Спам: основные тенденции в третьем квартале 2006 года

Основные тенденции

1. Спамеры проявляют активность в поиске новых заказчиков.
2. «Финансовый» спам демонстрирует стремительный рост.
3. Анимированный спам — новый эффективный прием спамерских атак.

Долевое распределение спама

Первое полугодие 2006 закончилось на неожиданно высоком показателе долевого распределения спама в почтовом трафике — чуть более 80% от общего объема почты. Июль, начало третьего квартала, демонстрирует такие же высокие показатели — 80% от общего объема трафика, а также «всплески» до 90%, обусловленные массированными спам-атаками. Только в последней трети августа доля спама понижается до 70%, и далее колеблется в границах 70 — 80% с отдельными «всплесками» выше 80%.

Снижение доли спама коррелирует с изменениями в его тематическом составе: падение доли спама сопровождается нарастающими рассылками предложений собственно спамерских услуг (услуги по рассылке спама). Судя по всему, в конце лета спамеры активно ищут новых клиентов.

Закон «О рекламе» в действии или…?

Поиски спамерами новых клиентов и снижение доли спама в июле-августе совпали с началом действия поправок к закону «О рекламе» РФ (вступили в силу с 1 июля 2006 года).

Трудно отнести снижение доли спама и поправки к российскому законодательству к ряду простых совпадений (хотя такая вероятность существует), тем более, что основное понижение доли спама наблюдалось в сегменте товарной рекламы, типичной для Рунета (рекламные предложения на русском языке).

Возможно, начавшееся в конце июля снижение уровня спама как раз и свидетельствует о реакции малого бизнеса на изменение в законодательстве. Малый бизнес – основные заказчики спамерской рекламы – выжидал и пытался освоиться с новой ситуацией. С другой стороны, снижение доли спама может объясняться вполне прозаическими причинами: в августовский сезон отпусков заказчики считают невыгодным проведение рекламных кампаний и ждут осени. Поэтому еще раз подчеркну, что трудно сделать окончательные выводы только по данным третьего квартала 2006 года.

Тем не менее, факт остался фактом: налицо снижение доли спама. Больше всего этим фактом оказались обеспокоены сами спамеры, которые занялись активным поиском новых заказчиков. К концу лета резко увеличился поток спам-рассылок с предложениями собственно спамерских услуг. В тексте сообщений спамеры пытаются доказать потенциальным заказчикам, что вступление в силу новой редакции закона «О рекламе» не повлияет на количество спама, и что рассылка спама ничем не грозит заказчикам этих услуг.

Приведенный ниже график долевого распределения спама тематики «Услуги по электронной рекламе» за три летних месяца 2006 года наглядно демонстрирует рост доли «саморекламы» спамеров к концу лета:

Если спамерам удастся убедить потенциальных заказчиков, то снижение доли спама в почтовых потоках Рунета, увы, окажется недолгим. Посмотрим, что покажет конец года. К сожалению, прогнозы здесь пессимистические: на текущий момент спам – это одно из самых дешевых средств рекламы. К тому же это развитая индустрия, в которой вращаются немалые деньги.

Тематическое распределение спама

В третьем квартале 2006 года произошел резкий рост доли одной из традиционных спамерских тематик – «Личные Финансы». В результате спам этой тематики по долевому значению сравнялся с тематикой «Образовательные услуги» и попал в четверку лидирующих тематических категорий третьего квартала:

• «Медикаменты; товары и услуги для здоровья» 19,0% от общего объема спама,
• «Компьютерное мошенничество» — 12,4% от общего объема спама,
• «Образовательные услуги» — 10,8% от общего объема спама,
• «Личные финансы» — 10,8% от общего объема спама.

Дальнейшая криминализация спама

Криминализация спама продолжается. Сейчас спам-рассылки криминализированного характера присутствуют не только в спаме категории «Компьютерное мошенничество»: другие популярные виды спама, — например, «Медикаменты; Товары и Услуги для здоровья», «Личные финансы», — также содержат спам более или менее «сомнительного» контента.

Навязываемые пользователям медикаменты и товары для здоровья часто являются либо контрафактными, либо у продавцов/производителей отсутствует лицензия на производство и распространение этой продукции. Бывает также, что под громким именем лекарства на самом деле продаются биологически активные добавки. Возможно, они не требуют лицензирования, но и достоверность сведений об их лекарственных свойствах вызывает сомнения.

Тематическая категория «Личные финансы» в третьем квартале оказалась представлена практически однотипным спамом: это анимированный графический спам с англоязычными предложениями купить те ли иные акции. Эти предложения также сомнительны с точки зрения закона — это попытки вызвать искусственный спрос на акции некоторых компаний. Многие «западные» пользователи уже смогли на своем опыте убедиться в том, что приобретение подобных акций — это пустая трата денег.

Российские потребители пока не слишком заинтересованы в спамерских предложениях по акциям. Очевидно это объясняется тем, что у нас не так много пользователей, активно играющих на бирже и интересующихся акциями. Но это не значит, что спамеры не найдут другие варианты обмана пользователей. Собственно, они уже активно ищут способы изымания денег из чужих карманов, которые можно использовать в Рунете.

Интернет-мошенники охотятся за пользователями Рунета

В третьем квартале 2006 года было зафиксировано несколько русскоязычных мошеннических спам-атак, нацеленных на пользователей Рунета. Эти атаки характерны прямолинейностью и простотой используемых методов. Мошенники не утруждают себя подделкой сайтов или внешнего вида рассылаемых писем. Типичный прием, который они используют, — обещание «халявных» денег, которые пользователь якобы получит, выполнив указанные в мошенническом письме действия.

Спамеры Рунета пытаются нажиться на пользователях электронной платежной системы WebMoney. Схема мошенничества примитивно проста и отличается чрезвычайной наглостью: спамер утверждает, что любой пользователь может «на халяву» пополнить свой аккаунт в этой платежной системе за счет уязвимости в системе WebMoney. Эта уязвимость якобы приводит к тому, что сумма, положенная на некий «волшебный» номер кошелька, вернется к пользователю системы удвоенной (утроенной, с добавкой 10 у.е. и т.п.).

Естественно, такая грубая приманка рассчитана на очень доверчивых пользователей, но именно такие жертвы и нужны спамерам-мошенникам. Иногда для придания большей правдоподобности обещаниям «халявных денег», спамеры используют такие наживки как «акции» и «лотереи», а также составляют текст сообщений якобы от имени администрации WebMoney:

Не меньшей притягательностью для компьютерных мошенников обладают SMS-сервисы, предназначенные для перевода денег с одного счета на другой. Здесь используются практически такие же грубые приманки, как и в схемах с упоминанием WebMoney. Спамеры обещают «один день бесплатной связи», «удвоение денег на мобильном счету» и прочий бесплатный сыр, который в итоге неминуемо ведет к мышеловке.

Спамерские приемы и методы: анимированный спам

В августе 2006 спамеры выпустили на рынок новую технологию рассылки: анимированный графический спам: спамерское сообщение содержит вложенный файл в формате GIF. Используется именно формат GIF, так как он распознается и автоматически воспроизводится всеми популярными браузерами.

Обычно анимированный спам содержит от 2 до 5 кадров, из которых только один кадр является значимым, т.е. содержит информационную составляющую. Именно на этом кадре отображается текст спамерского предложения. Остальные кадры содержат фон или прочие элементы рисунка, не несущие смысловой нагрузки.

Всего за месяц существования анимированный спам уже несколько раз видоизменялся. Практически сразу же после запуска новой технологии, спамеры попытались разнообразить ее: вместо фоновых кадров появились кадры, по задумке спамеров призванные оказывать на пользователя психологическое воздействие. Ниже приведен пример двух кадров из такой спам-рассылки.

В исходном анимированном GIF-е было 5 кадров, 4 из них (2 первых и 2 последних) – с разнообразными «наслоениями» слова «buy». Так выглядит один из кадров с призывом «buy!» («покупай»); кадр демонстрируется пользователю в течение 0,04 секунды:

Основную смысловую нагрузку несет третий кадр, который остается на экране в течение 1,5 минут:

Сейчас появилась уже третья модификация анимированных рассылок. Теперь в анимации несколько информативных кадров, каждый из них содержит по несколько строк рекламного текста. Наслаиваясь друг на друга, эти кадры постепенно демонстрируют пользователю весь текст коммерческого предложения.

Примечательно, что в третьем квартале анимированный спам содержит однотипные предложения — призывы инвестировать. Создается впечатление, что всем этим валом «финансового» анимированного спама мы обязаны небольшой группе спамеров, осваивающих новое программное обеспечение.

Новый прием вряд ли создаст проблему для систем фильтрации. При желании анимированный GIF достаточно легко расчленить на кадры и работать с каждым кадром по отдельности. Кроме того, спам-фильтру вообще нет необходимости целенаправленно анализировать графическую составляющую спама. Существует множество проверенных и надежных методов классификации спама, и многие фильтры с их помощью способны распознать анимированные рассылки как спам, вообще не пытаясь анализировать «картинку».