Борьба с фишингом и мошенническими рассылками

В настоящий момент в Рунете представлены пять основных видов спама. Самая популярная и наиболее типичная его разновидность – рекламные письма, предлагающие купить тот или иной товар или услугу. Наиболее характерные примеры – спам от Центра Американского Английского или многочисленных туристических фирм, агитирующих за прекрасный отдых по низким ценам. В силу его распространенности именно на борьбе с ним и сконцентрированы усилия большинства антиспам-систем, и, как следствие этого, именно рекламный спам вынужден предпринимать максимум ухищрений для маскировки.

Второе место по распространенности занимает технический спам, то есть письма, возникающие не в силу чьей-то злой воли, а из-за неидеальной работы программного обеспечения. В первую очередь к такому спаму относятся сообщения о невозможности доставки тех писем, которые пользователь не отправлял (спамерские или вирусные сообщения с поддельным адресом отправителя). Несмотря на кажущуюся простоту задачи, автоматически отфильтровывать такие сообщения достаточно сложно – основная проблема заключается в невозможности сверки приходящих «отлупов» с реально отправленными письмами, поскольку как smtp мог быть использован и посторонний (провайдерский) почтовый сервер.

Пока еще экзотично, но набирает популярность использование спама для кампаний черного пиара. Конкуренты или недоброжелатели заказывают рассылку с текстом, основная мысль которого «политический деятель XXX (или компания YYY) – мошенники». Всплеск таких писем был во время прошлогодней украинской предвыборной кампании, но и в обычное время они иногда приходят. Почему-то чаще всех достается московскому интернет-провайдеру «Караван».

Безусловно следует признавать спамом «письма счастья» или «цепочечные письма». Их главная отличительная особенность – относительно небольшой размер первоначальной рассылки, массовость же достигается за счет просьбы переслать письмо всем, кто есть в адресной книге или контакт-листе инстант-мессенджера. Естественно, откровенно рекламные письма рассылать таким способом невозможно, обычно «цепочечные письма» носят эмоциональную окраску (самый яркий пример – поиски родителей нашедшегося в Таиланде мальчика в январе этого года), но иногда и скрытую рекламу (что-нибудь типа «передай всем, что в Москве повысился радиационный фон, не выходи из дома и пей больше йода, я в аптеке такой-то дешево его купил»).

И наконец, пятый распространенный вид спама – мошеннические рассылки (фишинг, «нигерийские» письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества). Такие письма, как правило, призывают пользователя совершить какие-то действия (чаще всего просто заплатить деньги), но не за реальные товары/услуги, как в случае рекламного спама, а за нечто эфемерное, не получив в ответ никакого результата.

Распределение спама, приходящего на сервера Mail.Ru, приведено на рис. 1.

Рис. 1. Тематическое распределение спама, приходящего на сервера Mail.ru

Это картина типичной недели при отсутствии какой-либо явной эпидемии. Отметим, что цифры рассчитывались по жалобам пользователей, этим объясняется заниженное количество «писем счастья» – на знакомых жалуются менее охотно, чем на безличную рекламу.

Опасность фишинга

Одной из разновидностей мошеннических писем является «фишинг» (английский вариант — phishing, от fishing — «ловля на удочку»). Целью фишинг-рассылок является выманивание у пользователей персональной информации (логины, пароли, пин-коды, номера кредитных карт) с тем, чтобы в дальнейшем использовать их для наживы. Фишинговые письма имитируют легитимные сообщения солидных организаций (банков, финансовых компаний). Как правило, такие письма содержат ссылку, кликнув на которую потенциальная жертва мошенников попадает на поддельную страницу, которая выглядит как страница на сайте организации, от имени которой было отправлено сообщение. На фальшивом сайте посетителю под тем или иным предлогом предлагается ввести в форму свои персональные данные, которые, в конечном итоге, попадают в базы мошенников.

С точки зрения простого подсчета количества писем в ящике, фишинг сейчас не кажется чрезмерно опасным. Обычных «писем счастья» среднему пользователю сейчас приходит существенно больше, а рекламных рассылок на порядок больше, чем фишинговых писем. Тем не менее, опасности фишинга уже сейчас следует уделить повышенное внимание, и для этого существует сразу несколько причин.

рис. 2. количественное распределение фишинговых писем

Во-первых, доля фишинга в России растет (см. рис. 2). На наш взгляд, индустрия фишинга в России еще не доросла до состояния отлаженного, постоянно работающего механизма (как это случилось с рекламным спамом). Когда это произойдет (скорее всего, в 2006-ом или 2007-ом году), доля такого спама стабилизируется на уровне, соизмеримом с рекламным спамом, а пока мы боремся только с «энтузиастами», которые испытывают естественные для любых малочисленных групп подъемы и спады. Однако готовиться к неизбежному лучше заранее, не закрывая глаза на проблему.

Во-вторых, каждое фишинговое письмо, оказавшееся в почтовом ящике, приносит существенно больше убытков, чем любой другой спам. Вообще, весь возможный минус от большинства видов спама – только потерянное на его прочтение/уничтожение время, плюс + расходы на оплату интернет-трафика). Фишинг же, не снимая этих потерь, добавляет возможность попасться на удочку мошенников, что, как правило, подразумевает достаточно серьезные проблемы — прежде всего, финансовые.

В-третьих, есть достаточно много чисто технических факторов, затрудняющих борьбу с фишингом, то есть при одинаковом допустимом проценте ложных срабатываний любая современная антиспам-система пропустит меньше рекламных писем, чем мошеннических.

Разновидности фишинга

Чтобы понять причины такого положения нужно вспомнить историю фишинга. Вероятно, впервые он появился в середине 90-ых годов в сети AOL. Сообщения подписывались администрацией этого сервиса и предлагали в разных вариациях прислать пароль от своего аккаунта, иначе он будет закрыт.

Со временем пользователи начали привыкать, что пароли в письмах обычно не отправляют, и эффективность такой ловушки начала падать. В ответ спамеры изобрели ее несложную модификацию: письмо уже не требовало пароля, а сообщало о каком-то событии на сервисе (новый перевод денег на PayPal, новое предложение на eBay и т.п.), требующее реакции пользователя, а рядом была ссылка, по которой следовало пройти, чтобы совершить необходимые действия. Ссылка естественно вела не на оригинальный сайт PayPal, а на копию его страницы, расположенную где-то под контролем спамера. На ней пользователь вводил свой логин и пароль (не испытывая никаких сомнений, авторизовываться по http он давно привык, а на URL в адресной строке мало кто смотрит), данные оказывались в базе данных мошенника, ну а пользователя кидало уже на настоящий PayPal, чтобы заметить обман и сменить пароль ему было сложнее.

Как альтернативный вариант на месте поддельного сайта могла быть просто страница, использующая очередную уязвимость в Internet Explorer и устанавливающая на локальный компьютер троян (для дальнейшей пересылки владельцу всех паролей или использования машины в качестве зомби-рассыльщика спама).

Для тех, кто все-таки смотрит на посещаемые им адреса сайтов, постепенно развивались методы маскировки URL’ов, чтобы сделать их более похожими на оригинальные. Начав с бесплатных хостингов и адресов типа paypal.boom.ru, в дальнейшем мошенники использовали адреса пародируемых сайтов перед собакой, то есть что-то типа http://www.paypal.com@34643.com/. В данный момент такая адресация запрещена в Internet Explorer и вызывает специальное предупреждение в Firefox, но несколько лет назад эта уловка отлично работала (а в одной из версий IE собаку можно было даже замаскировать полностью с помощью нулевого символа).

С помощью поддельных сайтов чаще всего пытаются одурачить пользователей интернет-банкинга (очень часто пародируется, например, Citibank). С поправкой на исправленные уязвимости браузеров, для обмана используется тот же арсенал, что и в западных аналогах так же без каких-либо значимых отличий.

К сожалению, в России продолжает работать и прямое выпрашивание паролей, образца AOL 90-ых годов. Зарегистрировав адрес типа mail.ru.admin@mail.ru и написав 100 «предупреждений о необходимости активации ящика» различным пользователям, все еще можно получить несколько ответов с реальными данными (а ведь контролируя почту, легко получить доступ и к другим регистрациям того же человека через системы напоминания пароля).

Другой вариант сбора паролей к почте – гуляющий из форума в форум текст (меняется только имя ящика-сборщика), рассказывающий о том, что, дескать, в системе восстановления пароля на Mail.Ru обнаружена ошибка, и если прислать на определенный ящик в определенном формате свой пароль и чужой логин, то можно получить пароль жертвы.

«Нигерийские» письма

Другой популярной схемой мошенничества были так называемые «нигерийские» письма, названные так по первому зафиксированному общественностью примеру (да и до сих пор Нигерия в «нигерийских» письмах фигурирует чаще любой другой страны). Спам был разослан от лица вымышленного высокопоставленного чиновника, который якобы сумел с помощью взяток и махинаций заработать достаточно большое состояние, но теперь находится под следствием и не может вывезти его из страны. Чтобы вывести деньги, ему нужен доступ к какому-нибудь банковскому счету, за предоставление которого он предлагает какой-то процент от общей суммы. Естественно, что получив желаемый контроль над счетом от доверчивого пользователя, мошенник не оставлял на нем ни копейки.

На российской почве отлично прижились аналоги «нигерийского» спама, только роль Нигерии у нас исполняет ЮКОС и окружение Ходорковского (письма подписываются именами членов его семьи или руководителей дочерних предприятий ЮКОСа), в остальном никаких отличий от «общепринятой» западной схемы мошенничества нет.

«Письма счастья»

Наконец, последний технологический прорыв спамеров –мошеннические рассылки в виде «писем счастья», самым ярким примером которого была недавняя эпидемия Golden Stream. Наверное все видели письмо, начинающееся со слов «Данное письмо НЕ является спамом. Это действительно выгодное предложение, от которого будет трудно отказаться. Это сообщение посылается вам только один раз, и если вы его проигнорируете, то, может быть, пожалеете об этом…». В нижеследующем тексте объяснялась простейшая пирамидальная схема – вам предлагалось заплатить 100 рублей автору письма (своему куратору), а потом переслать это письмо дальше, получив по 100 рублей со своих знакомых (стать их куратором) и какую-то часть прибыли от своих «подопечных» более низкого уровня. Пирамида обещает сделать миллионером каждого из своих участников. Особенностью рассылки было сочетание вреда от мошенничества (у получателей напрямую вымогали деньги) и эффективностью и фильтропроходимостью распределенной рассылки «писем счастья».

К сожалению, «письма счастья» не обошли стороной и М-Агент. Типичное сообщение такого рода, полностью скопировано из ICQ, выглядит примерно так: «Привет, передай всем, что номер 235234534 рассылает вирусы! Не добавляй его в контакт лист, или придется переустанавливать Windows». Самое забавное, что даже UIN приводится именно в таком, асечном виде, хотя в Агенте идентификатор пользователя – e-mail, а не какой-то номер. Мы пока не фиксировали мошеннических или фишинг-рассылок, но осуществить их очень несложно – достаточно добавить в изначальный текст фразу «подробнее смотри на таком-то сайте», а там уже расположить настоящий вирус. 80% пользователей сообщение проигнорируют, 10% обеспечат дальнейшую рассылку, а 10% клюнут на удочку.

Методы противодействия

Естественно, что борьба с мошенническими рассылками идет на основе обычных антиспамерских методов, в том числе используется богатейший опыт борьбы со стандартными рекламными рассылками. Наиболее близки к рекламе «нигерийские» письма, и против них хорошо работает практически весь традиционный арсенал – и списки запрещенных IP (RBL), и детектирование массовых рассылок (DCC), и лингвистический анализ, и методы сличения с образцами.

Несколько по-другому дело обстоит с рассылками поддельных уведомлений от банков или платежных систем. Будучи очень выгодными для спамера в пересчете на одно письмо, они могут рассылаться не слишком массово (а значит, и с хороших IP), а чтобы проскочить мимо лингвистического фильтра, их можно сделать точно совпадающими с реальными уведомлениями (за исключением ссылки). Хранение же соответствий образца уведомления и легального для этой рассылки IP – задача очень сложная административно, а для небольших почтовых систем – просто невозможная. Тем не менее, в какой-то мере все эти методы продолжают работать, а в сумме дают неплохой результат.

Рассылки по технологии «писем счастья» обычно неплохо ловятся по образцам и методами лингвистического анализа, но практически всегда они приходят с правильными заголовками и с благонадежных IP-адресов (ведь рассылаются-то вручную или почти вручную). Поэтому в комплексных системах блокируются они обычно позже, чем рекламные рассылки той же степени массовости.

Более того, против нас начинает работать старая идея об обелении «старых корреспондентов». Часто считается, что письмо-ответ на собственное письмо, или письмо, отправленное кем-то из адресной книги, не может быть спамом и должно проходить любые фильтры. В обычном случае это идея довольно здравая и способствует уменьшению false positives, но распространению «писем счастья» она только помогает.

Еще одна проблема заключается в том, что совершенно непонятно, как «наказывать» такого спамера. Если open relay или зомби-машину в бразильской DSL-сети можно было спокойно поместить в список запрещенных и забыть об их существовании, то для участника «счастливой» цепочки подобных мер нет. Закрывать ему ящик (даже если он пользуется нашим, а не конкурирующим сервисом) бессмысленно, он не поймет своей вины и в тот же день заведет себе новый. Занести в список запрещенных его адрес – неприемлемо, такая практика приведет к слишком высокому false positives, он же живой человек и обычные письма тоже пишет. Теоретически полезно было бы проводить с ним воспитательные беседы, но, увы, это нереально, так как количество необходимых бесед измеряется десятками и сотнями тысяч.

Интересно, что против «писем счастья» помогает простое ограничение числа отправляемых писем за единицу времени в публичных почтовых службах (а такого рода спам идет в подавляющем большинстве от них). По крайней мере, по количеству таких писем, приходящих нам от коллег, сразу было видно, стоит ли такое ограничение у них или нет. Естественно, подобные запреты не должны применяться в лоб, иначе первыми под него подпадут IP-адреса мобильных операторов. Но реализовать rate limit, даже со всеми поправками и исключениями, — несложная задача для любого почтового провайдера.

Еще хуже дело обстоит с вымогательством паролей от имени администрации. Письма эти очень часто адресные, почти всегда пишутся вручную. Некоторые почтовые службы борются с таким видом мошенничества, запрещая регистрировать определенные ящики (например, в некоторых почтовых службах запрещена регистрация имен, начинающиеся на admi). К сожалению, практика показала, что результатов этот подход дает мало, так как фантазия запрещающих фильтров ограничена, а мошенников – нет. Эффективность рассылки с адреса passadmin@mail.ru оказалась практически такой же, как с headpassword@mail.ru, хотя второй уже, казалось бы, совсем не похож на системный.

Подобным видам мошенничества можно противодействовать практически только социальными методами – долгие годы приучать пользователей, что никто никогда не спрашивает у них регистрационные данные в письме, что адреса администрации отличаются от адресов пользователей по формальному признаку, а не по красоте, что администрация любой службы всегда обращается к своим клиентам по имени-фамилии, а не безлично. Эту работу необходимо проводить, причем проводить всем Рунетом, однако очевидно, что результат она даст (если даст) лишь через годы.

Прогнозы на будущее

C точки зрения угрозы фишинга, дополнительную опасность представляет распространение поддержки нелатинских доменов и появление двойников у известных служб (eBay можно написать и с использованием русских «е», «а» и «у», например). Возможно, это приведет к необходимости предупреждать пользователя о кириллических адресах в тексте писем.

Внутри подвидов фишинга будет постепенно сходить на нет доля «вирусного фишинга» – современные браузеры выдают слишком много предупреждений перед тем, как запустить что-либо опасное. Зато популярнее становятся кредитные карты, а значит, популярнее станет и попытка их украсть. Количество поддельных сайтов Ситибанка обязательно будет расти в геометрической прогрессии.

Если нынешние тенденции сохранятся, то нам следует ожидать персонализации рассылаемых спамерских рассылок (для «писем счастья» это вполне реально – имена можно брать из адресной книги почтового клиента или почтовой службы). Та же программа, которая будет разбирать адресные книги, начнет модифицировать сам текст сообщений, и в итоге пройдет ту же эволюцию, что прошли рекламные письма (текст через пробелы, текст псевдографикой, текст картинками, цитаты из классиков и все остальные ухищрения, которые мы видели у последователей ЦАА).

Ответом на это будет соответственное усиление контентной фильтрации, еще сильнее упадет эффективность RBL. Повсеместно будут введены ограничения на количество отправляемых писем и количество адресатов в каждом из них. Но в ближайшие годы доля фишинговых писем в общем потоке спама скорее всего увеличится.