Спам: январь-март 2004

Ежеквартальный аналитический отчёт

О нашем исследовании:
как мы анализируем спам

Компания «Ашманов и Партнеры» является ведущим производителем антиспам-фильтров в России. Наши фильтры установлены на интернет-сервисах Mail.ru, в Петерлинке, РТКомм, РБК и многих частных компаниях. Ежедневно наши фильтры обрабатывают до 20 миллионов писем, а наша Лаборатория «Спамтест» получает и анализирует примерно 100-150 тысяч различных новых спамерских писем в день.

Такой представительный поток данных позволяет нам охватить практически всю картину мирового и российского спама. Наши фильтры автоматически разбирают входной поток спама примерно по 550 рубрикам, так что тематическая и календарная картина спама оказывается полностью открытой для анализа.

При использовании материалов данного обзора ссылка на ЗАО «Ашманов и Партнеры» обязательна.

Содержание:

1. Итоги квартала: рост сохраняется

2. Спам — качественное развитие

        2.4.3 Политический спам

3. Технические особенности рассылки спама

1. Итоги квартала: рост сохраняется

1.1. Доля спама в почте Рунета

Начало года (первая декада января) характеризуется типичным сезонным спадом в почтовом трафике. Это связано с продолжительным праздничным/отпускным периодом. Распределение спама подчиняется приблизительно тем же законам, что и движение почты в целом. В этот период было зарегистрировано падение объёма спама в почтовых потоках до 48% от всего объёма почты.

В течение второй и третей декады января произошел бурный, лавинообразный рост количества спамерских сообщений. Примечательно, что основную их массу составила реклама услуг самих спамеров: предложения по организации почтовых рассылок. Это очевидно, объясняется выходом спамеров из отпусков на работу при отсутствии клиентов.

В феврале ситуация стабилизировалась и далее вплоть до апреля доля спама оставалась на среднем уровне конца прошлого года: 65-70%. В конце марта был отмечен непродолжительный спад доли спамерских предложений до 59,2% от общего почтового трафика.

Диаграмма 1. Доля спама в общем почтовом трафике Рунета

Доля спама в общем почтовом трафике Рунета

1.2. Спам и вирусы «в одном флаконе»

Развивается тенденция 2003 г. использования спамерских технологий для распространения вирусов. В первые 4 месяца 2004 года было отмечено несколько массированных вирусных атак, в которых вирусы рассылались с использованием электронной почты. Наибольшую угрозу интернет-сообществу представляли эпидемии сетевых червей Novarg, Bagle и NetSky. Ведущий российский разработчик антивирусного ПО, Лаборатория Касперского, присвоил январской атаке вируса Novarg рейтинг «максимальной опасности».

Заметим, что рассылка этих вирусов была, по всей видимости, нацелена на то, чтобы захватить контроль над как можно большим количеством пользовательских компьютеров, установив на них троянское ПО, а затем перепродавать контроль на ними спамерам, для превращения «затрояненных» компьютеров в спам-машины.

В марте между тремя группами вирусописателей разгорелась настоящая война на просторах Интернета: каждый следующий почтовый червь перед установкой своей троянской программы на компьютер отыскивал и удалял программу своего предшественника. Вирусописатели даже обменивались между собой ругательными посланиями в телах вирусов (наподобие: «Don’t ruin my business! You wanna war?» — «Не рушь мой бизнес, а не то будет тебе война«.)

Всё это привело как к росту спамерского трафика, так и к появлению большого количества другого вида нежелательной почты — вирусных писем, в том числе и «безобидных», от которых собственно вирус был «отрезан» каким-либо антивирусом. Внешняя безобидность «вылеченных» писем не мешала им, тем не менее забивать, каналы связи и почтовые ящики, так что разработчикам антиспам-фильтров пришлось вносить образы этих вирусных писем в свои базы1.

2. Спам — качественное развитие

Спам мгновенно реагирует на изменения в окружающей действительности. Содержание и объем несанкционированных коммерческих рассылок меняется в зависимости от сезона (зимой, например, спамеры предлагают автоподогрев для сидений автомобиля, а летом — кондиционеры), от покупательской способности (например, сразу после праздников бессмысленно активизировать рекламу, т.к. основная масса свободных денег населения уже потрачена) и многих других факторов.

Постоянно меняется контингент заказчиков и технологии исполнения спамерских рассылок.

2.1. Взлеты и падения рассылок спама

В течение первых четырех месяцев 2004 года наблюдалось несколько периодов всплесков и падений спамерской активности.

Заметный спад в объеме спама был отмечен в период «после новогодних праздников/отпусков». Это начало-середина января. Первый месяц года известен низким спросом и предложением в торговле и рекламе. Следующее «падение» пришлось на середину-конец марта, т.е. период «после весенних праздников». Обусловлено оно теми же причинами, что и январское.

За начало года было отмечено два периода активизации спамеров. Это прогнозируемый всплеск «перед весенними каникулами и майскими праздниками», связанный, прежде всего, с началом нового сезона отпусков и ростом количества туристических предложений. Пик спамерской активности конца января нами не прогнозировался. Примечательно, что его возникновение было, видимо, обусловлено необходимостью поиска новых клиентов для спамерских рассылок, поэтому данный пик в основном сформировали предложения по продвижению спамерских услуг, а также спамерского ПО, необходимого для реализации подобных услуг.

2.2. Тематическое распределение спама

Состав основных спамерских тематик Рунета пока остается неизменным. Наша лаборатория при анализе спама выделяет следующие тематические категории:

  • Для взрослых
  • Интернет, компьютеры, оргтехника
  • Личные финансы
  • Медицина и Здоровый образ жизни
  • Недвижимость
  • Образование
  • Отдых и путешествия
  • Полиграфия
  • Работа
  • Товары и услуги
  • Услуги по электронной рекламе

Отдельно выделяется тематика под условным названием «Лёгкие деньги«. Это аналог англоязычного термина «scam«, т.е. мошенничество. В эту тематическую категорию входят предложения помочь в переводе и обналичивании денег из нигерийского или других банков (так называемые «нигерийские» письма) за определенные проценты, сертификаты мгновенного выигрыша в лотерею и т.п. Во всех случаях предполагаются первоначальные финансовые затраты, которые идут на счета мошенников, обещанной же финансовой компенсации или вознаграждения пользователь не получает никогда.

Не все тематики равномерно представлены в потоке спама. За первые 4 месяца 2004 года примерно 50% всего потока спама составляли письма следующих тематических групп:

Таблица 1. Крупнейшие однородные тематические группы спама в Рунете

No. Тематика спама Средний %% Описание
1. Для взрослых 18% Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятиях сексом; реклама сайтов, содержащих порнографические материалы; порнографические картинки, видео и т.п.
2. Образование 11% Реклама семинаров, тренингов, курсов
3. Медицина и Здоровый образ жизни 9% Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online
4. Услуги по электронной рекламе 4% Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.
5. Личные финансы 5% Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п.
6. Отдых и путешествия 3% Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.

Распределение основных тематик спама по месяцам представлено на Диаграмме 2. Цифры на оси Х представляют полумесяцы (первые 15 дней, последние 15 дней) для четырёх месяцев с января по апрель.

Хорошо заметно, что январское «смещение» тематик (высокая доля рекламы спамерских рассылок и писем для взрослых) — постепенно нормализуется к середине февраля.

Диаграмма 2. Распределение крупных тематик спама по месяцам 2004 г.

Распределение крупных тематик спама по месяцам 2004 г.

2.3. Языковое распределение спама

Языковое распределение спама так же неоднородно, как и количественное. Основные языки, представленные в спамерских потоках Рунета — это русский и английский. Доля англоязычного спама в среднем несколько превышает русскоязычную, т.е. мы видим соотношение примерно 55-65 % англоязычного спама и 40-45 % русскоязычного.

На конкретном почтовом ящике, и даже на отдельно взятом почтовом сервере соотношение долей может меняться. Кроме того в периоды праздников и отпусков наблюдается спад именно русскоязычного спама, в то время как количество англоязычного спама остается практически без изменений. Именно этот факт приводит к колебаниям в процентном соотношении тематик спама. На Схеме 2 мы видим, что доля предложений «Для взрослых» в январе выросла до 25 %, но в количественном отношении объем этой тематики не изменился. Растёт именно доля данной тематики на фоне спада русскоязычного спама.

2.4. Новые спамерские тематики

Кажется, что спам настолько разнообразен, что все возможные тематики уже задействованы. Тем не менее, по данным Лаборатории «Спамтест» за первые месяцы 2004 года в спамерских потоках Рунета были отмечены письма следующих новых тематик.

2.4.1. Русскоязычные нигерийские письма

Сами по себе «нигерийские письма» не новость. Изначально так называли письма от несуществующих нигерийских бизнесменов или служащих нигерийских министерств. Автор такого письма обычно утверждает, что он располагает миллионами долларов, но они приобретены не совсем законными способами или же хранятся в обход закона. Например, это украденные иностранные инвестиции или гранты ООН. Дальше автор письма объясняет, что по этой причине он не может разместить деньги на счету в нигерийском банке, и что ему срочно требуется счет в зарубежном банке, куда можно перечислить «грязные» деньги. В качестве вознаграждения за помощь предлагается от 10% до 30% от заявленной в письме суммы. Идея мошенничества заключается в том, что доверчивый пользователь предоставит автору письма доступ к своему счету. Нетрудно предугадать результат — все деньги с этого счета будут сняты и уйдут в неизвестном направлении.

Мошенники оперативно реагируют на ситуацию в мире, поэтому постоянно появляются новые разновидности «нигерийских» писем — например, «кенийские» или «иракские», в которых речь идет о деньгах, украденных во время военных действий в Ираке.

До недавнего времени особенностью подобных писем была их языковая принадлежность: они приходили исключительно на английском языке. В начале 2004 года впервые появились аналогичные письма на русском языке.

Заметим, что русский текст этого письма получен из английского варианта с помощью программы машинного перевода! Это показывает, что авторы письма — скорее всего не граждане РФ (или умело маскируются под иностранцев). Вот пример «нигерийского письма» на русском:


От: г. ИБРАГИМ НАССЕР RASHID MAJED LOOTAH,

Арабский Банк Инвестиций и Внешней торговли,

Arbift Башня, Baniyas Улица, Deira.

P.O.Box 5549

Частный телефон: + 02-348033-221347 или +8821646688996

Факс: +85230062931, +85230147877

Любезно посетите наш вебсайт в www.arbift.com/who.htm

Хорошо-дневный,

Я должен принести извинения Вам для этого контакта, который я делаю без формального введения, поскольку это требовалось срочной потребностью выполнить ожидаемую попытку.

Я - управляющий директор банка, названного выше и нуждаюсь в вашей срочной помощи, чтобы выполнять ожидаемую потребность.

Я нуждаюсь в вашей помощи, чтобы обеспечить фонды, которые я обнаружил, что был депонирован, чтобы возместить торговый обмен для товаров, который никогда не заплатился на приемники, кто никогда не предъявлял права на фонды до Войны Залива, и после Войны Залива это было невостребованно в течение 5 лет теперь.

Я нуждаюсь в Вас, чтобы представить нас в этой сделке как приемник упомянутого фонда так, чтобы оплата была сделана к Вам. Фонд сталкивается с несколькими миллионами из долларов. Однако после осторожного рассмотрения(соображения) я могу использовать мое положение(позицию) к постепенно выплате приемник, который является Вами с начальным выпуском оплат ы $8.5million usd.

Ясно это может казаться трудным, но я буду использовать мое

положение(позицию), чтобы делать эту сделку успехом и без любой формы риска, поскольку я намереваюсь уничтожить все данные об этой сделке после успешного денежного перевода фонда к Вам. Я снабжу всю информацию, которая будет использоваться, чтобы реализовать эту попытку все, что я нуждаюсь от Вас, должен представить нас как приемник для того, чтобы очистить от упомянутых фондов.

Если Вы можете обеспечить меня этим и также работать со мной доверяющий моему суждению и соглашаться безоговорочно следовать за всеми директивами, я даю Вам к успеху этого trasaction, Вы можете ответить мне, указывая вашу готовность помочь мне и делать доступным следующую информацию ниже:

1) Ваш возраст

2) Ваше семейное положение

3) Ваше занятие

4) Полное название(имя) и отправляющий адрес

5) Мобильный телефон, Установленный и номера телефона факса.

Я тогда вернусь к Вам с планом работы этой сделки.

Только используйте мой частный телефон, чтобы назвать(вызвать) меня.

Лучшие пожелания

Г. ИБРАГИМ НАССЕР RASHID MAJED LOOTAH

Is:mailexpress1@kreyol.com моей альтернативной электронной почты

Постскриптум: Вы можете достигнуть меня на Телеке/факсе: + 85230147877 или частный телефон: + 02-348033-221347

2.4.2. Предложения и советы по инвестированию

Это относительно новая разновидность спама. Тематически эта разновидность спама относится к группе «Личные финансы». В большинстве случаев письмо содержит описание «биржевого лидера недели», т.е. информацию о компании, которая якобы находится на подъеме стоимости акций. Фактически это — попытка повлиять на предпочтения инвесторов и курс акций (очевидно, заказанная игроком фондового рынка).

В международной классификации спама подобные письма относят к мошенничеству (scam), хотя и не запрещенному юридически. Можно предположить, что большинство таких рассылок оплачены держателями акций мелких компаний, желающими, например, поднять стоимость акций до максимума и оперативно продать их, пока они снова не упали в цене. Фальшивые «советы» по инвестициям могут также использоваться для снижения стоимости акций конкурентов.

До сих пор подобный спам существовал исключительно в англоязычном варианте.

2.4.3. Политический спам

Наши прогнозы компании про развитие политического спам в Рунете, полностью оправдываются. Спам активно использовался в избирательных кампаниях, пришедшихся на начало 2004 года. В спамерских посланиях были отмечены многие политические партии, движения и отдельные, наиболее яркие политические деятели. Вот образец политического спама, оформленного, как личное обращение кандидата:


Дорогой избиратель!

Я рад, что Вы получили от меня очередное электронное послание!

До выборов Главы города Екатеринбурга осталось чуть больше двух недель. За это время Вам предстоит окончательно определиться в своем выборе. А это сделать будет не просто. Вам предстоит решить, кто займет второе место и выйдет во второй тур: заворовавшийся торгаш, горе-министр или врач.

Вчера вечером региональный Политсовет партии Единая Россия поддержал не того кандидата. Слепые, отвернувшиеся от народа, от горожан чиновники во главе с многоуважаемым Губернатором поддержали одного из своих поддержали такого же как они чинушу Осинцева. Как бесчувственны могут быть люди, когда дело касается власти. А ведь городу нужен социальный мэр, мэр, стоящий лицом к горожанам, знающий все их

горести и печали.

Городу нужен я Ян Львович Габинский. Я знаю, екатеринбуржцы поддерживают меня. Несколько дней назад ко мне за поддержкой обратились вкладчики, бессовестно обманутые банкиришкой Гусевым, который клянется, что увеличит бюджет города в два раза. Нет! Первым делом он вернет себе из нашего с вами кармана те 5 миллионов долларов, которые он потратил на свою предвыборную кампанию, на эти огромные щиты, от которых у пожилых людей болит сердце, а у маленьких горожан начинаются припадки. Он ни во что не ставит здоровье горожан, их душу и сердце.

Я призываю Вас: отвернитесь от партийных бонз из Единой России , отвернитесь от жаждущих наживы торгашей, голосуйте за меня: Яна Львовича Габинского!

Ваш всем сердцем,

Ян Габинский.

3. Технические особенности рассылки спама

3.1. Технологии рассылки

Спамеры активно используют технологии и методы рассылки, сложившиеся на конец 2003 года. Их отличают следующие характерные особенности:

  1. Использование зараженных компьютеров пользователей для доставки спама.
  2. Использование специализированного профессионального ПО, включающего систему регулярных обновлений и обмена информацией о доставке/недоставке писем между спам-машинами.
  3. Использование технологии «пробных» рассылок на публичные почты, т.е. отладка доставки сквозь фильтры в режиме реального времени.
  4. Организация «фальшивых», т.е. бессодержательных рассылок, которые используются для замусоривания почтового трафика и затруднения работы антиспамерского ПО.

Новостью является то, что в последние два-три месяца мощности спамеров заметно выросли. Сейчас наиболее мощные спамеры имеют возможность послать рассылку в несколько миллионов писем на публичные почты всего за 2-3 часа, стараясь успеть до того, как среагируют компании, занимающиеся обновлением антиспам-фильтров. Компании — производители фильтров, в свою очередь, увеличивают частоту обновления своих баз данных.

3.2. Приемы обхода фильтров

Спамеры эффективно используют приемы, наработанные ими ещё в прошлом году:

  1. Представление текста письма в виде изображения (графического файла).
  2. Модификация текста сообщения, в том числе цитаты и случайные последовательности.
  3. HTML-трюки (невидимый текст и пр.)

Из спамерских новаций стоит отметить появление в начале года мутирующих писем-картинок, то есть графических писем с вносимыми при рассылке незаметными модификациями, так что каждая картинка на взгляд такая же, но несколькими битами отличается от любой другой в рассылке. Это делается спамерами для обхода антиспам-фильтров, применяющих «жёсткие» графические сигнатуры.

Раньше модификация графики «на лету» была слишком дорога для спамеров, сейчас же, очевидно, спамеры накопили необходимые технические мощности. Пока количество таких мутирующих писем-картинок по указанной причине дороговизны технологии всё ещё невелико.

1 Строго говоря, перед антиспамерскими фильтрами не стоит задача распознавания и, тем более, обезвреживания вирусов. Но в сложившейся ситуации фактического объединения хакерских и спамерских технологий разработчикам программ фильтрации спама приходится реагировать и на вирусные угрозы. Например, в периоды массовых атак фильтр Спамтест, разработанный нашей компанией, обучается распознавать и размечать как «формальные» сообщения, информирующие пользователя о попытке доставить ему вирус (antivirus alerts), так и письма-контейнеры, к которым прикреплены файлы с вирусами. [вернуться в текст]

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *