Публикации

Весь этот спам

Миллион покупателей за 100$

Не создан ли миф о сказочной коммерческой отдаче спама самими спамерами? 90% расылок летит в корзину на уровне провайдера, из протиснувшихся через фильтры 99% удаляется, не глядя… Что в сухом остатке? Чаще всего — крайне негативное отношение к мусорным рассылкам. Ведь именно этот фактор не позволяет спамерам расширять свою клиентуру за счет средних и крупных компаний, дорожащих своей репутацией. Не считая откровенного криминала (предложения о продаже баз данных ГИБДД или экстази со скидкой), спам является уделом небрэндированных товаров, низкоквалифицированных услуг, фирм-однодневок… Казалось бы, все минусы на поверхности, но слишком магически действуют цифры «миллион клиентов» и «сто долларов».

Спамеры не упускают возможности — пусть анонимно, со страниц специализированных форумов — заявить о колоссальной рекламной эффективности спама. Действительно, за $100-200 можно заказать рассылку на миллион адресов, что вполне сравнимо по охвату с телевизионным роликом. Стоимость подготовки материала? Нулевая. Скорость модификации рекламного сообщения? Мгновенная. Для многих малых предприятий эти доводы оказались настолько вескими, что наряду с классикой жанра — рассылаемых по большей части из США и Китая предложений дешевой виагры — Рунет наводнили предложения провести погрузочные работы, посетить семинар или совершить незабываемое путешествие.

Бойцы невидимого фронта

Спам — не только испорченное настроение конкретного пользователя. Это и значительный ущерб в рамках национальной и мировой экономики. По данным «Лаборатории Касперского», доля спама в общем почтовом трафике Рунета достигает 80%. А значит, инвестиции интернет-провайдеров в инфраструктуру в значительной степени потребляются… спамерами, по сути паразитирующими на ней. Ведь спамеры не покупают серверы, не оплачивают хостинг. Куда комфортнее и выгоднее открытые релеи и зомби-сети. Но и обычные компании получают вполне реальный финансовый ущерб от виртуального мусора в почтовых ящиках сотрудников. К примеру, «Вымпелком» оценил, что внедрение мощного антиспам-фильтра позволило компании избежать ежегодных потерь в размере $400 тыс.

Тем не менее, спамеры не устают подчеркивать «законность» своей деятельности. И хотя буква российских законов, казалось бы, соблюдена, а «тысячи предприятий малого бизнеса обрели доступное средство рекламы и развития бизнеса», о социальном одобрении действий спамеров говорить не приходится. Сами спамеры никогда не выходят из тени, не вешают табличек на двери офисов и не называют в честь спама свои прибыльные ООО.

По данным исследования Евгения Альтовского, координатора «Проекта Антиспам», совокупные доходы российских спамеров составляют минимум $2 млн. в год. Причем в этой оценке не учтены заказы на рассылку спама за пределы России — на адреса европейских, американских, азиатских пользователей, которые оплачиваются более щедро. Все это позволяет говорить о том, что реальный оборот спамерской индустрии в России во много раз выше. Учитывая, что по оценкам «Яндекса», объем российского рынка антиспамерского ПО составляет $2 млн., нетрудно заметить, что доходы борцов со спамом на порядок ниже теневых оборотов их сетевых визави.

Зомби живее всех живых

Типичный спамерский «станок» сегодня представляет из себя зомби-сеть: некоторое число ПК в сети, зараженных принадлежащим спамеру трояном, который позволяет дистанционно управлять чужим компьютером, как если бы это был собственный почтовый сервер. Причем «жертва», как правило, узнает о том, что с ее ПК ежедневно рассылаются спамерские послания, только после попадания в списки запрещенных у провайдеров или серьезного аудита ИТ-безопасности. Число машин, входящих в зомби-сеть, может достигать многих тысяч, а «чемпионам» — таким как арестованным осенью прошлого года в Нидерландах спамерам — удается контролировать до 1,5 млн. зомби. По данным Symantec, ежедневно в сети действуют 10,5 тыс. независимых зомби-сетей.

Зомби-ПК, зараженный трояном, не проявляя себя для пользователя, развертывает почтовый сервис и ждет команды. Как правило, управление происходит по IRC-каналам, обеспечивающим анонимность «пастыря» зомби-сети. Такая сеть способна отправлять несколько миллионов сообщений в час. В ходе расследования деятельности владельцев зомби-сетей, компания Microsoft специально создала «зомбированный» компьютер. За три недели к нему дистанционно обратились 5 млн. раз и пытались использовать для рассылки 18 млн. спам-сообщений, рекламирующих свыше 13 тыс. веб-сайтов.

По словам специалистов «Лаборатории Касперского», основной тенденцией последнего времени является сращивание различных видов угроз и интеграция спамерских группировок и вирусописателей. И действительно, получив спамерское письмо, пользователь переходит по ссылке или запускает файл и заносит в свой компьютер вредоносный код. Вирус осваивается в системе новой жертвы и вновь начинает рассылать спам. Осознав необходимость построения новых зомби-сетей, поступает команда разослать новую вариацию вредоносной программы… Помимо того, что деятельность спамеров уже неотделима от вирусописателей (и наоборот), существует и четкая «коммерческая специализация» между ними.

Не ходите в Африку гулять…

Еще одним отголоском интеграции интернет-преступности становится все возрастающая тенденция использования спама как канала для действий мошенников. Как правило, мошеннический спам призывает пользователя заплатить деньги, сообщить номер кредитной карты или свой пароль, под самыми правдоподобными (или не очень) предлогами.

Пожалуй, самым опасным видом мошенничества можно назвать фишинг (phishing, «ловля на удочку»). Пользователь получает письмо, в котором видит обратный адрес, скажем, своего банка. Письмо выполнено в полном соответствии с фирменным стилем банка, в нем говорится, что необходимо срочно войти в систему онлайн-банкинга, чтобы подтвердить поступление денежного перевода (или под другим предлогом). Пользователь идет по ссылке, попадает на сайт банка, вводит номер кредитки, пароль… Да вот только сайт, несмотря на полное внешнее соответствие, создан мошенниками, и данные попали напрямую им!

Существует великое множество вариаций заманивания доверчивого пользователя Интернета в ловушку фишеров. Наиболее распространены поддельные рассылки от имени банков, платежных систем, интернет-аукционов или интернет-магазинов.

В последнее время в США были даже зафиксированы случаи оффлайн-фишинга. Теперь пользователя уже не просят заходить на сайт или высылать какие-либо данные в письме — нужно лишь заполнить приложенную форму и выслать ее… по факсу! Получателей, пожалуй, называть излишне. Из получивших широкую огласку атак в России, можно отметить несколько произошедших в 2004 году фишинговых рассылок от лица «Ситибанка». По данным Mail.Ru, в общем почтовом потоке русскоязычные фишинговые письма составляют не более 3% от всего спама, но их количество и доля постоянно растут.

Другим неприятным явлением являются так называемые «нигерийские письма». В этих посланиях, как правило, описывается ситуация, когда кто-то попал в сложную ситуацию (путч в Нигерии, банкротство компании и т.д.) и ему срочно нужно вывести деньги в страну, где живет получатель сообщения. Все, что от него требуется — лишь сообщить реквизиты личного счета для перевода нескольких миллионов долларов… А за помощь обещана «комиссия» в виде хорошего процента. Вряд ли стоит говорить о том, что африканских богатств простодушный пользователь не увидит, а вот своих — скорее всего лишится. Любят поживиться мошенники и на различных бедах и катаклизмах — так, после урагана «Катрина» в США, Интернет наводнили послания от многочисленных «фондов сбора средств для пострадавших».

Из наиболее экзотических примеров «нигерийского» спама вспоминаются слезные послания родственников нигерийского космонавта, который был отправлен на орбиту на секретном корабле, и которому теперь не хватает денег вернуться на Землю.

Счастье для всех и сразу

Одной из предпосылок того, что спам получил столь широкое распространение, послужила открытая архитектура почтового протокола SMTP. Так, например, для спамеров не представляет никакой сложности подделать заголовок письма «From:», что в совокупности с другими факторами делает отправителя мусора почти полностью анонимным.

С 2003 разрабатывались самые разные технологии аутентификации отправителя, которые по замыслу своих авторов должны были бы существенно помочь в деле выявления спамеров. Открытое сообщество ведет разработку расширения протокола SMTP — SPF, Sender Policy Framework. Microsoft пыталась в технологии SenderID объединить SPF со своей технологией CallerID, чтобы установить собственный стандарт в области почтовых протоколов — что ей не удалось, и рабочая группа по SenderID была распущена. Отметился на этом поле и Yahoo! с технологией аутентификации DomainKeys.

Сами по себе эти разработки не были задуманы как «убийцы» спама, однако прозрачность информации об отправителе вкупе с развитием антиспам-законодательства в США и Европе значительно затруднили бы жизнь спамерам, одновременно облегчив задачу фильтрации спамерского трафика. В итоге все забуксовало, когда стало ясно, что в одночасье внести изменения в глобальный почтовый протокол в масштабах всего Интернета, на десятках и сотнях тысяч независимых серверов, не представляется возможным. Последний удар надеждам интернет-сообщества победить спам с помощью SPF и его собратьев нанес отчет Yahoo!, из которого следовало, что не более 3% входящих писем на Yahoo.Mail содержат SPF-метки, причем более 90% из них… являются спамом! Таким образом, стало ясно что никакой «серебряной пули» против спама не существует, а пророчество Гейтса образца 2003-го оказалось ошибочным.

Методы борьбы со спамом

Несмотря на столь апокалиптическую картину, снизить до приемлемого уровня количество мусора в собственном почтовом ящике все же можно. На рынке существует достаточное количество ПО антиспам-фильтрации — для домашних пользователей, компаний, интернет-провайдеров. Современные фильтры позволяют блокировать до 90-95% непрошенных массовых сообщений.

Все контентные фильтры используют в целом схожие методы определения спама в общем потоке почты — разбор технических атрибутов сообщения (заголовков, модификаций полей адресатов и отправителей, HTML-кода), поиск характерных для спама терминов, фраз и их сочетаний, а также проверенный сигнатурный метод, когда обнаруженная «свежая» рассылка блокируется на стороне пользователя еще до того, как она была окончательно разослана. Классическими примерами таких продуктов являются Symantec Brightmail Anti-Spam или Kaspersky Anti-Spam.

Другая группа антиспам-инструментов представлена списками запрещенных спамерских IP-адресов — DNSBL (DNS-based Blackhole List). Особенно широко такие системы распространены у провайдеров. Используют чаще всего в совокупности с контентным фильтром. Как коммерческие сервисы, DNSBL представлены в лице Trend Micro RBL+, Spamhaus и других.

Еще один подход основан на анализе массовости того или иного сообщения в Сети. В России его используют для защиты пользователей «Яндекс.Почты», а в США он широко используется в продуктах компании Commtouch.

На 100% отфильтровать спам сегодня невозможно. Для этого понадобилась бы система искусственного интеллекта, способная, как и человек, безошибочно реагировать на спам. Гораздо важнее отлова всех до единого спамерских сообщений безусловная сохранность обычной, не спамерской корреспонденции. За яркими лозунгами антиспам-вендоров, чьи декларируемые уровни детектирования достигают 99,99% можно не заметить опасности потерять важное письмо от клиента, руководителя, партнера. Поэтому основным приоритетом при выборе ПО должен быть минимальный процент false positives, ложных срабатываний спам-фильтра. У лучших представителей он не превышает нескольких писем (как правило, также рекламных, но не спамерских) на сотню тысяч сообщений.

Спам в конце тоннеля?

Участники прошедшей в Москве в декабре 3-й национальной конференции «Проблема спама и ее решения», констатировали, что решение проблемы спама в рамках отдельного провайдера или отдельной компании вполне достижимо. На рынке представлено достаточное количество средств противостояния электронному мусору и тем убыткам, — потерям времени, вирусным рассылкам, перегрузкам инфраструктуры — которые он несет за собой.

Однако на горизонте не наблюдается коренного решения проблемы спама в рамках Интернета в целом. Достигнут весьма неустойчивый баланс, когда спамеры существуют в условиях попадания лишь небольшой части их творений в цель, а вендоры — в перманентной борьбе за доли процента в уровне детектирования, каждый из которых дается все труднее. Какой-либо существенный технологический прорыв со стороны первых (тем более, что основные спамерские технологии не менялись уже почти 2 года) — и проблема может вновь принять ту остроту, которой она характеризовалась в 2003-м, когда старые средства уже не действовали и не было понятно, как защититься от напасти.

Тем более, что спамеры осваивают новые для себя каналы распространения — SMS и IM-пейджеры. И если SMS-спам теоретически может быть искоренен с помощью жесткого контроля со стороны сотовых операторов за своими шлюзами (что сейчас и происходит, например, в Китае, где SMS-спам приобрел масштабы стихийного бедствия), то пользователей ICQ, AOL и прочих пока попросту некому защитить, так как эти программы бесплатны, и их пользователи не готовы платить за антиспам-защиту. А значит, миллионы пользователей будут в раздражении давить клавишу Delete, отправляя очередную порцию спама в корзину.

Весь этот спам

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике