Борьба со спамом должна включать целый комплекс мер, направленных как на защиту пользователя, так и на противодействие криминальным структурам, стоящим за организацией спам-трафика. Конец 2010 года показал, насколько важна в этом вопросе юридическая составляющая и насколько эффективным может оказаться вмешательство правоохранительных органов в деятельность структур, занимающихся спам-бизнесом.
Заметное уменьшение объема спам-трафика, наблюдавшееся осенью 2010 г., не что иное, как плоды трудов киберполицейских.
Потери в спам-трафике
В конце августа 2010 года было объявлено о закрытии командных центров ботнета Pushdo/Cutwail. После выхода из строя этого ботнета эксперты «Лаборатории Касперского» наблюдали уменьшение доли спама в почтовом трафике примерно на 2%. Эта цифра, которая на первый взгляд не кажется внушительной, зависит не только от объема спама, но и от объема чистой почты. Если же говорить об абсолютных значениях, то, по нашим данным, в период с 15 по 30 августа спама стало меньше на 15%.
Несмотря на то, что закрытие Pushdo/Cutwail не имело для мира спама катастрофических последствий, это событие запустило своеобразную цепную реакцию, влиявшую на объемы спам-трафика на протяжении всей осени.
Судите сами: в сентябре по сравнению с августом спама в почте стало меньше на полтора процента, а в период с 1 по 25 октября — еще на 2,4%. В абсолютных цифрах это означает, что количество мусорных писем к 24 октября 2010 года сократилось почти на четверть по сравнению с аналогичным показателем середины августа. Заметим, что в этот период не происходило никаких событий, способных непосредственно повлиять на мощности спамеров. Возможно, некоторые ботнеты в момент активизации правоохранительных органов просто «залегли на дно». Напомним, что помимо закрытия Pushdo/Cutwail, непосредственно повлиявшего на объем спама, много шума наделало и дело об арестах участников группировки, воровавшей деньги с помощью ботнета Zeus. Кроме того, в течение первых двух осенних месяцев внимание правоохранительных органов было направлено на фармацевтический спам, что прежде всего повлияло на тематический состав спама, но, возможно, оказало некоторое влияние и на его количество.
25 октября спамеров поджидал второй неприятный сюрприз: правоохранительные органы Голландии нанесли ряд мощных ударов по ботсетям, состоящим из компьютеров, зараженных вредоносной программой Bredolab. В общей сложности в конце октября было обезврежено 143 командных центра и арестован один человек, подозреваемый в управлении ботнетами.
Изменения доли спама в почтовом трафике
в момент закрытия ботсети Bredolab
В результате борьбы с Bredolab в период с 25 октября по 4 ноября объем спама уменьшился на треть по сравнению с серединой октября. Если же сравнивать объем спама на последней неделе октября с показателями середины августа 2010, то можно наблюдать двукратное уменьшение! Такой результат, как мы уже писали выше, является суммой ряда событий и факторов, в число которых входят и закрытие командных центров Pushdo и Bredolab, и осторожность владельцев уцелевших ботсетей в этот период, и давление на фарма-спамеров со стороны правоохранительных органов. Дней десять спустя объем спам-трафика вернулся на уровень середины октября.
В целом, если принять за 100% объем спама, рассылавшегося в начале августа до начала «кризиса» и проследить его колебание в течение второй половины 2010 – начала 2011 годов, то мы получим график следующего вида:
Изменение объема спам-трафика в период с августа 2010 по январь 2011
Комментарии к этому графику практически излишни — он иллюстрирует беспрецедентный успех в борьбе со спамом на мировом уровне.
Война за территорию: потери и приобретения
Закрытие командных центров спам-ботнетов отразилось не только на количестве рассылаемых сообщений. В конце 2010 года изменилась и география спама. Здесь мы имеем в виду не только изменения в составе стран — источников спама, но и изменения в географии стран, куда рассылается больше всего писем с вредоносными вложениями. Как показало развитие событий в конце 2010 года, массированные рассылки с вредоносными вложениями, направляемые в определенные регионы, предшествуют всплеску спам-активности из этих областей. Это легко объяснимо: при построении бот-сети в определенной географической зоне, злоумышленники сначала заражают компьютеры пользователей спам-ботами, в том числе и с помощью вредоносных рассылок, а затем эти компьютеры начинают рассылать спам.
География спама (страны-источники)
Самым заметным изменением в «географии спама» стало впечатляющее снижение объема мусорной почты, рассылаемой с территории США. Причина очевидна: в США находилось большое количество машин, зараженных Cutwail, а в конце августа командные центры Pushdo/Cutwail были закрыты. В сентябре мусорной почты, распространяемой с территории США, становится меньше примерно в три (!) раза. В октябре США передвинулись с первой-второй позиции в двадцатке на восемнадцатую (всего 1,6% спама), а в ноябре вообще не вошли в двадцатку стран — распространителей спама.
Уменьшение исходящего спам-трафика наблюдалось также в азиатском регионе.
Образовавшийся дефицит мощностей спамеры попытались восполнить за счет развития своей деятельности в Южной Америке и Европе.
Изменения в распределении регионов — источников спама
в период с августа по декабрь 2010
Как видно на графике, в сентябре именно Европа — как Восточная, так и в какой-то мере Западная — компенсировала «недостающий» американский спам-трафик. В начале осени в той или иной степени увеличился объем спама, рассылаемого из всех европейских государств, кроме Италии, Болгарии и Литвы.
Если говорить о странах латиноамериканского региона, то следует отметить Бразилию, откуда в сентябре поток спама увеличился. Именно за счет нее доля спама из Латинской Америки выросла более чем на 3%.
Однако спамерам не удалось полностью компенсировать понесенные в Штатах потери.
В октябре спама, идущего из западноевропейских стран, снова стало меньше. По всей видимости, борьба с ботнетами, развернувшаяся в Западной Европе, заставила ботоводов быть осторожнее и не засвечивать свои ботнеты в Германии, Австрии, Франции, Великобритании и Голландии.
Одновременно в почтовом трафике становится больше нежелательных писем из Азии и Восточной Европы — главным образом, из Индии и России. По всей видимости, виной тому стал ботнет Bredolab, еще функционировавший в сентябре и октябре.
БольшАя часть включенных в Bredolab машин находилась, по нашим данным, как раз на территории Индии и России. Однако Bredolab был закрыт, и в ноябре доля спама, разосланного с территории России (и, как следствие, с территории всей Восточной Европы), значительно уменьшилась.
Здесь на помощь спамерам снова пришли рассылки из Западной Европы. Таким образом, спамеры словно раскачивают западноевропейские страны на качелях, то рассылая оттуда больше спама, то снова залегая в этом регионе на дно.
Азиатские страны, в частности Вьетнам и Индонезия, также активно используются спамерами для компенсации осенних потерь.
Рассылка вредоносного кода через почту
Спамеры приложили все усилия к восстановлению ботнетов. Один из способов, к которому злоумышленники традиционно прибегают для построения или развития ботсети, — рассылка вредоносного кода через почту. Осенью мы особенно внимательно наблюдали за географией таких рассылок, поскольку целевые регионы, в которые их направляли злоумышленники, судя по всему, должны были стать местами организации новых ботнетов (или реставрации старых).
Как только правоохранительные органы в странах с развитой законодательной системой обратили внимание на спам-ботнеты, у ботоводов отпало желание плодить там инфицированные машины. Доля срабатываний нашего почтового антивируса в регионах, которые раньше лидировали по этому показателю, начала стремительно уменьшаться:
Срабатывания почтового антивируса в развитых странах
в период с августа 2010 по январь 2011
На графике видно, что доля детектирований почтового антивируса на территории США, Испании, Италии и Великобритании стала сокращаться в октябре-ноябре 2010 года. В Японии и Франции этот показатель начал уменьшаться еще в сентябре.
Нетипично на этом графике ведет себя только кривая, показывающая уровень срабатываний почтового антивируса в Германии. В октябре на территории этого государства срабатывания почтового антивируса наблюдались чаще, чем в сентябре и ноябре. Однако в данном случае всплеск связан не с рассылкой спам-ботов, а с вредоносными программами другого рода.
Одновременно с уменьшением доли срабатываний почтового антивируса в развитых странах, доля многих стран азиатского региона и Восточной Европы начала столь же стремительно увеличиваться. При рассылке спам-ботов в западные страны злоумышленники делали ставку на высокий уровень компьютеризации этого региона. Рассылая вредоносные программы в восточные страны, они рассчитывали на низкий уровень компьютерной грамотности пользователей этих стран на фоне недостаточных или вовсе отсутствующих законов против спама и использования вредоносного кода.
Срабатывания почтового антивируса в восточных странах
в период с августа 2010 по январь 2011
О содержании
Уменьшение общего количества спама и количества спама, разосланного с территории отдельных государств, — это не все изменения, затронувшее спам-бизнес. Поговорим теперь о тематической направленности спам-потоков и изменениях в структуре спамового рынка (то есть, о заказчиках спама).
–Какую «партнерку» выбрать?
На тематическом распределении нежелательной почты более всего сказалось закрытие 1 октября партнерской программы SpamIt. Одна из ведущих спамерских «партнерок» объявила о прекращении своей деятельности в двадцатых числах сентября.
Партнерская программа, или «партнерка», — это маркетинговый прием, когда распространитель товара платит спамерам не за рекламу как таковую, а за каждого пришедшего клиента. В некоторых случаях партнерская программа может быть организована непосредственно распространителем товара. Однако чаще партнерская программа организована третьими лицами и является «площадкой для встреч» между фирмами, предлагающими товар, и спамерами, готовыми этот товар рекламировать. В таком случае деньги за каждого приведенного клиента или процент с каждой покупки получает не только партнер, распространявший рекламу (т.е. спамер), но и организатор партнерской программы.
SpamIt была одной из ведущих партнерских программ, занимавшихся фармацевтическим спамом. И ее закрытие в первую очередь повлияло на количество рекламы так называемых медицинских препаратов, а попросту говоря, на количество писем, рекламирующих контрафактную виагру. После 20 сентября такого спама стало меньше на треть, — его доля в спамовых потоках упала с 31% до 21%, и это произошло всего лишь за неделю. Одновременно стало увеличиваться количество писем, несущих в себе вредоносный код: спамеры переключились с фармацевтической рекламы на рассылку вредоносных программ. Отметим, что в начале сентября мы, напротив, наблюдали заметный рост доли фармацевтического спама. Вероятно, партнеры, узнавшие о закрытии программы раньше широкой общественности, попытались заработать на фармацевтическом трафике, пока это было еще возможно.
SpamIt — крупная «партнерка», занимавшаяся фармацевтическим спамом, но ее закрытие не означало полного исчезновения сообщений, рекламирующих виагру, из ящиков пользователей. На просторах интернета продолжала жить и здравствовать партнерская программа Glavmed. Однако 26 октября 2010 года следственное управление при УВД по Центральному административному округу Москвы нанесло удар и по этой партнерской программе. В этот день было возбуждено уголовное дело против гендиректора ООО «Деспмедия» Игоря Гусева, по всей видимости стоящего за партнеркой Glavmed.
Интересно, что в середине октября, когда спамеры уже несколько оправились после закрытия SpamIt, а шум вокруг партнерской программы Glavmed еще не начался, количество фармацевтического спама снова стало увеличиваться. Складывается впечатление, что спамеры пришли в себя после закрытия SpamIt и снова решили было вернуться к рассылке виагры. Но дело Игоря Гусева нарушило их планы , и число таких рассылок опять стало неуклонно снижаться. На протяжении ноября и декабря доля спама, рекламирующего виагру, оставалась на рекордно низком уровне — 8-12%. Это говорит о том, что такой серьезный всплеск внимания со стороны правоохранительных органов к фармацевтическому спаму спугнул значительную часть злоумышленников.
Потеряв часть дохода от медицинского спама, спамеры постарались найти другой источник обогащения. Видимо, это оказалось непростой задачей, поскольку до конца года (особенно в ноябре) они использовали то одну, то другую партнерскую программу.
Изменение в тематических категориях партнерского спама
в период с сентября 2010 по январь 2011
Реклама реплик элитных товаров пережила два больших подъема. Первый пришелся на момент снижения доли фармацевтического спама в конце сентября — начале октября. Тогда доля спама, содержащего рекламу реплик элитных товаров, увеличилась более чем на 10%. Но, по всей видимости, этот вид рассылок разочаровал спамеров и не принес ожидаемого дохода, поскольку в течение октября рассылки пошли на спад, и концу месяца его доля едва превышала 5%. Однако в декабре, перед праздниками, у спамеров появилась надежда на прибыль от продажи реплик. Это привело ко второму всплеску активности таких рассылок.
Ближе к концу октября, когда объем фармацевтического спама уже заметно снизился, а попытка занять их место рекламой реплик элитных товаров провалилась, более массовыми стали рассылки, рекламирующие онлайн-казино. В начале ноября такие рассылки составляли уже более 15% спам-трафика. Однако к концу месяца этот спам практически полностью исчез из почтовых ящиков пользователей, что тоже говорит о том, что подобные рассылки не нашли своего клиента.
Спама, содержащего рекламу порносайтов и сайтов знакомств, стало больше на третьей неделе последнего осеннего месяца. Но затем доля рекламы порно-сайтов и сайтов знакомств в почтовом трафике также начала снижаться. Интересно заметить, что доля порнорассылок до конца августа 2010 была крайне мала в трафике, а с началом осени 2010 увеличилась и укрепилась на позиции 4-5%.
Заключение
Бурное для мира спама окончание 2010 года снова напомнило интернет-сообществу простую истину: борьба со спамом эффективна только тогда, когда в ней принимают участие правоохранительные органы.
Антиспам-индустрия работает на защиту почтовых ящиков пользователей и никак не вовлечена в поимку спамеров и отключение спам–ботнетов. У нас другие задачи, другие возможности.
Эффективная работа правоохранительных органов в 2010 году привела к двукратному снижению объема спама, что, безусловно, является большим достижением. Однако спамеров и ботоводов не так просто заставить бросить свой прибыльный бизнес. Всего лишь два месяца затишья — декабрь и январь — позволили им сделать серьезные шаги в сторону восстановления своих мощностей. К концу января объем спама уже достиг уровня сентября 2010 года, то есть времени до закрытия ботнета Bredolab.
Не вписывается в картину восстановления мощностей только начало января — тогда из-за длительных новогодних каникул многие инфицированные машины были выключены, что привело к ощутимому уменьшению количества спама в период с 1 по 10 января. В отдельные дни объем спама в почтовом трафике падал в пять раз.
Распределение срабатываний почтового антивируса по странам в начале 2011 года также возвращается к своим обычным показателям — пользователи в развитых, высоко компьютеризированных, странах снова стали чаще получать вредоносный код по почте, а страны восточноевропейского региона — реже.
В январе стабилизировались не только в количественные показатели спама, но и его тематический состав.
В январском спам-трафике процент спама с рекламой виагры вновь увеличился. Резкий скачок наблюдался в начале января, когда сообщения, рекламирующие медицинские препараты, составили четверть спам-трафика. Однако надо учитывать, что в начале года была снижена активность спамеров в целом. Весьма вероятно, что всплеск рекламы фармацевтических препаратов мог быть обусловлен каникулами владельцев ботнетов. Похоже, многие ботоводы, отправляясь на выходные, дали своим ботам команду рассылать старый добрый фармацевтический спам, не затрудняя себя поиском других решений и клиентов. По завершении длительных новогодних праздников доля спама с рекламой медикаментов начала постепенно сокращаться. К концу месяца такой спам составлял лишь 13,5% всех спамерских сообщений, однако даже эта цифра на 4% выше, чем среднемесячный показатель декабря.
Третий спокойный месяц — февраль — ознаменовался дальнейшим увеличением доли спама в почтовом трафике (на 1,1%) и ростом объема спама, рассылаемого из США (до 3,5%), а также активизацией рассылки вредоносного спама в эту страну — доля срабатываний почтового антивируса там составила 10,6%.
Из событий 2010 года можно сделать важный вывод: недостаточная продуманность законов, направленных на борьбу со спамом, создает благоприятные условия для действий злоумышленников. Они легко уходят от ответственности, перемещаясь из страны в страну, а также, в случае опасности, переносят свои ботнеты. Для оптимизации борьбы с таким международным злом, как спам, необходимо иметь крепкие законодательные базы не только в нескольких развитых государствах, но и во всем мире, ведь интернет существует в каждом государстве.
Уже к апрелю-маю мы ожидаем полного восстановления объемов спам-трафика до показателей лета 2010. Разумеется, это произойдет в том случае, если правоохранительные органы не нанесут очередной удар по этому криминальному бизнесу.
Спам и закон: осеннее противостояние