không. Cháu khoái cách này, không biết có vấn đề gì không nhỉ? Tốn nhân công là một vấn đề :))
Chào anh Hưng,
Em mới blog về vụ spam này ở đây http://vnhacker.blogspot.com/2006/12/chiu-mi-ca-spammer.html. Em nghĩ rằng Bayesian filtering vẫn có thể khắc chế được thế hệ spam hiện tại.
-Thái
Hello Thái, tôi chỉ nói đến kiểu text content-based filters như Paul Graham đề nghị thôi — các thế hệ filters mới sẽ phải có thành phần xử lý ảnh, không thể dựa trên nội dung text không thôi được. Nếu không sẽ có rất nhiều false positives khi bạn thật sự hay trao đổi ảnh với bạn bè. Nếu bọn nó dùng ý tưởng kiểu captcha trong hình ảnh thì còn phiền toái hơn. Captcha được thiết kế chống spam, nhưng hoàn toàn có thể thành công cụ của spammers.
Tôi đồng ý là các spam filters thực ra vẫn còn khá tốt và chính xác hơn 90%, nhất là khi users chịu khó click “junk”, “not junk”, “junk”, “not junk”, … :-). Nhưng khi mà 90% emails là mail rác, thì 10% mail rác lọt vào mailbox của chúng ta đã là nhiều lắm rồi. Filtering mãi không phải là giải pháp tận gốc.
Hello Lihavim, cái địa chỉ gửi từ đâu không thành vấn đề. Giả địa chỉ trong SMTP rất dễ. Hầu hết email spams đều dùng địa chỉ dỏm. Vấn đề nằm ở chính SMTP, các giải pháp hiện nay đều là chắp vá cho cái nền nhà bị hổng.
Hôm truoc o khoa toi co’ mot ong noi chuyen ve spam. Nhom nghien cuu cua ong day co de nghi la` nhung email ma` gui cho nhieu nguoi mot luc hay la cho cai list nao do thi bi tinh tien. Hinh nhu ngay xua yahoo cung co de nghi nay`, nhung khong hieu sao lai khong thuc hien duoc.
Ừ, tôi cũng đọc khá nhiều đề nghị dùng economic incentives để giải quyết tình trạng spam. Ý tưởng chính là làm cho giá phải trả cho việc gửi một spam mail cao hơn số tiền kiếm được bằng spam mail đó. Nhưng làm thế thì thật ra người tốt là người lãnh đủ, vì bọn xấu có thể dễ dàng gửi spams bằng cách giả emails người khác. Spams gửi từ các botnets sẽ phân bố đều các giá này cho nhiều người tốt.
* Nếu ta dùng post office scheme này thì thế nào:
- Global Post Office (server chủ trung gian) sẽ thu tiền từ mỗi smtp server cho mỗi email. Tiền này đem đi hoạt động nhân đạo thì cũng hay.
- Như vậy các smtp server sẽ bù lỗ bằng cách thu tiền của sender. Trong trường hợp như vậy, các public smtp servers sẽ kích hoạt authentication khi gửi mail (như standard method hiện tại là username & password).
* Implementation và người dùng trả tiền như thế nào:
- Những ai không thể trả tiền qua credit cards được (như nhiều người ở VN) thì không dùng các email providers như Yahoo, Hotmail mà dùng email do internet service providers cung cấp (như vnn,fpt,sbcglobal, aol…). Tiền gửi mail sẽ tính vào tiền bill internet.
- Những ai đi làm/học trong một cty/đại học thì trả qua dịch vụ thu phí của trường hoặc bị deducted trong tiền lương. Gủi email trong những cty/trường như vậy thì có thể dùng local network và free. Spammers trong cty sẽ khó sống bởi vì cty có thể phát hiện và phạt rất dễ dàng.
- Một số side issues khác sẽ bàn sau
Mong mọi người cho ý kiến
Một vấn đề nổi cộm đối với phương thức này là mailing lists, newsgroups sẽ die hết. Vẫn chưa ổn.
Liệu forums, blogs, rss feeds có thay thế được cho mailing lists & newsgroups?
Dongta: forums và blogs nếu không có registrations vẫn phải chịu spams như thường. Chính vì thế mà blog KHMT lúc đầu có thể bình luận không cần đăng ký, nhưng bây giờ thì phải đăng ký. Một tiện ích của emails là ta có thể gửi emails đến một người không quen biết mà không cần đăng ký với họ trước.
Xem các bài báo này có thông tin về các lời giải kinh tế cho vấn đề spam.