Спамеры оттачивают мастерство

Согласно результатам исследования компании IronPort, только с апреля по июнь 2006 г. объемы спама в мире выросли на 40%, а за год прирост составил 83%. При этом спамеры совершенствуют методы и технологии рассылки.

По данным IronPort, в настоящее время спамеры в течение нескольких часов меняют IP-адреса источника спама, рассылаемого из зомби-сетей. При этом ссылки, которые обычно содержат спам-сообщения, меняются с той же частотой. В июне 2005 г. продолжительность использования спам-домена составляла 48 часов, и этого времени было достаточно для его детекциии и занесения в списки запрещенных. Год спустя длительность жизни спамового URL сократилась до 4 часов. Это означает, что к тому времени, когда URL будет внесен в традиционные блок-листы, спам с этой ссылкой уже попадет в почтовые ящики пользователей, а спамеры изменят ссылку в рассылаемых сообщениях.

Кроме того, краткая жизнь спам-доменов позволяет спамерам бесплатно регистрировать домены на короткий период времени. По данным IronPort, в апреле за 32 миллиона из 35 миллионов зарегистрированных доменов деньги не вносились, и срок их использования истек в течение 5 дней. Для спамеров, таким образом, стоимость регистрации оказывается равной нулю, при этом удается избежать попадания спам-доменов в списки запрещенных.

Очевидно, спамеры оценили преимущества «графического» спама. По данным IronPort, его доля в общем потоке мусорной почты в течение года выросла с менее чем 1% в июне 2005 г. до 12% в июне 2006 г. По оценкам IronPort, ежедневно спамерами рассылается более 5 миллиардов спамовых «писем-картинок».

«Спам в картинке» имитирует html-формат, но представляет собой спам-сообщение в виде файла .jpeg или .gif. Такие сообщения либо не содержат текста, либо содержат его в минимальном объеме, что затрудняет их фильтрацию с помощью таких традиционных методов, как просмотр сигнатуры и контентная фильтрация.

При этом в ходе рассылки спамеры вносят постоянные минимальные изменения в «картинки», прикрепляемые к спам-сообщениям. Эти изменения незаметны для глаза пользователя, но значительно осложняют задачу для фильтров, построенных на основе проверки сигнатуры, – с точки зрения машины все эти сообщения разные.

Специалисты IronPort утверждают, что спам-фильтры первого и второго поколения пропускают 78% спамовых «писем-картинок».

По данным IronPort, спам-атаки становятся направленными. Целью рандомизированных атак «графического» спама, как правило, являются определенные регионы мира, отдельные провайдеры и даже предприятия. «Графический» спам, рассылаемый в ходе таких атак, может составлять половину от всего спама, приходящего на атакуемые адреса. Если антиспамовые фильтры не обеспечивают отсев таких сообщений, то пользователи оказываются в буквальном смысле заваленными спамом.

По словам Анны Власовой, начальника группы спам-аналитиков «Лаборатории Касперского», «графический спам» — это хорошо известный спамерский прием, который уже можно считать «хрестоматийным». Спамеры начали активно применять эту технологию еще в 2003 году, и с тех пор количество такого спама постоянно растет, а сам он видоизменяется. За последние полтора года количество «графического» спама действительно выросло в 3-4 раза.

Большинство популярных фильтрующих систем умеют бороться с «графическим» спамом, хотя иногда такая борьба идет с переменным успехом, т.к. спамеры совершенствуют методы и технологии спам-рассылок. Но если бы производители спам-фильтров не озаботились этой проблемой как минимум 2 года назад, то сейчас они бы потерпели сокрушительное поражение от спамеров.

«В конце 2005 — начале 2006 года спамеры сделали следующий технологический рывок. Теперь они не просто модифицируют «картинки» в пределах одной и той же рассылки, но и «режут» их на части. Т.е. итоговое изображение складывается из 4-8 отдельных графических частей. Подобный прием предназначен для обмана систем графического распознавания (OCR-анализаторов), которые могли бы восстановить исходный спамерский текст по изображению. На самом деле, большинство существующих спам-фильтров пока не проводят OCR-анализ. Так что спамеры явно работают на будущее», — сказала Анна Власова.

Источник: Yahoo! Finance