Спам в первом полугодии 2008

Итоги первого полугодия

1. В этом году мы можем наблюдать сезонное снижение количества спама.
2. Спамеры ориентируются на качество рекламы.
3. Рынок российского спама активно развивается.
4. Значительно увеличилось количество спама категории «Реплики элитных товаров».
5. Для зашумления текста писем спамеры придумали трюки, использующие особенности почтовых клиентов.

Долевое распределение спама

В первом полугодии 2008 года спам составлял в среднем 85% почтового трафика Рунета. Минимальная доля спама в почтовом трафике — 64,2% — была зафиксирована аналитиками «Лаборатории Касперского» 3 мая, максимальная — 97,8% — 1 марта.

Процент спама в почтовом трафике в первом полугодии 2008 года постоянно колебался, однако можно говорить о некоторых тенденциях. Так, высокая доля спама в январе была связана с праздниками, и, соответственно, с существенным снижением количества легитимной почты. Потом процент постепенно снижался, но уже в марте снова можно было наблюдать резкий скачок вверх.

В мае, однако, процент спама резко понизился. Хотя в июне доля спама опять увеличилась, рост был несущественным. Это классическое летнее уменьшение количества спама. Такого серьезного сезонного спада не наблюдалось уже два года: в 2007 году летнее понижение было незначительным, а в 2006 и вовсе не наблюдалось.

Сезонность в целом характерна для спамерского рынка. Летом люди меньше читают почту, многие находятся в отпусках, и спам-рассылки приносят меньший отклик. Поэтому, как правило, летом у спамеров меньше заказов, соответственно, снижается общее количество спама.

Но последние два года рынок спама развивался настолько быстро, что летнего понижения заметно не было: спамеры так активно набирали новых клиентов, что даже в летние месяцы количество спама продолжало расти. Характерное для летних месяцев уменьшение доли спама, которое мы сейчас наблюдаем, может свидетельствовать о том, что произошло насыщение спамерского рынка, и количество клиентов у спамеров остается примерно на одном уровне. Об этом косвенно свидетельствует и снижение количества саморекламы спамеров: если в 2007 году на долю рубрики «Услуги по электронной рекламе» приходилось более 7% спама, то в 2008 она составляет 4,3%.

Типы и размеры спамовых писем

Типы спамовых писем

Как видно из графика, большинство спамовых писем – это письма в формате plain text. Именно в таком формате письмо получается очень легким, и, соответственно, большая рассылка будет распространяться быстрее. На втором месте стоят письма с html-частью. Такие письма весят немного больше, но html позволяет сделать письмо более привлекательным и использовать дополнительные приемы для обхода фильтров. Далее идут письма с вложенными картинками (jpeg и gif), которые в сумме набирают 23,9%.

Письма с другими типами вложений в сумме не набрали и одного процента. В 2007 году спамеры пытались активно использовать различные типы вложений: pdf, fdf, exl, mp3. Но эксперименты оказались неэффективными, и спамеры вернулись к классическим видам спама.

Размеры спамовых писем

Нетрудно заметить соответствие между размерами и типами спамовых писем. К самым легким письмам относятся письма в формате plain text. Письма с html-частью имеют размеры от 1 до 20 Кб, то есть попадают в первые три столбца графика в зависимости от типа письма (так, бывают письма с одной html-ссылкой внутри письма, а бывают письма с большими красочными таблицами). Более тяжелые письма – от 20 Кб и выше – преимущественно письма с картинками.

По сравнению с концом прошлого года картина распределения весов заметно изменилась — выросло количество писем размера 1-5 Кб и >50Кб, уменьшилось число писем 5-10 Кб и 20-50 Кб. Такое изменение может быть связано с двумя противоположными тенденциями. Первая: спамеры стремятся сделать письма легче, чтобы разослать их наибольшему числу пользователей в короткие сроки. Вторая: спамеры стараются придать письмам привлекательный вид, чтобы заинтересовать большее число потенциальных клиентов.

Рынок российского спама активно развивается

Если в 2004-2005 годах российские спамеры еще учились у своих западных «коллег», перенимая у них и технологии, и рекламные приемы, то в настоящее время спамеры в Рунете действуют вполне профессионально и агрессивно. Потоки спама в Рунете формируются, в основном, русскоязычными спамерами. Об этом свидетельствует как преобладание в почте русскоязычных спамовых писем, так и активность ботнетов, с которых рассылается спам российским пользователям.

Языковое распределение спама в Рунете

В Рунете становится все больше спама на русском языке. Если еще пару лет назад этот показатель составлял около 60%, то теперь он приблизился к 80%.

Интересно, что к оставшимся 21%, похоже, тоже приложили руку российские спамеры. Дело в том, что в последнее время они все больше расширяют базы адресов, по которым рассылают спам. Если раньше российские спамеры предлагали разослать спам в основном в разные города России, иногда Украины и Казахстана, то теперь довольно часто можно встретить предложения разослать спам по странам Европы и США. А это значит, что услугами спамеров могут воспользоваться как российские предприниматели, которые хотят продать свои товары или услуги за рубеж, так и иностранные заказчики. Также в рекламе спамерских услуг все чаще встречаются предложения провести рассылку по всему миру. Видимо, российские адреса тоже используются в таких рассылках, в результате российские пользователи получают англоязычный и прочий спам от российских же спамеров. Об этом может косвенно свидетельствовать суточная активность зомби-сетей, ориентированная на московское время, а также классический спам на английском языке (например, реклама виагры) с русскоязычным заголовком письма, написанным латинскими буквами.

География источников спама в Рунете

География источников спама в Рунете вполне ожидаема. Первые два места занимают Россия и США, они же являются лидерами в мировой рассылке спама. Далее идут страны Европы и Латинской Америки. Китай как источник спама продолжает терять свои позиции и к концу первого полугодия вышел по количеству рассылаемого спама на один уровень с Украиной.

Ботнеты: распределение по странам

Так выглядит распределение зараженных машин по странам к концу первого полугодия 2008:

Стоит отметить, что США, занимая второе место в качестве источника спама, в пятерку лидеров по зараженным машинам не входит, Китай же, напротив, стоит на четвертом месте. Возможно, причина такого несоответствия кроется в различиях в законодательстве стран или в возможности отследить и обезвредить ботсеть – в США со спамом и спамерами борются гораздо активнее, чем в Китае.

Напомним, что управлять ботнетами, рассылающими спам, теоретически можно из любой страны мира — независимо от того, где находятся входящие в ботнет зараженные машины. Спам в почтовых потоках Рунета, который рассылается с помощью ботнетов, большей частью русскоязычный. Помимо этого, активность ботнетов в разное время суток тоже выглядит весьма показательно.

Ботнеты: суточная активность

График отражает поведение трех зомби-сетей, за которыми наблюдают сотрудники «Лаборатории Касперского». Несмотря на то, что только 13% зараженных компьютеров из этих сетей находятся в России, суточная активность сетей ориентируется на московское время: можно заметить увеличение активности во всех сетях с 10 утра и ее падение в районе 17-18 часов. Это свидетельствует о том, что люди, управляющие ботнетом, живут по московскому времени.

Тематическое распределение спама

В целом тематическое распределение спама в первом полугодии выглядит следующим образом:

1. «Медикаменты; товары и услуги для здоровья» — 27,45%
2. «Образование» — 13,86%
3. «Реплики элитных товаров» -10,68%
4. «Отдых и путешествия» — 8,45%
5. «Услуги по электронной рекламе» — 4,33%

Пятерка лидирующих спамерских тематик выглядит вполне традиционно за исключением новой рубрики «Реплики элитных товаров» – рекламы поддельных элитных товаров (в основном это так называемые реплики часов Rolex и сотовых телефонов Vertu). Спам этой тематики существует давно, но был выделен в отдельную рубрику в этом году из-за значительного роста его количества.

Доля тематики «Реплики элитных товаров» в спаме

Выделенная в марте в отдельную рубрику, эта тематика сразу заняла 3-е место и больше не теряла своих позиций. Появление этой рубрики свидетельствует об активности русскоязычных спамеров. Такой большой процент рубрика набрала именно за счет писем на русском языке. Англоязычные письма этой тематики существуют давно, но никогда не играли значительной роли в тематическом распределении спама.

Интересно, что категория «Компьютерное мошенничество» — один из лидеров первого полугодия 2007 — не только покинула первую пятерку, но и стала явным аутсайдером: ее доля составила всего 2,54%, причем эта цифра была более или менее неизменной в течение всего полугодия и не превышала 3%. Напомним, что в 2007 году эта категория занимала 6,9% трафика, в первом полугодии 2007 года – 8,6%, а в 2006 году – 14,3%! К сожалению, такое снижение вряд ли свидетельствует о том, что Интернет стал менее криминализированным. Скорее, можно говорить о целевой направленности мошеннических атак, о большем акценте на качество, а не на количество рассылаемых писем.

В первом полугодии 2008 спамеры уделяли большое внимание качеству рекламы, особенно в письмах, рекламирующих их собственные услуги. Процент рекламы спамерских услуг по сравнению с 2007 годом упал с 7,2% до 4,3%. Зато она стала более разнообразной и привлекательной. В рекламе своих рассылок спамеры использовали такие трюки, как подделка под личную переписку, отсылка к популярным международным событиям (в частности, чемпионату по футболу), очень привлекательно оформляли сами письма. Чтобы привлечь клиентов и обелить себя в глазах общественности, спамеры предлагали провести бесплатную рассылку для помощи в поиске потерянных людей. Создается впечатление, что спамеры считают свою деятельность совершенно законной, в то время как спам запрещен практически во всех странах мира, в том числе и в России.

Спамерские приемы и методы

В первом полугодии 2008 года спамеры предприняли несколько попыток усовершенствования старых методов обхода фильтров. Основной упор был сделан на методы зашумления текста. На этот раз спамеры старались сделать так, чтобы письмо, с одной стороны, включало зашумляющий текст, а с другой, оставалось «чистым» для пользователя. Для этого спамеры использовали html-теги.

Html-код давно используется спамерами для обхода фильтров. Так, с помощью него можно поменять цвет дополнительных фрагментов текста, используемых спамерами для создания уникальных писем, или уменьшить их размер, сделав его менее заметным для глаза (тем самым сделав письмо читаемым для получателя, но постоянно меняющимся для фильтра). Ранее спамерами использовался также «белый текст», полностью совпадающий с цветом фона, но сейчас все фильтры успешно блокируют письма, содержащие такой текст.

На этот раз спамеры придумали новые трюки, использующие особенности почтовых клиентов.

В январе появился спам с псевдо-html-тегами. Случайная последовательность букв вставлялась случайным образом в письма, при этом она заключалась в треугольные скобки. Содержимое таких скобок рассматривается почтовым клиентом как неправильно написанный тег и просто не отображается при открытии письма.

В феврале спамеры стали разбавлять текст тегами-комментариями. Такие теги почтовый клиент тоже не показывает пользователю. Внутрь тегов вставляется случайный текст, поэтому каждое письмо рассылки становится уникальным для спам-фильтра.

В приведенном ниже примере злоумышленники не только добавили случайный текст в теги-комментарии, но и с помощью html-кода спрятали от пользователя настоящую ссылку (в левой колонке выделена синим цветом): пользователь видит ссылку на популярный ресурс postcard.ru, в то время как реальная ссылка ведет совсем на другой сайт.

В апреле спамеры придумали новый трюк: случайным образом менять кодировку некоторых символов на UTF-8. Почтовый клиент отображает текст, разбавленный такими кодами, в обычном виде, и пользователь видит нормальный текст, в то время как фильтр будет считать каждое такое письмо уникальным, и счетчики массовости не будут работать.

Заключение

В последние годы мы стали свидетелями становления российского спам-рынка. В настоящее время услуги на этом рынке, как и на всяком развитом рынке, специализированы: разработкой ПО для осуществления спам-рассылок, сбором адресов для спамерских баз, взаимодействием с заказчиками спама, подготовкой спам-рекламы и собственно рассылкой спама занимаются разные люди. Время начинающих спамеров-одиночек давно прошло.

Спамеры действуют, в основном, в таких городах России, как Москва и Санкт-Петербург. Вероятно, сферы влияния в этих городах уже поделены между крупными спамерскими компаниями. Судя по всему, сформировался и рынок постоянных заказчиков спама. А новых клиентов спамеры стремятся привлекать за счет качества рассылаемой рекламы. Видно, что над созданием шаблонов писем работают не только программисты, но и маркетологи, и дизайнеры.

К сожалению, весь этот профессионализм служит нелегальному бизнесу – спам в России, как и во многих других странах, находится вне закона. На этом фоне происходит активное взаимодействие спамеров с другими представителями киберкриминала – интернет-мошенниками и вирусописателями. И это взаимодействие делает спам особенно опасным.

Чего можно ожидать от следующего полугодия? Скорее всего, спамеры продолжат эксперименты с html-кодом, не исключено, что во второй половине года будут реанимированы некоторые старые методы и трюки. Не вызывает сомнения, что осенью количество спама в почте возрастет – после сезонного спада спамерской активности обязательно будет ее подъем.