Отчеты по спаму и фишингу

Спам в июле-августе 2006

Особенности периода

  1. Снижение доли спама в концу лета – реакция на обновленный «Закон о рекламе» или случайность? Ответ покажет будущее.
  2. Криминализация спама: российские спамеры изобрели еще один способ «отъема» денег у доверчивых пользователей.
  3. Анимированный спам: новинка в арсенале спамерских трюков.

Количество спама

В июле 2006 года доля спама в общем объеме почтового трафика оказалась неожиданно высокой – более 80%. Максимальное значение было зафиксировано 14 июля и составило 88,7%. Для середины лета это очень высокие показатели. Хотя, в целом, кривая сезонных колебаний в спаме в этом году более «сглаженная», чем в течение нескольких предыдущих лет.

В августе доля спама постепенно начала снижаться, и к концу месяца это снижение было уже весьма ощутимым: практически в течение недели доля спама удерживалась в районе 70% от общего объема почтового трафика. При этом наметилась интересная — и вполне закономерная – корреляция между объемами спама и его тематическим составом. К концу августа резко увеличивается доля спама с рекламой услуг самих же спамеров («Организуем e-mail рекламу для Вас»). Очевидно, спамеры обеспокоились падением спроса на свои услуги. Подробнее см. ниже в разделе «Тематическое распределение спама».

Тематическое распределение спама

В целом, тематическое распределение спама изменилось незначительно. В «лидерах» все те же тематики: «Медикаменты; Товары и Услуги для здоровья», «Личные финансы», «Компьютерное мошенничество».

На текущий момент сложилась ситуация, когда спам-рассылки криминализированного характера присутствуют не только в спаме категории «Компьютерное мошенничество»: две другие лидирующие тематические группы («Медикаменты; Товары и Услуги для здоровья», «Личные финансы») так же, в основном, содержат спам более или менее «сомнительного» контента.

Навязываемые пользователям медикаменты и товары для здоровья часто являются либо контрафактными, либо у продавцов/производителей отсутствует лицензия на производство и распространение этой продукции. Бывает также, что под громким именем лекарства на самом деле продаются биологически активные добавки. Возможно, они не требуют лицензирования, но и достоверность сведений об их лекарственных свойствах вызывает сомнения.

Тематическая категория «Личные финансы» в летние месяцы оказалась представлена практически однотипным спамом: это англоязычные предложения купить те ли иные акции («Best Penny S_T_O_C_K_S»). Эти предложения также сомнительны с точки зрения закона: это попытки вызвать искусственный спрос на акции некоторых компаний. Купив заранее акции по низкой цене, спамеры добиваются роста спроса и, соответственно, цен на эти акции и наживаются на их продаже. Пользователи западного сегмента Интернета уже смогли на своем опыте убедиться в том, что приобретение подобных акций — это пустая трата своих сбережений.

Российские пользователи электронной почты пока не слишком заинтересованы в спамерских предложениях по акциям. Очевидно это объясняется тем, что не так много у нас пользователей, активно играющих на бирже и интересующихся акциями. Но это не значит, что спамеры не найдут другие варианты обмана пользователей. Собственно, они уже активно ищут способы изымания денег из чужих карманов, которые можно использовать в Рунете. Криминализация спама продолжается.

Криминализация спама: российские спамеры изобрели новый способ «отъема» денег у доверчивых пользователей

Летом спамеры открыли для себя новый способ воздействия на пользователя с целью убедить его расстаться со своими деньгами. На смену «волшебным» кошелькам webmoney1 пришли повествования о не менее «волшебных» сотовых номерах. SMS, отправленная на этот номер, способна творить настоящие чудеса. Например, так выглядит один из образцов спама2:

Здраствуйте,вы выиграли один день бесплатной связи от провайдера сотовой связи Мегафон.Чтобы активировать услугу отправте смс на номер ХХХХ с текстом:kop+ХХХХ.Смс бесплатна.

Пользователь, клюнувший на приманку с обещанием бесплатной связи, в итоге рискует лишиться суммы от нескольких центов до нескольких долларов, поскольку отправка сообщения на указанный в письме номер является платной. А получит эту сумму спамер, нашедший оригинальное применение SMS-сервису, изначально предназначенному для совершенно другой цели.

Спамеры ищут различные психологические «ниточки», с помощью которых можно манипулировать читателем письма: от банального обещания «бесплатного сыра» (как в приведенном примере) до обещаний предоставить уникальную информацию (например, бесплатно выдать паспортные данные абонентов) или даже избавить от спама. Чтобы получить обещанное, пользователю предлагается всего лишь отправить SMS на указанный в спаме номер. Конечно, это обман, и SMS-сервисы вынуждены публиковать на своих страницах предостережения излишне доверчивым пользователям.

«Лаборатория Касперского» в свою очередь предупреждает пользователей электронной почты: не доверяйте сообщениям от незнакомых адресатов! Не попадайтесь на приманку «легких» денег. И не торопитесь выполнять действия, о которых вас просит неизвестный вам автор письма.

Российское законодательство против спама: кто кого?

С 1 июля вступила в силу новая редакция закона «О рекламе» РФ. И к концу второго летнего месяца мы неожиданно наблюдаем некоторое снижение доли спама в почте. Два месяца — слишком короткий срок, и делать выводы еще рано. Снижение доли спама может объясняться вполне прозаическими причинами: в августовский сезон отпусков заказчики считают невыгодным проведение рекламных кампаний и ждут осени. Хотя вполне вероятно, что законопослушные граждане — представители малого бизнеса (основные заказчики спама в Рунете) задумались о том, стоит ли строить рекламные кампании на основе нелегитимного инструмента. Примечательно, что доля рекламных предложений малого бизнеса (товары и услуги), типичных для спама в Рунете, упала с 30,8% в июле до 23,4% в августе.

Тем не менее, факт остается фактом: налицо снижение доли спама. Больше всего этим фактом оказались обеспокоены сами спамеры, которые занялись активным поиском новых заказчиков. К концу лета увеличился поток спам-рассылок с предложениями собственно спамерских услуг. В тексте сообщений спамеры пытаются доказать потенциальным заказчикам, что вступление в силу новой редакции закона «О рекламе» не повлияет на количество спама, и что рассылка спама ничем не грозит заказчикам этих услуг.

Приведенный ниже график долевого распределения спама тематики «Услуги по электронной рекламе» за все три летних месяца 2006 года наглядно демонстрирует рост доли «само-рекламы» спамеров к концу лета:

Спамерские приемы и методы: анимированный спам

В августе появился усовершенствованный вариант «графического» спама: рассылки с анимированной графикой. Спамеры используют GIF-анимацию, т.к. она распознается и автоматически воспроизводится всеми популярными браузерами. В последних рассылках с анимацией содержится от 2 до 5 кадров, из которых только один кадр является значимым, т.е. содержит информационную составляющую. Именно на этом кадре отображается текст спамерского предложения. Остальные кадры — это фон или прочие элементы рисунка, не несущие смысловой нагрузки.

Впрочем, спамеры попытались использовать вспомогательные кадры для своеобразной «психологической атаки». В этом анимированном GIF-е 5 кадров, 4 из них (2 первых и 2 последних) – с разнообразными «наслоениями» слова «buy». Ниже приведен пример двух кадров из анимированной рассылки.

Кадр с призывом «buy!» («покупай») демонстрируется пользователю в течение 0,04 секунды.

Основную смысловую нагрузку несет третий кадр, который остается на экране в течение 1,5 минут.

Новый прием вряд ли создаст проблему для систем фильтрации. При желании анимированный GIF достаточно легко расчленить на кадры и работать с каждым кадром по отдельности. Кроме того, спам-фильтру вообще нет необходимости целенаправленно анализировать графическую составляющую спама. Существует множество проверенных и надежных методов классификации спама, и многие фильтры с их помощью способны распознать анимированные рассылки как спам, вообще не пытаясь анализировать «картинку».

———

1 Вид спама, в котором утверждалось, что некоторые кошельки в электронной платежной системе Webmoney возвращают ту сумму денег, которую на них положили, плюс процент (обычно спамеры обещают 20 — 30 %).>>

2  Во всех примерах скрыта контактная информация, приведенная в оригинале спама. Орфография примеров — авторская. >>

Спам в июле-августе 2006

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике