Kaspersky Security Bulletin, январь-июнь 2007. Спам в первом полугодии 2007 года

Итоги полугодия

1. Новые спамерские трюки: спам в виде фоновой «картинки», спам во вложениях (pdf и fdf) и др.
2. Минимальное значение спама — 62,9% — было зафиксировано 27 апреля 2007, максимальное — 86,0% — 11 февраля и 28 мая 2007.
3. Большая часть спама — это предложения виагры и других медикаментов (17,3% от всего спама).
4. Фишеры поворачиваются к Рунету: атаки на «Альфа-Банк» и «Яндекс.Деньги».

• Спамерские приемы и методы
• Долевое и тематическое распределение спама
• Фишеры заинтересовались Рунетом?
• Прогнозы на второе полугодие 2007

Спамерские приемы и методы

В первом полугодии 2007 года спамеры предприняли несколько попыток освежить технологии генерации графических вложений в спаме (спам «в картинках»). Например, в феврале 2007 года спамеры вспомнили об анимированной графике, практически заброшенной ими в конце ноября прошлого года. Новая разновидность анимации отличалась тем, что исходное изображение было разбито на фрагменты, которые оказывались повернутыми под разными углами друг к другу. В итоге в письме пользователь мог увидеть примерно следующее:

Ниже приведены отдельные кадры анимации из этой спам-рассылки:

Затем появились и другие варианты «графического» спама — в частности, спамеры пытались использовать разные, причем далеко не самые распространенные, шрифты:

Тем не менее, эти ухищрения не принесли успеха спамерам, и доля спама с графическими вложениями («*.gif», «*.jpeg» и т.п.) начала постепенно снижаться. В январе доля такого спама составила 33% от общего количества спама, но уже в марте этот показатель снизился до 25,7%, а в июне составил всего 18,8%:

Доля спама с графическими вложениями
в первом полугодии 2007

Основная причина падения доли «графического» спама — снижение его эффективности. Спам-фильтры различных производителей научились неплохо разбираться с вложенными графическими файлами и успешно блокируют спам «в картинках». Тем не менее, спамеры вовсе не собираются отказываться от вложений-изображений, а потому ищут новые пути доставки графической информации, помимо привычных уже вложений форматов gif и jpeg. В первом полугодии 2007 года появилось несколько новых способов доставки и/или демонстрации пользователю спамерской «картинки»:

1. Размещение графических файлов на страницах бесплатного хостинга изображений (например, imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com и т.п.). В теле спамерского сообщения указывалась ссылка на URL с «картинкой». Когда получатель открывал сообщение, в большинстве популярных почтовых клиентов изображение автоматически подгружалось с данного URL.
2. Использование спамерской «картинки» в виде фонового изображения письма. Графический файл не вкладывался в сообщение, а, опять-таки, публиковался на том или ином сайте. В теле сообщения был указан только URL сайта — как источник фонового изображения (атрибут «Background»). В результате изображение могло автоматически подгружаться в некоторых мейлерах, а также в веб-интерфейсах части почтовых служб.
3. Спам с вложениями формата «*.pdf». Этот вид вложений не открывается и не подгружается автоматически. Чтобы увидеть спамерский контент, пользователь должен самостоятельно открыть файл-вложение.
4. Спам с вложениями формата «*.fdf». В некотором смысле это аналог pdf-вложений, тем более что открыть fdf-файл и ознакомиться с его содержимым можно с использованием все того же Adobe Acrobat Reader.

При первых двух нововведениях спамерами делалась ставка на то, что изображение непосредственно не вкладывается в сообщение, а значит, у спам-фильтров не будет материала для анализа. В последних двух случаях графический файл хотя и приложен, но формат его таков, что он игнорируется многими программами фильтрации спама. В итоге полноценный анализ спамерского контента не производится.

Перечисленные приемы оказались достаточно эффективными в момент своего появления, но уже спустя несколько месяцев (а в некоторых случаях через несколько недель) спам-фильтры подстроились под спамерские новинки. Нельзя не отметить, что для наиболее «продвинутых» фильтров новые методы спамеров изначально не составили никакой проблемы. Например, серверный фильтр Kaspersky Anti-Spam изначально оснащен необходимыми средствами борьбы со спамом в pdf- и fdf-вложениях, что позволило ему противостоять новому виду спама без дополнительных программных модификаций.

Приведем пример спама в fdf-вложении. Так выглядит спамовое письмо (сообщение пустое, в нем нет текста):

И вот что находится во вложении:

Долевое и тематическое распределение спама

В первом полугодии 2007 года доля спама в основном продолжала удерживаться в уже привычном диапазоне — 70-80%. Причина такой равномерности — в меняющемся характере спама. Все большая его часть криминализируется и выходит за рамки традиционного рекламного жанра. Криминализированный спам не подчиняется законам рекламного рынка и практически не подвержен колебаниям, зависящим от сезонного спроса/предложения.

Минимальное значение доли спама — 62,9% — было зафиксировано аналитиками «Лаборатории Касперского» 27 апреля, максимальное — 86,0% — 11 февраля и 28 мая.

Доля спама в Рунете (первое полугодие 2007)

Рейтинг тематических рассылок-лидеров в первом полугодии 2007 года выглядит следующим образом (в скобках указан процент от общей доли спама):

1. «Медикаменты; товары и услуги для здоровья» (17,3%).
2. «Образование» (13,8%).
3. «Компьютеры и Интернет» (9,2%).
4. «Компьютерное мошенничество» (8,6%).
5. «Услуги по электронной рекламе» (8,3%).

Распределение тематик спама в Рунете
(первое полугодие 2007)

Традиционно велика доля спама тематики «Медикаменты; товары и услуги для здоровья». Наибольшую часть подобного спама составляет англоязычная реклама дешевых медикаментов (виагра, циалис и т.п.). Наряду с уже привычными англоязычными предложениями виагры и антидепрессантов спам данной тематики пополнился русскоязычной рекламой оздоровительных товаров и услуг, среди которых: массажные очки, пособия по отказу от курения и абонементы в фитнес-клубы.

Доля «медицинского» спама упорно росла с начала года. К концу полугодия она почти удвоилась — с 11,5% в январе до 21,4% в июне:

Доля тематики «Медикаменты; товары/услуги для здоровья»
в общем объеме спама в первом полугодии 2007

Второе место занимает тематика «Образование» — 13,8%. В эту категорию в основном вошли русскоязычные предложения тренингов и семинаров, а также англоязычные предложения «дипломов».

Тематика «Компьютеры и Интернет», оказавшаяся на третьем месте, в основном представлена англоязычными предложениями нелицензионного софта.

Замыкают пятерку лидеров идущие практически вровень тематические категории «Компьютерное мошенничество» (8,6%) и «Услуги по электронной рекламе» (8,3%). По-прежнему высокие показатели рекламы спамерских услуг — признак того, что спамеры продолжают искать все новых клиентов.

В течение полугодия неуклонно уменьшалась доля спама тематики «Личные финансы». В январе она занимала первое место с показателем в 13,3%, но с февраля «финансовый» спам сдает лидирующие позиции по объему и уступает место рекламе медикаментов.

К июню доля спама тематики «Личные финансы» сократилась до 3,7%. Рекордно низкий показатель — 1,1% — был отмечен в первой декаде месяца.

Доля тематики «Личные финансы» в общем объеме спама
в первом полугодии 2007

Такое сокращение обусловлено воздействием нескольких факторов:

• произошло насыщение спроса, т.е. даже излишне доверчивые пользователи потеряли интерес к этому виду спама и перестали реагировать на него;
• спам-фильтры разных производителей научились распознавать «финансовый» спам;
• официальные органы Канады и США в первом квартале 2007 года выразили обеспокоенность «финансовым» спамом и пообещали защитить инвесторов от этой угрозы. Это, несомненно, заставило спамеров задуматься о некотором риске.

Фишеры заинтересовались Рунетом?

В первом полугодии 2007 года было отмечено несколько попыток фишинга, направленного на сервисы, ориентированные преимущественно на пользователей Рунета.

В первом квартале была зафиксирована попытка фишинга по отношению к российскому банку. Это редкость, т.к. обычно мишенями фишеров становятся западные банки, обладающие развитыми системами online-банкинга и большим количеством клиентов, пользующихся ими. Целью атаки, состоявшейся в 20-х числах февраля 2007 года, стал «Альфа-Банк». Фишеры работали по классической схеме: рассылаемые ими якобы от имени «Альфа-Банка» электронные послания маскировались под письма от банковской администрации и содержали ссылку на фальшивый сайт. Фишинговая страница также была замаскирована — под официальный сайт «Альфа-Банка», а точнее, копировала стиль, реквизиты, тексты и прочее с сайта-оригинала. На поддельной странице пользователю предлагалось ввести свой аккаунт и пароль в веб-форму, после чего все данные отправлялись злоумышленникам.

В мае был зафиксирован ряд атак на платежную систему «Яндекс.Деньги». Цель их также была вполне стандартной: убедить пользователя ввести персональные данные в форму на фишинговом сайте и получить таким образом доступ к аккаунтам в платежной системе.

И в первом, и во втором случае те из пользователей, кто не распознал мошенничество, серьезно рисковали своими деньгами, а возможно и лишились части из них.

Попытки атаковать российские компании пока очень редки. В приведенном случае это, скорее всего, своеобразная разведка — попытка фишеров понять, подходят ли пользователи Рунета под категорию потенциальных жертв, а также выяснить, насколько популярны сервисы, позволяющие совершать денежные транзакции. Судя по тому, что мгновенного продолжения не последовало, пока фишеры остались недовольны уловом. Но не следует думать, что подобные попытки прекратятся. Через некоторое время — и вряд ли продолжительное — фишеры наверняка повторят пробу.

Прогнозы на второе полугодие 2007

Во втором полугодии 2007 года весьма вероятны дальнейшие попытки совершенствования спамерами графических технологий в рассылке спама. Вместе с тем они попытаются исследовать и опробовать и другие технологии. Возможны возвраты к «хорошо забытому старому», т.е. попытки возрождения старых трюков, приемов и технологий.

Не стоит ожидать серьезной угрозы от спама с pdf- и fdf-вложениями — доля такого спама уже сейчас демонстрирует тенденцию к дальнейшему сокращению.

Наметилась тенденция минимального таргетинга спам-рассылок. Особенно это касается компьютерного мошенничества и всех вариантов фишинга (например, фишинговые письма, ориентированные на клиентов «Альфа-Банка», рассылаются по пользователям Рунета; имеет место случай своеобразного геотаргетинга). Судя по всему, часть спам-рассылок может превратиться в целевые, т.е. ориентированные на конкретную социальную, географическую, возрастную, языковую и т.д. аудиторию. Впрочем, произойдет это не сразу, и, скорее всего, процесс займет длительное время.

Доля спама в общем потоке электронной почты не должна претерпеть резких изменений. Смена основных спамовых тематик, входящих в приведенную 5-ку лидеров, маловероятна.