Спам: основные тенденции во втором квартале 2006 года

Данные этого отчета можно без ограничений цитировать и использовать в публикациях, при условии указания его названия и ссылки на ЗАО «Лаборатория Касперского».

Все данные приведены по результатам обработки потоков спама аналитиками «Лаборатории Касперского». Общий объем анализируемого материала составляет 250000 – 600000 сообщений в сутки.

Основные тенденции в развитии спама во втором квартале 2006 года

1. Концентрация спама в почтовом трафике остается практически неизменной. Произошло «насыщение» почты спамом.
2. Во втором квартале 2006 года спам составлял не менее 70% от общего объема почтового трафика. К концу второго квартала доля спама в общем потоке почты возросла до 82,2%.
3. Во втором квартале доля криминализированного спама колебалась в районе 13-16%. В течение квартала было зафиксировано три «пика» криминализированных спам-атак, когда доля этого вида спама возрастала до 25%.
4. Спамеры наращивают скорость проведения спам-атак. Одна спам-рассылка может быть доставлена пользователям за 20-50 минут. Объектами скоростных атак чаще всего являются сервера бесплатных почтовых служб.
5. Появился новый вид «графического» спама – изображение, разрезанное на части.

Долевое распределение спама

Спам продолжает удерживать позиции: как и в первом квартале 2006 года, доля спама в почтовом трафике не опускается ниже 70%. К концу второго квартала доля спама возросла до 82,2% (усредненный показатель по второй половине июня). На графике ниже видны два периода плавного повышения кривой спама: доля спама превысила 80% с 28 мая по 4 июня и с 20 июня до конца квартала. Для середины лета это неожиданный показатель. В течение последних трех-четырех лет для летних месяцев, напротив, было характерно незначительное понижение объемов спама.

По сравнению со вторым кварталом 2005 года кривая долевого распределения спама стала более «плавной». Хорошей иллюстрацией этого факта служит ситуация с распределением спама в Рунете в период майских праздников.

Последние несколько лет (с 2003 по 2005 год¹) аналитики наблюдали в этот период резкий «отток» спама в первую неделю мая и не менее резкий его «наплыв» во второй половине месяца. Однако на графике видно, что в этом году ожидаемого падения доли спама в период майских праздников не произошло. Напротив, доля спама в период с 1 по 10 мая оставалась необычно высокой – от 74% до 81% от общего трафика, — а относительно небольшой спад спамерских атак настал только после майских праздников в период с 13 по 16 мая (минимальный показатель доли спама тогда составил 70%).

Складывается впечатление, что к настоящему моменту произошло своеобразное «насыщение» спамом почтовых потоков во всем мире. Доля спама стабилизировалась на достаточно высоких показателях, и показатели эти уже слабо подвержены влиянию внешних факторов, например таких, как региональные праздники.

Тематическое распределение спама

Тематический состав спама во втором квартале не претерпел изменений: лидируют спамерские тематики «Компьютерное мошенничество²», «Образование» и «Медикаменты; товары/услуги для здоровья». Такой же расклад наблюдался и в первом квартале 2006 года.

Спам тематики «Компьютерное мошенничество» сохраняет высокие позиции в тематическом рейтинге. Средний показатель для этой тематики составил во втором квартале 2006 года 18,2% от всего спама. Но это усредненные данные. На самом деле распределение криминализированного спама по прошедшим трем месяцам не было равномерным. В течение квартала наблюдалось три «пика», когда доля кримилизированных спам-атак могла достичь 25% от всего спама. Продолжительность каждого такого «пика» составляла 1-3 дня. В остальное же время криминализированные атаки составляли 13–16% от всего спама.

Некоторые виды криминализированного спама распространены во всем мире. Это, прежде всего, фишинг и «нигерийский» спам. Но существуют виды спама, уникальные для разных регионов. Например, участие в замаскированных схемах по отмыванию денег (подается спамерами как легальный бизнес) предлагают исключительно пользователям западной части Интернета. А вот пользователи Рунета получают рассылки с предложениями вариантов билетов на выпускные и вступительные экзамены.

Уникальный спамерский контент Рунета

Впереди – законодательное регулирование спама

Завершился второй квартал 2006 года, и вместе с ним закончился период «вольного» существования распространителей спама. С 1 июля вступила в силу новая редакция закона «О рекламе», в которой оговорено распространение рекламы по сетям электронной связи. Спам разнообразен, но по большей части он является рекламой. Это значит, что вся «рекламная» часть спама с 1 июля 2006 года регулируется действующим законодательством³.

Предстоящее вступление в силу новой редакции закона нашло косвенное отражение в содержании русскоязычного спама во втором квартале. Спамеры попытались обыграть эту новость и эксплуатировать ее как дополнительный способ воздействия на пользователей. Так, одна из рассылок, рекламирующая собственно спамерские услуги (услуги по организации и проведению спам-рассылок), начиналась призывом поторопиться: «Спешите заказать рассылку до вступления в силу Нового Закона о Рекламе».

Одно из спамерских агентств нашло оригинальное решение дилеммы: как заниматься рассылкой спама и не нарушать закон. В июне реклама услуг этого агентства рассылалась… на украинском языке (тема: «РОЗСИЛКА ВАШОI РЕКЛАМИ ПО EMAIL»). На Украине пока нет соответствующего законодательства, и украинская фирма вполне может предлагать подобные услуги. А то, что у фирмы в контактах значится московский телефон, да и спам-рассылки она проводит по базе «Деловая Москва», это, с точки зрения спамеров, не имеет значения. Впрочем, юридический адрес агентства или хотя бы адрес офиса в спам-рассылке в любом случае отсутствует, как это обычно и бывает в спаме.

Спам и экзаменационная страда

В мае и июне по Рунету прошла волна криминализированного спама, на этот раз связанная с выпускными школьными и вступительными вузовскими экзаменами. Сразу несколько спам-рассылок предлагали ответы к ЕГЭ. Примечательно, что спамеры всячески подчеркивали тот факт, что ответы ими украдены из типографии. Возможно, с точки зрения спамерской логики, это повышает их ценность. При этом наиболее совестливые спамеры предупредили потенциальных покупателей, что купленный ими вариант может не совпадать с правильным ответом, оставив себе 1% на ошибку (цитата из спама: «Все ответы верны на 99%, мы их за большие деньги купили у работника московской типографии»).

Контентная специфика второго квартала 2006 года: наиболее примечательные одиночные спам-атаки

Массированная спам-атака со случайными числами в теме и теле сообщения

В начале июня была зафиксирована спам-атака, не носящая рекламного характера. Спамерское сообщение состояло из произвольных (случайных) чисел в теме и теле сообщения. Поскольку атака была исключительно массовой и затронула все без исключения регионы Интернета (т.е. затронула пользователей всех доменных зон), то она вызвала достаточно большой отклик. Многие пользователи обращались к провайдерам и в службы поддержки с вопросами: что это было? Не несет ли такая рассылка какой-нибудь скрытый вирус и не представляет ли дополнительную угрозу, кроме «замусоривания» почтового ящика?

В действительности — нет, никаких дополнительных угроз эта рассылка не представляла и не содержала вредоносных вложений, хотя сама по себе она инициирована вирусом. Но вот по скорости распространения и по массовости она действительно была выдающейся. Как правило, подобные рассылки являются тестовыми: спамеры верифицируют базы почтовых адресов или же тестируют свои новые технологические разработки.

Спам и чемпионат мира по футболу

Спамеры не обошли вниманием главное спортивное событие начала лета — Чемпионат мира по футболу. Как всегда эксплуатировался интерес к популярной теме: спамеры предлагали сувениры с ЧМ-2006, футболки знаменитых футболистов, выигрышные билеты на финал и т.п. Как и ожидалось, это были разовые атаки. С окончанием чемпионата такие рассылки прекратились.

Спамерские приемы и методы

Спамеры наращивают скорость спам-атак

Во втором квартале 2006 года аналитики «Лаборатории Касперского» зафиксировали рост количества высокоскоростных спам-атак, в ходе которых спам-рассылки доставляются пользователям за 20-50 минут. Подавляющее большинство таких атак направлено на сервера бесплатных почтовых служб (например, в Рунете были отмечены атаки на сервера служб Mail.ru и Yandex) и призваны служить не только средством рекламы того или иного товара/услуги, но и способом демонстрации силы спамеров.

Организация высокоскоростной рассылки является сложной инженерной задачей, в частности, требует синхронизации управления сотнями и тысячами зомби-компьютеров таким образом, чтобы в итоге была осуществлена рассылка индивидуальных копий одного сообщения каждому получателю списка рассылки. Успешная реализация подобной задачи свидетельствует о хорошем уровне технической подготовки и административного управления спамерских групп.

Несмотря на хорошее техническое обеспечение почтовых служб, миллионные рассылки, доставляемые в течение десятков минут, создают огромную нагрузку на почтовые сервера. Такая нагрузка вполне способна привести к замедлению работы почтовых серверов и, в самом тяжелом случае, к их перегрузке.

Спамеры продолжили эксперименты с «графическим» спамом

«Графический» спам (т.е. сообщения, в которых рекламный текст представлен в виде графического изображения) – популярный и широко известный спамерский трюк. Его цель — сделать невозможной работу модулей текстового анализа, входящих в состав антиспамерского ПО; а также затруднить группировку отдельных сообщений и идентификацию их как единой массовой рассылки.

Второй квартал 2006 года порадовал пользователей изобилием «графического» спама. В основном, такой спам является англоязычным. В большинстве случаев он либо содержит предложения препаратов для усиления потенции и влечения (виагра, циалис и т.п.), либо агитирует покупать те или иные акции (Stock Alert и т.п.).

Количество «графического» спама неуклонно растет в течение последних двух лет. Но за последние полгода «графический» спам совершил не только количественный, но и качественный рывок.

Спамеры модифицировали программное обеспечение для рассылки «графического» спама. Теперь зачастую изображение с текстом, которое пользователи видят на экране, состоит из нескольких фрагментов, т.е. «картинка» является не одиночным файлом, а объединяет, как правило, 4 — 10 графических файлов. Хотя рядовой пользователь этого не замечает и на экране видит целостное изображение.

Ниже приведен пример «фрагментированного графического спама», как его видит получатель:

На самом деле изображение состоит из нескольких частей, например, таких:

Вот то же сообщение, на котором выделены фрагменты изображения:

Судя по всему, спамеры считают «графический» спам перспективной технологией для обхода спам-фильтров и продолжат работу в этом направлении. Это значит, что в ближайшее время количество «спама в картинках» будет только расти. В то же время мощные современные фильтры способны бороться с «графическим» спамом. В частности, «Касперский Антиспам» включает в себя несколько модулей для обработки графики, а также другие технологии, позволяющие этому программному продукту успешно распознавать подобный спам.

¹ См., например, аналитический отчет за 2005 год
>>

² К спаму этой тематики традиционно относят «фишинг», «нигерийские письма», фальшивые уведомления о выигрыше в лотерею, предложения организовать вирусную рассылку и т.п. Аналитики «Лаборатории Касперского» также относят к этой тематики все прочие сообщения с криминализированным контентом, такие как «электронное попрошайничество», предложения «списка билетов и правильных ответов на госэкзаменах» и т.п.
>>

³ Основные положения новой редакции закона, которые непосредственно касаются спама и его распространения, подробно освещены на страницах аналитического и информационного ресурса по спаму — сайта «Спамтест».
>>