Kaspersky Security Bulletin 2007. Спам в 2007 году

Основные итоги года

1. Доля спама в почтовом трафике в среднем составила 79%.
2. Больше всего спама рассылалось из США, России и Польши.
3. Доля «графического» спама в течение года уменьшалась.
4. Спамеры активно экспериментировали с форматами спама, однако их опыты не имели особого успеха.
5. Реклама виагры и других медикаментов продолжает возглавлять список наиболее популярных тематик спама.
6. В Рунете активно использовался предвыборный политический спам.

«Лаборатория Касперского» получает и анализирует около 2 миллионов спамерских сообщений в день, в некоторые дни число сообщений достигает 3 миллионов. Материалом для анализа служат срезы различных по качеству и плотности почтовых потоков, предоставляемые нашими клиентами и партнерами, и спам, попадающий в специальные «ловушки». Весь спам, попадающий в «ловушки», автоматически классифицируется. Часть входящего потока дополнительно анализируется вручную. Уникальный рубрикатор спама позволяет исследовать долевое и тематическое распределение спамерских сообщений.

1. Развитие угроз в 2007 году
2. Тенденция года: развитие вредоносных программ, ориентированных на кражу паролей к онлайн-играм
3. Спам в 2007 году
4. Вредоносные программы в электронной почте

Законодательство и спам

26 января 2007 года в России вступил в силу закон «О персональных данных», регламентирующий, в частности, электронную рассылку рекламы и агитационных писем. Там есть следующий пункт:

«Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено».

Закон «О персональных данных» (п. 1 ст. 15)

Этот пункт перекликается с законом «О рекламе», вступившем в силу 1 июля 2006 года:

«Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием».
Закон «О рекламе» (п. 1 ст. 18)

В обоих случаях декларируется обязательность предварительного согласия получателя. В Европе и США это называется OPT-IN. Надо признать, что обязательность OPT-IN значится в законодательстве далеко не всех стран Европы. Россия же, как мы видим, законодательно довольно уверенно борется со спамом. Но, к сожалению, зачастую строгость российских законов компенсируется необязательностью их выполнения. В чем мы и могли в очередной раз убедиться. Закон «О персональных данных» существует уже почти год, а спама меньше не стало. Напротив, статистика показывает, что количество спама продолжает увеличиваться.

Доля спама в почтовом трафике

Долевое распределение спама в Рунете в 2007 году

В 2007 году доля спама в почтовом трафике составила в среднем 79,2%. Меньше всего спама было зафиксировано в мае — 73,5%, самым урожайным на спам оказался ноябрь — 86,2%. В течение года доля спама в почте постепенно росла, хотя и с некоторыми колебаниями, и с осени превысила 80%. В четвертом квартале 2007 года доля спама достигла 85,7%.

Отметим, что при увеличении доли спама в почте с 76% в первом полугодии до 82% во втором, объем рассылаемого спама в течение года вырос примерно в 2 раза. Столь бурный рост связан с увеличением числа пользователей электронной почты, увеличением количества писем в целом, а также с ростом числа зараженных компьютеров, используемых для рассылки спама. Число пользователей Интернета растет, и все больше компьютеров попадает в зомби-сети, что, в свою очередь, позволяет быстрее рассылать спам.

Откуда рассылается спам

География источников спама

США и Россия по-прежнему держат лидерство по количеству рассылаемого спама. В 2006 году на третьей позиции в рейтинге стран-спамеров был Китай. По итогам 2007 года он занял лишь 9-е место. Видимо, китайские пользователи стали уделять больше внимания защите своих компьютеров. Третье место заняла Польша, которая, впрочем, уже не первый год входит в лидирующую пятерку.

Интересно, что во вторую десятку вошли в основном страны Латинской Америки.

Размеры спамовых писем

Распределение размеров спамовых писем

Размер 40% спамовых писем не превышает 5 KБ. Такие письма, как правило, включают небольшой текст и ссылку. Еще треть рассылаемых спам-сообщений имеют размер от 5 до 10 КБ. В эту категорию попадают письма с чуть более длинным рекламным текстом, либо письма с дополнительным случайным текстом (используется для обмана фильтров).

Таким образом, более 70% спам-сообщений состоят из небольшого по объему текста и ссылки. Спамеры предпочитают рассылать письма, размеры которых не превышают 10 КБ, по очевидным причинам: чем короче каждое отдельное сообщение, тем быстрее достигает получателей вся миллионная рассылка.

Еще один пик на графике (13%) составляют письма, размер которых составляет от 20 до 50 КБ. К этой категории относится «графический» спам, а также спам с вложениями (pdf, fdf), который активно рассылался в середине года (см. ниже).

Основные способы и технологии спам-рассылок

«Графический» спам

«Графический» спам — это спам-сообщения, в которых рекламный текст представлен в виде графического изображения. В начале 2007 года эксперименты с «графическим» спамом, столь популярным в 2006 году, продолжались.

В феврале спамеры вспомнили об анимированном спаме, состоящем из нескольких кадров, последовательная загрузка которых дает полную картинку с текстом рекламы. Спамеры усилили прием, развернув изображения на каждом из кадров под разными углами и сделав кадры максимально зашумленными. В результате картинка стала плохо читаема, и этот прием сошел на нет.

Ниже приведен пример анимированного спама с развернутыми под разным углом фрагментами изображения (итоговая картинка составлена из четырех отдельных кадров):

Спамовое письмо, состоящее из четырех отдельных кадров

К весне 2007 года спам-фильтры справлялись со спамом с вложенными графическими файлами вполне успешно, и спамеры были вынуждены искать новые способы доставки графической информации.

В марте появились спамовые письма, в теле которых указывался URL, ведущий на страницу бесплатного хостинга изображений (imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com и т.п.). Графический файл в такие письма не вкладывался, однако после того как пользователь открывал письмо, в большинстве популярных почтовых клиентов изображение автоматически подгружалось с указанного URL. Еще один вариант — использование «картинки» в виде фонового изображения. URL сайта, на котором публиковалась картинка, помещался в тег «body», атрибут «background». В результате изображение могло автоматически подгружаться в некоторых почтовых клиентах, а также в веб-интерфейсах части почтовых служб.

В обоих случаях ставка была сделана на то, что спамерское изображение не вложено в сообщение и у спам-фильтров нет материала для анализа. Однако большого успеха эти приемы не имели, и спамеры переключились на эксперименты с форматами вложенных файлов.

В мае появился pdf-спам. Пользователи получали пустые письма с pdf- (а позже еще и fdf-) вложениями. Непривычные к тому, что спам может выглядеть подобным образом, получатели открывали вложение и видели там все ту же рекламную картинку с текстом.

Приведем пример спама в fdf-вложении. Так выглядит спамовое письмо (сообщение пустое, в нем нет текста):

И вот что находится во вложении:

Сначала этот вид спама довольно успешно пробивал фильтры, и доля его от общего числа спама была высока. На пике популярности она составляла около 10%. Но спам-фильтры довольно быстро научились распознавать и ловить подобные вложения. Спамеры попытались изменять формат вложений, заменили pdf- на fdf-формат. Но фильтры успешно подстраивались под новый вид спама, и к концу июля подобный метод практически сошел на нет.

Также спамеры пробовали рассылать письма с архивированными вложениями и с вложенными Excel-файлами (в расчете на то, что пользователь привык к «офисным» файлам и откроет вложение). В обоих случаях спамеры не имели успеха, в основном потому, что большинство пользователей с опаской относились к нежданным письмам и вложений не открывали.

Доля «графического» спама в общем потоке спама

На диаграмме видно, что после активных экспериментов с «графическим» спамом в начале года, к концу года его доля в общем объеме спама уменьшилась. Тем не менее, она продолжает оставаться на приличном уровне. Поскольку есть категории спама, которые традиционно рекламируются с помощью картинок (например, реклама виагры и других медикаментов), спамеры продолжат использовать «графический» спам и наверняка будут с ним экспериментировать и дальше.

Mp3-спам

В октябре 2007 года появился совершенно новый формат спама – письма с вложенными mp3-файлами. Расчет спамеров был сделан на то, что ни спам-фильтры, ни пользователи не ждут подобного формата, и спам легко достигнет цели.

Однако новый формат оказался крайне неудачным. Чтобы спамовым письмам с вложенными mp3-файлами было легче обойти спам-фильтры, спамеры старались добиться отличия звуковых файлов друг от друга. Каждый файл состоял из нескольких фрагментов текста (возможно, автоматически созданного), совмещенных друг с другом в разном порядке и записанных с разной скоростью. В результате mp3-файлы получались такого плохого качества, что при прослушивании было практически невозможно понять, что на них записано. Кроме того, файлы были маленького размера, что также не способствовало хорошему качеству записи.

«Быстрые» рассылки

В августе 2007 года спамеры начали «ускорять» рассылки. Если раньше средняя рассылка занимала около двух дней, то письма из «быстрых» рассылок достигают ящиков миллионов пользователей за 15-30 минут. Это происходит как за счет улучшения спамерского софта, так и из-за увеличения числа компьютеров, с которых осуществляется рассылка.

Увеличение скорости рассылок принесло определенные результаты. И теперь на осуществление большинства рассылок спамерам требуется менее получаса. Но спам-фильтры научились справляться и с этим способом доставки спама — например, «Лаборатория Касперского» использует новую технологию SURBL, позволяющую реагировать на спам мгновенно. Так что в 2008 году спамерам придется придумывать новые методы.

Спам и социальные сети

В жестких условия фильтрации спама в электронной почте, спамеры вынуждены искать другие каналы распространения информации. Спамеры следят за тенденциями в Интернете и увлечениями своих потенциальных клиентов.

Раньше многие пользователи Интернета были участниками каких-либо форумов, и к ним приходил спам в виде уведомлений с форумов. Теперь же на пике популярности социальные сети. Спамеры не преминули использовать их в своих целях. Уже появились письма, пришедшие с якобы известных социальных сетей. Но на сайтах, упомянутых в таких письмах, расположены, скорее всего, зловреды.

Subject: Odnoklassniki.ru: у Вас новое сообщение
From: ancgnufxyb@borghese.com.hk

Добрый день!

Нина Бирюкова приглашает Вас присоединиться к списку её друзей на «Одноклассниках». Чтобы откликнуться на приглашение пожалуйста перейдите по ссылке: http://echoofhiscall.org/***.html Если указанная выше ссылка не открывается, скопируйте ее в буфер обмена, вставьте в адресную строку браузера и нажмите ввод.
Сообщение от пользователя:
—————————————————————
Превед, медвед! Заходи на мою страницу, повеселимся! И помни, сайт «Одноклассники.ру» – твой последний шанс засадить первой любви!
—————————————————————
Если Вы считаете, что данное сообщение послано Вам ошибочно, просто проигнорируйте его и все данные будут автоматически удалены.
—
С уважением,
Служба поддержки

Скорее всего, если популярность социальных сетей сохранится, спамеры будут активней их использовать. При этом спам, имитирующий уведомления сообщений с социальной сети, станет более правдоподобным и качественным. Кроме того, спамеры попытаются рассылать спам с легитимных аккаунтов, зарегистрированных в социальных сетях (именно так спамеры поступали с форумами). Социальные сети уже предпринимают попытки защиты от подобных явлений (например, на некоторых сетях есть ограничения на количество приглашений людей в день), но наверняка спамеры придумают способы обхода такой защиты.

Тематики спама

Лидирующие тематики в 2007 году:

Распределение тематик спама в Рунете в 2007 году

Доля спама различных тематик в 2006 и 2007 году

Как и в прошлом году, в 2007 году на первом месте оказалась тематика «Медикаменты; товары/услуги для здоровья». Она не просто сохранила лидирующие позиции: доля спама этой категории в течение года росла и по итогам года составила 23,3% (на 7,3% больше, чем в 2006 году). Львиная доля спама данной тематики — реклама виагры и других аналогичных препаратов, которую спамеры рассылают не первый год и, видимо, продолжат такие рассылки в будущем.

Доля спама тематики «Медикаменты; товары/услуги для здоровья» в спаме

В пятерке лидирующих тематик по-прежнему остаются «Образование» (11,7%) и «Компьютеры и Интернет» (8,7%), занявшие соответственно второе и третье место в рейтинге спам-тематик. Тематика «Образование» представлена, в основном, русскоязычной рекламой семинаров и тренингов и англоязычными письмами, в которых предлагаются дипломы о высшем образовании. К тематике «Компьютеры и Интернет» относятся по большей части англоязычные письма, предлагающие контрафактный софт. В Рунете в эту рубрику попадают также предложения купить расходные материалы, например картриджи для принтеров.

На пятое место вышла тематика «Услуги по электронной рекламе» (самореклама спамеров — 7,2%). Это плохая новость, поскольку спам этой тематики в Рунете представлен в подавляющем большинстве письмами на русском языке, и относительно высокая доля таких писем означает, что, несмотря на принятые в России законы против спама, спамеры активно ищут клиентов.

Из пятерки лидеров исчезли темы «Личные финансы» и «Компьютерное мошенничество». Остановимся на них немного подробнее.

«Компьютерное мошенничество»

В рубрику «Компьютерное мошенничество» попадают фишинговые письма и спам, используемый для реализации различных мошеннических схем выманивания денег у пользователя: «нигерийские» письма, поддельные извещения о выигрыше в лотерею и т.п.

По итогам года на долю мошеннических писем пришлось 6,9% — практически в два раза меньше, чем в прошлом году. Однако, несмотря на оптимистичные показатели, мошенничество с помощью спама стало более опасным: злоумышленники продолжают оттачивать свое мастерство и все чаще проводят целевые атаки.

Фишинговые письма все труднее отличить от легитимных сообщений даже грамотным пользователям. Адреса, ведущие на фишинговые сайты, замаскированы так, что пользователь не всегда может заметить подделку, а поддельные сайты практически неотличимы от настоящих.

Фишинговое послание, ориентированное на клиентов U.S. Bank

В этом примере ссылка ведет не на указанный сайт, а на сайт фишеров http://www.usbank.com.ebanking-services-id730325379.usertech.md/client.cfm. Ссылка очень похожа, и только очень внимательный пользователь заметит, что после «com» следует не слэш, а точка; и значит, домен, на который попадает пользователь, совсем другой.

В 2007 году активизировались русскоязычные фишеры, которые провели в течение года ряд атак на пользователей систем WebMoney и «Яндекс. Деньги». Кроме этого, злоумышленники неоднократно пытались получить доступ к почтовым аккаунтам пользователей, под различными предлогами от имени администрации почтовых систем запрашивая у них логин и пароль.

Надо заметить, что мошенники использовали рассылки от имени администрации известных почтовых порталов не только для получения конфиденциальной информации, но и пытаясь украсть деньги напрямую. В приведенном ниже письме пользователю предлагается послать SMS на короткий номер, якобы для того, чтобы включить специальную защиту своего ящика. В результате, отправив SMS, жертва мошенников просто переведет деньги со своего телефона на счет спамеров.

Subject: К вашему почтовому ящику хотели получить доступ злоумышленники!

Вас беспокоит отдел безопасности системы Mаil.ru!

Информируем Вас о том, что ваш аккаунт в нашей почтовой системе пытались взлoмать, или же Вы пытались войти используя неверный пароль множество раз.

Письмо написано нашим сотрудником, нас волнуют проблемы наших пользователей и мы стараемся им помогать! Если Вы не пытались войти в свой ящик используя неверный пароль, то, как можно быстрее заблокируйте атаку на свой ящик, выполнив следующие:

1)Найдите мобильный телефон с поддержкой cмс сообщений.

2)Пошлите бесплатное сообщение с кодом 00598520982 на номер ****.

Данное число уникально, зарезервировано специально для вас, оно будет действовать в течении 10 минут, начиная с прочтения письма.

После 10 минут данное число будет уничтожено и Вы больше не сможете защитить свой аккаунт, включив Взлoм-Защиту.

С уважением, Роман.

Отдел безопасности

системы Mail.Ru.

Доля тематики «Компьютерное мошенничество» в спаме

Как можно видеть на графике, доля спама категории «Компьютерное мошенничество» понижалась с апреля по сентябрь, однако в четвертом квартале ее показатели были нестабильны и в декабре достигли значимых 9,2%. Так что, скорее всего, в следующем году эта рубрика вновь вернется в группу лидеров.

«Личные финансы»

К категории «Личные финансы» относятся предложения выгодного кредитования, страхования, займов и закладов. Но большую ее часть составляет так называемый Stock Spam, используемый при реализации схемы «накачки и сброса». Эта, по сути, мошенническая схема, не самая актуальная для России, не без успеха применяется спамерами в Европе и США с августа 2006 года. Несмотря на относительно небольшую долю «финансового» спама в общем потоке мусорной почты, с его помощью мошенникам удается неплохо наживаться на продаже акций, цену которых они искусственно повышают с помощью спама.

Доля «финансового» спама в общем потоке спама

Падение весной и летом 2007 года доли спама категории «Личные финансы» обусловлено, возможно, тем, что этот вид мошенничества привлек внимание властей Канады и США, и в первом квартале 2007 года они выразили обеспокоенность «финансовым» спамом и пообещали защитить инвесторов от этой угрозы. Однако уже осенью доля такого спама вновь начала расти.

«Финансовый» спам всегда был на особом счету у спамеров. В 2007 году на нем оттачивались все новейшие спамерские приемы: именно этот вид спама рассылался в графических форматах jpeg и gif, и в pdf и fdf вложениях. И это единственная категория спама, которая рассылалась в mp3-формате! Остается неясным, то ли в штате именно биржевых спамеров работают такие креативные люди, то ли биржевая тематика – всего лишь случайным образом выбранная тестовая рубрика.

Политический спам в Рунете

Говоря о тематиках спама, невозможно не упомянуть политический спам, который был популярен в Рунете в связи с выборами в Государственную Думу РФ. Конечно, доля его не столь велика, чтобы это как-то отразилось на статистике, но был он весьма интересным и разнообразным по содержанию.

В российском политическом спаме нам встречались:

• Завлекающие обещания политических партий:

  «Выбирай Союз Правых Сил 2-го декабря и сразу сможешь арендовать себе отдельное жилье!».

• Информация о конфликтах местного значения с участием крупных политических партий:

  «400 человек протестовали против точечной застройки в Екатеринбурге. Непосредственную помощь в организации митинга жильцам оказало Свердловское региональное отделение партии «ЯБЛОКО»».

• Программа ЛДПР.
• Националистические призывы к войне:

  «Каждый, кто читает это письмо, должен понимать: ПРИШЕЛ ВРАГ, и ему нужно оказать сопротивление. Иначе все мы обречены».

• «Черный» PR и рассылки, проводимые с целью вызвать негативную реакцию у получателей. Например, в одной из рассылок от имени партии СПС ссылки в письмах вели якобы на партийный сайт, в котором постоянно всплывали окна. В результате зависали браузеры пользователей, выходивших на этот сайт.Политический спам Рунета обладает рядом особенностей.

  Во-первых, при осуществлении «политических» рассылок спамеры практически не использовали трюки. Это свидетельствует о том, что заказчики таких рассылок не считают свои письма спамом. В частности, представители ЛДПР подтвердили факт рассылки, но подчеркнули: рассылались «информационные письма, с помощью которых мы информируем своих избирателей о нашей партийной программе».

  Определение спама не дано законодательно в России, во многих же странах, где подобное определение есть (например, в США), спамом считаются только рассылки, носящие коммерческий характер. Тем не менее, законы относительно спама в России есть, и даже более суровые, чем в США. Политический спам действительно не подпадает под действие закона «О рекламе» РФ, но его рассылка противоречит закону «О персональных данных». Этот закон ограничивает незапрошенное распространение не только коммерческой, но и вообще любой рассылки.

  Во-вторых, если объем текста в обычном спам-сообщении, как правило, небольшой, то тексты предвыборных спамовых писем были как среднего, так и большого объема. Самое длинное письмо составило около 13 страниц. Очевидно, заказчики «политических» рассылок полагали, что их письма пользователям будут интересны.

  И, в-третьих: помимо традиционного способа проведения рассылок с помощью ботнетов, при рассылке политического спама использовался так называемый «цепочечный» метод, при котором в сообщении содержится просьба разослать его своим знакомым.

  Англоязычный политический спам также встречался в этом году, но его, конечно, было значительно меньше.

  Прогнозы

  2007 год показал, что эксперименты с различными форматами спама не приносят особой пользы спамерам: спам-фильтры довольно быстро начинают реагировать на новые виды угроз, полностью защищая компьютеры пользователей. Развитие ситуации со спамом на 2008 год будет таково:

  1. Количество спама в почте в следующем году останется на таком же высоком уровне, как и в последнем квартале 2007 года, возможно, даже незначительно увеличится.
  2. «Гонка вооружений» продолжится: спамеры будут придумывать новые методы, спам-фильтры — бороться с ними.
  3. Вероятно, спамеры будут наращивать скорости рассылок и увеличивать количество писем в одной рассылке.
  4. Возможно, спамеры продолжат разработку «графического» спама. Хотя в этом году доля «графического» спама снизилась, это направление по-прежнему остается привлекательным для спамеров. Однако крупные разработчики антиспамового ПО вполне способны закрыть это направление для спамеров.
  5. Спамеры будут продолжать следить за современными тенденциями в Сети. Так, скорее всего, популярным станет спам, использующий «социальные сети».
  6. Спамеры вспомнят старые методы – ссылки на странички на бесплатных хостингах, искаженный и изменяющийся текст.
  <<< Тенденция года | Вредоносные программы в электронной почте >>>