Kaspersky Security Bulletin

Kaspersky Security Bulletin 2006. Спам в 2006 году

  1. Развитие вредоносных программ
  2. Вредоносные программы для Unix-подобных систем
  3. Вредоносные программы для мобильных устройств
  4. Интернет-атаки
  5. Спам в 2006 году

Основные итоги года

  1. Доля спама в Рунете составляет от 70% до 80%. Минимальное значение доли спама (44,1%) было зафиксировано 4 января 2006 года, максимальное (91%) — 26 ноября 2006 года.
  2. Больше всего спама рассылается на адреса пользователей Рунета из России, США и Китая.
  3. 2006-й — год «графических» технологий в спаме.
  4. Cпамеры продолжают маскировать спамовые сообщения под личную переписку, чтобы заставить пользователя внимательно прочесть полученное сообщение и отреагировать так, как нужно спамеру (позвонить по телефону, кликнуть по ссылке и т.п.).
  5. Спам на разных языках имеет различия:
    • русскоязычный спам содержит предложения образовательных услуг и всевозможных товаров: от бюста Путина до переводчика собачьего лая;
    • англоязычный спам содержит рекламу акций, предложения виагры и дешевого софта.
  6. Юридические услуги и аудит — новая тематика в русскоязычном спаме.
  7. Криминализация спама усиливается. Спамеры Рунета эксплуатируют SMS-сервисы.

«Лаборатория Касперского» получает и анализирует от 300 до 600 тысяч спамерских сообщений в день, в некоторые дни число сообщений достигает миллиона. Материалом для анализа спам-трафика служат срезы различных по качеству и плотности почтовых потоков, предоставляемые нашими клиентами и партнерами, и спам, попадающий в специальные «ловушки». Весь спам, попадающий в «ловушки», автоматически классифицируется. Часть входящего потока дополнительно анализируется вручную. Уникальный рубрикатор спама позволяет во всех деталях исследовать количественное и тематическое распределение спамерских сообщений.

Доля спама в почтовом трафике: 70-80%

Прошедший год показал, что спам (в российском законодательстве понятие «спам» не определено, поэтому эксперты компании «Лаборатория Касперского» используют собственное рабочее определение этого явления; под спамом понимаются «массовые незапрошенные анонимные рассылки средствами электронных коммуникаций, прежде всего — по электронной почте») не собирается сдавать позиции. По данным «Лаборатории Касперского», его доля составляет не менее 70% от общего почтового трафика (за исключением нескольких дней новогодних праздников, а также эпизодических однодневных спадов).

Безусловно, это усредненные данные. На серверах бесплатных почтовых служб, которые являются излюбленными мишенями спамеров, доля спама может быть и выше, а на отдельных корпоративных почтовых серверах — ниже. Но ниже 50% от всей почты доля спама уже не опускается. Это высокий процент, и характерно, что, как отмечают аналитики «Лаборатории Касперского», аналогичная картина наблюдается как в Рунете, так и в западном сегменте Интернета.

Минимальное значение доли спама в Рунете — 44,1% — было зафиксировано 4 января 2006 года. Максимум составил 91% и был зафиксирован 26 ноября 2006 года. В целом график долевого распределения спама в 2006 году оказался более «плавным», чем в 2003-2005 гг.: он практически не содержит ярко выраженных подъемов и спадов продолжительностью более 1-2 дней. Единственный заметный спад на графике — это новогодние праздники.

Картина долевого распределения спама в 2006 году следующая:

  • в январе уменьшение доли спама до минимального в году значения 44% от общего объема почтового трафика (4-5 января);
  • затем скачкообразный подъем до пика в 86,4% в феврале (14-17 февраля);
  • еще несколько резких скачков с колебаниями от 63,8% до 81,2%;
  • выход доли спама в стабильную зону 70-80%, в которой она удерживается с марта до середины ноября;
  • при этом было зафиксировано общее незначительное повышение доли спама к концу июля 2006 года;
  • также в этом периоде не обошлось без нескольких скачков, связанных с особо массовыми спам-рассылками;
  • с середины ноября до конца года количество спама вплотную подходит к порогу 80%. «Пик» в 91% спама от всего трафика был зафиксирован 26 ноября.

Размер спамовых писем

Размер спамовых писем, как и легитимных сообщений, варьирует:

И в спаме, и в легитимной почте больше всего писем — около 35% — это сообщения, размер которых от 1 до 5 КБ. Кроме того, на диаграмме виден второй ярко выраженный пик (28,4%): спам, размер которого попадает в интервал от 10 до 20 КБ. У легитимных писем такого пика нет. Большое число спамовых писем, размер которых от 10 до 20 КБ, связано, в частности, с рассылками «графического» спама (см. далее).

Размер абсолютного большинства спамовых писем (95,6%) попадает в интервал от 5 до 40 КБ. В спаме гораздо меньше, чем в легитимной почте, как «легких» писем, размер которых не превышает 1 КБ (1% в спаме, 13,7% — в легитимной почте), так и «тяжелых» сообщений, размер которых превышает 80 КБ (3,4% в спаме, 16,3% — в легитимной почте).

Откуда рассылается спам

Среди стран-«спамеров», атакующих Рунет, лидерство принадлежит России (22%), 20% спамовых писем рассылаются из США, 11% — из Китая (отметим, что эти две страны возглавляют мировые рейтинги стран-спамеров).

Спамерские технологии 2006

Основные технологии генерации и рассылки спамерских сообщений в 2006 году остались прежними:

  • Для рассылки спамерских сообщений в основном использовались зомби-сети, то есть управляемые злоумышленниками зараженные персональные компьютеры, преимущественно находящиеся в домашнем использовании.
  • Трюки для обхода антиспамерского программного обеспечения по-прежнему состоят из автоматической генерации текста по заранее подготовленному шаблону, использования средств HTML для сокрытия от пользователя специального текста, предназначенного для обхода спам-фильтров, и размещения рекламного текста на картинках, вложенных в письмо.

На диаграмме показано распределение зомби-компьютеров, выявленных специалистами «Лаборатории Касперского», по странам:

По числу выявленных зомби-машин, с которых рассылался спам на адреса пользователей Рунета, Россия уступает США и Китаю. Возможно, это связано с тем, что в России широкополосный доступ в Интернет пока доступен только жителям больших городов, и спамерам невыгодно использовать для рассылки спама домашние компьютеры пользователей, не имеющих в своем распоряжении «быстрого» Интернета.

2006 — год «графического» спама

Хотя в 2006 году не появилось принципиально новых спамерских технологий, без «новинок» не обошлось: спамеры существенно усовершенствовали технику рассылки спама в виде графических вложений. Сама по себе идея размещать текст спамерского послания на «картинке», а не в виде собственно текста, не нова. Технология модифицируемого графического спама была опробована в 2003-2004 годах и тогда же была фактически заморожена, в основном из-за нехватки вычислительных ресурсов на генерацию разных картинок в ходе одной рассылки. Тогда спамеры достаточно быстро вернулись к использованию средств языка HTML.

В 2005 году спамеры в основном стремились обойти спам-фильтры за счет увеличения скорости рассылки спама. Однако в 2006 году большая часть антиспам-модулей стала реагировать на спам быстрее, чем раньше. По этой причине спамерам, которые уже не имели возможности принципиально увеличивать скорость рассылок, пришлось возрождать и развивать старые трюки по уникальному изменению каждого почтового сообщения.

В 2006 году спамеры снова сделали ставку на графику. Можно даже утверждать, что 2006 год прошел под знаком «графического» спама.

Наиболее успешными при использовании «графического» спама оказались две технологии:

  • доведенная до совершенства модификация графических вложений в пределах одной рассылки (в каждом отдельном образце спам-рассылки меняются параметры вложенной «картинки»);
  • новинка 2006 года — анимированный спам.

Кроме совершенствования формата спам-рассылок, спамеры в течение года все же вели работу над уменьшением времени отдельной спам-рассылки (новейшие спамерские технологии позволяют разослать сотни тысяч сообщений всего за несколько десятков минут), а также продолжили работать с текстом, успешно маскируя спам под личные сообщения.

Графические вложения в спаме: эксперименты с цветом и текстом

С начала 2006 года спамерами было сделано несколько попыток совершенствования технологий, использующих элементы графического представления спама. Это была замена отдельных букв в тексте их изображениями, использование на «картинках с текстом» редких шрифтов, например готического, наклон текста на «картинке» в спамерском сообщении на несколько градусов и многое другое. Практически, спамеры заново пошли по тому пути, который они осваивали в 2003 году. Судя по всему, в 2006-м эти попытки также не имели особого успеха, поэтому и серьезного продолжения не последовало.

К концу 2006 года спамеры довели почти до совершенства генерацию полиморфных «картинок» — с разным, динамически меняющимся фоном, разным текстом и т.п. Основная цель «графических экспериментов» спамеров — добиться, чтобы спам-фильтры а) не могли определить отдельные сообщения внутри спам-рассылки как несущие идентичное рекламное предложение и б) не могли выделить в тексте на изображении типичные спамерские ключевые слова и фразы (не могли применить OCR-технологии). С этой целью графические вложения с идентичным рекламным предложением изменяются по цвету фона, шрифта, размеру, даже по разбиению текста на строки. В своих попытках создать картинки, которые не ловились бы спам-фильтрами, к концу года спамеры зашли так далеко, что текст в некоторых письмах читать получателям стало сложно. Тем самым технология рассылки «графического» спама в очередной раз зашла в тупик.

Ниже приведены примеры нескольких сообщений с идентичным спамерским предложением, иллюстрирующие новую технологию спамеров:


Сложность фильтрации подобных спамерских писем была обусловлена еще и тем, что и с точки зрения структуры сообщений, и с точки зрения их оформления, к ним практически не было возможности придраться:

  • Заголовки писем почти идеально подделывались под одну из самых распространенных версий MS Outlook.
  • Точно так же и способ вставки картинки в почтовое сообщение повторял результат той же версии MS Outlook. Письмо не отличалось от письма, которое создал бы пользователь MS Outlook, если бы «кинул» картинку в текст письма мышкой.
  • Внутри писем, кроме картинок с рекламой, были разнообразные тексты, автоматически скаченные с популярных сайтов.

Производители антиспамерского программного обеспечения и крупнейшие почтовые провайдеры не стояли на месте и изобретали различные методы борьбы с подобного вида спамом. Во-первых, было выделено некоторое количество признаков, отличающих рассылаемые картинки от тех, которые обычно встречаются в легитимной почте: это мог быть большой объем текста, использование ограниченного количества цветов в картинке, необычное распределение цветов в палитре и т.п. Во-вторых, создавались методы группировки картинок, используемых для одной и той же рассылки, что позволяло пресекать ее по небольшому количеству образцов.

По сути, «новые» технологии для борьбы с «графическим» спамом, возникшие в 2006 году, продолжали развитие тех же наработок, которые остались после 2003 года.

Графические вложения в спаме: анимация

В августе 2006 года спамеры ввели «в эксплуатацию» технологию анимированного спама. Первые анимированные рассылки были зафиксированы аналитиками «Лаборатории Касперского» в конце августа 2006 года. Пик анимированного спама пришелся на сентябрь-октябрь, с ноября и до конца года количество и доля анимации резко уменьшились.

Спамеры использовали GIF-анимацию, т. к. она распознается и автоматически воспроизводится всеми популярными браузерами. Анимированное вложение содержало от трех кадров до нескольких их десятков. При этом значимым являлся один или всего несколько кадров, т.е. только они содержали информационную составляющую. Все остальные кадры были предназначены для «зашумливания» анимации. Они не несли смысловой нагрузки и содержали элементы фона, геометрические фигуры и т.п.

Значимые кадры демонстрировались пользователю от нескольких секунд до 10 минут, а вспомогательные — всего десятые доли секунды, и человеческий глаз просто не успевал их воспринять. Потом изображение ротировалось. Например, так выглядят три кадра из анимированного GIF-а:

К октябрю спамеры усовершенствовали технологию: текст спамерского предложения оказался разнесенным по разным кадрам, на каждом — по 1-2 строчки из рекламного письма. Кадры накладываются друг на друга, и в итоге пользователь видит полный текст спамерского предложения. В анимации по-прежнему сохранены «зашумленные» кадры в начале и в конце.

Скорее всего, эта мера предназначена для борьбы с OCR-технологиями, которые разработчики спам-фильтров могут противопоставить спамерам.

Несмотря на то что с появлением спамерской анимации все разработчики антиспамерского ПО столкнулись с определенными сложностями, с технической точки зрения проблема оказалась не так сложна, и серьезной угрозы для почты анимированный спам не представляет. Конечно, речь идет о почте, защищенной спам-фильтрами.

Спам и психология

Быстро отправить сообщение и доставить его, обойдя все фильтры, — важная часть процесса рассылки спама, но не единственная. Спамерам важно добиться, чтобы пользователь прочел спам и выполнил требуемые действия (позвонил, перешел по ссылке и т.п.).

В 2006 году спамеры продолжили осваивать психологические способы воздействия на получателей сообщений. В частности, чтобы привлечь их внимание и спровоцировать чтение писем, спамеры пытались заставить получателей поверить, что перед ними не спам, а личные сообщения. В начале года спамеры пользовались в основном примитивными приемами: добавляли в тему сообщения метки RE или FW как показатель того, что данное сообщение является ответом на предыдущую переписку или отправлено кем-то из известных адресатов. Но уже к середине года такие «простые» приемы дополняются более изощренной маскировкой.

Спамеры обратились непосредственно к тексту сообщений. Теперь некоторые спамерские тексты стилистически и лексически оформляются, как личная переписка. Часто такой спам не содержит обращений или содержит обращения вида «подруга», «малышка» и т.п., чтобы создать у пользователя иллюзию, что письмо было адресовано именно ему. Иногда в подделке под личную переписку упоминаются и имена. В любом случае, пользователь может захотеть разобраться, что это за сообщение, откуда, не надо ли его куда-то переслать, и, как минимум, прочтет экземпляр спама.

Ниже приведено несколько примеров спама, замаскированного под частное письмо:

Здравствуй, дорогая и любимая мамочка!

Пишут тебе твои дети Саша и Машенька. Знаю, у тебя много работы… просто хочу напомнить, что у Маши завтра День рождения и в этом году она идет в первый класс… Не забудь, пожалуйста, ее поздравить…

Наша жизнь, так перевернулась, после того, как ты перешла на новую работу. Папа говорит, что у тебя важная должность: ГЛАВНЫЙ БУХГАЛТЕР. Мы гордимся тобой мама!

Очень скучаем по твоей теплой улыбке, нежному голосу и ласке… Папа как всегда невкусно готовит, и вдобавок постоянно ругается непонятными словами: дебеты, кредиты, фегедиты…

А еще он говорит, что если бы твою программу 1С обслуживали грамотные специалисты с использованием современных технологий, то ты бы не задерживалась на работе.

Позвони им {xxx-xx-xx}, они тебе помогут, и приходи домой пораньше, мы тебе ужин приготовим… Пожалуйста… А?!!

С любовью,

твои дети Саша и Машенька.


Превед ДРУЖИЩЕ!

Помнишь ты сетовал на дороговизну расходки для Своей конторы?

Я нашёл ребят, которые помогают здорово сэкономить.

Представляешь, они мне заправили 3 картриджа за 900 рублей, оплату приняли безналом, все доки привезли, мой бух просто прется

Их номер {xxx-xx-xx}, Ты, если, что звони не стесняйся 🙂

Пока!

Среди спамовых писем, замаскированных под личную переписку, попадаются настолько убедительные образцы, что даже специалист может ошибиться при первом взгляде на текст, не говоря уже о не слишком опытных пользователях.

Тематическое распределение спама в 2006 году

Представление об основных тематических группах (тематическая группа объединяет спамерские сообщения, которые могут быть отнесены к одной и той же сфере деятельности; например, тематическая группа «Образование» объединяет спам с рекламой семинаров и тренингов, курсов иностранных языков, предложения учебных пособий и пр.) спамерских сообщений дает следующая диаграмма:

Тематическая группа Спам, составляющий «ядро» этой группы Процент
1 «Медикаменты; товары / услуги для здоровья» Реклама виагры, сиалиса и прочих таблеток 16,0
2 «Компьютерное мошенничество» Фишинг, «нигерийские» письма, поддельные уведомления о выигрыше в лотерею и т.п. 14,3
3 «Образование» Реклама семинаров и тренингов 13,2
4 «Личные финансы» Предложения купить акции по баснословно низкой цене 8,6
5 «Компьютеры и Интернет» Реклама дешевого софта и картриджей для принтеров 8,3

Лидирующие тематические группы 2006 года

Все тематические категории, попавшие в список лидеров, — это по большей части англоязычный спам (за исключением группы «Образование», включающей, в основном, русскоязычные предложения).

Аналитики «Лаборатории Касперского» полагают, что пользователи Рунета не являются целевой аудиторией англоязычного спама. Попадание англоязычных сообщений в их ящики объясняется общими масштабами спамерских атак. Рассылка спама — это не точечная атака, а некое подобие ковровой бомбардировки, цель достигается за счет количества разосланных сообщений. Сейчас счет идет на миллионы: типичное предложение спамерских услуг (из распространяемых по электронной почте) — разослать спам на 3-5 миллионов почтовых адресов.

Самый большой сегмент на диаграмме представлен тематической группой «Другие товары и услуги». В основном, это товарная реклама мелких производителей и продавцов: подогреватели для автомобильных сидений, малахитовые пепельницы, бюсты Путина и его же портреты из янтарной крошки, вечные фонарики, ручки с исчезающими чернилами, приборы для заплетания косичек и перевода собачьего лая на 5 языков и многое другое. Именно этот спам и являлся своеобразной товарной спецификой Рунета в 2006 году, объединяющей спамерские предложения на русском языке. Долгое время такой спам был слишком разнороден и разнообразен, чтобы выделить в нем четко очерченные тематические подгруппы, но к концу 2006 года сформировались новые тематические группы спама, типичные для Рунета. Это предложения юридических, риелторских и полиграфических услуг. За последние три месяца 2006 года доли этих предложений выросли до существенных значений и распределились следующим образом (по отношению ко всему объему спама):

Тематическая категория Октябрь Ноябрь Декабрь Среднее за три месяца
Юридические услуги и аудит 8,0% 2,1% 2,1% 4,0%
Недвижимость 5,0% 2,5% 2,3% 3,3%
Полиграфия 2,0% 2,0% 2,3% 2,1%

Лидирующие позиции в русскоязычном спаме занимают следующие тематические группы:

  1. Образование
  2. Отдых и путешествия
  3. Услуги по электронной рекламе
  4. Юридические услуги и аудит (на диаграмме включены в тематическую категорию «Другие товары и услуги»)
  5. Недвижимость (на диаграмме включены в тематическую категорию «Другие товары и услуги»)

Дальнейшая криминализация спама

Криминализация спама — это процесс, развивающийся практически с момента становления спамерской индустрии. Предпосылками криминализации являются такие черты спамерских рассылок, как анонимность и отсутствие эффективных средств законодательного контроля.

Признаки продолжающейся криминализации спама в 2006 году:

  • увеличение доли категории «Компьютерное мошенничество» (тематическая группа «Компьютерное мошенничество» объединяет фишинг, «нигерийские» письма, поддельные извещения о выигрыше в лотерею и подобные сообщения, целью которых является получение денег/персональных данных обманным путем) по отношению ко всем другим категориям;
  • появление новых видов мошеннического спама;
  • тенденция к криминализации спама других тематических групп (как это, например, происходит в настоящее время с тематической группой «Личные финансы»);
  • использование для распространения спама методов, нарушающих действующее законодательство разных стран (например, зомби-сети);
  • продолжающееся использование спама как инструмента для распространения вредоносных программ;
  • использование спама для кражи персональных данных (фишинг);
  • демонстрация спамерами своей способности к консолидации против угроз со стороны антиспам-разработчиков — ряд успешных атак на антиспам-сервис Blue Frog, приведших к закрытию проекта (подробнее см., например, «Конец «Синей лягушки»» и «Реинкарнация «Синей лягушки»»).

О некоторых из этих признаков подробнее будет сказано ниже.

Спам категории «Личные финансы»

Резкий рост спама тематической группы «Личные финансы» начался с августа 2006 года и продолжался до конца года. Вот так выглядит динамика роста доли этой группы за 2006 год:

Основную массу спама категории «Личные финансы» составили рассылки с призывами вложить деньги в акции (Stock Spam) — эти письма резко увеличили объем данной тематической группы. Например, в сентябре (начало «фондового» бума) доля «фондового» спама составила 66% от категории «Личные финансы» и около 9% от общего объема спама.

Спамеры агитировали пользователей электронной почты покупать акции малоизвестных компаний. Несмотря на то что эксперты предварительно отнесли этот спам к тематической группе «Личные финансы» (тематическая группа «Личные финансы» объединяет предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов, покупке акций и инвестициям и т.п.), этот вид спама явно тяготеет к криминализированному. Эти «агитки» содержат недостоверную информацию и умышленно завышенную оценку потенциального роста стоимости акций:

Криминализированный спам в Рунете

Одним из распространенных видов мошенничества в Рунете в 2006 году стала эксплуатация мифических уязвимостей в «денежных» системах (WebMoney, Yandex-деньги и т.п.). По утверждениям спамеров, подобные «уязвимости» позволяют увеличивать пользовательские счета на определенные суммы денег — пользователям якобы надо лишь положить деньги на указанный в письме номер кошелька и ждать прибыли. Неизвестно, каково происхождение этого мифа, но сказки о «волшебных кошельках» WebMoney широко распространились и, похоже, принесли спамерам немалую финансовую выгоду:

Отреагировать на такой спам может только очень неопытный пользователь, но число пользователей Рунета непрерывно растет. И многие из них неопытны, молоды и доверчивы.

Спамеры Рунета изобрели в 2006 году новые виды мошенничества, некоторые из них эксплуатируют исключительно российские реалии.

К осени на смену «волшебным кошелькам» пришли «магические SMS». Схема мошенничества осталась неизменной: спамеры под разными предлогами вынуждают пользователя перечислить деньги со своего счета на счет, принадлежащий спамеру. Только в данном случае перечисление денег происходит не с помощью онлайновых платежных систем, а с помощью специализированных SMS-сервисов (сервисов, предназначенных для перевода денег со счета мобильного телефона на другой счет — мобильный или иной).

При использовании SMS-сервисов для перевода денег необходимо отправить SMS с заданным содержанием на заданный номер. Чтобы убедить пользователя сделать это, спамеру нужен убедительный предлог. Например, автор этого спамерского сообщения информирует читателя о выигрыше в несуществующую лотерею (информация об использованном спамером платном номере, а также о номере его аккаунта в сервисе «Электронная копилка» скрыта):

Противостояние вне технической плоскости

Настоящий отчет в первую очередь затрагивает технические аспекты спам-рассылок и их содержательную часть. Но проблема спама шире этих рамок. Хотя в отчете нет возможности осветить все стороны этой проблемы, в частности юридические и социальные аспекты, некоторые события уходящего года были настолько значимы, что невозможно обойтись без их упоминания.

Российское законодательство против спама: первый шаг сделан

С 1 июля 2006 года вступила в силу новая редакция закона «О рекламе» РФ, и в этой редакции появился раздел (статья 18 «Реклама, распространяемая по сетям электросвязи и размещаемая на почтовых отправлениях» закона «О рекламе» РФ), регулирующий рекламу, «распространяемую по сетям электросвязи». Это значит, что спам впервые частично подпадает под действие российского законодательства.

Речь идет именно о части спама, т.к. закон «О рекламе» предназначен для регулирования отношений в сфере рекламного бизнеса и рекламных услуг. Не весь спам является рекламой (т.е. не весь соответствует определению понятия «реклама», как оно дано в тексте закона). Среди разновидностей спама есть и так называемый «политический спам», проверочные рассылки для валидации спамерских баз адресов, мошенничество и некоторые другие виды незапрошенной почты.

Спамеры отреагировали на изменения в законодательстве быстрее и активнее всех прочих пользователей Интернета. Начиная с мая 2006 года по Рунету активно распространялись спам-рассылки с рекламой собственно спамерских услуг. Основным доводом в пользу того, что необходимо заказать рассылку спама как можно быстрее, стало грядущее обновление законодательства. «Спешите заказать рассылку до вступления в силу нового закона о Рекламе. Работайте в рамках законодательства», — писали спамеры со ссылкой на текст поправок к закону. Доля рекламы собственно спамерских услуг плавно росла до начала июля, и, судя по всему, эта агитационная волна сыграла не последнюю роль в росте заказов спама в июне и июле.

Но уже к концу июля и дальше количество спама в почте поползло вниз. Возможно, заказчики спама пребывали в нерешительности и выжидали первых результатов вступления в силу поправок к закону, а возможно, они просто исчерпали рекламный бюджет на этот период. Истинную причину определить трудно, но факт остается фактом: к концу лета 2006 года спама стало меньше, и наиболее ощутимым это уменьшение оказалось в сегменте товарной рекламы.

Можно предположить, что спамеры оказались обеспокоены этим фактом и занялись активным поиском новых заказчиков. Этот процесс хорошо виден на графике, отражающем долю тематической группы «Услуги по электронной рекламе» в общем объеме спама в июне-августе 2006 г.:

И в этот раз спамеры так же апеллировали к новому законодательству, но уже в другом ключе. Спамеры практически описывали схему работы, при которой спам-рассылка будет произведена, а законодательство не будет нарушено. В основе этой схемы лежит формальное заключение договора на предоставление информационных услуг (а не рекламных), которые не подпадают под действие закона «О рекламе».

В сентябре 2006 года понижение доли спама в почтовом трафике остановилось, а к концу ноября доля спама выросла до 80% и более.

Создается впечатление, что в обновленном законодательстве пока не хватает реальных инструментов для исполнения закона. Также нет ясности, кто и как должен предоставлять пользователю оперативную информацию по той или иной спам-рассылке, чтобы у него были документальные доказательства для обращения к судебным органам. Пока технологические решения — программы, фильтрующие спам, — более понятны и удобны для потребителя, чем судебные разбирательства.

Спамеры объединяются и… выигрывают?

В мае 2006 года закрылся проект Blue Frog (см. http://www.spamtest.ru/document?pubid=186922917 и http://www.spamtest.ru/document?pubid=187626850). Это было антиспамерское решение, основная идея которого заключалась в создании списка почтовых адресов, владельцы которых не желают получать спам. Идея не новая, но авторы проекта реализовали ее с изрядной долей агрессии. На сайт заказчика спама, проигнорировавшего просьбу исключить тот или иной адрес из спамерской базы почтовых адресов, автоматически отправлялись тысячи запросов с персональных машин участников проекта. В некотором смысле, это аналог распределенной атаки, но только в отличие от анонимных хакерских атак, организаторы Blue Frog не скрывались и заранее предупреждали о своих намерениях. Можно спорить об этичности подобных методов борьбы со спамом, но в любом случае, по мере роста проекта и числа участников в нем, спамеры стали ощущать его эффективность. В итоге они перешли к ответным действиям.

Причиной закрытия проекта стала атака спамеров на основной сервер Blue Frog. Владельцы ресурса были озабочены тем, что участники проекта, которые внесли свои адреса в базу Blue Frog, могут пострадать от действий спамеров; аналогичные опасения были высказаны провайдером по поводу пользователей, не имеющих отношения к проекту. В итоге BlueFrog был закрыт.

История с проектом BlueFrog продемонстрировала способность спамеров к быстрой консолидации против антиспам-разработчиков. Это следует воспринимать как предостережение: кажущееся отсутствие связей между спамерами (по аналогии со связями между хакерскими группировками) — всего лишь видимость. На самом деле спамеры поддерживают контакты и достаточно сплочены, иначе они не сумели бы так быстро и организованно объединить усилия для борьбы.

Потенциальная возможность консолидации и централизации спамеров в международных масштабах несут новую угрозу безопасности электронных коммуникаций.

Прогнозы

Прошедший 2006 год показал, что в технологическом плане антиспам-разработчики уже сейчас сумели противопоставить спамерам надежную защиту. Но объем и доля спама не сокращаются, и проблему спама рано объявлять закрытой. Тенденция развития сегодняшней ситуации со спамом на следующий 2007 год очевидна:

  1. Вряд ли можно ожидать исчезновения спама из нашей почты или критичного сокращения его количества. Спамеры будут искать пути пробить защиту, антиспамеры будут успешно им противостоять.
  2. Появление принципиально новых спамерских технологий в 2007 году маловероятно, но уже существующие технологии будут развиваться.
  3. Судя по всему, спамеры продолжат разрабатывать «графическое» направление. Но особо перспективным для спама его назвать нельзя. Крупные разработчики антиспама вполне способны закрыть это направление для спамеров.
  4. Спамеры по-прежнему будут развивать технологию автоматического создания по шаблону большого количества вариантов связного текста для одной рассылки, возможно, с привлечением лингвистических алгоритмов, а не по наитию, как это делалось раньше.
  5. Криминализация спама продолжится, как в плане адаптации «англоязычных» спам-рассылок к российской действительности, так и в плане появления других специфических для Рунета видов компьютерного мошенничества.

Kaspersky Security Bulletin 2006. Спам в 2006 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике