Спам — второй квартал 2007 года

Факты

• Минимум спама в почте Рунета: 62,9% — 27 апреля 2007
• Максимум спама в почте Рунета: 86,0% — 28 мая 2007
• Средняя доля спама: 70-80% от всей почты Рунета
• 1/5 всего спама (20,5%) – реклама виагры и других медикаментов, в основном, средств для усиления потенции и антидепрессантов.

Актуальные тенденции

Спамеры продолжают эксперименты: новые способы доставки графических файлов пользователю. Спам в pdf-вложениях.

Спам в pdf и прочие спам-новшества как альтернатива «традиционному» графическому спаму

Второй квартал 2007 года подтвердил наметившуюся в начале года тенденцию к снижению доли «графического» спама (спам во вложениях формата gif, jpeg и т.п.):

апрель – 23,0%;

май – 19,3%;

июнь – 18,8%.

По сравнению с первым кварталом 2007 года снижение замедлилось, но тенденция сохраняется.

Эксперты «Лаборатории Касперского» полагают, что основная причина падения доли «графического» спама – снижение его эффективности. Многие спам-фильтры уже неплохо работают с вложенными графическими файлами и вполне способны блокировать спам «в картинках». Об успехах в развитии новых технологий, анализирующих графическую часть сообщения, уже достаточно давно заявили известные производители антиспам-софта, которые обеспечивают защиту от всех видов спама, включая «графический».

Значит ли это, что спамеры откажутся от графики? Нет, они ищут новые пути доставки графической информации, кроме привычных уже вложений форматов gif и jpeg. Во втором квартале 2007 года они опробовали как минимум3 новых способа доставки и демонстрации пользователю «картинки»:

1. Размещение графических файлов на страницах бесплатного хостинга изображений (например, imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com и т.п.). В теле спамерского сообщения указывалась ссылка на URL с «картинкой». Когда получатель открывал сообщение, в большинстве популярных мейлеров изображение подгружалось с указанного URL.
2. Использование спамерской «картинки» в виде фонового изображения. Графический файл не вкладывался в сообщение, а, опять-таки, публиковался на том или ином сайте. В теле сообщений был указан только URL сайта, помещенный в тэг ‘body’, атрибут ‘background’. В результате изображение могло автоматически подгружаться в некоторых мейлерах, а также в веб-интерфейсах части почтовых служб.
3. Спам с вложениями формата pdf. Этот вид вложений не открывается и не подгружается автоматически. Чтобы увидеть спамерский контент, пользователь должен самостоятельно открыть вложение.

В первых двух нововведениях ставка была сделана на то, что спамерское изображение не вложено в сообщение. Тем самым у спам-фильтров нет материала для анализа.

В последнем случае изображение приложено, но формат вложения таков, что многие программы фильтрации его игнорируют. В итоге полноценный анализ спамерского контента не проводится.

Если первые две новинки не нашли широкого распространения — по крайней мере, пока, — то спам в pdf-вложениях уже создал проблемы многим программам фильтрации. Хотя проблемы эти вполне решаемы. Например, фильтр Kaspersky Anti-Spam оснащен необходимыми средствами борьбы со спамом в pdf-вложениях и способен противостоять новому виду спама без дополнительных программных изменений.

Трудно прогнозировать, насколько жизнеспособным окажется спам в pdf-вложениях. Это зависит как от скорости реакции крупных производителей спам-фильтров, так и от пользователей – насколько активно они будут открывать вложения. «Pdf-атака» вполне может оказаться скоротечной. Пока нет причин считать, что pdf-спам придет на смену «традиционному» графическому спаму. По данным на конец июня его доля в общем объеме спама составляет 2-6%.

Ниже приведен пример спама в pdf-вложении.

Долевое и тематическое распределение спама

Во втором квартале 2007 года спам держался на уровне 70-80% от общего объема почты в Рунете. Минимальное значение — 62, 9% — было зафиксировано 27 апреля, максимальное – 86,0% — 28 мая.

Пятерка тематических лидеров в спаме за второй квартал выглядит так:

1. «Медикаменты; товары и услуги для здоровья» – 20,5% от всего спама
2. «Образование» – 12,3%
3. «Компьютеры и Интернет» – 9,3%
4. «Компьютерное мошенничество» – 9,0%
5. «Отдых и путешествия» – 8,1%

В этом квартале спам, предлагающий медикаменты и товары для здоровья, занял лидирующую позицию. Его доля увеличилась на 6,5% по сравнению с первым кварталом.

Наряду с уже привычными англоязычными предложениями виагры и антидепрессантов, спам этой тематики пополнился русскоязычными предложениями услуг и товаров для здоровья: массажные очки, пособия по отказу от курения и абонементы в фитнес-клубы.

Постепенный спад доли спама категории «Личные финансы», наблюдавшийся практически с начала года, привел к тому, что тематика полностью сдала свои позиции (рекордно низкие 2,1% в последнюю неделю мая), вышла из пятерки лидеров и теперь составляет всего 4,7% от общего потока спама в Рунете.

Вредоносные программы и спам «в одном флаконе»

Целью спама все чаще является не столько продвижение товара/услуги, и даже не мошенничество в том или ином виде, а сам пользователь. Точнее — его персональный компьютер. Спам несет с собой вредоносные программы или ссылки на них. Открывая вложение или переходя по ссылке, пользователь рискует заразить свой компьютер, после чего его машина превратится в звено ботнета, может быть использована для DDoS атаки и пр. Это не новость, тенденция к киберкриминализации спама, его сращению с различной вредоносной деятельностью наблюдается уже давно.

Но второй квартал 2007 года дал очередной повод задуматься о том, насколько далеко зашел этот процесс.

За три месяца прошло множество спам-рассылок со ссылками якобы на откровенные фотографии, интересные сайты и т.п., которые на самом деле вели к источнику, откуда пыталась загрузиться троянская программа. Во всех таких рассылках спамеры играют на немудреных человеческих страстях: любви к бесплатному сыру, сексуальных интересах. Но теперь они решили использовать еще одну слабость обывателя – интерес к чужой частной жизни, желание подслушивать и подсматривать. В начале июня 2007 года по Рунету прошел спам с предложением скачать ПО, которое якобы способно скачивать SMS-сообщения с чужих мобильных. В действительности пользователь скачивал троянскую программу удаленного администрирования Backdoor.Win32.IRCBot.abc. Этот спам вызвал некоторый переполох среди пользователей мобильной связи. Операторы мобильной связи были вынуждены отвечать на вопросы абонентов, объясняя им, что в реальной жизни не существует программ, обладающих подобными возможностями и способных «перехватить» или скачать с СИМ-карты чужие SMS-сообщения.

Чуть позже пользователи западного сегмента Интернета подверглись сходной по целям спам-атаке, но мотивация для клика по ссылке, откуда грузился вредоносный софт, была уже другой. Спам маскировался под уведомление от Microsoft и содержал предложение скачать обновление для обеспечения безопасности своего компьютера.

Эксперты «Лаборатории Касперского» в очередной раз предупреждают: спам опасен. Соблюдайте меры компьютерной гигиены, не открывайте вложения в спаме. И не забывайте, что ни Microsoft, ни Билл Гейтс лично, ни банки и прочие крупные организации не рассылают по электронной почте обновления программ.