Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 75 в этом номере: Новости Спам - статистика за неделю 08 - 17 ноября 2004 г. Trend Micro Spam Prevention Solution - защита корпоративной почты от спама на уровне SMTP-шлюза Николай Ионов, Техническая поддержка, АНТИВИРУСНЫЙ ЦЕНТР Новости Объемы спама стабилизировались? 09.11.2004 Согласно последним данным Symantec Brightmail, в течение последних трех месяцев уровень спама в мировом почтовом трафике стабилизировался и составлял 66%. Специалисты компании не могут пока прокомментировать полученные цифры, однако, вероятно, к позитивному сдвигу в борьбе со спамом привело использование антиспамовых технологий и применение соответствующих законов. Сегодня более 60% спама рассылается из Северной Америки, 23% - из Азии. Третье место занимают европейские спамеры, рассылая 11% спама. Реклама товаров составляет четверть тематик спамерских писем в мире и треть тематик британского спама. 19% спама, получаемого британцами, составляет финансовый спам, и 13% - порноспам. Источник: ZDNet UK Выходец из России подозревается в рассылке мошеннических писем 11.11.2004 В Бостоне арестован выходец из России Андрей Швармков (Andrew Schwarmkoff), подозреваемый в рассылке мошеннических и фишинг-писем. У подозреваемого якобы были обнаружены персональные данные более чем сотни жертв, которым, как полагает полиция, он рассылал мошеннические фишинг-письма. Кроме того, аналогичное обвинение выдвинуто против него в Джорджии, а в Нью Джерси его деятельность в настоящее время изучает ФБР. Однако полиция до конца не уверена, что арестовала того самого человека - предполагается, что Швармков, помимо всего прочего, является нелегальным иммигрантом. ФБР предупреждает об опасности, связанной с вовлечением в организацию и осуществление фишинг-атак организованной преступности. Источник: CNET News.com Эксперты обсудили проблему аутентификации 12.11.2004 Федеральная торговая комиссия (FTC) и Национальный институт стандартов и технологий (NIST) США провели саммит, посвященный проблеме аутентификации отправителей электронных сообщений. Аутентификация может помочь в борьбе со спамом и фишингом, однако необходим единый, открытый стандарт, не контролируемый ни одной из компаний. Об этом говорили эксперты-участники встречи. Судя по сообщениям, споры на саммите разгорелись достаточно жаркие. Говоря о технологии Sender ID, адвокаты open-source выразили сомнения в необходимости внедрения стандарта, патентованного Microsoft, в структуру Интернета, где традиционно доминируют открытые программы. Однако некоторые участники встречи заявили, что их не волнует, какой из стандартов будет принят, лишь бы он обеспечивал разделение спама и легитимной почты. Очевидно, такая позиция обусловлена серьезностью проблемы. Фальшивые адреса активно используются при проведении спамерских рассылок и фишинг-атак. По данным Microsoft, 81% писем, приходящих на адреса Hotmail, отправлены с поддельными адресами. Среди тех, кто горячо заинтересован в разделении спама и нормальной почты, - представители компаний, занимающихся легитимными рекламными рассылками и интернет-бизнесом. Они особенно страдают от спама. С одной стороны, теряется доверие пользователей к Интернету и электронной почте. С другой, рассылки компаний попадают в черные списки провайдеров из-за жалоб получателей, забывших о том, что они подписались на рассылку. Таких случаев немало - по результатам исследования почтового провайдера Return Path Inc., 10 ведущих интернет-провайдеров блокируют 18% легитимных сообщений. Компании малого бизнеса и электронной коммерции возлагают большие надежды на аутентификацию отправителя, которая позволит отделить их рассылки от спама. "Мы хотим быть уверенны в том, что наши парни имеют возможность коммуникаций с их клиентами", - сказал представитель Direct Marketing Association Луис Мастриа (Louis Mastria). Microsoft, Yahoo! и Cisco Systems разработали технологии, позволяющие проверять подлинность адреса отправителя. Накануне встречи ряд интернет-компаний и организаций направили открытое письмо в адрес FTC с призывом ускорить использование аутентификации и поэтапным планом внедрения этих технологий. Элизабет Боувелс (Elizabeth Bowles), президент ISP Aristotle.Net Inc., отметила, что в настоящее время предложено, по меньшей мере, шесть технологий аутентификации. Однако разные решения требуют публикации интернет-провайдерами и владельцами доменов различных типов DNS-записей. Небольшие ISP не могут конфигурировать почту в соответствии с требованиями сразу нескольких стандартов аутентификации. Боувелс подчеркнула, что принятый стандарт должен быть легким в применении и подходить для нужд ISP. Участники встречи разделились во мнениях относительно возможности использования схем аутентификации с DNS-правилами, которые позволяют получать почту только от проверенных отправителей. Такие схемы базировались бы на системе списков, аналогичных так называемым белым спискам, в которых письма, присылаемые с определенных доменов, отмечены как легитимные. Сомнения в жизнеспособности таких схем у некоторых экспертов вызывает тот факт, что репутационных списков может быть создано множество - разными компаниями и организациями. Сторонники же репутационных списков утверждают, что проблема легко решается: в большинстве случаев, домены согласуют их между собой и пользователям не придется иметь дело со множеством схем аутентификации. Еще одна проблема, поднятая на встрече, - "дыры" в DNS, которые могут использовать спамеры для ввода фальшивой информации по аутентифкации. Скотт Часин (Scott Chasin), старший технолог MX Logic Inc., призвал к широкому использованию DNS Security Extensions (DNSSEC) - проекту по безопасности, недавно одобренному IETF. "Аутентификация - не панацея от спама и фишинга", - подчеркнул Часин. В теории система аутентификации не позволит спамерам "прятать концы в воду" и даст возможность блокировать их рассылки и привлекать спамеров к ответственности. Но большая часть спама в настоящее время рассылается с "зомби"-машин, контролируемых спамерами. Письма, рассылаемые с таких машин, выглядят, как пришедшие из легитимных источников, - и, по сути, таковыми и являются, так как владелец инфицированной машины даже не подозревает о ее использовании для рассылки спама. По данным компании Symantec, в первой половине этого года в среднем 30000 компьютеров ежедневно превращались в послушных "зомби". "Мы будем счастливы, если с помощью аутентификации отправителя решим проблему [спама] хотя бы наполовину", - сказал Павни Дайванджи (Pavni Diwanji), президент MailFrontier Inc. Источник: Reuters Источник: CNET News.com Источник: InfoWorld Источник: washingtonpost.com FTC призывают ускорить внедрение аутентификации 15.11.2004 5 ноября было опубликовано открытое письмо, адресованное главе FTC, в котором 35 компаний и организаций подписали призывают ускорить внедрение технологий аутентификации и предлагают использовать Sender ID Framework (SIDF), DomainKeys и Identified Internet Mail. Среди компаний, подписавших письмо, - Amazon.com, Barracuda Networks, Cisco Systems, CipherTrust, Cloudmark Inc., EarthLink, eBay, IronPort Systems Inc., Microsoft, Symantec и VeriSign. Письмо подписано также Anti-Phishing Working Group и Truste. В письме говорится, что объемы спама продолжают расти, и спам остается одним из основных источников жалоб пользователей. Спамеры становятся все более изощренными и продолжают искать новые пути, угрожая безопасности и жизнеспособности Интернета и подрывая доверие пользователей к Сети и электронной почте. А такие виды мошенничества как спуфинг и фишинг представляют опасность и для финансов пользователей. Ни одна компания не может решить эту проблему в одиночку. "Как лидеры индустрии, мы несем ответственность за защиту пользователей от онлайновых угроз. В то время как многие из нас являются конкурентами на рынке, мы едины в борьбе со спамом и фишингом", - сказано в письме. Компании и организации, подписавшие письмо, намерены ускорить внедрение технологий аутентификации. Как говорится в письме, сама по себе аутентификация не остановит спам, но она даст возможность использовать широкий спектр решений, основанных на аккредитации и репутации отправителя. Предлагается использовать две методологии: идентификацию IP-адреса (Sender ID Framework) и технологии, основанные на цифровой подписи письма (DomainKeys Yahoo и Identified Internet Mail, разработанную Cisco). У каждой из них есть свои преимущества: проверку IP-адреса на сегодняшний день легче внедрить, а решения, основанные на цифровой подписи письма, хотя и находятся на начальной стадии внедрения, обещают более широкие возможности применения. В письме рекомендовано действовать поэтапно: В настоящий момент принять SIDF. Когда будут отработаны решения, основанные на цифровой подписи, также их принять, таким образом дополнив SIDF для достижения еще более высокого уровня аутентификации. "Признавая всю сложность изменения глобальной инфраструктуры электронной почты, мы полагаем, что использование нескольких технологий аутентификации имеет свои выгоды. Внедрив оба варианта - идентификацию IP и цифровую подпись - мы, в конечном итоге, будем иметь более надежное решение", - говорится в письме. Поль Джадж (Paul Judge), руководитель технического отдела CipherTrust, считает, что хотя технологии аутентификации и не искоренят спам, их повсеместное внедрение, за которое ратуют лидеры индустрии, позволит побороть спуфинг и окажет значительное влияние на проблему фишинга и спама. Источник: Truste Источник: CNET News.com Yahoo и EarthLink начинают тестировать DomainKeys 15.11.2004 Компании Yahoo И EarthLink заявили о начале тестирования технологии DomainKeys. Сообщения, отправляемые с почтовых серверов компаний, будут содержать специальные цифровые подписи, которые позволят интернет-провайдерам проверить подлинность отправителя. Для рядовых пользователей внедрение DomainKeys должно остаться незамеченным - они будут пользоваться услугами компаний в прежнем режиме, а все заботы по проверке источников входящей корреспонденции берет на себя почтовый провайдер. Технология DomainKeys разработана Yahoo и направлена против спам-рассылок с фальшивых адресов и фишинг-атак, когда пользователь получает письмо-поделку якобы со знакомого адреса. При проверке подпись в полученном письме должна совпасть с подписью SMTP-сервера отправителя. Несовпадение подписей позволит выявлять письма с поддельными обратными адресами. Большинство интернет-экспертов согласны с тем, что DomainKeys обеспечивает более высокий уровень безопасности, чем стандарт Sender ID, предложенный компанией Microsoft. Однако внедрить DomainKeys будет значительно сложнее. Для внедрения DomainKeys необходимо использование специальных "ключей" сервисами входящей и исходящей почты, кроме того, DomainKeys требует больше вычислительных ресурсов сервера (приблизительно на 10%). Почтовая служба Google - Gmail и индийский интернет-провайдер Sify уже используют DomainKeys. Однако крупнейшие почтовые провайдеры - America Online и Microsoft - пока остаются в стороне и используют Sender ID и SPF. И Yahoo, и Microsoft предложили IETF свои технологии в качестве стандарта. Источник: Reuters Commtouch: спам в октябре 15.11.2004 Израильская компания Commtouch проанализировала сотни миллионов спамерских писем, разосланных в течение октября. По данным Commtouch, в октябре стран, из которых рассылается спам, стало на 5 больше (171), а число стран, где хостятся веб-сайты, ссылки на которые содержат спамерские письма, увеличилось на 10 (52). В сентябре превалировал политический спам, связанный с выборами в США. Однако специалисты Commtouch отмечают, что популярная в прошедшем месяце тема была использована спамерами в большей степени для продажи товаров, чем для распространения политической идеологии. В тех же случаях, когда спам рекламировал тех или иных политиков, спамеры пытались создать видимость соответствия рассылок требованиям Can-Spam Act. Страны-источники спама Всего в октябре спам рассылался из 171 стран, тогда как в сентябре таких стран было 166. Среди стран, откуда рассылается спам, по-прежнему лидируют США. США - 42,50% Южная Корея - 18.97% Китай - 10,85% Япония - 3,80% Канада - 2,42% Бразилия - 2,51% Испания - 2,01% Франция - 1,54% Великобритания - 1,48% Тайвань - 1,44% Гонконг - 1,44% Страны, где хотсятся сайты, ссылки на которые содержат спамерские письма Большинство спамерских писем содержит URL веб-сайтов. Commtouch выявил, что услуги по поддержанию таких сайтов оказываются в 52 странах (в сентябре их было 45). Лидирующее место в этом списке занимает Китай. На его сайты приходится 38,55% спамерских ссылок, тогда как в прошлом месяце их было 67,90%. На втором месте по этому показателю - США (30,6%). Отметим, что Россия добралась в этом списке до шестого места. Всего же в октябре в спамерских письмах было упомянуто около 2,55 миллиардов URL, из них 99,2% не фигурировали в сентябрьском спаме. Китай - 38,55% США - 30,68% Южная Корея - 21,47% Бразилия - 6,23% Словакия - 2,79% Россия - 0,13% Аргентина - 0,10% Канада - 0,02% Великобритания - 0,007% Тайвань - 0,005% Германия - 0,005% Источник: Business Wire Спам - статистика за неделю 08 - 14 ноября 2004 г. Ашманов и Партнеры Объем спама и тематические особенности На неделе 8-14 ноября был отмечен резкий пик спамерских рассылок со среды по пятницу. Затем количество спама постепенно пошло на убыль. В среднем в течение недели объем спама оставался высоким, но, не считая нескольких пиков, не выходил за пределы средних показателей за прошлые месяцы - 70-80% от общего объема почтового трафика в Рунете. На прошлой неделе было зафиксировано несколько целенаправленных спамерских атак на сервера национальной почтовой службы Mail.ru. Спамерские рассылки шли только на Mail.ru, в трафике других почтовых серверов они не были замечены, причем атаки отличались поразительной скоростью, целенаправленностью и массированностью. Огромная рассылка по миллионам адресов производилась за 30-40 минут. Из популярных спамерских тематик интерес представляет новая вспышка "политического" спама, связанная с выборами в Соединенных Штатах и на Украине. Это не первые случаи, когда спам используется как средство формирования общественного мнения, причем это, скорее, средство "черного PR", так как большинством пользователей сам факт спамерской рассылки воспринимается негативно, а отсюда идет и соответствующее отношение к изложенным в рассылке фактам и мнениям. Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 17% -1% 2 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 10% -4% 3 Образование Реклама семинаров, тренингов, курсов 10% Без изменений 4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 5% -6% 5 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 5% -4% 6 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 5% -4% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 4% +2% Самые массовые письма недели САМЫЙ БЫСТРЫЙ СПОСОБ ПОХУДЕТЬ Это спамерское сообщение очень объемное, поэтому приводить его текст мы не будем. Достаточно сказать, что речь идет о рекламе тренажера для пресса AB GYMNIK, и большинство пользователей Рунета поймет, о чем речь, так как это действительно очень массовая и неоднократно повторяющаяся рассылка. Черный юмор Комментарий Лаборатории "Спамтест": все-таки у спамеров очень своеобразное чувство юмора. В этом сообщении предлагается купить ракеты, боеголовки и прочее со скидкой. Естественно, это не реальное предложение, а только способ привлечь пользователей на свои сайты. Правда, стоит отметить, что это, тем не менее, реклама весьма специфических сайтов, на которых продаются товары, приобретенные по номерам ворованных кредитных карт. Но ракеты класса "земля-воздух" там пока не продают. Текст письма вы найдете на сайте Спамтест. Самое оригинальное предложение Срочное сообщение от друга Здарова! Прочти вслух - "УРТА КАЗ СНАВ ОРОВС ЛАИ РЕТАМ" Ты тока тока прочел индийское заклинание, которое оградит тебя от секса на следующий год. Если хочешь снять это заклинание, то обязательно зайди на {LINK} и отправь это письмо без изменения еще семи друзьям. Если не отправишь эту ссылку еще семи своим знакомым, то не видать тебе крутого секса весь следующий год :) Рекомендую посмотреть {LINK} - только не уписайся от смеха ПОКЕДАВА Trend Micro Spam Prevention Solution - защита корпоративной почты от спама на уровне SMTP-шлюза Николай Ионов, Техническая поддержка, АНТИВИРУСНЫЙ ЦЕНТР Компания Trend Micro Компания Trend Micro была основана в 1988 году в Калифорнии Стивом Ченгом. С самого начала деятельности основным фокусом компании стала антивирусная безопасность. Компания заслужила высокую репутацию как производитель современного антивирусного программного обеспечения, а также средств фильтрации информационного наполнения и соответствующих сервисов. Инновации компании, как правило, опережают свое время и задают новые направления в защите информации. Так, например, в 1995 году компанией был выпущен первый в мире продукт для защиты шлюзов Интернет. Всего за 10 лет Trend Micro превратилась в транснациональную корпорацию с более чем 1800 сотрудниками. Главный офис компании находится в Токио, Япония. На текущий момент компания сохраняет лидерство на мировом рынке защиты интернет-шлюзов с рыночной долей 39% (по данным IDC). Антивирусный центр и коллектив разработчиков составляют более 250 специалистов в нескольких центрах по всему миру. В последнее время проблема спама становится одной из наиболее серьезных. Из проблемы пользователей электронной почты спам превращается в серьезную угрозу для корпоративных структур электронной почты. Массовое распространение почтовых вирусов и червей приводит к тому, что проблема становится все более комплексной - сейчас зачастую сложно разделить понятия спама и вирусных атак. Естественно, компания Trend Micro, как один из основных разработчиков антивирусного программного обеспечения для защиты почтовых серверов и шлюзов, не могла оставить данную проблему без внимания. Trend Micro Spam Prevention Solution Решение компании Trend Micro для защиты от спама - Trend Micro Spam Prevention Solution (SPS) - появилось на рынке в марте 2003 года и основано на лицензированном ядре компании Postini. Данное решение представляет собой защиту от вредоносной почты на уровне интернет-шлюза. SPS работает в тесном взаимодействии с решениями компании для защиты от вирусов и фильтрации контента, что позволяет создать единую структуру защиты электронной почты для организации любого масштаба. Spam Prevention Solution использует ряд методов для проверки почты и позволяет рассчитать вероятность того, что конкретное сообщение является спамом, исходя из совокупности целого ряда его характеристик. Trend Micro Spam Prevention Solution рассчитан на обработку и анализ 40-90 и более сообщений в секунду, что позволяет удовлетворить потребности организаций с большим трафиком при минимальных необходимых инвестициях в оборудование. Функции переключения при сбоях и блокировании машин-ретрансляторов помогают обеспечить надежность и доступность продукта. SPS функционирует в режиме "прозрачного" прокси-сервера, обрабатывая сообщения во внутренней памяти для обеспечения производительности и масштабируемости, необходимых в сетях больших предприятий. Многоплатформенная поддержка, включающая Windows, Linux и Solaris, позволяет легко встроить продукт в существующую корпоративную инфраструктуру, не требуя дополнительных инвестиций. Методы проверки электронной почты SPS SPS сочетает несколько методов проверки электронной почты: Проверка наличия меток в теме писем (например, если тема начинается с метки ADV advertisement, письмо автоматически рассматривается как спам). Проверка валидности IP-адреса отправителя для предотвращения подмены адресов. Проверка размера письма. Сопоставление IP-адреса и домена отправителя с настраиваемыми черными и белыми списками. Возможность фильтрации по определенным словам или фразам в заголовках или сообщениях. Эвристический анализ писем по содержанию. Сканирующий модуль на основе анализа ряда параметров рассчитывает вероятность того, что данное сообщение является спамом, и обрабатывает его в соответствии с заданным уровнем чувствительности. Эвристический механизм сканирования использует несколько фильтров. Первый из них - общий фильтр, оценивающий "спамность" письма в целом. Кроме этого существуют 4 дополнительных фильтра, выявляющие письма следующих категорий: порнография и эротика, "быстрый заработок", коммерческие предложения, а также письма, связанные с расизмом и насилием. Использование дополнительных фильтров позволяет более гибкую настройку проверки корпоративной почты. После того как письмо в соответствии с выбранными настройками и чувствительностью проверки опознано как спам, оно может быть обработано несколькими способами. В заголовок или тему спам-писем может быть внесена специальная метка, спам-письма могут быть удалены или перенаправлены на определенные адреса. Опираясь на результаты анализа обширных выборок свежей электронной почты, Trend Micro Spam Prevention Solution осуществляет корректировку параметров перехвата спама в ответ на появление новых методов его рассылки. Алгоритмы эвристической фильтрации постоянно совершенствуются для обеспечения максимально эффективной фильтрации - в том числе так называемого "первичного спама", количество которого все возрастает. Обновление SPS осуществляется с помощью хорошо отработанной технологии Trend Micro ActiveUpdate, которая используется во всех продуктах компании. Настройка Trend Micro Spam Prevention Solution Trend Micro Spam Prevention Solution требует лишь минимальной настройки. Благодаря имеющимся средствам классификации спама и настройки, администрирование и задание параметров службы осуществляется очень легко. Подробные отчеты для каждой партии электронной почты, включающие такие важные статистические параметры, как общий объем спама, объем спама по категориям, объем спама по получателям и объем спама в зависимости от IP-адреса отправителя, позволяют легко вырабатывать критерии для постоянного уточнения правил и порогов обнаружения спама. Существует возможность интеграции SPS с корпоративным средством управления Trend Micro Control Manager, что дает возможность централизованного управления всей инфраструктурой защиты корпорации от вирусов и спама с единой консоли.   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004