Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 63 в этом номере: Новости Спам - статистика за неделю 9-15 августа 2004 г. Эволюция способов рассылки спама Алексей Тутубалин Новости Спамеры атакуют школьников 10.08.2004 После первой недели работы антиспамовых фильтров, установленных на Лондонской общеобразовательной интернет-сети, выяснилось, что 75% сообщений, отправленных школьникам, являются спамом. Наиболее популярны при этом реклама наркотиков, Виагры и валиума. Большую долю среди остальных тематик составляет порноспам (20%). Лондонская общеобразовательная сеть обеспечивает высокоскоростным доступом в Интернет 1,1 миллион учащихся и более 65000 учителей 2600 лондонских школ. Сеть располагала антиспамовым софтом и ранее, однако он был обновлен и теперь соответствует изменившимся характеристикам спамовых писем и их возросшему объему. Анализ первой недели работы обновленного фильтра показал, что объемы спама достигали в сети 95% почтового трафика, и в среднем за неделю составили 75%. Около половины спамерских писем предлагали школьникам наркотики. Это позволяет констатировать, что продавцы наркотиков рассылают рекламу своего товара целевым группам, у которых наркотики могут быть популярны, - в данном случае подросткам. Письма, содержащие вирус или "троянцев", составляли всего 3,4%. Однако, их доля значительно возросла 3 августа во время вирусной атаки Netsky, MyDoom и Bagle и достигла 80%. Источник: BBC 86% спама: сделано в США 11.08.2004 По результатам исследования, проведенного CipherTrust, 86% спама рассылается из США. Исследователи CipherTrust считают, что миллионы спамерских писем рассылают около 200 американских спамеров. Специалисты CipherTrust проанализировали около 5 миллионов писем, полученных 1000 пользователей компании в течение мая-июля. Хотя лишь 28% IP-адресов, с которых рассылался спам, американские, они являются источником 86% спама. Для сравнения - с южнокорейских IP-адресов, которые составляют около 29%, рассылается только 3% спама, с Китайских и Гонконгских адресов, доля которых составляет 23%, исходит только 2,6% спама. Кроме того, согласно результатам исследования, более 2% спама рассылается из Канады и около 1,5% - из Украины. Еще одна значимая цифра: 4% - спамерских IP-адресов локализованы в Бразилии. Специалисты CipherTrust считают, что высокий процент спама, "сделанного в США", объясняется доступностью в стране дешевых высокоскоростных сетей, которые и используют спамеры для рассылки большого количества незапрошенных рекламных писем. По этой же причине в США не столь серьезна проблема "зомбированных" машин, которые за пределами Америки чаще всего используют для рассылки спама (при условии, что они имеют высокоскоростной доступ в Интернет). Полученные результаты не совпадают с результатами исследования компании Commtouch, согласно которым в июне из США рассылалось лишь 55,69% спама. По-видимому, это обусловлено разными условиями сбора анализируемых писем в двух исследованиях. Полученные результаты заставляют в очередной раз пересмотреть эффективность Can-Spam Act. Ранее незначительное влияние закона на объем спама в США объяснялось тем, что большая часть спама в страну попадает извне. Источник: pcworld Источник: news.yahoo.com "Олимпийские рекорды" спамеров 11.08.2004 Компания Vircom сообщила о 50-кратном увеличении объемов спама, имеющего отношение к Олимпийским играм, в период с января по июль 2004 года. Специалисты Vircom считают, что это хороший пример того, как умело спамеры и их заказчики учитывают коньюктуру рынка. Если в январе число "олимпийских" предложений было незначительно, то по мере приближения начала Олимпийских игр оно резко возросло. Рассчитывая на популярность тематики, спамеры предлагали все - от билетов до дешевых сувениров. Специалисты Vircom утверждают, что не были удивлены полученными результатами. "Спамеры знают, что продавать", - говорят они. Источник: MARKET WIRE AOL и Yahoo объявили о введении систем верификации отправителя 12.08.2004 AOL и Yahoo объявили о запуске систем верификации отправителя в течение ближайших месяцев - как комментирует www.techworld.com, независимо от их готовности. Со следующего месяца AOL будет проверять подлинность отправителя, используя SPF. С января месяца AOL проводила тестирование, публикуя SPF-записи, которые позволяли идентифицировать серверы исходящей почты компании в DNS. Однако до сих пор AOL не использовала SPF для проверки входящей почты. Представители компании заявили, что будут использовать SPF для выявления легитимных рассылок, а отсутствие записей не будет критерием для отвержения письма. Yahoo намерена внедрить к концу года свою технологию подтверждения подлинности отправителя DomainKeys прежде всего для исходящей почты. Все письма, отправляемые с почтовых серверов компании, будут иметь специальную цифровую подпись. Используя опубликованные компанией в записях DNS "ключи", можно будет подтвердить источник сообщения. Комментируя введение новых технологий, руководитель компании Sendmail Грег Олсон (Greg Olson) сказал, что внедрение Sender ID и DomainKeys - хороший способ "мягкой" проверки на практике их эффективности до того, как официально будет принята в качестве стандарта одна из многочисленных антиспамовых технологий, находящихся на рассмотрении IETF. Источник: www.techworld.com Для реальной эффективности Sender ID потребуются рейтинги "хороших" компаний 12.08.2004 Внедрение Microsoft Sender ID, вероятно, значительно ускорит принятие новой системы аутентификации отправителя. Однако многие считают, что недостаточно знать, от кого пришло письмо, надо еще и понять - хороший он парень или плохой. Sender ID предназначена для подтверждения получателем подлинности отправителя путем проверки доменного имени, указанного в письме. Для этого отправители должны опубликовать информацию в DNS-записях, которая позволит идентифицировать IP-адреса, с которых обычно отправляется их почта. Однако аутентификацию можно считать только первым шагом в борьбе с фишингом, спуфингом и спамом. Второй шаг - это подтверждение репутации компании-отправителя. IronPort Systems Inc объявила, что все новые участники ее программы Bonded Sender будут публиковать записи Sender ID - в основном, список серверов исходящей почты - в DNS. Это позволит осуществлять пользователям Hotmail и MSN аутентификацию отправителя, и участники Bonded Sender смогут свободно отправлять рекламную корреспонденцию пользователям Hotmail. По заявлению представителя IronPort, это решение очень важно для тех, кто рассылает легальную рекламу, поскольку среди их подписчиков число пользователей Hotmail и MSN может достигать одной трети. Отметим, что требования, которые предъявляет Bonded Sender к легальным рассылкам рекламы, в некоторых аспектах более жесткие, чем требования Can-Spam Act. Кроме того, IronPort учтет наличие записей Sender ID при составлении рейтинговых списков. Рейтинг надежных компаний выстраивается с учетом многих факторов. У компаний, которые опубликуют записи Sender ID, рейтинг поднимется на несколько пунктов. О поддержке Sender ID заявила также компания VeriSign Inc и ее партнер FrontBridge Technologies Inc. VeriSign намерена вводить новую систему "медленно": пока отправители, у которых нет записей Sender ID, не будут получать "черной метки". Однако те, у кого будут соответствующие записи, получат дополнительные очки. VeriSign заявила также, что ее система сертификации доменов доступна для других антиспамовых вендоров. Cloudmark объявила о запуске сервиса Cloudmark Rating for Sender ID, который, по утверждению представителей компании, "закроет дыры для спамеров, опубликовавших записи Sender ID". После аутентификации отправителя письма получатель может бесплатно получить о нем информацию с сервиса. Возможные варианты ответа: "хороший", "плохой" и "недостаточно информации". Cloudmark считает, что для реальной эффективности системы аутентификации Sender ID наличие такого сервиса необходимо. Источник: ComputerWire Источник: ClickZ News ОЭСР создала рабочую группу по борьбе со спамом 12.08.2004 Организацией экономического сотрудничества и развития (ОЭСР) создана рабочая группа по борьбе со спамом, которая призвана обеспечить взаимодействие между действующими в нескольких странах агентствами по борьбе со спамом, а также способствовать внедрению передовых технологий и принятию законов, действие которых распространяется на все страны ОЭСР. "Спам подрывает доверие среди пользователей Интернета, снижает продуктивность сети, способствует распространению электронных вирусов и увеличивает расходы всех участников виртуального общения", - говорится в сообщении ОЭСР. По результатам недавних исследований ITU в настоящее время доля спама составляет 75-85% почтового трафика. А ущерб от спама, согласно исследованиям Европейского сообщества, достигает 10 млн. евро в год. В течение ближайших двух лет рабочая группа должна изучить и выявить наиболее эффективные антиспамовые технологиии, разработать антиспамовый инструментарий и стратегию по информированию пользователей Интернета. Группа должна также обсудить технические решения по ограничению распространения спама на мобильные телефоны. 8-9 сентября ОЭСР проведет в Республике Корея международный семинар, который будет организован Министерством информации и коммуникаций этой страны. На семинаре планируется обсудить вопросы по созданию антиспамовых технологий, сети по противодействию спаму, использованию инструментов по его детекции, а также пути искоренения спама, получаемого по мобильной связи и электронной почте. Предполагается, что в семинаре примут участие представители правительств стран ОЭСР, промышленных предприятий, науки и простые граждане. В состав ОЭСР входят 30 стран. Более подробную информацию об антиспамовой деятельности ОЭСР можно найти здесь. Источник: news.yahoo.com Источник: ИТАР-ТАСС Американские пользователи считают, что спама стало больше 13.08.2004 Традиционный ежеквартальный отчет по спаму опубликовал журнал Общества потребителей Consumer Reports. Согласно результатам опроса, 47% пользователей считают, что получают спама больше, чем три месяца назад. В отчете приведены результаты опроса 2000 пользователей, которые сравниваются с прошлым исследованием, проведенном в марте 2004 г. Судя по всему, несмотря на действующий антиспамовый закон Can-Spam Act, ситуация ухудшилась. По крайней мере, так считают 47% опрошенных пользователей. 69% из них сказали, что спам составляет большую часть всех получаемых писем, а 55% сообщили, что получают порнографический спам. Общество потребителей объясняет низкую эффективность Can-Spam Act тем, что, по закону, пользователи должны самостоятельно отписываться от напрошенных рассылок. Как известно, попытки отписаться зачастую приводят к росту объема спама в почтовом ящике. Именно поэтому антиспамовые компании не рекомендуют пользователям пытаться отписаться от ненужных рассылок. Объективная статистика, собранная с интернет-фильтров Brightmail, свидетельствует, что объем спама в Интернете планомерно увеличивается с начала года, несмотря на вступление в силу Can-Spam Act. В декабре 2003 г. спам составлял 58% всего почтового трафика, а в июне 2004 г. - уже 65%. В своем отчете Общество потребителей обращает внимание на то, что из-за спама некоторые пользователи стали меньше выходить в Интернет. Более 10% стали реже пользоваться электронной почтой, а 8% сказали, что теперь покупают меньше товаров в интернет-магазинах. Все больше обычных пользователей становятся жертвами фишинга. Из 2000 респондентов 20 человек оставляли персональные данные на фальшивых страницах, а еще 4 человека признались, что потеряли более $1000. Недавно образованная Антифишинговая рабочая группа сообщает в опубликованном документе, что за июнь в Интернете было зарегистрировано 1400 фишинговых атак, из которых 5% оказались успешными. Спам постепенно превращается в стандартный инструмент мошенников. Источник: Вебпланета Источник: SmartPros Спам - статистика за неделю 9 - 15 августа 2004 г. Ашманов и Партнеры Объем спама Общий объем спама на прошлой неделе слегка понизился и держался на уровне 70%. К середине недели возросла доля англоязычного спама тематик "Для взрослых" и "Медикаменты" Она превысила 60%. Эта тенденция сохранялась до конца недели. Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 17% +7% 2 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 11% -5% 3 Образование Реклама семинаров, тренингов, курсов 8% +2% 4 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 7% -5% 5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 7% +2% 6 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 4% -1% 7 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 2% -2% Как стать богатым Прошедшая неделя изобиловала предложениями "мгновенно разбогатеть" и "заработать миллионы". Наиболее характерные "денежные" письма, включая письмо с темой "Хотите уникальную денежную корову?" - на сайте Спамтест. Эволюция способов рассылки спама Алексей Тутубалин Ашманов и Партнеры Введение Рассылки спама (незапрошенной рекламы) появились в середине 90-х годов прошлого века - как только количество интернет-пользователей стало интересным рекламодателям. К 1997 году начали говорить уже о "проблеме спама", в том же году появился первый черный список IP-адресов спам-машин (RBL). Эволюция способов рассылки спама определялась эволюцией средств фильтрации. Как только один из методов рассылки начинал преобладать, находились эффективные средства борьбы с ним, и спамерам приходилось менять технологию. При этом, чем большей проблемой является спам, тем активнее ищутся пути противодействия, тем быстрее меняются технологии спамеров - их бизнес растет и позволяет вкладывать больше средств в разработку. Ниже описаны основные этапы эволюции спамерских и антиспам-технологий. Эволюция методов рассылки спама Прямые рассылки. Спам начинался с прямых рассылок - спамеры рассылали сообщения от собственного имени с собственных почтовых серверов. Такой спам блокируется достаточно просто (по адресу почтового сервера или адресу отправителя). Как только такие блокировки стали распространенными, спамеры были вынуждены начать подделывать адреса отправителей и другую техническую информацию. Рассылки через "открытые релеи". Открытый релей (open relay) - это почтовый сервер, который позволяет произвольному пользователю отправить произвольное E-mail письмо на произвольный адрес. В середине 90-х годов все почтовые серверы были открытыми релеями, поэтому понадобилось изменять и перенастраивать программное обеспечение на всех почтовых серверах мира. Не все администраторы почтовых систем делали это достаточно быстро, поэтому появились сервисы поиска "открытых релеев", их списки (в том числе основанные на технологии DNS списки реального времени - RBL /realtime blackhole list/) и блокировка приема почты с таких машин. На сегодняшний день этот метод рассылки все еще применяется, т.к. открытые релеи до сих пор существуют. Рассылки с модемных пулов. Как только рассылки через открытые релеи перестали быть эффективными, спамеры стали применять рассылку с dialup-подключений, используя следующие возможности: как правило, почтовый сервер провайдера принимает почту от своих клиентов и пересылает ее дальше; dialup-подключение получает динамический (разный после каждого нового соединения) IP-адрес, таким образом, спамер может рассылать почту с множества адресов. В качестве ответной меры провайдеры стали вводить лимиты на число писем, посланных от одного пользователя, появились списки dialup-адресов и блокировка приема почты с "чужих" модемных пулов. Рассылки с прокси-серверов. В начале 2000-х годов одновременно с распространением высокоскоростных подключений (ADSL, Cable) спамеры стали использовать проблемы в клиентском оборудовании. Многие ADSL-модемы имели встроенный "socks-server" или HTTP-proxy (и то и другое - программное обеспечение, позволяющее разделение интернет-канала между многими компьютерами), причем доступ к ним дозволялся со всего мира без паролей и контроля доступа (для упрощения настройки конечным пользователем). Таким образом, можно было произвести любое действие (и рассылку спама) с IP-адреса ADSL-пользователя. Так как таких пользователей по всему миру - миллионы, то проблема была частично решена только усилиями производителей оборудования - открытые всему миру "посредники" последние годы в состав оборудования не входят. Взлом пользовательских машин. В настоящее время основная масса рассылок производится с пользовательских компьютеров, на которые тем или иным способом установлено "троянское" программное обеспечение, позволяющее спамерам (и прочим недобросовестным людям) осуществлять доступ к пользовательским машинам без ведома и контроля пользователя. Для взлома пользовательских машин используются такие методы: Троянские программы, распространяемые вместе с пиратским ПО по файлообменным сетям (Kazaa, eDonkey и пр.). Использование проблем с безопасностью различных версий Windows и распространенного ПО (в первую очередь MSIE и MS Outlook). E-mail вирусы последних поколений. По самым скромным оценкам, троянские программы установлены на миллионах машин по всему миру. На сегодняшний день эти программы достаточно хитроумны - они могут обновлять свои версии, получать инструкции "что делать" с заранее подготовленных сайтов или каналов IRC, рассылать спам, осуществлять DDOS-атаки и т.п Эволюция содержания писем Появление средств обнаружения спама, основанных на анализе содержания письма (контентный анализ), привело к эволюции содержания спамерских писем - их готовят таким образом, чтобы автоматический анализ был затруднен. Как и в случае изменения методов рассылки, спамеры вынуждены бороться с антиспам-средствами. Простые текстовые и HTML-письма. Первые спам-сообщения были одинаковыми - всем получателям рассылался один и тот же текст. Такие сообщения тривиально фильтруются (например, по частоте повторения одинаковых писем). Персонализированные сообщения. Следующим шагом было добавление персонализации (например, Hello, joe! - в начале письма к joe@user.com), что сделало все сообщения разными. Теперь для их фильтрации нужно было выискивать неизменяющуюся строчку и заносить ее в список правил фильтра. В качестве метода борьбы были предложены нечеткие сигнатуры - устойчивые к небольшим изменениям текста и статистические обучаемые методы фильтрации (Байесовская фильтрация и т.п.). Внесение случайных текстов, "шума", невидимых текстов. В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести "невидимый" текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования "спамерского трюка" и отклассифицировать сообщение как спам, не анализируя его текст в деталях. Графические письма. Рекламное сообщение можно прислать пользователю в виде графического файла - что крайне затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст. Перефразировка текстов. Одно и то же рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст, и только имея много копий сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки. На сегодняшний день широко используются три последних метода - далеко не все антиспам-средства могут с ними нормально бороться, что дает возможность доставлять спам тем пользователям, которые используют недостаточно продвинутые средства фильтрации.   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004