Спам в первом полугодии 2009

Основные итоги первого полугодия 2009 года

• Экономический кризис не сказался на объемах рассылаемого спама: доля спама в почтовом трафике в среднем составила 85,5%.
• Вредоносные вложения содержались в 0,3% спамовых писем.
• Ссылки на фишинговые сайты находились в 0,6% писем.
• Основные источники рассылки спама переместились из стран Западной Европы, США и России в Азию и Латинскую Америку.
• В период кризиса уменьшилась доля спам-рекламы малого и среднего бизнеса.
• Часть предложений реального сектора экономики в потоках спама заменила самореклама спамеров.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в первом полугодии 2009 года

Доля спама в почтовом трафике в первом полугодии 2009 года в среднем составила 85,5%. Самый низкий показатель отмечен 26 апреля — 72,8%, больше всего спама зафиксировано 22 февраля — 93% почтового трафика. Вредоносные вложения содержались в 0,3% спамовых писем.

Финансовый кризис, начавшийся осенью прошлого года, не отразился на доле спама в почтовом трафике: по сравнению с первым полугодием прошлого года она не претерпела существенных изменений.

Фишинг

Доля фишинга в спаме в целом снижается.

Доля фишинговых писем в почтовом трафике
в первом полугодии 2009 года

В первом полугодии 2009 года доля фишинговых писем составила 0,6%. От месяца к месяцу (за исключением мая) фишинговых писем становилось меньше: в первом квартале они составляли 0,78% всей корреспонденции, а во втором — только 0,49%.

Благодаря системам антифишинга пользователи теперь лучше, чем когда-либо, защищены от этого вида мошенничества. Оно становится все менее прибыльным и привлекательным для злоумышленников.

Основные мишени фишинг-атак

Организации, атакованные фишерами
в первом полугодии 2009

Основной мишенью фишеров по-прежнему является платежная система PayPal. Второе место занимает интернет-аукцион eBay. Более 60% фишинговых писем имитируют сообщения от этих организаций. При этом, как известно, PayPal, eBay и крупные банки активно распространяют среди своих пользователей информацию об опасности фишинга, в результате чего пользователи стали более осторожными, а фишинг-атаки, нацеленные на них, — менее эффективными. В то же время, атаки фишеров на менее популярные сервисы, по всей видимости, не приносят ощутимых результатов. Возможно, именно эти факторы ведут к постепенному снижению доли фишинговой корреспонденции.

Источники спама в Рунете: перегруппировка с Запада на Восток

Страны

Состав TOP 10 стран — источников спама за полугодие значительно изменился. Меньше спама стало приходить из Испании и Италии — эти страны, занимавшие во втором полугодии 2008 года 3-е и 4-е места в рейтинге, даже не вошли в десятку лидеров. Также из первой десятки выбыли Германия и Украина. Больше спама стало рассылаться из Индии, Таиланда, Румынии и Польши. Эти страны вошли в топ-лист.

Страны — источники спама (второе полугодие 2008 и первое полугодие 2009)

Россия и США пока остались лидерами рейтинга стран — источников спама, но не исключено, что во втором полугодии их потеснят: число спам-сообщений, рассылаемых из этих стран, сокращается. Так, во втором полугодии 2008 из России рассылалось 22% спама, а в первом полугодии 2009 — 11%. Соответствующие показатели для США — 16% и 10%.

К июню доля спама, рассылаемого из России, сократилась до 8%. Однако, борьба со спамом в России еще не настолько успешна, чтобы можно было прогнозировать дальнейшее сокращение исходящих из страны потоков спама. Вероятно, доля спама, рассылаемого из России, стабилизируется на уровне 8-10% от всего спама.

Прорыв в области рассылки спама совершила Индия. Если в 2008 году из этой страны рассылалось не более 2% всего спама, то в первом квартале 2009 — уже 4%. В июне ее вклад в спам-потоки Рунета достиг рекордных 10% и по итогам полугодия составил 7%. Интерес спамеров к Индии можно связать с тем, что, с одной стороны, в условиях развивающейся экономики, получают распространение новейшие интернет-технологии, в том числе широкополосный доступ в интернет, с другой стороны, степень защищенности индийских пользователей пока остается низкой. Последнее обстоятельство создает условия для массового заражения компьютеров вредоносными программами и создания на их основе новых бот-сетей, рассылающих спам.

Увеличился вклад Турции в рассылку спама: во втором полугодии 2008 года из этой страны рассылалось лишь 3% спамерских сообщений, а в первом полугодии 2009 ее доля возросла более чем в 2 раза и достигла 6,6% от всего спама.

Среди европейских стран список лидеров в области рассылки спама также изменился. В 2008 году в тройку лидеров входили Испания, Италия и Украина. Теперь же список возглавляет Польша, а за ней следуют Румыния и Италия.

Табл. 1. Top 10 европейских стран — источников спама

В целом, спам-потоки из всех западноевропейских стран заметно уменьшились, а количество спама, рассылаемого из стран Восточной Европы, возросло.

Регионы

В распределении источников рассылки спама по регионам наблюдается тенденция перемещения активности с Запада на Восток. Почти в два раза больше спама стало рассылаться из азиатских стран: с 18% во втором полугодии 2008 года до 35% в первом полугодии 2009. Увеличилась также доля латиноамериканских и восточноевропейских стран (за исключением России). В то же время количество спама, рассылаемого из стран Западной Европы, по сравнению со вторым полугодием 2008 года сократилось почти вдвое. Если во второй половине 2008 года из западноевропейских стран рассылалось около 20% спама, то в первом полугодии 2009 года эта цифра составила всего 12%.

Регионы — источники спама (второе полугодие 2008, первое полугодие 2009)

Такую миграцию спамерской активности на Восток мы связываем с несколькими факторами: с одной стороны, США и западноевропейские страны все более активно борются со спамом: закрываются спамерские хостинги, улучшается законодательная база, некоторых спамеров удается привлечь к ответственности. Это делает рассылку спама из Западной Европы и США более сложной и опасной для спамеров. В то же время Азия и Латинская Америка, а отчасти и восточные страны Европы (за исключением России), становятся все более привлекательными для спамеров: здесь заметно увеличивается количество пользователей интернета, распространяется широкополосный доступ. Кроме того, в этих странах пользователи в среднем хуже защищены от вредоносных программ и менее информированы о киберугрозах.

Таким образом, основные источники рассылки спама в значительной мере «переехали» из стран Западной Европы, США и России в Азию и Латинскую Америку. Для конечных пользователей это, пожалуй, хорошая новость: те, у кого нет партнеров в этих регионах, могут просто не принимать почту из латиноамериканских и азиатских стран, — несложные настройки избавят их от половины спама.

Тематические особенности спама

Распределение тематик спама в Рунете

Категории спама, лидировавшие в первой половине 2009 г:

1. Медикаменты; товары/услуги для здоровья — 22,1% (+2,4%)
2. Реклама спамерских услуг — 16,6% (+10,9%)
3. Спам «для взрослых» — 11% (-8,8%)
4. Образование — 10,4% (+0,8%)
5. Реплики элитных товаров — 7,4% (+1,2%)

Первое место в рейтинге спам-тематик уже четвертый год подряд сохраняет за собой реклама медикаментов и других товаров и услуг для здоровья — в основном это реклама таких препаратов, как виагра и сиалис, а также таблеток и пищевых добавок для похудения.

А вот на второе место, обогнав традиционных лидеров, вышла реклама спамерских услуг, занимавшая в 2008 году лишь 7-е место.

Спам «для взрослых», хоть и занял третье место в топ-листе, существенно снизил свои позиции. По сравнению с прошлым полугодием его доля уменьшилась почти в 2 раза. Вероятно, это связано с тем, что большую часть подобного спама составляли письма, заманивающие людей на мошеннические сайты, где у пользователя пытались выманить деньги, провоцируя его отправить SMS на короткий номер. Подобного рода аферы работают хорошо, пока не предаются огласке. Поэтому срок действия таких афер ограничен, и сейчас количество порно-спама уменьшается.

Кризисная ситуация в экономике отражается на спаме

Основные тематические категории спама остались неизменными, однако экономический кризис повлиял на долевое распределение тематик спама.

Кто увеличил объем спам-рекламы

В первую очередь, кризис привел к увеличению доли саморекламы спамеров. По всей видимости, в период кризиса спамеры потеряли часть постоянных заказчиков, и освободившиеся ресурсы направили на рекламу собственных услуг в надежде найти новых клиентов.

Доля спама, рекламирующего спамерские услуги,
в первом полугодии 2008 и 2009 г.г.

В первом полугодии 2008 года, до начала экономического кризиса в России, самореклама спамеров в среднем составляла 4,3% от общего объема спама. В первом полугодии 2009 года этот показатель вырос почти в четыре раза и достиг 16,6%.

Существенно возросло по сравнению с прошлым годом количество спама категории «Недвижимость«. В основном в этом спаме рекламируются сдаваемые в аренду площади (в апреле такие предложения составляли 69% всего спама этой тематики).

Доля спама категории «Недвижимость»
в первом полугодии 2008 и 2009 г.г.

Теряя в сложной экономической ситуации арендаторов, мелкие арендодатели активно рекламируют неиспользуемые площади. Возможно, и часть солидных риэлтерских фирм теперь использует спам как более дешевый способ рекламы.

Кто сократил объемы спам-рекламы

Снизили затраты на рассылку спама представители малого бизнеса (категория «Другие товары и услуги).

Доля спама категории «Другие товары и услуги»
в 2008 и 2009 г.г. (первое полугодие)

В среднем, объем рассылок этой тематики сократился на 4% по сравнению с первым полугодием 2008 года.

Туристическая отрасль до кризиса давала сравнительно много заказчиков спама. Спам, рекламирующий отдых и путешествия, в прошлом году составлял 8% всего спама. За первые шесть месяцев 2009 года доля спама этой тематики сократилась в 2 раза: сейчас она составляет лишь 4%. Падение, безусловно, связано с мировым кризисом, из-за которого многие оказались в куда более тяжелой финансовой ситуации, чем в прошлом году, и были вынуждены отказаться от поездок.

Спам категории «Отдых и путешествия» подвержен сезонным колебаниям, однако на фоне кризиса они оказались менее выраженными:

Доля спама категории «Отдых и путешествия»
в первом полугодии 2008 и 2009 г.г.

Объем спама образовательной тематики за первые пять месяцев 2009 года сократился примерно на четверть. Однако к июню доля этого спама вернулась к докризисному уровню, что связано с экзаменационной кампанией в школах и ВУЗах.

Доля спама категории «Образование»
в первом полугодии 2008 и 2009 г.г.

Таким образом, кризис существенно повлиял на спам, в котором рекламируются товары и услуги реального бизнеса. Этот сектор составляет около 35% всего спама. Для сравнения: в первом полугодии 2008 года (то есть до кризиса) доля подобного спама составляла около 45%. Несмотря на возросшее количество спама тематики «недвижимость», в целом доля спама, рекламирующего товары/услуги реального бизнеса, сократилось почти на четверть.

В гораздо меньшей степени кризис отразился на остальных 65% спама, которые охватывают предложения теневых структур экономики, а также вредоносный и мошеннический спам. Причины этого ясны: во-первых, спам для представителей криминализированных структур — это наиболее безопасный способ найти клиентов (в силу его анонимности), к тому же вряд ли их беспокоят моральные аспекты подобной рекламы. Во-вторых, без спама некоторые виды мошенничества (например, фишинг) просто не могут существовать, так как в данном случае спам является составляющей реализуемых схем аферы. Кроме этого, многие криминальные IT-структуры имеют собственные ботнеты и мощности для рассылки спама — то есть затраты на спам будут для них минимальны.

Размеры и типы спамовых писем

Распределение спамовых писем

Размер большей части спамовых писем по-прежнему не превышает 10 Кб. Следует отметить рост доли самых коротких, до 5 Кб, сообщений: в первой половине 2009 года их было 58%, тогда как в 2008 году — 46%. Подавляющее большинство таких писем представляют собой одно предложение и ссылку на сайт. Текст и целевые сайты меняются от письма к письму в рамках одной рассылки. Рекламные веб-страницы размещаются либо на доменах, купленных в дешевых зонах (таких как .cn), либо на доменах, созданных на бесплатных хостингах. С помощью таких ухищрений спамеры пытаются обойти спам-фильтры.

По-прежнему больше всего (45%) спам-сообщений рассылается в формате text/plain.

Распределение спамовых писем по типам

Спам в картинках

Доля сообщений с графическими вложениями приблизилась к 15%. Это обусловлено расцветом саморекламы спамеров, большая часть которой рассылалась в виде «картинок». Так спамеры старались добиться двух целей: обойти спам-фильтры и сделать собственную рекламу привлекательной. Еще раз подчеркнем, что над спам-рассылками работают не только программисты, но и профессиональные дизайнеры и маркетологи.

Часто на картинке присутствует фальшивая опция отказа от рассылки:

Большая часть писем с графическими вложениями содержала также текстовую часть. В одних случаях рекламное послание и контактная информация были частью изображения, а произвольный текст служил исключительно для «зашумления» письма и повышения шансов обхода им спам-фильтров. В других случаях в текстовой части содержались спамерские контакты (как правило, ссылка на сайт), а картинка использовалась для привлечения внимания получателей и донесения собственно рекламной информации.

Заключение

В настоящее время мы наблюдаем миграцию основных источников рассылки спама с Запада на Восток. Страны Азии и Латинской Америки, а также страны Восточной Европы (за исключением России), становятся все более привлекательными для спамеров, поскольку пользователи в этих странах хуже защищены от киберугроз.

Как далеко зайдет этот процесс в перспективе, сказать пока сложно. Однако можно предположить, что в дальнейшем, когда пользователи в восточных странах научатся лучше защищать свои компьютеры, распределение зараженных машин, рассылающих спам, станет более равномерным. Если учесть, что сфера компьютерных технологий (в силу открытости и доступности информации) развивается более динамично, чем экономика в целом, можно предположить, что такое выравнивание произойдет раньше, чем развивающиеся регионы станут высокоразвитыми в полном смысле этого слова.

Отрадно, что, вопреки прогнозам, в почте снизилась доля фишинговых писем. Напомним, что в связи с кризисом ожидался рост доли этих мошеннических писем — как правило, фишеры стараются использовать любую «нештатную» ситуацию для запугивания пользователей и выманивания у них персональной информации. Однако, судя по всему, антифишинговые меры, принимаемые крупными платежными системами и банками, и общий рост интернет-грамотности пользователей ставят заслон для деятельности виртуальных мошенников.

Хотя кризис не повлиял на количество спама в почте, существенно изменилось соотношение тематик спама. В первую очередь это коснулось саморекламы спамеров, процент которой достиг рекордной отметки в 16,6%. В то же время суммарная доля спама с предложениями товаров и услуг реального сектора экономики снизилась на 10%. В отчете за 2008 год мы отмечали, что активность, с которой рассылается такой спам, служит своеобразным индикатором состояния мелкого и среднего бизнеса в период кризиса. Действительно, по сравнению с аналогичным периодом прошлого года в спаме стало меньше предложений от туристических и образовательных фирм и рекламы различных товаров и услуг. Отметим, что доли этих категорий спама в июне несколько выросли. Устойчивым или кратковременным окажется такое оживление, покажет время. «Лаборатория Касперского» продолжит свои наблюдения.