Marshal о борьбе со спамом: «Остановить оружие, не только пули»

По данным компании Marshal, уровень спама в первой половине прошлого года вырос на 85%, а после отключения центров управления ботнетами-спамерами, размещенных в сетях McColo, снизился более чем на 50%.

Согласно статистике Marshal, пиковые показатели по спаму в 2008 году превышали 150 миллиардов сообщений в сутки. Как правило, почтовый «мусор» составлял 75-95% входящей корпоративной корреспонденции, увеличивая нагрузку на сетевые ресурсы и нередко играя роль посредника при проведении фишинговых атак, распространении инфекции и реализации мошеннических схем. Однако, по мнению экспертов, пример с McColo наглядно продемонстрировал, что со спамом можно эффективно бороться, если в дополнение к защитным мерам объединить трансграничные усилия по ликвидации его источников.

В минувшем декабре потоки спама вновь возросли и, по оценке Marshal, в настоящее время составляют немногим более половины от объема, зафиксированного на момент отключения криминального веб-хостинга. Покинув «затонувшие корабли», спамеры обратились к услугам операторов конкурирующих ботнетов. По данным Marshal, 35,4% декабрьского спама было разослано с ботнета Mega-D, 25,3% — с Xarvester, 15,1% — с Rustock.

В тематическом разделении спам-рассылок во второй половине 2008 года по-прежнему преобладала категория медицинских препаратов и услуг, на долю которой приходилось 70% спам-трафика. Большая часть фармаспама была нацелена на продвижение одиозной сети интернет-аптек Canadian Pharmacy. Реклама промтоваров, таких как поддельные часы и престижные аксессуары, которой в начале прошлого года была посвящена половина всех спам-рассылок, сократилась до 20% от общего объема спама. В октябре-ноябре наблюдалась активизация спам-рассылок с ботнета Mega-D, продвигающих услуги веб-сайтов знакомств. Объемы спама, рекламирующего игорный бизнес, тоже увеличились: вклад этой категории в ноябрьский спам-трафик составил 13%.

Что касается оформления спамовых сообщений, в минувшем году спамеры отказались от экспериментов и трюкачества и отдали предпочтение «легитимной» простоте, уповая на методы социальной инженерии и масштабность рассылок. По оценкам Marshal, 70% зарегистрированного за год почтового «мусора» было в html-формате, 30% — оформлено простым текстом. В конце года распространение получили короткие html-сообщения, состоящие практически из одной картинки, подгружаемой из Сети. Популярность приобрели также заголовки-уведомления о недоставке (NDR). Графический спам практически исчез и в настоящее время составляет 1-2% спам-трафика.

Исследователи отметили тенденцию к дальнейшей криминализации спама. В августе прошлого года на долю нелегитимных сообщений с вредоносными ссылками приходилось 33% от общего объема спама в Интернете. Источником большинства злонамеренных спам-рассылок были ботнеты Rustock и Srizbi. Когда Srizbi вышел из игры после закрытия McColo, число вредоносных сообщений резко сократилось и к концу 2008 года составляло уже только 1% спам-трафика. Тактика распространения инфекции в виде зараженных вложений в «мусорные» письма вовсе утратила популярность: по данным Marshal, в настоящее время на их долю приходится не более 0,05% от общего объема спама.

К услугам крупнейших ботнетов, таких как Srizbi и Pushdo, обратились и фишеры. Количество фишинговых посланий, по оценкам Marshal, к октябрю-ноябрю достигло пикового показателя в 4% от общего объема спама. Их вклад в спам-трафик уменьшился до уровня ниже 1% после отключения McColo. Основной мишенью фишеров в декабре были крупнейшие финансовые структуры – Citybank (20,9% фишинговых атак), Paypal (18,7%), JP Morgan (12,3%).