Архив новостей

Спам 2004: аналитический отчет

Данные этого отчета можно без ограничений цитировать и использовать в публикациях, при условии указания его названия и ссылки
на ЗАО «Ашманов и Партнеры».

Отчет можно скачать в архиве:

    Отчет «Спам 2004» в формате PDF
   
2004spam.pdf   
   714 KB       17.01.2004
    Отчет «Спам 2004» в формате RTF
   
2004spam.rtf.zip   
   93 KB       17.01.2004

Оглавление

Краткое содержание отчета

1. Спам и Интернет: десять лет вместе

2. Откуда мы берем данные для отчета

3. Криминализация спама

4. Спам в 2004 — динамика роста

5. Спам — качественное развитие

        5.2.2 Фишинг
        5.2.3 Черный PR
        5.2.7 Пустые письма

6. Спам-машина образца 2004 года

7. Внедрение стандартов аутентификации пользователя в 2004 г.

8. Прогнозы и перспективы на 2005 год

9. О компании ‘Ашманов и Партнеры’


Краткое содержание отчета

Основные тенденции 2004 года

  1. Криминализация спамерского бизнеса и ответное усиление законодательной борьбы со спамом.
  2. Рост объемов спама до 75% — 85% от общего почтового трафика и стабилизация объемов на этом значении.
  3. Успешная фильтрация спама (от 85 до 98%) современными антиспамовыми средствами.
  4. Попытки крупных игроков IT-рынка найти панацею от спама и полное фиаско таких попыток.
  5. Технологический ‘скоростной скачок’ в организации спамерских рассылок.

Одна из главных тенденций — криминализация спама

Основные признаки криминализации, отмеченные в 2004 году:

  1. Дальнейшее слияние спамерских и хакерских технологий: к концу 2004 года профессиональное спамерское программное обеспечение включает специальные модули, позволяющие производить рассылки через затрояненные пользовательские машины, т.е. изначально рассчитано на взаимодействие с троянской компонентой.
  2. Резкий рост спама с криминогенным контентом: мошенничество, фишинг, фальсификация, ‘черный PR’, реклама контрафактных или поддельных товаров и т.п.

В 2004 году резко усилилась законодательная борьба со спамом

В различных странах активно развивается антиспамерское законодательство; проводятся показательные процессы над спамерами, организаторы спамерских рассылок приговариваются к выплате огромных штрафов. 20 июня 2004 года вступил в законную силу первый в истории России приговор лицу, рассылавшему SMS-спам (хотя, скорее, это был случай хулиганства).

Развился рынок антиспамерских средств

Объем мирового рынка продаж антиспам-фильтров и сервисов в 2004 году составил примерно 500 миллионов долларов (по оценке IDC). Большинство поставщиков антивирусов включили антиспам-компоненты в свои продукты. В течение года было совершено несколько покупок производителей антиспамерского ПО антивирусными компаниями (в частности, покупка компании BrightMail компанией Symantec за 340 миллионов долларов).

В России антиспам-фильтры установили большинство держателей публичных почтовых сервисов и большинство провайдеров, что позволило снять остроту проблемы спама для их клиентов. Несомненным лидером в России по объему продаж и количеству защищаемых почтовых ящиков является технология Спамтест.

Успех технических средств фильтрации спама

  1. В течение 2004 года антиспамовые фильтры были поставлены на всех крупных публичных почтовых сервисах и установлены большинством провайдеров Рунета.
  2. Современные антиспамовые средства достаточно совершенны и позволяют фильтровать 85-98% спама.

Можно сказать, что пользователи крупнейших почтовых служб Рунета в настоящее время получают спам, в основном, во время эпидемий, при вводе спамерами новых технологий, или когда спамеры ‘изобретают’ удачное письмо, проскальзывающее фильтры. Интервал, во время которого отрабатываются соответствующие контрмеры, составляет, как правило, 20-30 минут.

Закончился период лавинообразного роста доли спама в почте

В 2004 году спам дошел до отметки в 75-80% от общего объема почты и стабилизировался на этой отметке. Продолжается незначительный, хотя и стабильный, ежеквартальный прирост незапрошенной коммерческой корреспонденции, но существенных скачков не видно. Объясняется это, очевидно, в первую очередь установкой фильтров и возросшими трудностями по их преодолению.

По состоянию на конец 2004 года объем спама в Рунете составляет 75 — 80%, а на отдельных серверах (в основном, на серверах публичных почтовых систем) достигает 85-90%. В трафике различных почтовых серверов и, тем более, в почте индивидуальных пользователей показатели количественного распределения спама могут существенно различаться. Минимум спама в Рунете в 2004 году был зафиксирован 3-го мая (в некоторых потоках доля спама снизилась до 5%); максимального значения уровень спама достиг в первой половине декабря (до 86,5 % в отдельных потоках).

По мере увеличения объемов спама растет и причиняемый им ущерб

В марте 2004 года президент Ассоциации документальной электросвязи Александр Иванов сообщил на пресс-конференции, что в России ущерб операторов и пользователей сети Интернет от рассылки несанкционированных рекламных сообщений ежегодно составляет около 55 млн. долларов.

Наша оценка выше — как минимум, 250 млн. евро в 2004 году.

Следующие темы спама лидировали в Рунете в 2004 году:

  • ‘Для взрослых’
  • ‘Лекарства’
  • ‘Приглашения на семинары/тренинги’
  • ‘Программное обеспечение»Финансовый спам (инвестиции и акции)’
  • ‘Услуги по электронной рекламе’
  • ‘Отдых и путешествия’

Происходит тематический сдвиг спама

К концу 2004 года неожиданно наметилась тенденция перераспределения ведущих спамерских тематик. Порно-реклама все годы являлась несомненным лидером спамерских тематик, но к концу 2004 года реклама ‘потрясающе дешевых товаров’ обгоняет порнографические рассылки. Большинство подобных товаров либо являются контрафактными, либо не соответствуют заявленному названию и могут представлять угрозу для жизни и здоровья.

Смена тематик-лидеров указывает на то, что заказчики спама тоже поменялись: для англоязычного спама заказчиками все чаще становятся представители того или иного криминального и ‘скользкого’ бизнеса.

Однако в России использование ‘сомнительных’ способов рекламы пока не считается фактором, существенно влияющим на имидж и репутацию компании, поэтому мелкий бизнес активно использует спамерскую рекламу для продвижения ‘нормальных’ и законных товаров и услуг: не менее половины спама в Рунете рассылается нашими соотечественниками и рекламирует услуги и товары малого бизнеса.

Фишинг — спамерская новинка этого года

Фишинг — это распространение поддельных сообщений от имени банков/финансовых компаний. Целью такого сообщения является сбор логинов/паролей/пин-кодов пользователей. Хотя объем фишинг-писем в общем потоке спама пока не превышает 1%, стремительный рост этой разновидности спама вызывает справедливые опасения. Большинство фишинг-писем являются англоязычными, однако пользователей Рунета спамеры тоже не обошли своим вниманием, в основном атакуя Ситибанк.

Из мошеннических спамерских ‘новинок’ в Рунете были отмечены также так называемые нигерийские письма, эксплуатирующие ситуацию, сложившуюся в российской экономике (в частности — арест М. Ходорковского и нестабильность компании ‘Юкос’), а также русскоязычный финансовый спам.

Политический и черный PR набрал силу

В 2004 году продолжился рост спама, целью которого является не реклама товаров/услуг, а политическая или PR-акция. Все зафиксированные рассылки представляли собой классические случаи ‘черного PR’ — против кандидата. Особенно много было украинского спама о выборах, в основном, от сторонников Ющенко.

В технологиях спамеры сделали упор на скорость рассылки

Технологии спамеров развивались в 2004 году эволюционно, изменений технологий спамерских рассылок по сравнению с предыдущим годом практически нет. Существенным прорывом в спамерских технологиях стал только ‘скоростной скачок’ — рассылка многих миллионов писем за 1-2 часа (в прошлом году средняя скорость полной спамерской рассылки по базе в несколько миллионов адресов составляла около суток). Кроме того, повысилась и скорость реакции спамеров на работу антиспам-фильтров.

Окончательно сформирована технологическая цепочка спамерской рассылки:

  • Сбор и верификация e-mail-адресов получателей.
  • Подготовка ‘точек рассылки’ — компьютеров, через которые будет рассылаться спам.
  • Создание программного обеспечения для рассылки.
  • Поиск клиентов.
  • Создание рекламных объявлений для конкретной рассылки.
  • Проведение рассылки.

Наибольшую популярность как средство рассылки сейчас имеет установка троянских компонент на компьютерах.

Все крупные вирусные эпидемии, произошедшие за последний год, были произведены вирусами, которые могли быть использованы для удаленного доступа к пользовательскому компьютеру;

Интенсивность попыток использования уязвимостей Windows на сегодня просто чудовищна — подключенная к Интернету стандартная Windows XP без установленного firewall, антивируса и сервис-паков оказывается зараженной в течение нескольких десятков минут.

Методы аутентификации отправителя пока что потерпели неудачу

Эти методы предполагают проверку соответствия того домена, который ‘заявлен’ в заголовках сообщения, реальному адресу отправителя. В течение весны-лета 2004 года многие E-mail-сервисы, ISP, производители программного обеспечения объявляли о поддержке SPF (а затем — Caller ID), причем основная направленность этих объявлений была ‘ну вот теперь мы покончим со спамом’. Однако, осенью 2004 года произошли следующие события:

Проект стандарта Sender ID был отклонен IETF; рабочая группа MARID, разрабатывавшая стандарт Sender ID, была распущена, как не сумевшая достичь цели; о неподдержке Sender ID объявили крупные разработчики открытого ПО (самого популярного в мире веб-сервера Apache и популярного дистрибутива Linux — Debian Linux).

Также выяснилось, что спамеры осваивают новые технологии куда быстрее, чем ‘обычные’ системные администраторы, и им довольно просто поддержать SPF/Sender ID в своих рассылках.

Мы считаем, что в ближайшее время ожидать какого-либо значимого эффекта от подключения подобных технологий не следует, потому что потребуется их массовое внедрение, что не очень реально.

Прогнозы и перспективы на 2005 год

Нас ожидают:

  • Дальнейшая стабилизация и, возможно, незначительное уменьшение объемов спама в течение года.
  • Бурное развитие антиспамерских технологий, повсеместная установка фильтров.
  • Потеря привлекательности спама как средства рекламы для малого бизнеса из-за дальнейшей криминализации спамерской деятельности
    (в основном, на Западе).

  • Совершенствование спамерских технологий (борьба за скорость).
  • Переход части спамеров в альтернативные рекламные системы (ICQ, окна pop-ups). Медленное развитие мобильного спама.

1. Спам и Интернет: десять лет вместе

5 марта 2004 года исполнилось десять лет с момента первой спамерской рассылки. В этот день американская юридическая компания ‘Canter and Siegel’ отправила в несколько Usenet’овских конференций рекламу своих услуг для людей, желающих участвовать в лотерее US Green Card.

Как изменился спам за эти десять лет? Агрессии и наглости в спаме не убавилось, скорее, наоборот. За эти годы были разработаны специализированные спамерские технологии, выпущены программы для спамерских рассылок. Все это было более или менее предсказуемо и десять лет назад, поскольку перед глазами имелся аналогичный пример — эволюция развития компьютерных вирусов.

Однако, прошедший 2004 год выявил такие тенденции развития спама, которые трудно было предвидеть в 1994-м:

  1. Криминализация спамерского бизнеса и ответное усиление законодательной борьбы со спамом.
  2. Рост объемов спама до 75% — 85% от общего почтового трафика и стабилизация объемов на этом значении.
  3. Постоянное обновление тематической палитры спама: в 2004 году появилось несколько новых спамерских тематик, самая заметная из которых — фишинг и ‘черный PR’.
  4. Построение развернутой технологической схемы рассылки спама, спам-машины образца 2004 года.
  5. Попытки крупных игроков IT-рынка найти панацею от спама и неудача этих попыток.

2. Откуда мы берем данные для отчета

Компания ‘Ашманов и Партнеры’ является ведущим производителем антиспамерского программного обеспечения в России. Антиспам-фильтр, разработанный компанией, установлен на серверах Национальной почтовой службы Mail.ru, в Петерлинке, РТКомм, РБК и многих частных компаниях. Ежедневно наши фильтры обрабатывают более 50 миллионов писем (до полутора миллиардов в месяц), а наша лаборатория ‘Спамтест’ — подразделение компании — получает и анализирует примерно 100-150 тысяч различных новых спамерских писем в день.

Источником такого объемного спам-трафика служат специальные ящики-‘ловушки’ и срезы различных по качеству и плотности почтовых потоков Рунета от наших клиентов.

Подобный разнообразный материал позволяет составить достоверную, детализированную картину распределения потоков спама, его качественного и количественного состава. Наши фильтры автоматически разбирают входной поток спама примерно по 550 рубрикам, так что тематическая и календарная картина спама оказывается полностью открытой для анализа.


3. Криминализация спама

Криминализация — одна из главнейших тенденций, характеризующих развитие спама в 2004 году. Предпосылки к криминализации спамерского бизнеса имелись с момента его возникновения, но до принятия специальных законодательных актов у спамеров была возможность делать вид, что ‘это просто бизнес’.

Десять лет назад типичной реакцией пользователя на получение спама было написание ответного письма, главная мысль которого заключалась в том, что ‘в интернет-сообществе спамить не принято’, т.е. рассылка спама находилась в области морально-этических проблем, расценивалась как поступок, нарушающий нормы поведения в данном сообществе, но законодательно приемлемый.

Теперь же во многих странах спам юридически запрещен, тем самым спамеры вынуждены либо отказаться от бизнеса, либо войти в прямой конфликт с действующими законодательными актами и, как следствие, постепенно переходить к консолидации с уже существующими криминальными структурами. Сейчас при получении очередного спамерского сообщения с предложением купить контрафактный ‘Ролекс’ или получить приз от несуществующей лотереи, западный пользователь все чаще обращается с жалобами к провайдеру и подает иски в суд. А это значит, что отношения ‘спамер-пользователь’ перемещаются в плоскость, которая полностью регулируется текущим законодательством, и не зависят от личных этических оценок.

Аналитики ‘Лаборатории Касперского1 ‘ в качестве одной из тенденций ушедшего 2004 года называют общую криминализацию Интернета. Криминализация спама — одна из наиболее заметных граней этого процесса.

3.1. Черты криминализации

Криминализация спама проявляется в постепенной переориентации спама на юридически ‘сомнительный’ контент, сращивание с хакерскими структурами и во многом другом. Вот основные признаки криминализации, отмеченные в 2004 году:

  1. Дальнейшее сращивание спамерских и хакерских технологий. Процесс объединения усилий спамеров и хакеров начался в 2003 году, к концу 2004 любое профессиональное спамерское программное обеспечение включает специальные модули, позволяющие производить рассылки через зараженные (‘затрояненные’) пользовательские машины, т.е. изначально рассчитано на взаимодействие с троянской компонентой различных вирусов.
  2. Зафиксирован резкий рост объемов спама с криминальным содержанием: мошенничество, фишинг, фальсификация, ‘черный PR’, реклама контрафактных или поддельных товаров и т.п.

Фишинг (кража персональных данных) — спамерская новинка этого года2, объемы фишинг-спама, количество пин-кодов кредитных карт, похищенных в результате спамерских кампаний, стремительный рост этой разновидности спама вызывают справедливые опасения у мировой интернет-общественности. По данным компании MessageLabs3, в сентябре 2003 года в почтовых потоках, которые обрабатывает принадлежащий компании программный антиспам-сервис, было зафиксировано 279 фишинг-сообщений, а в сентябре 2004 года эта цифра составила 2 098 012, т.е. более двух миллионов, что составляет прирост на четыре порядка4.

В основном фишинг используется для кражи паролей доступов к банковским счетам и пин-кодов, но его своеобразной разновидностью можно считать письма, цель которых — кража паролей от почтовых ящиков. В 2004 году несколько раз проводились подобные рассылки с целью кражи логинов и паролей пользователей Национальной почтовой службы Mail.Ru. Ниже приведен пример спамерского письма, целью которого являлся сбор паролей пользователей Mail.ru:

Здравствуйте!

Уважаемый пользователь сервиса @mail.ru, пожалуйста, следуйте всем инструкциям данного письма.

Некто (скорее всего, злоумышленник) только что попытался получить Ваш пароль от e-mail ящика методом MD6 PASSWORD POST.
В целях защиты наш DB робот очистил из базы данных Вашу запись с паролем, и Вы НЕМЕДЛЕННО должны послать на адрес passwriter@mail.ru сообщение данной конструкции: (вместо ‘password’ после } PASSWORD IS .. вы должны указать свой настоящий пароль от этого e-mail ящика)

// Password re-write

ADD to * ‘$username’ TABLE * ‘password’

} PASSWORD IS password // вместо ‘password’ в письме должен быть указан Ваш текущий пароль (без кавычек)

} rewrite with * deleted password /

} end } END of query ;exit // Password re-write

В скором времени мы установим более совершенный способ защиты. Вы немедленно должны отправить данное сообщение, потому что на доступ к вашей персональной DB таблице с правами root обладаете только Вы. На это письмо отвечать не надо, так как оно написано роботом автоматически. Если вы получили несколько копий данного письма, злоумышленник пытался получить ваш пароль несколько раз.

С уважением, администрация почтового сервиса @MAIL.RU

В 2004 году были неоднократно зафиксированы случаи фальсификации рассылок от имени известных фирм, производившиеся с целью испортить имидж данной фирмы и дискредитировать ее в глазах пользователей.

Спам активно используется для ‘черного PR’, т.е. для создания отрицательного имиджа компании-конкурента.

Участились случаи, когда спамеры, фальсифицируя сведения об отправителях/источниках рассылки, наоборот, пытаются использовать репутацию известной фирмы, чтобы привлечь внимание к рекламируемым товарам/услугам. В конце ноября — декабре 2004 года по Рунету прошла волна спама, замаскированного под рассылки популярного проекта Subscribe.ru. Такие подделки включали не только упоминание Subscribe.ru в тексте спамерского письма, незаконное использование логотипов проекта и так далее; в фальшивых рассылках также были аккуратно подделаны все технические сведения (заголовки сообщения).

Доля рекламы ‘потрясающе дешевых товаров’ — от лекарств до программного обеспечения — к концу 2004 года увеличилась настолько, что превысила долю порно-рекламы, которая раньше являлась несомненным лидером спамерских тематик. Между тем, большинство подобных товаров либо являются контрафактными (как софт или часы ‘Ролекс’), либо не соответствуют заявленному названию и могут представлять угрозу для жизни и здоровья (как некоторые лекарства и сигареты).

Смена частотных спамерских тематик указывает на то, что заказчики спама тоже поменялись. Для англоязычного спама заказчиками все чаще становятся представители того или иного криминального бизнеса (от детской порнографии до производства подделок под известные торговые марки). В России же использование ‘сомнительных’ способов рекламы пока не считается фактором, существенно влияющим на имидж и репутацию компании, поэтому малый бизнес активно использует спамерскую рекламу для продвижения ‘нормальных’ товаров и услуг. Скорее всего, так не будет продолжаться вечно, поскольку постепенно формируется негативное отношение пользователей к спамерским рассылкам, и законопослушному предпринимателю станет невыгодно размещать свою рекламу в одном ряду с порно-рассылками и поддельными сигаретами Marlboro.

3.2. Законодательные ограничения спамерского бизнеса

Криминализация спама вызывает естественную обеспокоенность, как интернет-сообщества, так и руководства различных стран. Поэтому в 2004 году происходит усиление законодательной борьбы со спамом.

1. Развитие антиспамерского законодательства в различных странах. В первые месяцы 2004 года во многих странах начали действовать новые законодательные акты, направленные на борьбу со спамом. Юридическое определение спама и ужесточение мер по борьбе с ним обсуждались государственными органами США, Дании, Великобритании, Австралии и многих других стран.

Одним из наиболее строгих законов против спама можно считать австралийский Spam Act, который вступил в силу с апреля 2004 года. За рассылку спама предусмотрен штраф до миллиона австралийских долларов за каждый день рассылки. По данным компании MessageLabs, появление этого законодательного акта привело к тому, что спамеры стали покидать Австралию и переносить свою деятельность в другие страны, что, впрочем, не мешает им по-прежнему слать спам австралийским пользователям. Вполне возможно, что по мере усиления антиспамерских законодательных мер наиболее территориально благоприятными для спамерского бизнеса странами останутся Китай и, возможно, Россия, пока же лидером остаются США.

В этом году в России юридические аспекты такого явления как спам обсуждались на самом высоком уровне. В июле 2004 года на рассмотрение Госдумы РФ был внесен проект по борьбе со спамом, который предусматривал внесение изменений в федеральный Закон о рекламе, Уголовный кодекс РФ и Кодекс РФ об административных нарушениях. Вызвав нарекания экспертов Госдумы по некоторым своим положениям, законопроект отправился на доработку и сейчас активно обсуждается.

2. Проведение показательных судов над спамерами, наложение на организаторов спамерских рассылок финансовых штрафов. В мае 2004 года к семи годам лишения свободы был приговорен ‘спамер из Буффало’ Говард Кармак (Howard Carmack) за рассылку 850 млн. спамерских сообщений и подделку адресов электронной почты. В декабре 2004 года суда штата Айова за рассылку спама приговорил три американские компании к штрафу, в общей сложности превышающему 1 миллиард долларов. Это самый крупный в истории штраф за рассылку спама. Примечательно, что истец владелец небольшой компании CIS Internet Services — даже не надеется когда-либо получить эти деньги.

20 июня 2004 года вступил в законную силу первый в истории России приговор лицу, рассылавшему SMS-спам. Гражданин Андросов Д. И. был признан виновным в совершении деяния, предусмотренного статьей 273 Уголовного кодекса РФ, и приговорен к 1 году лишения свободы условно и уплате штрафа в размере 3000 рублей.

1 
Лаборатория Касперского — ведущий российский производитель систем защиты информации; данные взяты из свежего отчета ‘Развитие вредоносных программ в 2004 году’.
>>

2 
Подробнее см. раздел 5.2.2. Новая разновидность спама: фишинг
>>

3 
MessageLabs — крупная компания, специализирующаяся на обеспечении безопасности почтовых потоков
>>

4 
Данные взяты из годового отчета компании MessageLabs по угрозам электронной почте
>>


4. Спам в 2004 — динамика роста

4.1. Доля спама в почтовых потоках: стабилизация

В 2003 году аналитики компании ‘Ашманов и Партнеры’ прогнозировали на 2004 год дальнейший рост объемов спама, который должен был составить не менее 70% почты Рунета.

Этот прогноз полностью подтвердился. По состоянию на конец 2004 года объем спама в Рунете составляет 75 — 80%, а на отдельных серверах (в основном, на серверах публичных почтовых систем) достигает 85-90%. Это усредненные данные по многочисленным почтовым потокам, которые обрабатывает специализированное подразделение компании. В трафике почтовых серверов, различающихся по количеству ящиков, ‘известности’ и т.п., и, тем более, в почте индивидуальных пользователей показатели количественного распределения спама могут, конечно, существенно различаться.

В целом, количественное развитие спама в 2004 году определялось следующими двумя тенденциями:

  1. Период лавинообразного (обвального) роста спама закончен;
  2. продолжается незначительный, хотя и стабильный, ежеквартальный прирост незапрошенной коммерческой корреспонденции.

Количественное распределение спама в Рунете

Динамика ‘всплесков’ и ‘падений’ уровня спама имеет свою закономерность. Спамеры подстраиваются под традиционные сезонные пики и провалы покупательской активности. На диаграмме количественного распределения спама в 2004 году можно видеть два резких ‘провала’ в спамерской активности, особенно заметных на фоне общего стабильного роста объемов нежелательной почты.

Оба ‘провала’ вполне предсказуемые наверняка такая же картина ожидает пользователей Рунета и в следующем, 2005 году. Они приходятся на периоды продолжительных праздничных отпусков, точнее — на новогодние и майские праздники.

Минимум спама в Рунете в 2004 году был зафиксирован 3-го мая (в некоторых потоках доля спама снизилась до 5%), максимального значения уровень спама достиг в первой половине декабря (до 86,5 % в отдельных потоках).

Немного подробнее о динамике спама в течение года. Начало года характеризуется типичным сезонным спадом в почтовом трафике: зафиксировано падение объема спама в почтовых потоках с 70% (на декабрь 2003 года) до 48% (первая декада января 2004 года). Сразу после новогодних праздников отмечен скачок количества спамерских сообщений. Основную их массу составила реклама услуг самих спамеров, т.е. шел поиск заказчиков.

В феврале ситуация стабилизировалась, и далее вплоть до апреля доля спама оставалась на среднем уровне конца 2003 года: 65-70%. В апреле начинается стремительный подъем уровня спама, резко увеличивается количество русскоязычных предложений туров и поездок на весенние каникулы, майские праздники и летний отпускной период.

Рост спамерских предложений продолжается, уровень спама доходит до максимальной отметки конца прошлого года, и снова следует спад, на этот раз — резкий. Это первая декада мая — майские праздники. Для Рунета это традиционный ‘мертвый’ сезон, почтовая, да и покупательская, активность пользователей снижается до минимума. Соответственно падает объем рекламных предложений. Минимум спама был зафиксирован 3-го мая: спамерских сообщений оказалось в пять раз меньше, чем среднее суточное значение за предыдущие два месяца (март-апрель). В корпоративной почте некоторых небольших компаний доля спама снизилась до удивительно низкого показателя — 5%.

Сразу после майских праздников спамеры возобновляют активную деятельность, и нарастание объема рассылок идет так же активно, как до этого их спад. К концу мая — середине июня доля спама в почтовом трафике Рунета превышает показатели прошлого года и вплотную приближается к значению 80%.

Далее следует период пониженной спамерской активности — летние отпуска в июле-первой половине августа. Но, уже начиная с конца августа, спамеры ищут новых клиентов: как и в начале года резко возрастает доля рассылок с предложениями собственно спамерских услуг. Одновременно растут предложения курсов, тренингов и семинаров.

В период с сентября по декабрь уровень спама перекрывает показатели прошлого года и удерживается в районе 80% от общего объема почты Рунета.

4.2. Ущерб от спама: новый виток

По мере увеличения объемов спама, растет и причиняемый им ущерб. С точки зрения отдельного пользователя, материальный ущерб от спама может быть не слишком велик.
В действительности это далеко не так: значительную часть убытков от обработки 80% мусорной почты от общего объема электронных сообщений несут на себе провайдеры и держатели сервисов бесплатной публичной почты, такие как Mail.ru, Hotmail.com и др.

Если же учесть в ‘убытках всего человечества’ трату времени сотрудников корпораций, вынужденных удалять мусорную почту, то получатся весьма впечатляющие цифры.

В марте 2004 года президент Ассоциации документальной электросвязи Александр Иванов сообщил на пресс-конференции, что только в России ущерб операторов и пользователей сети Интернет от рассылки несанкционированных рекламных сообщений ежегодно составляет около 55 млн. долларов5.

По нашим оценкам, ущерб от спама в Рунете в 2004 году значительно больше и составляет как минимум 250 миллионов евро, поскольку следует учесть также потери рабочего времени сотрудников компаний (которые можно оценить в 100-200 евро на одного офисного сотрудника в год).

В мире оценивают ‘удельные’ убытки от спама существенно выше. В мае 2004 года компания Nucleus6 провела опрос сотрудников 82-х крупнейших мировых компаний7. Выяснилось, что сотрудники этих компаний ежедневно получают в среднем 29 спамовых писем (по сравнению с 13 спамерскими письмами в 2003 году) и тратят на них 3,1% рабочего времени. По сравнению с 2003 годом ущерб от спама вырос в 2,23 раза и составил $1934 в год на одного сотрудника.

Всего же убытки от спама оценивают в среднем в несколько десятков миллиардов долларов ежегодно.

А благодарить за такие потери приходится всего пару сотен человек, на долю которых приходится 80-90% мусорных рассылок. Многие спамеры живут и работают в США, откуда, по данным антивирусной компании Sophos8, рассылается 40-60% всего спама, циркулирующего в Интернете.

У спама в Рунете своя специфика: не менее половины этого спама рассылается нашими соотечественниками.

4.3. Успех технических средств фильтрации спама

Несмотря на значительные объемы спама, использование современных антиспам-фильтров позволяет снять остроту проблемы.

  1. В течение 2004 года антиспамовые фильтры были поставлены на всех крупных публичных почтовых сервисах и установлены большинством провайдеров Рунета.
  2. Современные антиспамовые средства достаточно совершенны и позволяют фильтровать 85-98% спама.

Можно сказать, что пользователи крупнейших почтовых служб Рунета в настоящее время получают спам, в основном, во время эпидемий, при вводе спамерами новых технологий, или когда спамеры ‘изобретают’ удачное письмо, проскальзывающее фильтры. Интервал, во время которого отрабатываются соответствующие контрмеры, составляет, как правило, 20-30 минут.

5 
www.newsru.com
>>

6 
Nucleus — один из крупнейших канадских провайдеров, в IT-индустрии с 1993 года.
>>

7 
Результаты исследования опубликованы на сайте компании Nucleus.
>>

8 
Sophos — известный разработчик ПО для обеспечения безопасности в сфере IT-технологий, в IT-индустрии с 1985 года.
>>


5. Спам — качественное развитие

5.1. Главные темы спама в Рунете: смена лидеров

Из общей массы спама легко выделяется группа тематических ‘лидеров’, которые покрывают более 50% всего потока спама. На протяжении последних 5-ти лет абсолютным лидером являлся спам тематики ‘для взрослых’, т.е. письма с предложениями посетить порносайты, купить разные приспособления/таблетки для усиления потенции и так далее.

Качество подготовки текстов спамерских писем перешло в 2004 году на новый уровень. Заметно, что многие русскоязычные рассылки теперь готовятся специалистами в сфере рекламных текстов. Появились ‘пролонгированные’ рекламные кампании (кампания, состоящая из нескольких последовательных рассылок, связанных общим содержанием); налажен мгновенный отклик на ‘горячие’ новости и события, и эксплуатируются такие события более профессионально.

Лидирующие спамерские тематики в Рунете:
  • ‘Для взрослых’ — 18,2%
  • ‘Лекарства’ — 16,8%
  • ‘Приглашения на семинары/тренинги’ — 10,3%
  • ‘Программное обеспечение’ — 9,8%
  • ‘Финансовый спам (инвестиции и акции)’ — 9,0%
  • ‘Услуги по электронной рекламе’ — 4,4%
  • ‘Отдых и путешествия’ — 3,8%

Распределение тематик спама

К концу 2004 года неожиданно наметилась тенденция перераспределения ведущих спамерских тематик.

Спам ‘для взрослых’ постепенно уступает место рекламе дешевых лекарств.

По данным компании Postini Inc с января по сентябрь 2004 года доля порноспама в мировом почтовом трафике уменьшилась на 78%9.

Также постепенно растет доля предложений контрафактных товаров, таких как поддельные часы Rolex.

Смена приоритетов спамеров действительно оказалась неожиданностью для аналитиков и экспертов. Причины пусть и незначительного, но все же отступления распространителей порнопродукции со спамерского рынка пока не ясны. Весьма вероятно, что причина кроется в усилении в мире законодательного контроля за спамерским бизнесом (напомним, что подавляющее большинство порно-рассылок — англоязычные).

5.2. Новые виды спама

5.2.1. Попытки повлиять на котировки акций

Сейчас происходит стремительный рост количества рассылок предложений по инвестициям и игре на фондовой бирже. Этот спам предлагает информацию о динамике акций той или иной компании на фондовой бирже. Часто информация подается как ‘инсайдерская’, случайно попавшая к данному отправителю письма. Фактически это попытка повлиять на предпочтения инвесторов и курс акций.

В международной классификации спама подобные письма относят к мошенничеству (scam), хотя и не запрещенному юридически. Такие рассылки могут быть оплачены держателями акций мелких компаний, желающими, например, поднять стоимость акций до максимума и оперативно продать их, пока они снова не упали в цене. Фальшивые ‘советы’ по инвестициям могут также использоваться для снижения стоимости акций конкурентов. Кроме того, эти рассылки могут быть выгодны самим спамерам, если спамер является держателем акций ‘неперспективной’ компании и стремится их выгодно продать.

До сих пор подобный спам существовал исключительно на английском языке, но сейчас эту разновидность спама можно изредка встретить и в русском варианте.

Очевидно, в следующем году у такого ‘финансового’ спама есть все шансы подняться выше в списке лидирующих тем.

5.2.2. Фишинг

В 2004 году появилась и начала стремительно расти новая тематическая разновидность спама — фишинг.

Фишинг (ловля на удочку) — это распространение поддельных сообщений от имени банков/финансовых компаний. Целью такого сообщения является сбор логинов/паролей/пин-кодов пользователей.

Обычно такой спам содержит текст с предупреждением об обнаруженных дырах в безопасности денежных операций ‘онлайн’, в качестве меры предосторожности предлагается зайти на сайт и подтвердить/сменить пароль доступа к счету или пин-код банковской карты.

Естественно, ссылки в таком письме ведут не на настоящие банковские сайты, а на поддельные (спамерские) сайты. Ворованные коды/пароли можно использовать как для доступа к счету, так и для оплаты покупок в интернет-магазинах. К концу 2004 года спамеры перешли на более продвинутые технологии, и теперь фишинг-сообщения могут содержать ‘шпионский’ скрипт, который перехватывает коды/пароли при вводе их на официальном банковском сайте и пересылает спамеру. Для активации скрипта достаточно просто открыть сообщение.

В процентном отношении доля фишинг-сообщений пока не слишком велика, не более 1% от общего потока спама, но пугают темпы роста. В 2003 году такого спама просто фактически не было заметно, сейчас это уже заметное явление, не понаслышке известное многим пользователям.

Хотя большинство фишинговых писем является англоязычными, пользователей Рунета спамеры тоже не обошли своим вниманием. Особой ‘любовью’ спамеров пользуется российский ‘Ситибанк’. Вот пример типичного фишинг-сообщения:

From: CityBank

To: Иванов Иван Иванович

Subject: Уведомление о получении платежа

Уважаемый клиент!

На Ваш текущий счет был получен перевод в иностранной валюте на сумму, превышающую USD 2,000. В соответствии с пользовательским соглашением CitiBankR, Вам необходимо подтвердить этот перевод для его успешного зачисления на Ваш счет. Для подтверждения платежа просим Вас зайти в программу управления Вашим счетом CitiBankR и следовать предложенным инструкциям.

Если подтверждение не будет получено в течение 48 часов, платеж будет возвращен отправителю.

Для входа в программу CitiBankR, нажмите сюда >>

С уважением,

Служба CitiBankR

5.2.3. Черный PR

В 2004 году продолжился рост объемов спама, целью которого является не реклама товаров/услуг, а политическая или PR-акция.

Примечательно, что в исполнении спамеров подобные кампании всегда имеют ярко выраженный негативный оттенок, их цель — опорочить ту или иную фирму, политического кандидата и т.п. Все зафиксированные рассылки представляли собой классические случаи ‘черного PR’.

Если в прошлом году в Рунете рассылки, производимые якобы от имени той или иной фирмы, были редкостью (за весь 2003 год была зафиксирована только одна подобная русскоязычная рассылка), то в 2004 году они превратились в регулярное явление.

Вот несколько примеров: в начале года прошла фальсифицированная рассылка от имени компании ‘Ашманов и Партнеры’, где указывались подлинные реквизиты компании и реальные обратные адреса (впрочем, ‘черные’ рассылки как раз и отличаются наличием достоверной контактной информации). Рассылка была ориентирована на западного пользователя и проводилась на английском языке, т.е. цель спамеров состояла в том, чтобы испортить имидж компании для потенциальных западных клиентов. Компания ‘Ашманов и Партнеры’ занимается разработками антиспамерского программного обеспечения, поэтому причины выбора ее в качестве мишени для атаки вполне объяснимы.

В ноябре подобной ‘черной’ атаке подверглась компания ‘Караван’10, причиной, скорее всего, послужил отказ компании в предоставлении услуг по хостингу спамерских сайтов. Эта спамерская акция отличалась особой циничностью: в разосланном сообщении якобы предлагалась полезная информация для террористов, после чего указывались реквизиты компании ‘Караван’. Сообщение составлено таким образом, что при желании его можно попытаться представить как ‘плохую шутку’.

Спамеры, видимо, рассчитывали на волну возмущенных звонков и писем от пользователей Рунета, особенно после всех событий прошедшего года: Беслан, теракты на борту самолетов и т.п. И такие отклики появились в форумах и пр.

Вот это письмо:

Добро пожаловать

На нашем сайте вас научат как быстро сделать самодельную бомбу, как взорвать поезд, также у нас можно купить фальшивые пасспорта, фальшивые доллары и евро, стать официально гражданином РФ, клоны кредитных карт банков Москвы, сделать пластическую операцию, купить оружие наркотики, и многое другое. Еще раз напоминаем, все это и только у нас по специальной цене. Большое спасибо нашему хостинг www.caravan.ru, который не обращая внимания на звонки с ФСБ по прежнему предоставляет нам самый лучший хостинг, а также помогает получать деньги за оружие.

Внимание, купив сегодня взрывчатку C4 вы в подарок получаете детонатор, и это еще не все, вы также получите сумочку для взрывчатки, и пояс шахида, и все это за 499$. Спешите время акции ограничено.
Если вы уже ознакомились с нашими ценами, то вы можете послать деньги напрямую по нашим реквезитам

Реквизиты

(далее в письме следуют реквизиты ЗАО ‘Караван-Интернет’)

5.2.4. Политический спам

Политический спам 2004 года в Рунете наиболее ярко представлен огромным количеством рассылок, связанных с выборами на Украине.

Большинство этих рассылок имели ‘негативный’ характер, т.е. это была агитация не ‘за’, а ‘против’: в письмах давался список причин, почему не надо голосовать за того или иного кандидата. Ни рассыльщики, ни заказчики не скрывали того факта, что эта политическая акция является спамом, о чем лучше всего свидетельствует следующая цитата из одного из писем:

‘Простите великодушно за то, что прибегаем к такому малопочтенному способу распространения информации, как спам, но наверное сегодня это лучший способ донести до вас правдивую информацию о том, что действительно происходит у нас в Украине…’.

В основном спам рассылали сторонники Ющенко, видимо, в силу большей компьютерной квалификации.

5.2.5. Нигерийские письма с русским акцентом

‘Нигерийскими письмами’ называют спам, написанный от имени реальных или вымышленных лиц, обычно — граждан стран с нестабильной экономической ситуацией, воспринимаемых публикой как рассадник коррупции. Первый зафиксированный спам такого типа рассылался от имени вымышленных нигерийских чиновников, именно поэтому он и получил название ‘нигерийских писем’.

Автор такого письма обычно утверждает, что он располагает миллионами долларов, но они приобретены не совсем законными способами или же хранятся в обход закона. Например, это украденные иностранные инвестиции или гранты ООН. Дальше автор письма объясняет, что по этой причине он не может более держать деньги на счету в нигерийском банке, и что ему срочно требуется счет в зарубежном банке, куда можно перечислить ‘грязные’ деньги. В качестве вознаграждения за помощь предлагается от 10% до 30% от заявленной в письме суммы. Идея мошенничества заключается в том, что доверчивый пользователь предоставит автору письма доступ к своему счету. Нетрудно предугадать результат — все деньги с этого счета будут сняты и уйдут в неизвестном направлении.

В 2004 году спамеры, можно сказать, впервые обратили внимание на события в России, и пользователи Рунета получили сообщения, эксплуатирующие ситуацию, сложившуюся в российской экономике, в частности — арест М. Ходорковского и нестабильность компании ‘Юкос’. В них предлагалось обналичить крупные суммы денег, так или иначе доставшиеся отправителю письма после ареста Ходорковского.

В частности, рассылались письма от якобы финансового директора Ходорковского, иностранца, у которого только теперь открылись глаза на незаконность действий его бывшего босса (так что теперь он считает себя вправе не возвращать ему эти сто неправедных миллионов).

Вот пример еще одного такого письма:

Complements,

I am Mr. GIOVANNI ANTONIO an African / Italian and company secretary to YUKOS OIL West Africa owned by Mikhail Khodorkovsky (M.K) one of the richest men in Russia and owner of the following companies: Chairman CEO: YUKOS OIL (Russian Most Largest Oil Company) Chairman CEO: Menatep SBP Bank (A well reputable financial institution with its branches all over the world).

I have in my procession documents to authenticate and authorise transfer of USD15,000,000.00 (Fifteen million United States Dollars only) to be used in payment of oil contractors/suppliers with our company based in South Africa in union with our boss now in detention.

While I was on the process, My Boss got arrested for his involvement on politics in financing the leading and opposing political parties (the Union of Right Forces, led by Boris Nemtsov, and Yabloko, a liberal/social democratic party led by Gregor Yavlinsky) which poses treat to President Vladimir Putin second tenure as Russian president.

Presently the funds in the Central Security Vault of the BANQUE CENTRALE DES ETATS DE L’AFRIQUE DES OUEST(BCEAO)through our bank instructions (ECOBANK BENIN) where the transfer will take effect after receipt of your consent as I was mandated to nominate beneficiaries for the funds. I solicit to nominate you as the beneficiary of the funds. I will provide documentations, which will enable ECOBANK BENIN, to transfer the sum to your designated account as a contractor with the company. I am assuring you that this transaction is hundred percent risks free. All documentations to be provided will cover and prevent any retribution after transfer of funds, as interest of all parties will be strictly protected.

The transaction has to be concluded before Mikhail Khodorkovsky is out on bail or prison though under medical treatment now and case adjourned indefinitely in the Russian courts. For your assistance, my colleagues and I are prepared to compensate you adequately (Subject to negotiations).

Please contact me confirming your interest. Please also favour me with your full contact coordinates (Phone/fax etc) to enable me contact you at a convenient time.

5.2.6. Спам как источник слухов: цепочечные письма

Нежелательная корреспонденция бывает разных видов. Пользователи Рунета привыкли считать спамом сообщения, несущие более или менее ярко выраженную рекламную компоненту, но спам более разнообразен, чем это кажется на первый взгляд.

В 2004 году снова появилась увядшая было разновидность ‘нерекламной’ нежелательной почты. Особенность ее в том, что практически вся рассылка производится силами пользователей. Организаторы рассылки инициируют первые несколько писем, содержащих эмоционально нагруженные сведения о потенциальной опасности (например, сведения о заражении питьевых источников, готовящемся теракте и т.п.) или просьбы о помощи жертвам стихийных бедствий, которыми был так богат уходящий год.

Пользователи склонны доверчиво относиться к таким письмам и рассылают их копии дальше по спискам адресов в своих адресных книгах. По массовости такие пересылки оказываются вполне сопоставимыми со средней спамерской рассылкой, и уступают они только в скорости распространения.

Ниже приведен пример этой разновидности ‘нерекламного’ спама:

Здравствуйте

Сообщаемая мной информация не слух, а официальная информация, разосланная ФСБ телеграммами по администрациям больниц, поликлиник, скорой помощи Москвы и Московской области (это стандартная процедура в случае угрозы вреда здоровью массе людей, т.к. данные службы должны быть в первую очередь в курсе). Информация получена от моего родственника, который как раз и работает в ‘скорой’. Кроме того, соответствующие объявления уже развешены во многих лечебных учереждениях.

Информация:
‘По имеющейся у спец.служб информации в настоящее время планируется террористическая акция по отравлению питьевой воды в Москве или в Московской области, биологическое (например, сальмонэлиоз) или химическое (например, цианид). К сожалению, точной информации по месту и характеру отравления нет.

Но необходимо уделить особое внимание всем случаям отравлений, особенно массовым.’

Меры предосторожности:

Пить только кипяченую воду (ни в коем случае сырую), желательно предварительно пропущенную через очищающие фильтры.

Предупредить всех, кого знаем.

В последние дни 2004 года и в начале января 2005 года особенно массовым было цепочечное письмо о потерявшемся в Таиланде мальчике (родственники которого к моменту пика рассылки уже давно нашлись).

Большинство разработчиков писем волей-неволей относят этот вид массовой нежелательной почты к спаму и включают образцы таких писем в свои базы сигнатур спама.

5.2.7. Пустые письма

За 2003 год у спамеров сложилась практика периодически проводить рассылки содержательно ‘пустых’, т.е. нерекламных сообщений. Иногда это действительно пустые письма (нет контента), иногда письма с единственным словом ‘привет’ или ‘тест’, довольно часто рассылки содержат бессмысленные последовательности символов. В 2004 году таких писем было особенно много.

Такие рассылки преследуют сразу несколько целей. С одной стороны, это обычное тестирование нового или модифицированного спамерского программного обеспечения; активности зомби-сети и т.п. С другой стороны, ‘пустые’ рассылки довольно легко проходят антиспам-фильтры (не содержат спамерского контента), вызывая у пользователей понятное раздражение и скепсис по отношению к фильтрации спама.

Они также создают большую дополнительную нагрузку на каналы связи, что может выражаться в существенном снижении скорости обмена электронной корреспонденцией на время прохождения спамерской рассылки.

9 
Postini Inc — крупный разработчик ПО для обеспечения безопасности почтовых потоков, в IT-индустрии с 1999 г.
>>

10 
Караван — известный провайдер Рунета, представляет услуги хостинга и провайдинга с 1996 года.
>>


6. Спам-машина образца 2004 года

В 2004 году рассылка спама приобрела исключительные масштабы: ежесуточно в мире рассылаются десятки миллиардов спам-сообщений, но с точки зрения технологий революционных изменений по сравнению с предыдущим годом нет. Росли базы зараженных машин, совершенствовались методы варьирования текста писем.

Существенным прорывом в спамерских технологиях стал только ‘скоростной скачок’.

6.1. Скоростной скачок

Если в 2003 году средняя скорость спамерской рассылки в несколько миллионов почтовых адресов составляла около суток, то сейчас это может быть несколько часов, а иногда и несколько десятков минут. Это означает, что спамеры стараются успеть разослать все до того, как рассылка будет замечена разработчиками фильтров, сигнатуры писем будут созданы и добавлены в базу данных фильтра, и у конечных пользователей пройдут обновления установленных фильтров.

Обычно этот цикл обновлений фильтра занимает несколько часов, и ‘обрезать хвост’ быстрой рассылке становится проблематичным. В результате скорость реакции фильтра становится главным критерием качества работы сервиса. В частности, фильтры Спамтест уже перешли на обновление раз в 20 минут.

Кроме того, повысилась скорость реакции спамеров на работу антиспам-фильтров. Если рассылка спама проводится, например, на серверах Mail.ru, то спамеры в режиме реального времени контролируют степень прохождения своих тестовых писем сквозь фильтр в их тестовые ящики на Mail.ru и при необходимости быстро вносят коррективы в текст или технические параметры рассылки.

6.2. Технологическая цепочка рассылки спама

Можно утверждать, что к концу 2004 года окончательно сформировалась технологическая цепочка спамерской рассылки, включающая несколько более или менее независимых этапов:

  • Сбор (подбор) и верификация e-mail-адресов получателей.
  • Подготовка ‘точек рассылки’ — компьютеров, через которые будет рассылаться спам.
  • Создание программного обеспечения для рассылки.
  • Поиск клиентов.
  • Создание рекламных объявлений для конкретной рассылки.
  • Проведение рассылки.

6.3. Сбор почтовых адресов для спамерских баз

Для сбора адресов используется:

  • Подбор по словарям имен собственных, ‘красивых слов’, частых сочетаний слово-цифра (jonh@, destroyer@, alex-2@).
  • Метод аналогий — если существует Joe.User@hotmail.com, то вполне резонно поискать Joe.User@yahoo.com, @aol.com, @Paypal.
  • Сканирование всех доступных источников информации — Web-сайтов, форумов, чатов, досок объявлений, Usenet News, баз данных Whois на сочетание слово1@слово2.слово3… (при этом, на конце такого сочетания должен быть домен верхнего уровня — .com, .ru, .info и так далее).
  • Кража баз данных сервисов, провайдеров и т.п.
  • Кража персональных данных с компьютеров пользователей посредством компьютерных вирусов и прочих вредоносных программ (уже существуют троянские программы, сканирующие диски пользователя на предмет обнаружения именно адресов электронной почты).

Кража персональных данных пользователей — как адресных книг почтовых клиентов (большинство адресов в которых — действующие), так и других персональных данных, — получила распространение сравнительно недавно.

К сожалению, массовые вирусные эпидемии последних лет показывают, что распространенность антивирусных средств в мире недостаточна, следовательно, распространенность данного способа сбора персональных данных будет расти.

Полученные адреса нужно верифицировать, что может происходить такими способами:

  • Пробная посылка сообщения. Как правило, это сообщения со случайным текстом, которые проходят через спам-фильтры. Анализируя ответ почтового сервера (почта принята или не принята), можно выяснить, действует ли каждый конкретный адрес из списка.
  • Помещение в текст спам-сообщения уникальной ссылки на картинку, расположенную на WWW-сервере. При прочтении письма картинка будет загружена (во многих современных почтовых программах эта функция блокирована), а владелец сайта узнает о доступности адреса. Метод верифицирует не валидность адреса, а факт прочтения письма.
  • Ссылка ‘отписаться’ в спам-сообщении. Если получатель нажимает на эту гиперссылку, то никакой отписки не происходит, а его адрес помечается как валидный. Метод верифицирует активность получателя.

6.4. Подготовка ‘точек рассылки’

На сегодняшний день профессиональная рассылка спама осуществляется тремя основными способами:

  • Прямая рассылка с арендованных серверов.
  • Использование ‘открытых релеев’ и ‘открытых proxy’ — почтовых сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам.
  • Скрытая установка на пользовательских компьютерах программного обеспечения, позволяющего несанкционированный доступ к ресурсам данного компьютера.

Для рассылки с арендованных серверов необходимо иметь постоянно пополняемый набор этих серверов. Они достаточно быстро попадают в списки запрещенных IP-адресов, соответственно, рассылать спам таким образом можно только на тех получателей, почтовые сервисы которых не используют списки запрещенных. В любом случае, в виду введения законов о спаме и повсеместной расстановки фильтров, этот способ уходит в прошлое.

Для использования открытых сервисов необходимо постоянно вести поиск таких сервисов — для этого пишутся и используются специальные программы, которые быстро сканируют большие участки адресного пространства Интернета.

Наибольшую популярность на сегодняшний день имеет установка троянских компонент на компьютерах пользователей. Установка происходит следующими способами:

А) Включение троянских компонент в пиратское программное обеспечение: модификация распространяемых программ, включение троянской компоненты в ‘генераторы ключей’, ‘программы для обмана провайдеров’ и т.п. Достаточно часто такие программы распространяются через файлообменные сети (eDonkey, Kazaa) либо через сайты с ‘варезом’ (warez, пиратские копии программ).

Б) Использование уязвимостей в программах просмотра Web-сайтов (в первую очередь, Microsoft Internet Explorer) — ряд версий таких программ содержит ошибки в проверке прав доступа, что позволяет разместить на WWW-сайте компоненты, которые будут незаметно для пользователя скачаны и выполнены на его компьютере, после чего на компьютер пользователя будет открыт удаленный доступ для злоумышленников.

Такие программы распространяются, в основном, через посещаемые сайты (прежде всего, порнографического содержания). Летом 2004 года была замечена двухступенчатая схема — массовый взлом сайтов, работающих под управлением MS IIS, модификация страниц на этих сайтах с включением в них вредоносного кода, что привело к заражению компьютеров пользователей, посещавших эти (‘хорошие’) сайты.

В) Использование компьютерных вирусов, прежде всего, распространяемых по каналам электронной почты и использующих уязвимости в сетевых сервисах Microsoft Windows:

  • все крупные вирусные эпидемии, произошедшие за последний год, были произведены вирусами, которые могли быть использованы для удаленного доступа к пользовательскому компьютеру;
  • интенсивность попыток использования уязвимостей Windows на сегодня просто чудовищна — подключенная к Интернету стандартная Windows XP без установленного firewall, антивируса и сервис-паков оказывается зараженной в течение нескольких десятков минут.

6.5. Программное обеспечение для рассылки спама

Средняя спам-рассылка имеет на сегодня объем не менее нескольких миллионов сообщений. Эти сообщения требуется разослать за небольшое время, чтобы успеть произвести рассылку до перенастройки (или обновления базы данных) антиспам-фильтров.

Быстрая рассылка большого количества почтовых сообщений является технологической проблемой, решение которой требует достаточно больших ресурсов. Как следствие, ‘на рынке’ имеется относительно небольшое количество программ, удовлетворяющих требованиям спамеров-профессионалов. Эти программы на сегодняшний день:

  • Умеют рассылать как через ‘открытые сервисы’ (почтовые релеи, proxy), так и через зараженные пользовательские машины.
  • Могут формировать динамический текст письма.
  • Достаточно точно подделывают заголовки сообщений — распознавание спама по заголовкам становится нетривиальной задачей.
  • Могут отслеживать валидность баз данных адресов.
  • Могут отслеживать статус сообщения на каждый отдельный адрес —
    и перепосылать сообщение через другую ‘точку рассылки’ в случае использования на приемной стороне списков запрещенных.

6.6. Динамическое формирование текста писем

На сегодняшний день простая рассылка одинаковых (или почти одинаковых) спам-сообщений является полностью неэффективной. Такие письма будут гарантированно обнаружены многочисленными фильтрами по критерию частотности (повторяемости одинаковых сообщений).

Спам-сообщения сейчас — индивидуальны, каждое следующее отличается от предыдущих.

Основные технологии ‘индивидуализации’ сообщений таковы.

6.6.1. Внесение случайных текстов, ‘шума’, невидимых текстов

В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести ‘невидимый’ текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования ‘спамерского трюка’ и отклассифицировать сообщение как спам, не анализируя его текст в деталях.

6.6.2. Графические письма

Рекламное сообщение можно прислать пользователю в виде графического файла, что крайне затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст.

Широко используются изменяющиеся графические письма. В графическое сообщение спамеры стараются внести ‘шум’ (меняющийся фон, волнистый текст с переменной ‘волнистостью’), что затруднит его анализ фильтром.

6.6.3. Перефразировка текстов

Одно и то же рекламное сообщение рассылается во множестве вариантов одного и того же текста (например, некоторые или все фрагменты письма заменяются на уместные синонимы).

Каждое отдельное письмо выглядит как обычный связный текст и, только имея много копий сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить спам-фильтры можно только после получения существенной части рассылки.

6.7. Поиск клиентов

Судя по всему, основной способ поиска клиентов — это тоже рекламные рассылки (спам). Такие рекламные объявления составляют существенную долю всего спама. Таким же образом рекламируются и другие чуть более ‘легальные’ сервисы, например, программы для рассылки и базы данных электронных адресов.

6.8. Разделение труда

Все основные технологические составляющие бизнеса спамеров могут быть использованы независимо. Как следствие, в настоящее время существуют отдельные ‘производители’ вирусов и троянских компонент, отдельные авторы программ для рассылки, отдельные сборщики адресов.

Спамеры — а именно те, кто собирает с клиентов деньги и производит рассылку, — могут просто арендовать необходимые им сервисы, покупать базы данных, списки рассылающих машин и использовать их.

Таким образом, вход на данный рынок является относительно дешевым.

В то же время, очевидно разделение рынка на профессионалов (которые, как правило, обладают чем-то своим: базой данных адресов, или программой для рассылки, или собственным вирусом), для которых спам является основным источником дохода, и любителей, пытающихся заработать немного денег.

Повсеместная установка фильтров и их возрастающее качество повышают технологический порог для вхождения на рынок, отсекая любителей, которые все делают сами, и заставляя их обращаться к профессионалам.


7. Внедрение стандартов аутентификации пользователя в 2004 году

В 2004 году началось широкое продвижение и внедрение стандартов верификации отправителя письма. Аутентификация отправителя как средство борьбы со спамом предполагает проверку соответствия того домена, который ‘заявлен’ в заголовках сообщения, и реального ‘физического’ IP-адреса отправителя.

Что же это — готовая панацея от спама или очередная ложная надежда?

7.1. Стандарты SPF/Sender ID от Microsoft

Наибольшую известность получили технологии SPF (Sender Policy Framework, разработчик pobox.com), Caller ID (Microsoft) и Sender ID (объединение SPF и Caller ID), продвигаемые альянсом, в котором главную роль играет корпорация Microsoft.

В течение весны-лета 2004 года многие публичные почтовые сервисы, провайдеры доступа (ISP), производители программного обеспечения объявляли о поддержке SPF (а затем — Caller ID), причем основная направленность этих объявлений была примерно такой: ‘ну вот теперь мы быстро покончим со спамом’.

Действительность оказалась куда сложнее. В конце лета — начале осени произошло сразу несколько событий:

  • проект стандарта Sender ID был отклонен IETF;
  • рабочая группа MARID, разрабатывавшая стандарт Sender ID, была распущена как не сумевшая достичь цели (существенный вклад в то, что члены рабочей группы переругались и не смогли продуктивно работать, внес Ричард Столлмен — идеолог открытого программного обеспечения, поднявший шум по поводу частных технологий Microsoft внутри предлагаемого стандарта).
  • О неподдержке Sender ID объявили крупные разработчики открытого ПО (самого популярного в мире веб-сервера Apache и популярного дистрибутива Linux — Debian Linux).
  • Выяснилось, что спамеры осваивают новые технологии куда быстрее, чем ‘обычные’ системные администраторы, и им ничего не стоит поддержать SPF/Sender ID в своих рассылках. В результате, согласно отчету CipherTrust, осенью 2004 года спам-сообщение имело втрое большие шансы быть пропущенным ‘чистым’ SPF-фильтром, чем обычная почта.

Другими словами, активность вокруг SPF оказалась скорее ‘PR-технологиями’: первые компании, объявившие о поддержке, надеялись, вероятно, на PR-машину Microsoft, а остальным компаниям не оставалось ничего, кроме как соответствовать правилам, вроде бы складывающимся в индустрии.

До сих пор не решенная проблема с пересылкой почты также не улучшает ситуацию с распространением данного стандарта.

В то же время, по нашим данным, в последние месяцы 2004 года стандарт SPF был поддержан примерно 10-12% отправителей.

7.2. Стандарт DomainKeys от Yahoo

Отдельно следует остановиться на альтернативной технологии Yahoo DomainKeys (разработчик — yahoo.com). Эта технология основана на электронной подписи всего сообщения (текста и заголовков) и лишена ряда недостатков SPF, в частности, пересылки (forward) почты не нарушают валидности письма.

Первым из крупных игроков рынка эту технологию внедрил Google (на почте Gmail), в настоящее время тестовая эксплуатация происходит на Yahoo, о тестировании технологии объявил Earthlink.

Как и в случае SPF, спамерам не составит большой проблемы подписывать свои сообщения.

В ближайшее время ожидать какого-либо значимого эффекта от подключения подобных технологий не следует, потому что потребуется их массовое внедрение, причем с перенастройкой или переустановкой программного обеспечения (почтовых серверов), что не очень реально.


8. Прогнозы и перспективы на 2005 год

В 2004 году мировая общественность всерьез занялась решением проблемы спама. Об этом свидетельствуют:

  • повышенный интерес общества к этой проблеме, резкий рост негативного отношения к спаму;
  • ужесточение законодательства во многих странах;
  • широкое внедрение антиспам-фильтров как на уровне провайдеров и владельцев публичных почтовых серверов, так и на уровне конечных пользователей;
  • рост предложений интегрированных систем обеспечения безопасности почты (антивирус, антиспам и антихакер в одной системе).

В совокупности эти меры должны привести к стабилизации и постепенному снижению объемов спама в 2005-2007 годах. Не нужно ждать резкого сокращения спама или его полного уничтожения, но выживут на этом рынке только спамеры-профессионалы, спамеры-любители просто не смогут ‘пробиться’ через фильтры.

Кроме того, именно любителям может не хватить знаний и умений для грамотной ‘маскировки’ рассылающих серверов, и поэтому именно они могут стать объектами показательных процессов.

Будет происходить дальнейший передел спамерского рынка, консолидация крупных спамеров.

Скорее всего, в связи со стабилизацией объемов спама во входящей почте и широкой установкой фильтров в 2005 году нас ожидает новый виток развития спамерских технологий.

Вполне возможно, что спамеры в очередной раз сделают ставку на графику (от чего в последнее время они стали отходить).

Главным направлением развития будет борьба за скорость проведения рассылок.

Очевидно, продолжится тенденция 2004 года — дальнейшая криминализация спамерского бизнеса, что будет выражаться:

а) в еще более плотном сращении с хакерами и ‘вирусописателями’,

б) в тематическом дрейфе спамерского контента в сторону мошенничества (увеличение доли рекламы контрафактных товаров, мошеннических писем, попыток кражи паролей и т.п.).

С другой стороны, в Рунете клиентами спамеров в 2005 году по-прежнему останутся представители малого бизнеса, т.к. для них спам — это наиболее доступное средство рекламы, оптимальное по соотношению цена/качество. Потери на имидже компании в российском бизнесе пока не расцениваются как серьезный недостаток того или иного вида рекламы.

Мы не прогнозируем серьезного успеха ‘инфраструктурных’ решений — новых стандартов электронной почты, так как на их пути стоит много препятствий, а спамеры тем временем не стоят на месте.


9. О компании ‘Ашманов и Партнеры’

Компания ‘Ашманов и Партнеры’ основана в 2001 году, разрабатывает лингвистические и поисковые технологии и является ведущим производителем антиспам-технологий в России.

В компании работает 30 специалистов, включая 8 кандидатов наук. Лингвистическая лаборатория ‘Спамтест’ работает круглосуточно, 365 дней в году.

Фильтр Спамтест, разработанный компанией, объединяет 15 разнообразных методов фильтрации, включая лингвистический разбор текстов и математический анализ графики. Уровень обнаружения спама составляет 90-95% (снижение уровня спама в 10-20 раз).

На ядре Спамтест основан популярный фильтр ‘Kaspersky Anti-Spam’.

Фильтры Спамтест установлены на серверах Национальной почтовой службы Mail.ru, в Петерлинке, Ростелекоме (РТКомм), РБК, РТС, LANCK, в ведущих сотовых операторах и многих других частных компаниях.

Ежедневно фильтры Спамтест обрабатывают более 50 миллионов писем, а лаборатория ‘Спамтест’ получает и анализирует примерно 150 тысяч различных новых спамерских писем в день. Это позволяет составить достоверную, детализированную картину распределения потоков спама, его качественного и количественного состава.

Спам 2004: аналитический отчет

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике