Спам в мае 2008

Особенности месяца

• Доля спама в почтовом трафике по сравнению с апрелем понизилась на 7,1% и составила в среднем 79,1 %.
• Вредоносные файлы и ссылки на зараженные веб-страницы содержались в 0,08% электронных сообщений.
• Ссылки на фишинговые сайты находились в 2,56% всех электронных писем, что в два раза превышает показатели прошлого месяца.
• Доля нелегитимных писем с графическими вложениями увеличилась более чем вдвое по сравнению с прошлым месяцем и составила 29% всех спамовых посланий.
• Выросла доля спама «для взрослых» — в основном, за счет русскоязычных рассылок.
• В письмах со ссылками на сайты «для взрослых» спамеры использовали фрагменты текстов порно-романов.
• Было зафиксировано несколько рассылок с рекламой двух разных рекламодателей в одном письме.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в мае 2008 года в среднем составила 79,1%. Самый низкий показатель был отмечен 3 мая — 64,2%, больше всего спама было зафиксировано 17 числа — 90,4%. Доля графического спама после апрельского снижения практически вернулась к показателям марта и составила 29%. (Напомним, что в марте на долю графического спама пришлось 28% всех спамовых писем, а в апреле — 13%).

Тематический состав спама

Пятерка лидирующих спам-тематик:

1. «Медикаменты; товары и услуги для здоровья» — 25,1%
2. «Образование» — 13,2%
3. «Реплики часов» — 12,6%
4. «Отдых и путешествия» — 8,4%
5. «Услуги по электронной рекламе» — 6,3%

Доля тематики «Медикаменты; товары и услуги для здоровья» — бессменного лидера многих месяцев — выросла в мае на 10%. Рубрики «Образование», «Отдых и путешествия», а также реклама реплик дорогих часов и телефонов, остались на позициях прошлого месяца. Единственное изменение в списке лидирующих спам-тематик в мае связано с рекламой спамерских услуг (тематика «Услуги по электронной рекламе»), которая вытеснила с пятого места тематику «Компьютеры и Интернет».

Экзаменационный сезон

Тематика «Образование» по-прежнему остается на втором месте, что обусловлено особенностями сезона: в конце весны – начале лета проходят выпускные экзамены в школах и вступительные – в ВУЗах

В частности, спамеры продолжили рассылки писем, связанных с Единым государственным экзаменом. Помимо многочисленной рекламы услуг по подготовке школьников к ЕГЭ, появился спам, в котором предлагались готовые ответы на тест. В одном из таких писем (видимо, для того чтобы убедить потенциальных покупателей в качестве рекламируемого «товара») сообщалось, что информацию спамерам якобы продал высокопоставленный чиновник.

Спам с предложениями тем или иным способом облегчить студентам жизнь также носит сезонный характер: его появление обусловлено приближением студенческих сессий. В одной из рассылок спамовое письмо было стилизовано под дружеское послание. В нем сообщалось о появлении в Сети нового сайта с готовыми бесплатными курсовыми работами, однако в конце письма «друг» как бы невзначай упоминал, что пользование сайтом «вроде» бесплатным не является.

Большая часть незапрошенной рекламы тематики «Образование» была представлена в виде картинок. В основном, это были предложения об изготовлении фальшивых дипломов и спам, рекламирующий различные семинары.

Фишинг в Рунете

В мае доля фишинговых писем увеличилась вдвое и составила 2,56% всех электронных писем. Большой вклад в этот поток внесли спамеры Рунета.

Большая часть фишинговых атак направлена на самые популярные ресурсы. Мишенями фишеров становятся пользователи банков, платежных систем и популярных почтовых сервисов. Мошенники, выманив у пользователей номера счетов и банковских карт, получают доступ к их счетам в банках. А контролируя почту, через системы напоминания пароля фишеры могут завладеть и регистрационными данными пользователя на других интернет-сервисах.

В мае не был обойден вниманием фишеров популярный почтовый хостинг Mail.Ru. Череда рассылок, когда в письме пользователю предлагалось просмотреть открытки, предназначалась для похищения логинов и паролей пользователей. Ничего не подозревающий получатель проходил по ссылке и оказывался на фальшивой странице, имитирующей главную страницу Mail.Ru, где ему нужно было ввести данные почтового ящика в привычные окошки. Насторожить внимательного пользователя могло только то, что новости на этой странице были двухмесячной давности.

Для достоверности фишеры сделали так, что некоторые ссылки на этой странице действительно переадресовывали пользователя на настоящую страницу Mail.Ru.

После ввода данных при нажатии кнопки «войти» информация переправлялась на другой сервер и попадала в распоряжение мошенников, а пользователь перебрасывался на пустую страницу, созданную на каком-нибудь бесплатном хостинге. Впоследствии фишеры стали прибегать к более простому варианту: при переходе по ссылке на открытку у получателя сразу запрашивалась авторизация.

Любопытные примеры спамовых писем

В середине мая неожиданно проявился спам с политической окраской. Демократически настроенный спамер предлагал всем желающим стать членом Общественного собрания России, чтобы иметь возможность участвовать в принятии судьбоносных решений. В письме, однако, умалчивалось о том, что членство в Общественном собрании требует довольно крупного взноса.

Интернет-мошенники не преминули воспользоваться вступлением в должность нового президента России для вымогания небольшой суммы денег у пользователей серверов Mail.Ru. Деньги, которые мошенники требовали у получателей спама, объявлялись символической платой за бессрочное использование почтового ящика, который на самом деле являлся абсолютно бесплатным. Внимательных пользователей должно было насторожить хотя бы то, что в письме, рассылаемом якобы администрацией Mail.Ru, ссылка ведет на другой почтовый хостинг.

Возможно, именно эта рассылка спровоцировала появление «цепочечных» писем, текст которых, судя по всему, перекочевал в электронную почту из ICQ-спама.

Спамерские методы и трюки

В прошедшем месяце было зафиксировано несколько любопытных спамерских трюков, которые, впрочем, никак не помогали обойти спам-фильтры.

«Тематическое» зашумление текста

В мае значительную часть спама «для взрослых» составляла реклама русскоязычных порносайтов. Именно в таких рассылках спамеры продемонстрировали творческий подход к решению проблемы «зашумления» писем.

Для «зашумления» спамовых писем традиционно используются случайные отрывки текстов. Однако в рассылках, о которых идет речь, подбор текстов был тематическим: ссылки на рекламируемые порноресурсы спамеры дополнили отрывками из порнографических романов. При этом, вставляя тексты в письма, они обрывали рассказ «на самом интересном месте».

По-видимому, таким способом спамеры старались не только усложнить фильтрацию этих посланий, но и создать для получателя дополнительный стимул пройти по ссылке на рекламируемый сайт.

Вот пример такого письма с текстом невинного содержания (который, однако, было довольно трудно найти в потоке порноспама):

Двойная маскировка ссылок

Во второй половине мая спамеры средствами html стали маскировать ссылки в сообщениях, пытаясь ввести в заблуждение пользователей и «обмануть» спам-фильтры.

Открыв такое письмо, получатель видит личное сообщение с привлекательной информацией о сайте, расположенном (судя по видимой ссылке) в доменной зоне .org, .ru или .com:

Однако «сюжет» письма служит для отвлечения внимания пользователя. Настоящий адрес, на который ведет ссылка, виден только при просмотре html-кода (нами выделен красным). При этом для увеличения вероятности обхода спам-фильтра спамерский линк тщательно замаскирован под поисковый запрос по рейтингам Mail.Ru:

<a href=’http://top.mail.ru/jump?to=1266901&url=www.webzona.ws‘>http://www.infocean.ru</a>

Два в одном

В мае прошло несколько рассылок, где в одном письме содержалось сразу две рекламы разных услуг/товаров.

Приведенное ниже письмо состоит из двух частей: картинки и текста. На изображении — реклама картинной галереи, которая часто встречается в нелегитимных рассылках, а текстовая часть рассказывает о преимуществах прибора… для отпугивания кротов.

Сложно сказать, какую цель преследовало такое неожиданное сочетание. Это могла быть как попытка зашумления писем, так и некий вариант вознаграждения для постоянных клиентов. А может быть, гуманные спамеры просто нашли выход для тех, кому не по карману дорогие рассылки: помещая рекламу двух заказчиков в одном письме, спамеры экономят их деньги.

Еще более оригинальный способ размещения двух рекламных текстов в одном сообщении был зафиксирован в одной рассылке: кодировка текстов была разная.

Так выглядит письмо в кодировке windows1251:

А вот это же письмо в кодировке KOI8-R:

В первом случае пользователь видит текст типичного «цепочечного» письма, во втором — предложение типографских услуг. Впрочем, прочесть обе части письма сможет только очень любопытный получатель.

Заключение

В России май — это начало дачного сезона и летних отпусков. Возможно, российские спамеры тоже отдыхали, потому что май ознаменовался резкими перепадами количества спамовых писем, а среднемесячный показатель по сравнению с апрелем уменьшился на 7,1%. Процентное соотношение тематик, напротив, осталось приблизительно таким же, как и в предыдущем месяце.

Можно ли ожидать дальнейшего снижения доли спама в период летних отпусков? В последние годы мы не наблюдали сезонного уменьшения доли спама в почтовых потоках в летние месяцы. Но майские показатели позволяют надеяться на летний спад спамерской активности.

Как бы то ни было, спамеры продолжат искать технические решения для обхода спам-фильтров и в первую очередь продолжат свои эксперименты с графическим спамом.

Еще один неутешительный прогноз связан с деятельностью интернет-мошенников. В мае в Рунете резко возросло число фишинг-атак, что привело к увеличению доли писем со ссылками на фишинговые сайты в два раза. И фишеры вряд ли остановятся на достигнутом.

В заключение хочется еще раз напомнить о том, что рекламе, размещаемой в спамерских сообщениях, доверять нельзя. Поверив заманчивым обещаниям, погнавшись за огромными скидками или польстившись на пресловутый бесплатный сыр, можно лишиться денег, не получив желаемого. Или попасть в неприятную ситуацию.