Спам: январь-март 2004

Ежеквартальный аналитический отчёт

О нашем исследовании:
как мы анализируем спам

Компания «Ашманов и Партнеры» является ведущим производителем антиспам-фильтров в России. Наши фильтры установлены на интернет-сервисах Mail.ru, в Петерлинке, РТКомм, РБК и многих частных компаниях. Ежедневно наши фильтры обрабатывают до 20 миллионов писем, а наша Лаборатория «Спамтест» получает и анализирует примерно 100-150 тысяч различных новых спамерских писем в день.

Такой представительный поток данных позволяет нам охватить практически всю картину мирового и российского спама. Наши фильтры автоматически разбирают входной поток спама примерно по 550 рубрикам, так что тематическая и календарная картина спама оказывается полностью открытой для анализа.

При использовании материалов данного обзора ссылка на ЗАО «Ашманов и Партнеры» обязательна.

Содержание:

1. Итоги квартала: рост сохраняется

    1.1 Доля спама в почте Рунета

    1.2 Спам и вирусы «в одном флаконе»

2. Спам — качественное развитие

    2.1 Взлеты и падения рассылок спама

    2.2 Тематическое распределение спама

    2.3 Языковое распределение спама

    2.4 Новые спамерские тематики

        2.4.1 Русскоязычные нигерийские письма

        2.4.2 Предложения и советы по инвестированию

        2.4.3 Политический спам

3. Технические особенности рассылки спама

    3.1 Технологии рассылки

    3.2 Приемы обхода фильтров

1. Итоги квартала: рост сохраняется

1.1. Доля спама в почте Рунета

Начало года (первая декада января) характеризуется типичным сезонным спадом в почтовом трафике. Это связано с продолжительным праздничным/отпускным периодом. Распределение спама подчиняется приблизительно тем же законам, что и движение почты в целом. В этот период было зарегистрировано падение объёма спама в почтовых потоках до 48% от всего объёма почты.

В течение второй и третей декады января произошел бурный, лавинообразный рост количества спамерских сообщений. Примечательно, что основную их массу составила реклама услуг самих спамеров: предложения по организации почтовых рассылок. Это очевидно, объясняется выходом спамеров из отпусков на работу при отсутствии клиентов.

В феврале ситуация стабилизировалась и далее вплоть до апреля доля спама оставалась на среднем уровне конца прошлого года: 65-70%. В конце марта был отмечен непродолжительный спад доли спамерских предложений до 59,2% от общего почтового трафика.

Диаграмма 1. Доля спама в общем почтовом трафике Рунета

1.2. Спам и вирусы «в одном флаконе»

Развивается тенденция 2003 г. использования спамерских технологий для распространения вирусов. В первые 4 месяца 2004 года было отмечено несколько массированных вирусных атак, в которых вирусы рассылались с использованием электронной почты. Наибольшую угрозу интернет-сообществу представляли эпидемии сетевых червей Novarg, Bagle и NetSky. Ведущий российский разработчик антивирусного ПО, Лаборатория Касперского, присвоил январской атаке вируса Novarg рейтинг «максимальной опасности».

Заметим, что рассылка этих вирусов была, по всей видимости, нацелена на то, чтобы захватить контроль над как можно большим количеством пользовательских компьютеров, установив на них троянское ПО, а затем перепродавать контроль на ними спамерам, для превращения «затрояненных» компьютеров в спам-машины.

В марте между тремя группами вирусописателей разгорелась настоящая война на просторах Интернета: каждый следующий почтовый червь перед установкой своей троянской программы на компьютер отыскивал и удалял программу своего предшественника. Вирусописатели даже обменивались между собой ругательными посланиями в телах вирусов (наподобие: «Don’t ruin my business! You wanna war?» — «Не рушь мой бизнес, а не то будет тебе война«.)

Всё это привело как к росту спамерского трафика, так и к появлению большого количества другого вида нежелательной почты — вирусных писем, в том числе и «безобидных», от которых собственно вирус был «отрезан» каким-либо антивирусом. Внешняя безобидность «вылеченных» писем не мешала им, тем не менее забивать, каналы связи и почтовые ящики, так что разработчикам антиспам-фильтров пришлось вносить образы этих вирусных писем в свои базы¹.

2. Спам — качественное развитие

Спам мгновенно реагирует на изменения в окружающей действительности. Содержание и объем несанкционированных коммерческих рассылок меняется в зависимости от сезона (зимой, например, спамеры предлагают автоподогрев для сидений автомобиля, а летом — кондиционеры), от покупательской способности (например, сразу после праздников бессмысленно активизировать рекламу, т.к. основная масса свободных денег населения уже потрачена) и многих других факторов.

Постоянно меняется контингент заказчиков и технологии исполнения спамерских рассылок.

2.1. Взлеты и падения рассылок спама

В течение первых четырех месяцев 2004 года наблюдалось несколько периодов всплесков и падений спамерской активности.

Заметный спад в объеме спама был отмечен в период «после новогодних праздников/отпусков». Это начало-середина января. Первый месяц года известен низким спросом и предложением в торговле и рекламе. Следующее «падение» пришлось на середину-конец марта, т.е. период «после весенних праздников». Обусловлено оно теми же причинами, что и январское.

За начало года было отмечено два периода активизации спамеров. Это прогнозируемый всплеск «перед весенними каникулами и майскими праздниками», связанный, прежде всего, с началом нового сезона отпусков и ростом количества туристических предложений. Пик спамерской активности конца января нами не прогнозировался. Примечательно, что его возникновение было, видимо, обусловлено необходимостью поиска новых клиентов для спамерских рассылок, поэтому данный пик в основном сформировали предложения по продвижению спамерских услуг, а также спамерского ПО, необходимого для реализации подобных услуг.

2.2. Тематическое распределение спама

Состав основных спамерских тематик Рунета пока остается неизменным. Наша лаборатория при анализе спама выделяет следующие тематические категории:

• Для взрослых
• Интернет, компьютеры, оргтехника
• Личные финансы
• Медицина и Здоровый образ жизни
• Недвижимость
• Образование
• Отдых и путешествия
• Полиграфия
• Работа
• Товары и услуги
• Услуги по электронной рекламе

Отдельно выделяется тематика под условным названием «Лёгкие деньги«. Это аналог англоязычного термина «scam«, т.е. мошенничество. В эту тематическую категорию входят предложения помочь в переводе и обналичивании денег из нигерийского или других банков (так называемые «нигерийские» письма) за определенные проценты, сертификаты мгновенного выигрыша в лотерею и т.п. Во всех случаях предполагаются первоначальные финансовые затраты, которые идут на счета мошенников, обещанной же финансовой компенсации или вознаграждения пользователь не получает никогда.

Не все тематики равномерно представлены в потоке спама. За первые 4 месяца 2004 года примерно 50% всего потока спама составляли письма следующих тематических групп:

Таблица 1. Крупнейшие однородные тематические группы спама в Рунете

Распределение основных тематик спама по месяцам представлено на Диаграмме 2. Цифры на оси Х представляют полумесяцы (первые 15 дней, последние 15 дней) для четырёх месяцев с января по апрель.

Хорошо заметно, что январское «смещение» тематик (высокая доля рекламы спамерских рассылок и писем для взрослых) — постепенно нормализуется к середине февраля.

Диаграмма 2. Распределение крупных тематик спама по месяцам 2004 г.

2.3. Языковое распределение спама

Языковое распределение спама так же неоднородно, как и количественное. Основные языки, представленные в спамерских потоках Рунета — это русский и английский. Доля англоязычного спама в среднем несколько превышает русскоязычную, т.е. мы видим соотношение примерно 55-65 % англоязычного спама и 40-45 % русскоязычного.

На конкретном почтовом ящике, и даже на отдельно взятом почтовом сервере соотношение долей может меняться. Кроме того в периоды праздников и отпусков наблюдается спад именно русскоязычного спама, в то время как количество англоязычного спама остается практически без изменений. Именно этот факт приводит к колебаниям в процентном соотношении тематик спама. На Схеме 2 мы видим, что доля предложений «Для взрослых» в январе выросла до 25 %, но в количественном отношении объем этой тематики не изменился. Растёт именно доля данной тематики на фоне спада русскоязычного спама.

2.4. Новые спамерские тематики

Кажется, что спам настолько разнообразен, что все возможные тематики уже задействованы. Тем не менее, по данным Лаборатории «Спамтест» за первые месяцы 2004 года в спамерских потоках Рунета были отмечены письма следующих новых тематик.

2.4.1. Русскоязычные нигерийские письма

Сами по себе «нигерийские письма» не новость. Изначально так называли письма от несуществующих нигерийских бизнесменов или служащих нигерийских министерств. Автор такого письма обычно утверждает, что он располагает миллионами долларов, но они приобретены не совсем законными способами или же хранятся в обход закона. Например, это украденные иностранные инвестиции или гранты ООН. Дальше автор письма объясняет, что по этой причине он не может разместить деньги на счету в нигерийском банке, и что ему срочно требуется счет в зарубежном банке, куда можно перечислить «грязные» деньги. В качестве вознаграждения за помощь предлагается от 10% до 30% от заявленной в письме суммы. Идея мошенничества заключается в том, что доверчивый пользователь предоставит автору письма доступ к своему счету. Нетрудно предугадать результат — все деньги с этого счета будут сняты и уйдут в неизвестном направлении.

Мошенники оперативно реагируют на ситуацию в мире, поэтому постоянно появляются новые разновидности «нигерийских» писем — например, «кенийские» или «иракские», в которых речь идет о деньгах, украденных во время военных действий в Ираке.

До недавнего времени особенностью подобных писем была их языковая принадлежность: они приходили исключительно на английском языке. В начале 2004 года впервые появились аналогичные письма на русском языке.

Заметим, что русский текст этого письма получен из английского варианта с помощью программы машинного перевода! Это показывает, что авторы письма — скорее всего не граждане РФ (или умело маскируются под иностранцев). Вот пример «нигерийского письма» на русском:

2.4.2. Предложения и советы по инвестированию

Это относительно новая разновидность спама. Тематически эта разновидность спама относится к группе «Личные финансы». В большинстве случаев письмо содержит описание «биржевого лидера недели», т.е. информацию о компании, которая якобы находится на подъеме стоимости акций. Фактически это — попытка повлиять на предпочтения инвесторов и курс акций (очевидно, заказанная игроком фондового рынка).

В международной классификации спама подобные письма относят к мошенничеству (scam), хотя и не запрещенному юридически. Можно предположить, что большинство таких рассылок оплачены держателями акций мелких компаний, желающими, например, поднять стоимость акций до максимума и оперативно продать их, пока они снова не упали в цене. Фальшивые «советы» по инвестициям могут также использоваться для снижения стоимости акций конкурентов.

До сих пор подобный спам существовал исключительно в англоязычном варианте.

2.4.3. Политический спам

Наши прогнозы компании про развитие политического спам в Рунете, полностью оправдываются. Спам активно использовался в избирательных кампаниях, пришедшихся на начало 2004 года. В спамерских посланиях были отмечены многие политические партии, движения и отдельные, наиболее яркие политические деятели. Вот образец политического спама, оформленного, как личное обращение кандидата:

3. Технические особенности рассылки спама

3.1. Технологии рассылки

Спамеры активно используют технологии и методы рассылки, сложившиеся на конец 2003 года. Их отличают следующие характерные особенности:

1. Использование зараженных компьютеров пользователей для доставки спама.
2. Использование специализированного профессионального ПО, включающего систему регулярных обновлений и обмена информацией о доставке/недоставке писем между спам-машинами.
3. Использование технологии «пробных» рассылок на публичные почты, т.е. отладка доставки сквозь фильтры в режиме реального времени.
4. Организация «фальшивых», т.е. бессодержательных рассылок, которые используются для замусоривания почтового трафика и затруднения работы антиспамерского ПО.

Новостью является то, что в последние два-три месяца мощности спамеров заметно выросли. Сейчас наиболее мощные спамеры имеют возможность послать рассылку в несколько миллионов писем на публичные почты всего за 2-3 часа, стараясь успеть до того, как среагируют компании, занимающиеся обновлением антиспам-фильтров. Компании — производители фильтров, в свою очередь, увеличивают частоту обновления своих баз данных.

3.2. Приемы обхода фильтров

Спамеры эффективно используют приемы, наработанные ими ещё в прошлом году:

1. Представление текста письма в виде изображения (графического файла).
2. Модификация текста сообщения, в том числе цитаты и случайные последовательности.
3. HTML-трюки (невидимый текст и пр.)

Из спамерских новаций стоит отметить появление в начале года мутирующих писем-картинок, то есть графических писем с вносимыми при рассылке незаметными модификациями, так что каждая картинка на взгляд такая же, но несколькими битами отличается от любой другой в рассылке. Это делается спамерами для обхода антиспам-фильтров, применяющих «жёсткие» графические сигнатуры.

Раньше модификация графики «на лету» была слишком дорога для спамеров, сейчас же, очевидно, спамеры накопили необходимые технические мощности. Пока количество таких мутирующих писем-картинок по указанной причине дороговизны технологии всё ещё невелико.

¹ Строго говоря, перед антиспамерскими фильтрами не стоит задача распознавания и, тем более, обезвреживания вирусов. Но в сложившейся ситуации фактического объединения хакерских и спамерских технологий разработчикам программ фильтрации спама приходится реагировать и на вирусные угрозы. Например, в периоды массовых атак фильтр Спамтест, разработанный нашей компанией, обучается распознавать и размечать как «формальные» сообщения, информирующие пользователя о попытке доставить ему вирус (antivirus alerts), так и письма-контейнеры, к которым прикреплены файлы с вирусами. [вернуться в текст]