Спам и фишинг

Компромат в спаме

В последние годы методики и программное обеспечение, исходно разработанные для спамерских рассылок, используются и для распространения компрометирующей информации. Кто и как занимается этой «грязной работой», можно ли — и как — бороться с этим явлением?

Кто рассылает компромат?

Как правило, на сайтах, рекламирующих спам-рассылки, ничего не говорится о готовности этих «служб» разослать компрометирующие материалы. Лишь на одном из просмотренных нами ресурсов мы нашли предложение таких услуг, разъяснение того, что именно, по мнению спамеров, относится к черному PR, и соответствующий прайс-лист.

Отметим, что услуга «насоли врагу своему» стоит в пять раз дороже, чем обычная рекламная спам-рассылка.

Некоторые черты компромата в спаме

Электронные письма компрометирующего содержания распространяются массово, анонимно и незапрошенно, как и любая спам-реклама. При этом большая часть получателей не имеет никакого отношения к атакуемому лицу или организации и даже не слышала о них. Исключение составляет компромат на публичных лиц и нападения на сетевые ресурсы, когда письма отправляются именно пользователям компрометируемого сайта.

Обычно такие письма анонимны. Компрометируемому остается только догадываться, кто избрал его в качестве мишени для нападок, он не может ни отразить их, ни напрямую обратиться к своему тайному врагу. Недоброжелатель же чувствует себя в безопасности: он предполагает, что не будет обвинен в клевете или недобросовестной конкуренции.

Чтобы придать правдоподобность зачастую заведомо ложной информации, в компрометирующих письмах используются приемы социальной инженерии.

Способы компрометации

Чаще всего в компрометирующем письме сообщается, что пользователь может пострадать от действий обличаемого (или очерняемого) лица.

Но есть и другой способ испортить репутацию недругам или конкурентам, а именно — рассылка от их имени провокационных писем. Чтобы сделать поддельное послание похожим на настоящее, спамеры подставляют в него адрес «отправителя», используют принадлежности рассылок, проводимых компанией, — логотипы, автоподписи, сопровождающие иллюстрации. Подобные письма невозможно отличить от настоящих по формальным признакам, их выдает только содержание, которое носит нарочито провокационный характер.

Для владельцев сетевых ресурсов последствия таких враждебных акций могут оказаться плачевными: провайдеры часто отказываются от сотрудничества с ними, и сайты приходится переносить на новых хостинг. Логика провайдера, как правило, следующая: «Если доказать непричастность владельца домена к рассылке невозможно, проще заблокировать его домен, чтобы другие клиенты не пострадали от занесения адресов в списки запрещенных».

Жертвой подобной атаки может стать любой сетевой ресурс. Так, с сентября 2006 года от имени администрации одного из популярных интернет-форумов стали рассылаться письма с провокационным содержанием:

Здравствуйте козлы!

Вас приветствует www.*******.net снова!

Ждите от нас новых рассылок. Скоро мы вам расскажем, что вам нужно делать на форуме и научим как надо себя вести на нашем форуме. Ну а если вы уже знаете что надо делать, то вам нужно пригласить своих друзей на дружественный форум http://forums.*******.net? Чем больше друзей вы приведете, тем легче вам будет!

Прежде, чем приходить на форум, ознакомьтесь с правилами: http://forums.*******.net/precepts.php а потом регистрируйтесь: http://forums*******.net/profile.php?mode=register&agreed=true

Будете жаловаться на форуме на спам — жалобы удалим, а вас забаним! Если вы не понимаете о чем идет речь, то заведите себе новый email ящик.

Желаем вам удачного дня,
команда *******.NET!

В поле «from» спамер подставлял адрес электронной почты администрации сайта.

Злонамеренные письма периодически рассылались в течение двух лет. Сначала они приходили только участникам форума, но потом их стали получать и пользователи, не имевшие никакого отношения к форуму. Несколько раз после многочисленных жалоб на ресурс провайдеры разрывали договор с владельцами сайта, в результате форум прекращал свою работу на время, уходившее на поиски нового хостинга.

Человека, который рассылал спам от имени форума, удалось обнаружить в Канаде. За свои действия ему пришлось отвечать перед полицией. Но в большинстве случаев привлечь виновных к ответственности за рассылку подобных материалов трудно: слишком сложно доказать их причастность к незапрошенной рассылке компрометирующего характера.

Виды компромата

Политический компромат

Политический компромат существовал еще до возникновения электронной почты и был просто перенесен в новую, электронную, среду.

Письма, направленные на борьбу с политическими конкурентами, стали появляться в Рунете, начиная с конца 2003 года. Они не раз наводняли почтовые ящики пользователей накануне выборов и других крупных общественных событий. Такие послания также делятся на два сорта: в одних политический соперник очерняется напрямую, другие представляют собой подделки, написанные от имени соперника (например, лидера партийного движения).

В письмах-подделках используются следующие приемы: преувеличение положительных качеств политика, превращающее их в отрицательные; небольшие изменения в слоганах или программе, приводящие к искажению их смысла до прямо противоположного; намеренное искажение целей, с которыми члены партии совершали те или иные поступки; использование каламбуров, придающих названиям или именам негативный оттенок. Политик — лицо публичное, и его политическая карьера, которая часто зависит от мнения большинства, может быть испорчена именно с помощью массовых акций. Спам-технологии тут играют на руку недобросовестным конкурентам.

Последний всплеск политического компромата в спаме был зафиксирован в России осенью 2007 года во время предвыборной гонки в Государственную Думу. Тогда особенно яростной атаке подверглась одна из партий, от имени которой массово рассылались сообщения с провокационными политическими лозунгами. В письмах присутствовала ссылка, похожая на адрес главной страницы партийного сайта. Если получатель кликал по ссылке, то попадал на сайт с баннерами, на которых были изображены слоганы партии. Из-за постоянно всплывающих лозунгов страницу невозможно было закрыть без перезагрузки системы. Таким образом эффект навязывания партийной программы создавался двумя способами: сначала массовой рассылкой, длившейся в течение нескольких дней, а затем с помощью сайта, с которого невозможно было уйти.

Дорогой избиратель! 2-го декабря пройдут выборы в Государственную Думу Российской Федерации.

Очевидно, полит. программа СПС – самая сильная и только недальновидные люди этого не понимают!

Проголосуешь за Союз Правых Сил 2-го декабря – сразу сможешь арендовать отдельную квартиру!

Проголосуешь за Союз Правых Сил 2-го декабря – через год после начала трудовой деятельностисможешь приобрести машину!

Проголосуешь за Союз Правых Сил 2-го декабря – через пять-шесть лет сможешь купить собственную квартиру или дом! (перейти к программе партии)

Многие критикуют за желание достучаться до каждого из вас. Даже в нашей партии некоторые коллеги поддаются этой рефлексии, не осознавая до конца трагизма отсутствия настоящей свободы слова. Но нас не сломить! Во имя спасения страны, ушедшей от завоеваний 90-х годов, мы будем продолжать наше правое дело!

Если на кону стоит будущее народа и всем необходимо понять и поддержать те ценности, за которые выступает Союз Правых Сил, то без непосредственного общения с избирателем не обойтись! В первую очередь в этом заинтересованы Вы! На телевидении цензура, в прессе – тоже самое. В таких условиях у настоящих защитников демократии остаются в резерве лишь письма, звонки и т.д.

Однако после 2007 года волна писем, компрометирующих публичных лиц, пошла на убыль вместе с остальным спамом, связанным с политической жизнью.

Компромат на «обычных» людей

В конце 2007 года в Сети стали появляться сайты, содержащие так называемые «списки запрещенных» работников разных специальностей. В подобные реестры любой интернет-пользователь может занести когда-либо не угодившего ему сотрудника, пояснив, по каким параметрам он оценил его неспособность к исполнению тех или иных обязанностей. Возникновение таких ресурсов повлекло за собой и появление соответствующих рассылок, — перспектива донести свое негативное мнение о конкретном человеке до широкой публики оказалась привлекательной (ведь число адресов в спамерских базах гораздо больше, чем число читателей заметки на малоизвестном сайте).

В тех случаях, когда персональный черный пиар рассылался от имени организаций, были проведены точечные проверки, которые показали, что ни руководство компаний, ни отдел кадров не имели к рассылкам отношения, последние представляли собой частную инициативу и сведение счетов. Нужно сразу оговориться, что подобные письма носят ярко выраженный клеветнический характер, все недостатки, перечисляемые в них, заведомо утрированы в расчете на то, что это произведет впечатление на получателя. Однако авторы писем не боятся обвинений в клевете — доказать их отношение к анонимным посланиям очень сложно.

Для пущей убедительности заказчики рассылок иной раз прикладывают к письму факсимиле подписей бывших коллег компрометируемого, его личные данные и фотографию. При этом, если на сайтах со списками запрещенных все-таки вывешиваются предупреждения о возможном ложном характере обвинений, то получателей спамовых писем, конечно, не предупреждают о возможной недостоверности информации.

Это письмо адресовано родственникам, друзьям, знакомым, коллегам по работе {ФИО}, а так же руководителям предприятий и кадровым агентствам Санкт-Петербурга, Москвы, Калининграда.

Руководство завода «*****» в Санкт-Петербурге, на котором работал {ФИО} в период с января 2006 г. по март 2008 г. в качестве менеджера по закупкам, считает своим долгом проинформировать всех кто знает этого человека и может столкнуться с ним по работе или в жизни о ЕГО НЕПОРЯДОЧНОСТИ.

{ФИО, паспортные данные}

Мы приводим полные данные для идентификации вышеуказанного гражданина кадровыми агентствами и отделами кадров предприятий, на которые он может попытаться устроиться.

Во время работы на нашем предприятии {ФИО} был наделен большими полномочиями, пользовался доверием, не был обижен заработной платой, имел хорошие перспективы роста, но, к сожалению, использовал свои возможности в корыстных целях. Он был уличен в махинациях по присвоению значительных денежных сумм.

Во время проведения служебного расследования, он использовал подлог документов, а когда понял, что оправдаться не получится, скрылся, напоследок присвоив еще и имущество предприятия (дорогостоящую компьютерную технику).

По результатам расследования выяснилось следующее: {ФИО}завышал стоимость закупаемых сырья, материалов и услуг, присваивая значительные денежные суммы, в виде «откатов» наличными. Сумма общего ущерба предприятия составила несколько млн. руб.

В настоящее время его вина не вызывает сомнений и подтверждена многими организациями, которые {ФИО} фактически принуждал следовать выдвигаемым им условиям шантажируя тем, что в противном случае он не станет с ними сотрудничать.

Доказаны также факты, уличающие {ФИО} в тотальных подлогах товарных и денежных документов, имевших одну единственную цель — личное обогащение за счет предприятия.

В настоящее время {ФИО}, бросив квартиру и машину, скрывается вместе с женой и маленьким ребенком (дочери немногим больше года). Такое отношение к своей семье, по нашему мнению, характеризует вообще его отношение к людям.

Данным сообщением мы хотим, не только уведомить всех кто знает {ФИО} о его истинном лице, но также предотвратить возможность совершения им подобного в будущем.

Кроме того, спамеры нашли еще один способ компрометации «заказанных» лиц. В октябре 2007 года интернет наводнили письма, в которых, вкупе с номером контактного телефона, содержались предложения продать почку или девственность. Суть таких сообщений та же — стремление выставить неугодное кому-то лицо в дурном свете.

Донорство. Продам почку.
Тел.: {tel}
Звонить в любое время.
(Только серьёзные предложения)

Такие письма появляются в спам-потоках и по сей день. Ситуация усугубляется тем, что получатели имеют возможность выразить свое недовольство и порицание мнимому автору письма. Многие, не догадываясь о том, что письма могут быть злонамеренным розыгрышем, так и делают.

Еще одна разновидность спамовых писем, строго говоря, к компромату не относится, но является производной от компрометирующих писем, о которых речь шла выше. Их отличительная особенность — прямолинейность:

Позвони этому человеку и скажи, что он – баран.
{number}

Реагируют ли пользователи на подобные призывы, нам не известно.

Атаки на компании

Самым распространенным явлением в последнее время стали атаки на крупные фирмы или популярные сетевые ресурсы.

Для борьбы с конкурентами используется несколько методов. В первом случае в письмах излагаются никому не известные факты, характеризующие фирму не с лучшей стороны.

{NAME} — телевидение для слепых (без картинки)

Компания {NAME}- это экстрим- Интернет, работающий раз в неделю ( что даст Вам возможность развить в себе способности провидца, ведь чтобы угадать график включения Интернета, без таких способностей не обойтись),
— телевидение для слепых (без картинки)

Минздрав предупреждает — компания {NAME}заботится о сохранности Вашего зрения
-гибко меняющиеся в сторону увеличения= задним числом тарифные планы.
-идеально владеющая русским — матерным, служба поддержки
— биллинг, виртуозно обнуляющий счета клиентов
— специально для «крутых пацанов» возможность заплатить за услуги, предоставляемые другими компаниями бесплатно (музыка, фильмы) И главное ноу-хау компании
необходимость оплаты отказа от услуг {NAME}.

{NAME}ждет вас с радостно открытыми кошельками.)
Подробнее окидалах:
{SITES}

Более распространен другой метод: рассылка от имени компрометируемой организации писем провокационного содержания. Жертва такого компромата вынуждена оправдываться и объяснять, что она не имеет к рассылке никакого отношения. Письмо, приведенное ниже, было частью кампании черного пиара, направленной против издания «Коммерсант». В нем сообщалось о том, что газета будет выходить в более доступной для читателей форме — в виде рулонов туалетной бумаги. Чтобы престиж уважаемого издания не пострадал такое, на первый взгляд, абсурдное сообщение потребовало официального опровержения в прессе.

КоммерсантЪ

Открытое письмо
Главного редактора газеты «КоммерсантЪ»

Дорогие друзья, наша газета всегда ищет новые и нестандартные пути своего развития, сегодня я рад представить Вам новый формат нашего издания, теперь Коммерсантъ выходит в рулонах. Мы давно хотели использовать этот новый для нашей страны необычный формат. Газеты на клозетных носителях широко известны за рубежом и имеют там бешеный успех, это самый доступный и простой вид информационного носителя. Пока мы выходим в текстовом режиме, однако уже к концу марта обновлённый обновлённый коммерсант появится в широкой продаже как полноценное средство массовой информации. Мы верим,что ни только не потеряем доверия и уважения наших читателей и деловых партнёров, но и приобретём новых поклонников газеты. Посудите сами, рулоны это уникальная возможность донести до потребителя не только последние новости, но и информацию о самых различных товарах и услугах, это бесконечные возможности для развития бизнеса. Я, как главный редактор Коммерсанта, надеюсь, что Вы по достоинству оцените наш смелый шаг. Мы открыты для любых пожеланий и предложений. Спасибо, что все эти годы Вы рядом с нами.

Главный редактор газеты КоммерсантЪ,
Андрей Васильев

Советы юриста

Чтобы узнать, как можно противостоять компромату в электронной почте, мы обратились к к.ю.н., руководителю практики по ИС и ИТ, партнеру юридической фирмы Salans Виктору Наумову.

Т.К.: Насколько законно распространение писем, компрометирующих частных лиц или организации?

В.Н.: Существуют права лиц в отношении защиты чести, достоинства и деловой репутации гражданина. А также права юридического лица в отношении собственной деловой репутации (в первую очередь, они указаны в ст. 152 ГК РФ). Соответственно, если некое лицо считает, что его права нарушены, оно может потребовать опровержения распространенной информации и возмещения убытков или морального ущерба. Если ответчик не докажет, что распространенные им сведения соответствуют действительности, наступят соответствующие правовые последствия. В определенных ситуациях распространитель может быть привлечен к уголовной ответственности по ст. 129 УК РФ (клевета), но в отношении электронных рассылок мне о такой практике в России неизвестно.

Т.К.: Относятся ли рассылаемые с помощью спам-технологий письма компрометирующего содержания к спаму?

В.Н.: В большинстве случаев в иностранных законах признаками спама является отсутствие запроса на получение информации и массовость. В некоторых случаях говорится еще и о содержании сообщений как о некой дополнительной квалификации действий как спама. В России пока основное регулирование спама сосредоточено в ст. 18 ФЗ «О рекламе» и ст. 10 ФЗ «Об информации, информационных технологиях и о защите информации», и говорить о специальной ответственности «за массовость» компрометирующих писем рано — нет специального регулирования спама. Тем не менее, массовость будет учтена судом при вынесении решения по делу.

Т.К.: Спамеры стараются убедить своих клиентов, что за рассылку писем юридическую ответственность несут только исполнители, но не заказчики. Кто с юридической точки зрения должен ответить за рассылку писем, компрометирующих частных лиц или организации?

В.Н.: Если удастся установить причинно-следственную связь между заказчиком и исполнителем, что может быть непросто, то привлечены к ответственности будут оба лица.

Т.К.: Что можно посоветовать предпринять тому, против кого была направлена подобная акция?

В.Н.: Параллельно работать в отношении подготовки гражданского иска и заявления о возбуждении уголовного дела; обеспечить доказательства, обратившись к провайдерам, через оборудование которых прошла или была получена рассылка. И подготовиться к тому, что преследовать лиц, заказавших и совершивших данные действия, будет тяжело. 

Заключение

Компрометирующие письма неслучайно рассылаются с помощью спам-технологий. Спамерам все равно, что рассылать — лишь бы клиент платил деньги. Именно в спаме распространяется реклама незаконных услуг, поддельных или контрафактных товаров, разнообразные мошеннические письма. Поэтому к любой информации, содержащейся в спамовых письмах, надо относиться очень осторожно: часто она не соответствует действительности. Это относится и к негативным сведениям о людях, веб-ресурсах или организациях, распространяемых в спаме. Доверять такого рода информации нельзя.

Компромат в спаме

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике