Отчеты по спаму и фишингу

Спам: основные тенденции в I квартале 2006 года

Данные этого отчета можно без ограничений цитировать и использовать в публикациях
при условии ссылки на ЗАО «Лаборатория Касперского».

Основные тенденции в развитии спама за I квартал 2006 года

  1. Долевое распределение «спам/легитимная почта» остается неизменным; в среднем спам составляет не менее 70% от общего объема почтового трафика Рунета.
  2. Минимальное значение доли спама в первом квартале 2006 года составило 44% (4 – 6 января), а максимальное – 89% (16-18 февраля).
  3. Спам тематики «Компьютерное мошенничество» составляет около 16% от всего объема спама. Это очень высокий показатель.
  4. Спамеры ищут новые приемы модификации графических изображений в спаме.
  5. Спамеры умело пользуются возможностями языка HTML для обхода спам-фильтров и постоянно работают в этом направлении.

Количественное и долевое распределение спама

Распределение спама в первом квартале 2006 года полностью соответствует ожиданиям аналитиков «Лаборатории Касперского»: долевое распределение «спам/легитимная почта» не претерпело существенных изменений по сравнению с прошлым годом.

Хотя в количественном отношении спама не становится меньше. Напротив, его объемы постепенно увеличиваются, что, впрочем, соответствует общим тенденциям развития электронных коммуникаций. Количество «обычной», или легитимной, почты тоже растет.

В целом, график долевого распределения спама за первый квартал 2006 сходен с аналогичным графиком за 2005 год. Тот же спад в начале года, затем резкий подъем и относительно высокие объемы спама в феврале, и последующая стабилизация в марте на уровне 74-77% от общих почтовых потоков:

  • в первую неделю года доля спама в общем почтовом трафике упала до 44-60% от общего объема почты (напомним, что декабрь 2005 года завершился на показателях 70-74 %% спама);
  • но уже к середине января 2006 года доля спама вернулась к привычным значениям и практически не опускалась ниже 70%;
  • в феврале были отмечены резкие колебания доли спама от 72% до 89%;
  • к марту ситуация полностью стабилизировалась, и доля спама вошла в привычную зону «средних значений», составив 74-77% от общего объема почты.

Минимальные количественные показатели спама были зафиксированы с 4 по 6 января 2006 года, а максимальные – с 16 по 18 февраля.

Тематическое распределение спама

Традиционные сезонные колебания в распределении спама нашли отражение и в его тематическом составе. Поскольку большинство спамовых сообщений – это реклама, то тематический состав спама сильно зависит от востребованности той или иной тематики на рынке рекламных услуг. Так, сезонный рост предложений отдыха и турпоездок конца декабря (предложения поездок на новогодние каникулы) в январе сменился практически полным затишьем. Новая волна рекламных предложений этой тематики обозначилась лишь в конце марта (впереди весна, которая традиционно является востребованным сезоном для отдыха).

Список основных тематических групп в спаме не изменился по сравнению с концом 2005 года, это те же 9 категорий (все они представлены на диаграмме ниже). В первом квартале 2006 года по доле, занимаемой в общем потоке спама, лидируют тематики «Компьютерное мошенничество» и «Медикаменты; товары/услуги для здоровья» (именно в эту группу попадают многочисленные англоязычные рассылки с предложениями приобрести cialis, viagra и аналогичные препараты). Приведенная ниже диаграмма демонстрирует распределение спама по тематическим группам в первом квартале 2006 года:

Наиболее заметной особенностью тематического распределения спама в первом квартале является стабильно высокая доля тематики «Компьютерное мошенничество». В январе доля подобных рассылок составила четверть от всего объема проанализированного спама (25,3%), в последующие месяцы было зафиксировано снижение этого показателя до 16% (16,6% в феврале и 16,1% в марте).

Экстремально высокий показатель этой тематики в январе – 25% от всего спама – во многом обусловлен все той же сезонной спецификой спамерских потоков. Спама в январе меньше, чем в другие месяцы, и содержательно он также отличается. Потребители практически во всем мире не готовы делать новые покупки после новогодних праздников и распродаж. Поэтому количество заказов на товарную рекламу уменьшается, и на этом фоне происходит перераспределение долей остального спама.

Тем не менее, 16% от общего объема спама, зафиксированные в феврале и марте (эту цифру уже можно считать стабильной), – это очень высокий показатель. Содержательно состав спама тематики «Компьютерное мошенничество» не претерпел изменений. Это фальшивые уведомления о выигрыше в лотерею, фишинг, «нигерийские» письма и т.п. Но в первом квартале 2006 года в почтовых потоках было зафиксировано намного больше подобного спама, чем всего полгода назад или в соответствующие месяцы прошлого года. Так, в феврале 2005 года доля спама тематики «Компьютерное мошенничество» составила 9,3%, а в этом году этот показатель равен 16,6%, т.е., в целом, тематика продемонстрировала рост более чем в 1,5 раза.

Ниже приведен образчик относительно нового вида спама внутри «криминализированного» жанра. Судя по всему, спамеры предлагают пользователям войти в состав цепочки, занимающейся «отмыванием» денег (для пользователя положительная реакция на спам будет равносильна согласию войти в преступную группировку, т.е. совершить уголовно наказуемое деяние):

Good day, Sir/Madam!

Let me introduce myself: my name is Sergey Rubinshtein and I am a financial analyst in Moscow. My specialization is analysis of Russian economics and financial markets. I frequently perform consulting projects for US financial firms. My American client’s Human Resources Dept manager advised me to find an American resident to serve as an intermediary because it is easier to receive payment this way than filling out all the required paperwork to become a 1099 employee.

That’s why I ask you for help in transferring consulting payments received from the US firms and will gladly compensate you with a percentage of my wages which I expect to be about $2,000 — $4,000 per week. This will become a small but recurring source of income for you for very little effort. Please contact me via e-mail if you are interested and would like to know the details.

Yours truly,

Sergey Rubinshtein

Sr. Consultant,

Russian Economic Advisory Consul

Приведенный выше образец типичен для потоков спама в «западной» части Интернета, но в Рунете встречаются свои характерные виды мошенничества. Все популярнее становится «спам-попрошайничество», т.е. просьбы о материальной помощи со ссылкой на болезни или личные тяжелые обстоятельства, как, например, в этом спамерском сообщении:

Здравствуйте, друзья.

У меня осталось очень мало времени и единственный способ решить проблему – это обращение к вам.

Мой брат попал в тюрьму в Грузии…

Во время командировки в Тбилиси он врезался в автомобиль одного из чиновников. Конечно, в аварии есть и его вина, но проблема в том, что мы близнецы и в командировку он поехал с моим водительским удостоверением (своего не имел) и паспортом. В 1987-1992 годах я проходил службу на территории Грузии и неоднократно принимал участие в операциях по погашению локальных конфликтов.

В данный момент, помимо основного обвинения, ему собираются предъявить еще и какие-то политические мотивы…

Во время телефонных переговоров мне была названа сумма, оплатив которую, местные органы готовы освободить его и дать возможность беспрепятственно покинуть страну.

Мой знакомый в Тбилиси подтвердил правдивость информации и готов выступить в качестве посредника.

Поверьте – не самое приятное обстоятельство просить денег у незнакомых людей, но нужно собрать еще 600000 рублей за две недели…

Я прошу вас, просто не поленится, зайти на почту и отдать бланк, с уже заполненными реквизитами (впишите только свои данные и сумму: 20 руб, 50руб., 10 руб., в общем сколько не жалко) который находится во вложенном файле.

Большое спасибо за понимание.

Спамерские приемы и методы

С точки зрения технической организации рассылок и оформления первый квартал 2006 года практически не принес ничего нового. Основная масса спама рассылается давно известными средствами (открытые релеи, зомби-сети и т.п.), и для обхода спам-фильтров спамеры используют привычные приемы (случайный текст, «лишние» пробелы в словах и т.п.).

Тем не менее, аналитики «Лаборатории Касперского» отмечают, что наметилась явная тенденция к поиску новых средств графической модификации спама. «Спам в картинках» (т.е. в виде графических файлов) – популярный и широко известный спамерский трюк, целью которого является затруднение группировки спамерских сообщений и идентификации их как единой массовой рассылки. Поскольку наиболее мощные фильтры умеют работать с графикой (например, Kaspersky Anti-Spam включает в себя модули по обработке графических изображений), спамеры пытаются найти новые варианты использования «картинок» в спаме.

Технической новинкой квартала можно назвать ротацию изображений, т.е. изображение с одним и тем же текстом в письмах повернуто под разными углами. Например, как в этих двух сообщениях:

Спамеры умело пользуются возможностями языка HTML для обхода спам-фильтров и постоянно работают в этом направлении. В первом квартале 2006 года спам-аналитики отметили очередной рост количества англоязычных предложений «дешевого софта» и «медикаментов для взрослых», в которых отрабатываются различные способы применения возможностей HTML. Особой популярностью пользуются всевозможные таблицы.

Например, вот так пользователь видит спам у себя в почтовом ящике (HTML-часть сообщения):

А вот так выглядит то же сообщение в текстовом формате (средства HTML не работают):

Спам и законодательные инициативы РФ

Борьба со спамом идет не только в техническом, но и в законодательном направлении. Опыт многих стран (США, Германия, Австралия) показывает, что законодательные меры могут оказывать сильное влияние на развитие спама. Законопослушные представители мелкого бизнеса уходят с этого рынка или реорганизуют свою деятельность в соответствии с действующим законодательством.

Действующий в РФ закон «О рекламе» (а спам – это, в большинстве своем, именно реклама) не оговаривает такие способы распространения рекламы как электронные коммуникации. С 2006 года в РФ вступит в силу новая редакция закона «О рекламе», в котором есть отдельный параграф, регламентирующий распространение рекламы по сетям электросвязи. В соответствии с новой редакцией закона, для подобного распространения рекламы нужно предварительное согласие абонента, при этом автоматическая рассылка запрещена. Несмотря на то, что пока не видно реальных механизмов практической реализации этой поправки, обнадеживает сам факт, что законодатели обратили внимание на особенности электронных коммуникаций.

Новая редакция закона вступит в силу 1 июля 2006 года. Скорее всего, это будет просто демонстрация намерений, а не эффективный инструмент борьбы со спамом. Но это не значит, что пользователь абсолютно беззащитен и ему нечего противопоставить потокам спама.

Интернет представляет собой уникальную самоорганизующуюся и саморегулирующуюся структуру. То, чего не могут сделать законы, могут сделать провайдеры и системные администраторы. Повсеместное внедрение спам-фильтров (по аналогии с антивирусами, которые сейчас уже считаются обязательным элементом сетевой архитектуры любой компании) вполне способно защитить пользователя. Особенно фильтров, которые обеспечивают комплексную защиту, сочетая разнообразные методы распознавания спама. Как, например, Kaspersky Anti-Spam.

Спам: основные тенденции в I квартале 2006 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике