Salapärane ja kummituslik rootkit

Viimati toimetatud 13.august 2009.a.

Mida aeg edasi, seda enam ohustavad arvuteid uue põlvkonna pahavarad, mis võrreldes tavaliste viiruste, troojalaste ja nuhkvaraga on võimelised end süsteemi ära peitma ning vältima avastamist traditsiooniliste tõrjeprogrammide poolt.Sellist kurivara on tavavahenditega väga raske eemaldada, kuna nad teisendavad end arvuti tööks eluliselt vajalikeks süsteemifunktsioonideks või -protsessideks. Neid salajasi ja varjatud pahalasi kutsutakse rootkit’ideks.

ukryte_furtki_rys41043333064108.jpg

Olemus

Rootkit on peidetud pahavara, ehk siis nähtamatu protsess või koodijupp (viirus, trooja, klahvivajutuste salvestaja, nuhkvara), mis suudab mööda hiilida viirus- ja nuhkvaratõrjeprogrammidest, salvestub kettale ja hakkab õelvara loojale edastama arvutis leiduvat tundlikku informatsiooni – salasõnadest kuni pangakoodideni välja.

Tavaliselt kasutataksegi rootkit-pahavara just klahvinuhkide peitmiseks. Esmalt muudetakse vastavalt rootkiti olemusele ja ülesannetele arvutis olevad teatud protsessid, programmid või süsteemiutiliidid töövõimetuks (modifitseeritakse algtähenduselt teiseks), mis võimaldab sissemurdjal saavutada kontroll kogu arvuti üle. Kontrollitavat arvutit saab kasutada näiteks isikliku andmelaona, kus kurjam hoiab oma kahtlast kraami, kas siis levitamiseks mõeldud spämmi, varastatud faile jne. Samuti võidakse nakatunud arvutit kasutada pahavarakeskusena teiste arvutite nakatamiseks üle interneti.

Lisainfo siit

Tüübid

Rootkite liigitatakse põhiliselt nelja alaliiki: mälupõhised, kasutajapõhised, püsivad (Persistent) ja kernel-tasandi rootkitid. Raskemini avastatavad ja ohtlikeimad on just kaks viimast, kuna aktiveeruvad juba arvuti alglaadimisel, enne veel, kui operatsioonisüsteem ise jõuab täielikult käivituda ja mingitki kaitset pakkuda. Kasutajapõhiseid ja mälupõhiseid rootkite saab aga kergemini avastada ja eriutiliitide abil eemaldada. Mälupõhine rootkit ei suuda püsivat pahatahtlikku koodi kõvakettale salvestada ja arvuti taaskäivitamisel see tavaliselt hävineb. Ent kunagi ei või kindel olla, et see end uuesti automaatselt käima ei lülitada, kasutades selleks näiteks süsteemitaastepunkte.
Lisainfot siit ja siit

Ennetus ja tõrje

Kuna pahatahtlikud “kummitused” installeeruvad kergemini administraatori õigustega sisseloginud kasutajate süsteemi, siis alati on turvalisem toimetada arvutis tavakasutaja õigustes. Ja loomulikult olgu administraatori konto ikka alati salasõnaga kaitstud. Kuidas valida turvalisi salasõnu, sellest loe siit ja siit

Kuigi rootkitid võivad olla leidnud takistusteta tee arvutisse, ei tähenda see, et sama tõrjeprogramm, millest see läbi lipsas, ei suudaks seda hiljem avastada. Pahalasi otsitakse nii signatuuride põhjal kui pahavara käitumiskombeid analüüsides, seega ikka ja alati olgu viiruse-ja nuhkvaratõrjed värskelt uuendatud. Samuti tuleb Microsofti koduleheküljelt (Windows Update) kõik turvaaukude lappimiseks mõeldud parandused arvutisse tõmmata. Ja mis peamine – kunagi ei tasu arvutisse installeerida tundmatut programmi, mille päritolus ja turvalisuses kindel pole, kuna sageli sokutatakse just nendega salaja rootkit kaasa. Enne tasuks vastava programmi kohta internetist infot otsida ja alles seejärel otsustada.

Kindlasti soovitan paigaldada arvutisse mõni rootkitide tõkestusprogramm. Parimaks neist peetakse DiamondCS ProcessGuard´i ja InfoProcess AntiHook´i , millest eelmine versioon 2.6 on vabavara kodukasutajatele. Ise kasutan Processguard kaitset, millest küll vabavaraline versioon paraku otseselt ei paku rootkit-vastast blokeeringut, ent arvestades nende aastatepikkust kogemust ja programmi kvaliteeti, ei hakka nad oma mainet rikkuma ohtliku pahavara arvutisse lubamisel.

14153-diamondcs-processguard.jpg

Kui veel aasta tagasi pakuti rootkit’ide avastamiseks ja eemaldamiseks vaid kolme-nelja programmi, siis nüüd võib neid internetist leida palju, enamus vabavaralised. Kindlalt on esirinnas vanematest tegijatest Sysinternals RootkitRevaler ja F-Secure BlackLight.

blacklight_rootkit.jpg

Uutest tõrjevahenditest peetakse paremateks Gmeri, Ice Swordi, Rootkit Unhookerit, Hidden Finderit ja Rootkit Hook Analyzerit. Olen neid kõiki katsetanud ja rahule jäänud, ent algajad peaksid arvestama, et mõned on neist üsna keerulised, mitmete lisadega, ja kui pole väga kursis süsteemiprotsessidega, siis tuleks pigem kasutada mõnd lihtsamat, näiteks viirusetõrjujate poolt väljatöötatud beeta-versioone, mille leiab nende kodulehtedelt. Need eriutiliidid on väga kasutajasõbralikud, rootkiti leides tavaliselt nimetatakse see ümber (rename) ja taaskäivitusega (restart) eemaldatakse.
Kõigi eelnimetatud tõkestus- ja tõrjeprogrammide kohta ja paljude teiste analoogsete programmide kohta saab infot siit:
http://antirootkit.com/software/index.htm
Täiendavat lugemist siit

Kindlalt teada nuhkvaratõrjujad, mis samuti suudavad kummitus-kurivara avastada, on vabavaraline A-squared Free ja tasuline Ashampoo AntiSpyware.

Ajaloost

Termin “rootkit” (root – unix keskonnas adiministraator; kit – tööriistakomplekt) on kasutusel juba 10-15 aastat. Algselt ei olnud rootkit loodud sugugi pahatahtlikuna, vaid oli mõeldud administraatorite töö kergendamiseks Unix/Linuxi keskkonnas. Paraku on see ka parim tee võõra arvuti kaaperdamiseks…

rootkit.jpgEsimene Windowsi rootkit avalikustati juba aastal 1999 Greg Hoglund`i poolt. Laiemalt hakati rootkit’ide olemasolu teadvustama 2005. aasta oktoobris, kui Microsoft ja Sysinternals.com turvaekspert Mark Russinovich avastas juhuslikult oma isiklikust arvutist meediakonserni Sony poolt oma toodetega kaasa pandud nn Sony Rootkit’i, mis pidi kindlustama muusikaplaatide kopeerimiskaitse, ent samal ajal võttis see kontrolli arvuti üle ning selle eemaldamise järel lakkas Windows töötamast.

Sony Skandaalist saab lähemalt lugeda siit .  Ja lõpplahendusest on ka Arvutikaitses juttu.

Kui tõmbad, siis arvesta tagajärgedega!

donkey.jpgFailijagajate ringkondades levivad kuuldused, et MPAA (Motion Picture Association of America, filimilevitajate õiguste kaitsega tegelev organisatsioon), õigemini selle palgatud firmad on pannud püsti omaenda failijagamisserverid ning jagavad nende kaudu populaarsemate filmide ja muu põneva kraami nimedega faile. Lähemal uurimisel osutuvad MPAA poolt jagatavad failid kas tühjadeks või sisaldavad ühevärvilist ekraanipilti. Tõmbajate IP aadressid muidugi salvestatakse, aadressi omavatele internetiteenuse pakkujatele aga tehakse ettepanek piraatlusevastased abinõud tarvitusele võtta.

Eesti Vabariigi Karistusseadustiku järgi karistatakse teose autori või autoriõigusega kaasnevate õiguste valdaja varaliste õiguste rikkumise eest rahalise karistuse või kuni kolmeaastase vangistusega. Filmide, muusika, mängude ja muu sellise autoriõigustega kaitstud toredate asjade tõmbamine failivahetusprogrammi abil ilma autorile või õigemini teose levitamisega tegelevale organisatsioonile tasu maksmata ongi tavaliselt autori või autoriõigusega kaasnevate õiguste valdaja varaliste õiguste rikkumine, IP aadressi järgi aga on võimalik ka rikkuja kindlaks teha.

Kas hotelli internetiühendust tasub usaldada?

conciergerie.jpgMichael Herf jutustab oma blogis, kuidas ta Mauil kohaliku hotelli internetiühendust kasutades avastas, et kõik tema brauseri sooritatud päringud suunatakse lisaks tavalisele proksile veel läbi reklaamteenuse, mis lisaks hotelliidentikaatorile jälgis ka muid väga täpseid kasutajaandmeid ning isegi HTTPS-päringuid. Internetiühenduse pakkuja Superclick aga lubab oma teenust kasutavate hotellide ja konverentsikeskuste juhtidele “veelgi täpsemini suunatud reklaamteateid ning võimalust teenida rohkem tulu”.

Superclick tegutseb küll põhiliselt Ameerika Ühendriikide, Kanada ja Kariibi mere hotellides, kuid vägagi võimalik, et sarnaseid reklaamteenuseid kasutavad ka mujal maailmas asuvate hotellide internetiühenduse pakkujad. Seega ei tasuks sülearvutiga ringi reisides minetada ettevaatust internetiga ühendumisel. Kui teil ei ole võimalik luua VPN-ühendust serveriga, mida te usaldate, siis mõelge põhjalikult järele, enne kui üle kaitsmata ühenduse oma postkasti või mõnda teise paroolidega kaitstud kohta sisse logite.

Ma ei ütle, et hotellide internetiühendus on tingimata ja igal pool ebaturvaline, kuid ettevaatlik tasub olla sellegipoolest.

Turvaline WiFi

varustus.jpgPildil: Väike valik traadita võrgu pealtkuulamiseks vajalikust varustusest. Tavakasutuses läheb neid antenne vaja kaugemal asuva traadita võrgu signaali vastuvõtmiseks.

Traadita võrgu kasutajate arv läheneb jõudsalt sajale miljonile, ja mitte ilmaaegu. WiFi-t on väga mugav ehitada – traadita võrk ei nõua kapitaalmahutuslikke töid kaablivedamise näol, seda on lihtne paigaldada ja vajadusel laiendada. Õnnelik kasutaja ei ole füüsiliselt seotud oma kindla töölauatagusega, uude võrku saab lülituda vähem kui minutiga, läpaka aga saab võtta kaenlasse ning siirduda sellega kolleegi laua juurde eriti tähtsaid naljapilte näitama, sohvale lösutama või tähtsa näoga nõupidamisruumi – ilma et internetiühendus sealjuures hetkekski katkeks. Pisiasi, aga ikkagi meeldiv!

Nagu kõigi heade asjadega, on ka mobiilsusel oma varjuküljed. Nii on näiteks traadita võrgu pealtkuulamine suhteliselt lihtne ja riskivaba – kohtvõrku tungimiseks pole vaja kasutada keerukaid ning kohati reetlikke tagauksi, füüsiliseks ühendumiseks rünnatava kohtvõrguga pole vaja isegi hoonesse tungida – suundantenn võimaldab jääda kaitstavast territooriumist täiesti seaduslikku kaugusesse. Ka võrguliikluse pealtkuulamine ei jäta enamasti mingeid jälgi, WiFi võrgu kaitseabinõud on aga pahatihti kaakide jaoks mugavalt ebapiisavad.

Avalik WiFi

Küberkaabaka viljakaim tööpõld on avalik WiFi võrk, mille võib leida näiteks hotellides, lennujaamades või ka kohalike omavalitsuste poolt pakutuna. Esiteks ei ärata avaliku WiFi levialas sülearvutiga õiendav tüüp erilist kahtlust – selliseid on seal tõenäoliselt rohkem kui üks. Teiseks ei pea enamik avalikke levialasid oma kasutajate üle mingit arvestust – parimal juhul jääb ruuteri logisse vaid kasutajanimi ja MAC aadress, mis on kasutaja identifitseerimiseks täpselt sama väärtuslikud kui avaliku veebifoorumi nime- ja aadressilahtrisse sisestatud andmed. Vahelejäämise ja hilisemate sanktsioonide risk seega praktiliselt puudub. Kolmandaks ei kipu eriti munitsipaalvõrgud kasutama ei autentimist ega krüpteeritud ühendust – kogu võrguliiklus toimub samahästi kui lahtise tekstina. sniffed.jpg

Sellises levialas toimuva pealtkuulamiseks vajab kurjam vaid traadita võrgukaarti ning mõnd internetist vabalt allalaaditavat võrguliikluse jälgimise programmi. Sellega siis püütakse pahaaimamatu kasutaja arvuti ning ruuteri vahel liikuvad infopaketid kinni, teisendatakse tavaliseks tekstiks ning kaak võibki lugeda näiteks kiirsuhtlussõnumeid, meiliserveri ja muude rakenduste paroole, ärikriitilisi elektronkirju, rate’i kasutajakonto andmeid ja muud informatsiooni, mida pahaaimamatu kasutaja päris igaühega meelsasti ei jagaks.

Kuidas end avalikus levialas kaitsta?

Juhul, kui lahtise tekstiga üle küla karjumine ei ole omaette eesmärgiks, saab ka avalikus WiFi võrgus enda kaitseks üht-teist ette võtta. Parim lahendus on ühenduda VPN-iga (Virtual Private Networking, virtuaalvõrgu tehnoloogia, mis loob krüpteeritud ühenduse kasutaja ning kohtvõrgu serveri vahel), kas siis oma töökoha või mõne teenusepakkuja (Steganos, LogMeIn) serverisse. Praegusaja tehnoloogia peaks piisavalt hästi tagama, et sülearvuti ja VPN-serveri vahelist infovahetust ei ole võimalik pealt kuulata.

Kui VPN-i kohe mitte kuidagi ei ole võimalik kasutada, siis vähemalt tuleks katsuda hoiduda veebilehtedest, mis küsivad kasutajanime ja parooli, ning eelistada neid, mis jooksevad üle HTTPS-i. Samuti pole hea mõte tõmmata avalikus levialas oma elektronkirju üle POP3 ja IMAP-i – kui võimalik, siis tuleks meilide lugemiseks kasutada veebipõhist, üle HTTPS-i jooksvat rakendust. Messengeri kasutajatunnuse ja parooli maailmale kuulutamise asemel võiks eelistada näiteks Skype’i vestlusakent, kuna ka Skype’i võrguliiklus on krüpteeritud.

Koduvõrgu kaitsmine

Kui sõita läbi Tallinna kesklinna Mustamäele ja tagasi, jääb marsruudile ligi 1200 WiFi leviala, paljud küll asutuste, kuid enamus siiski kodukasutajate omad. Rõõmustaval kombel on 80-90% neist kasvõi mingilgi määral kaitstud, nii et pätt, kes neid kuritarvitada püüab, riskib juba ametlikult paragrahviga, mis räägib arvutivõrgu ebaseaduslikust kasutamisest kaitsevahendi kõrvaldamise teel. Tegelikult pole ühtki head põhjust (peale ühe, nimelt püha ja puutumatu laiskuse), miks peaks kaabakate elu kergemaks tegema ja mitte kasutama kõiki võimalusi koduse WiFi kaitsmiseks.

Esimene ja kõige tähtsam: muuta ruuteri vaikeseadeid! Iga ruuteri kasutusjuhend koos vaikeparooliga on netist vabalt allalaaditav ning administraatori, mõnel juhul ka vaikekasutaja parooli muutmata jätmine on sama, mis lahtisele uksele veel ka võtmed ette unustada.

Kindlasti tuleks muuta ka SSID (Service Set Identfier ehk teenusevõrgu nimi, mille ruuter välja saadab), kasvõi selleks, et koduvõrk naabrimehe omaga vahetusse ei satuks (mõelge oma üleelamistele olukorras, kus naabrimees kasvõi kogemata teie allalaadimiskiirusest oma osa saab), aga ka sellepärast, et näiteks mõnede Linksys’i mudelite puhul piisas vähemalt mõnda aega tagasi SSID teadmisest, et selle tarkvara uuega asendada. Kui ruuteri tarkvara vähegi võimaldab (ja enamus võimaldab), tuleks SSID väljakuulutamine üldse ära keelata. Suunatud rünnaku vastu see küll ei aita, kuid keskkoolikräkker võib SSID väljanuuskimiseks kuluvat aega liiga tüütuks pidada.

Kui ruuteri tarkvara sellega hakkama saab, tuleks kasutada MAC-aadressi (iga võrgukaardi unikaalne identifikaator) põhist filtreerimist, omistada igale võrku kasutavale arvutile staatiline IP ja ülejäänud IP aadresside vahemikule ligipääs keelata. Jällegi – kunagi ei tea, kas kurjam viitsib MAC- ja IP aadressi võltsimisega vaeva näha.

Kõige tähtsam – kasutage signaali krüpteeringut, nii kanget, kui teie ruuter vähegi kannatab. 64-bitist WEP-i murrab kurikael mõned minutid, 128-bitist WEP-i kuni kaks tundi, kui parool just sõnaraamatus kirjas ei ole, WPA-d võib ta heal juhul murdma jäädagi. Toore jõuga (brute force) kuluks WPA murdmiseks päevi, selle asemel rünnatakse pigem krüpteerimisvõtme vahetushetke, mis WPA lihtsamate versioonide puhul on teinekord veerand tunniga lahtimurtav. Siiski on WPA, eriti selle kommertsversioonid tunduvalt turvalisemad kui WEP, viimane aga on kindlasti parem kui igasuguse krüpteeringu puudumine.

Ja veel kaks võtet koduvõrgu kaitsmiseks: ruuter tuleks püüda paigutada nii, et selle leviala ruumidest võimalikult vähe välja ulatuks, kui aga WiFi-t pikka aega ei kasutata, on targem ruuter üldse välja lülitada.

Asutuse traadita võrgu kaitsmine

Jah, see on raske, eriti kui ülemused kulutavad tunde tõestamaks, et nad ei või endale lubada neid paari sekundit, mis kulub VPN-i käimatõmbamiseks. Kuid siiski – WiFi tugijaama tuleks käsitleda kui välisvõrku ning eraldada see sisevõrgust tulemüüriga. Pole parata – raadioeeter on kergemini rünnatav kui kaabel ning sisevõrgus asuv ülevõetud WiFi ruuter avab sissetungijale kõik uksed.

Paranoilisemad süsteemiadministraatorid seavad oma leviala perimeetrile üles mõned modifitseeritud tarkvaraga tugijaamad, et kuulata, mis ümbruskonna eetris toimub. Saadud andmete logisid analüüsitakse, et avastada näiteks kahtlased võrgukaardid, mis ainult kuulavad, aga midagi ei saada, samuti andmepakettide reetlikult lühikesed kontrolljärgud ning muud jäljed, mis viitavad rünnakule või selleks tehtud ettevalmistustele. Tavaliselt on sellisel süsteemiadministraatoril võimalus käsutada ka turskeid turvamehi, kes häire peale majast väljuvad ning ümbruskonnas luusivatele sülearvuti ja suundantenniga varustatud tüüpidele jõudu ja jätku leivale soovivad…

Paragrahvid

Loomulikult on e-tiigrina tuntud Eesti Vabariigi Karistusseadustikus ka võrgupättused ära mainitud. AP-de olemasolu ja nende poolt edastatavate eetriandmete (SSID, tootjafirma, krüpteerimismeetod jms) registreerimine, entusiastide keeles wardriving otsesõnu ebaseaduslik ei ole, võrguliikluse pealtkuulamine aga juba küll. Näiteks on karistatav arvuti, arvutisüsteemi ja arvutivõrgu ebaseaduslik kasutamine koodi, salasõna või muu kaitsevahendi kõrvaldamise teel (§217) – selle paragrahvi alla võiks ilusti mahtuda näiteks MAC aadressi võltsimine ruuterissedonnie.jpg sisenemiseks, samuti WEP ja WPA võtme lahtimurdmine. Karistatav on ka arvutivõrgu ühenduse kahjustamine (§207) ehk siis DoS rünnak või signaali segamine (jamming). Võõraste meilide ja kiirsõnumite lugemise eest ähvardab pätti sõnumisaladuse rikkumise paragrahv (§156), kui aga pealtkuulatud andmeid kasutatakse varalise kasu saamise eesmärgil (§213), võib kurikaela oodata juba kuni viieaastane puhkus ruudulise päikese paistel. Samuti ei tasu alahinnata Eesti politsei võimekust arvutikurikaelte tabamisel – arvutivõrku tungimise eest on juba kohtu ette viidud rohkem kui üks tegelane…

Pildil: Donnie Werner, arvutiturbeprojekti Zone-H turvaekspert. Donnie ei tegele häkkerlusega juba ammu, kuid kui näete oma maja ümber luusimas mõnd sarnaste kirjadega sülearvutit kasutavat tegelast, alarmeerige parem kohe turvateenistust.

Kuidas vähendada rämpsposti hulka postkastis

no_spam_200.jpgKlassikaliselt kutsutakse rämpspostiks ehk SPAMmiks (Simultaneously Posted Advertising Messages) soovimatult saadetud kirju. Enamasti sisaldab see kiri mingit toote või teenuse reklaami, kuid vahel võib ta sisaldada ka usukuulutust või olla lihtsalt tühi. Kui algselt sisaldasid sellised kirjad ainult reklaami, siis tänapäeval on hakanud koos nendega levima ka viirused. Järgnevalt vaatame, miks ja kuidas need kirju saadetakse ja kuidas nende hulka postkastis vähendada.
Miks spämmi saadetakse
Esimene spämmkiri saadeti üsna kohe peale interneti sündi – aastal 1978 – kuid massiliseks muutus see koos interneti levikuga 90-ndate teises pooles. Rämpsposti saatmise põhjused on üsna proosalised – kuna ühe e-kirja saatmise omahind on praktiliselt olematu, siis on tegemist sisuliselt tasuta reklaamikanaliga. Samuti saab seda reklaami saata anonüümselt, mis võimaldab reklaamida illegaalseid teenuseid või tooteid – pornograafiat, võltsitud litsentsidega tarkvara, püramiidskeeme, narkootikume jms. Kui algselt püüdis iga firma ise oma teenust reklaamida, siis tänapäeval on spammi saatmine muutunud tõsiseks äriks, kus liiguvad miljardid dollarid.
Millist kahju teeb spämm
Ehkki alguses võib tunduda, et keda need paar-kolm kirja ikka häirivad, siis tasuks mõelda selle peale, et internetiteenuste pakkujal on tuhandeid kliente ning spämmkirju, mida nad peavad vastu võtma ja edastama, on tegelikkuses mitmeid kümneid ja isegi sadu tuhandeid. Sellise hulga töötlemine muudab aga teenuse kasutajate elu ebamugavamaks – kuna ressurss läheb rämpsu jaoks, jääb õigetele kasutajatele sellevõrra vähem. Arvatakse, et ainuüksi 2004. aastal põhjustas spamm USA riigiasutustele kahju 10 miljardit dollarit. Siia hulka on arvatud nii otsesed kui ka kaudsed kahjud – näiteks kulud võimsama riistvara hankimisele, töö tulemuslikkuse kahanemine jne.
Kuidas spämmi vähendada

1. Kasuta spämmifiltrit
Spämmifiltrid otsivad e-kirja seest mingeid kindlaid tähe- ja/või numbrikombinatsioone (muster) ning kui nad mõne leiavad, siis märgistavad selle kirja spämmiks. Sellise märgistuse järgi on niisugust kirja lihtne suunata vastavasse, spetsiaalselt selleks otstarbeks mõeldud kausta. Päris ära kustutada neid koheselt ei tohiks, kuna, hoolimata sellest, et spammifiltrid on viimasel ajal vägagi intelligentseks muutunud, on nad siiski ekslikud ning vahel juhtub, et spammi hulka satub ka vajalikke kirju. Tänapäeval on suuremad teenusepakkujad hakanud oma klientide elu kergendama ja märgivad rämpspostiks juba postiserveritesse saabuvaid kirju. Samas kasutavad nad vahel veidi teistsugust tehnoloogiat – kirju märgistatakse ebasoovitavate arvutite nimekirja järgi. Sageli juhtub, et sellisesse musta nimekirja kantud arvutitelt ei võeta üldse kirju vastu. Seega juhul, kui keegi on saatnud kirja ja see pole kohale jõudnud, tasuks uurida, ega tema arvuti või teenusepakkuja pole musta nimekirja sattunud.
2. Ära avalda oma aadressi
Selleks, et kiri kohale saata, on vajalik teada aadressi. Neid aadresse korjatakse spetsiaalsete robotite abil kõikvõimalikelt veebilehtedelt, foorumitest, postitusnimekirjade arhiividest jne. Samuti on mitmed viirused kirjutatud spetsiaalselt selleks, et koguda kokku kasutaja e-posti programmi aadressraamatus või postikataloogides olevad aadressid ja saata need siis vastavale serverile. Lisaks sellele saadakse neid aadresse ka “heasoovlike” tuttavate käest – ka eestis on olnud reklaamikampaaniaid, kus palutakse mingi reklaam edastada 3-5-10-le sõbrale ning vastutasuks lubatakse osalemist loteriis (tasuta reis Türki vms).
Mida sellisel juhul teha? Püüdke võimalikult vähe levitada oma ja ka teiste e-posti aadresse. Samuti paluge oma tuttavatel oma aadressi mitte levitada. Enne oma e-posti aadressi sisestamist mõnele veebilehele tasuks mõelda, mida selle aadressiga edasi tehakse. Internetis suhtlemiseks võib kasutada mingisugust võltsaadressi või lisada sinna mingeid ainult inimesele arusaadavaid sõnu (näiteks: kustutasee). Juhul, kui kusagil internetis on siiski vajalik kasutada mingit toimivat aadressi (näiteks mingi programmi kasutajaks registreerimisel), tuleks sellisteks puhkudeks tekitada omale eraldi aadress, millele tulnud kirju on lihtne teise kausta juhtida ja neid sealt kustutada.
3. Hoia masin puhas
Nagu eelpool mainitud, on üks tüüpilisemaid aadresside hankimise viise mõne viiruse või troojalase kasutamine. Tänapäeval sisaldavad juba ka spämmkirjad ise sageli viirusi või linke lehtedele, mis nakatavad kasutajate masinaid. Taolised viirused tegelevad lisaks kasutaja postkastist aadresside edastamisele tavaliselt ka spämmi edastamisega. Tulemuseks on enamasti see, et kasutaja arvuti satub spämmifiltrite musta nimekirja. Selleks, et taolist asja vältida, tuleb kasutada pidevalt uuendatavat viirusetõrjet.
Kuidas saabunud spämmi käsitleda
Mitte mingil juhul ei tohi sellele vastata, samuti ei tohiks klikkida ühelgi kirjas oleval lingil. Kuigi paljudes kirjades on link “tellimise” lõpetamiseks, ei saa seda alati usaldada. Sageli annab see oodatule vastupidise tulemuse – spämmer näeb, et e-posti aadress toimib ka tegelikult ning hakkab sellevõrra rohkem pommitama. Kõige mõistlikum oleks sellised kirjad suunata eraldi kausta, kus oleks võimalik üle vaadata, et rämpsposti hulgas poleks vajalikke kirju, ning seejärel koheselt kustutada.

Rämpsposti teemat käsitleb laiemalt ka Digitark.