Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Информационный Канал Subscribe.Ru

Ашманов и ПартнерыSubscribe.ru
Электронный журнал "Спамтест" No. 83

 

Спам 2004: аналитический отчет

Часть 1.

Игорь Ашманов, Анна Власова, Алексей Тутубалин
"Ашманов и Партнеры"

Данные этого отчета можно без ограничений цитировать и использовать в публикациях
при условии указания его названия и ссылки на ЗАО "Ашманов и Партнеры".

Оглавление

Краткое содержание отчета

Часть 1.

1. Спам и Интернет: десять лет вместе

2. Откуда мы берем данные для отчета

3. Криминализация спама

4. Спам в 2004 - динамика роста

5. Спам - качественное развитие

        5.2.2 Фишинг
        5.2.3 Черный PR
        5.2.7 Пустые письма

Часть 2.

6. Спам-машина образца 2004 года

7. Внедрение стандартов аутентификации пользователя в 2004 г.

8. Прогнозы и перспективы на 2005 год

9. О компании "Ашманов и Партнеры"


Краткое содержание отчета

Основные тенденции 2004 года

  1. Криминализация спамерского бизнеса и ответное усиление законодательной борьбы со спамом.
  2. Рост объемов спама до 75% - 85% от общего почтового трафика и стабилизация объемов на этом значении.
  3. Попытки крупных игроков IT-рынка найти панацею от спама и полное фиаско таких попыток.
  4. Технологический "скоростной скачок" в организации спамерских рассылок.

Одна из главных тенденций - криминализация спама

Основные признаки криминализации, отмеченные в 2004 году:

  1. Дальнейшее слияние спамерских и хакерских технологий: к концу 2004 года профессиональное спамерское программное обеспечение включает специальные модули, позволяющие производить рассылки через затрояненные пользовательские машины, т.е. изначально рассчитано на взаимодействие с троянской компонентой.
  2. Резкий рост спама с криминогенным контентом: мошенничество, фишинг, фальсификация, "черный PR", реклама контрафактных или поддельных товаров и т.п.

В 2004 году резко усилилась законодательная борьба со спамом

В различных странах активно развивается антиспамерское законодательство; проводятся показательные процессы над спамерами, организаторы спамерских рассылок приговариваются к выплате огромных штрафов. 20 июня 2004 года вступил в законную силу первый в истории России приговор лицу, рассылавшему SMS-спам (хотя, скорее, это был случай хулиганства).

Развился рынок антиспамерских средств

Объем мирового рынка продаж антиспам-фильтров и сервисов в 2004 году составил примерно 500 миллионов долларов (по оценке IDC). Большинство поставщиков антивирусов включили антиспам-компоненты в свои продукты. В течение года было совершено несколько покупок производителей антиспамерского ПО антивирусными компаниями (в частности, покупка компании BrightMail компанией Symantec за 340 миллионов долларов).

В России антиспам-фильтры установили большинство держателей публичных почтовых сервисов и большинство провайдеров. Несомненным лидером в России по объему продаж и количеству защищаемых почтовых ящиков является технология Спамтест.

Закончился период лавинообразного роста доли спама в почте

В 2004 году спам дошел до отметки в 75-80% от общего объема почты и стабилизировался на этой отметке. Продолжается незначительный, хотя и стабильный, ежеквартальный прирост незапрошенной коммерческой корреспонденции, но существенных скачков не видно. Объясняется это, очевидно, в первую очередь установкой фильтров и возросшими трудностями по их преодолению.

По состоянию на конец 2004 года объем спама в Рунете составляет 75 - 80%, а на отдельных серверах (в основном, на серверах публичных почтовых систем) достигает 85-90%. В трафике различных почтовых серверов и, тем более, в почте индивидуальных пользователей показатели количественного распределения спама могут существенно различаться. Минимум спама в Рунете в 2004 году был зафиксирован 3-го мая (в некоторых потоках доля спама снизилась до 5%); максимального значения уровень спама достиг в первой половине декабря (до 86,5 % в отдельных потоках).

По мере увеличения объемов спама растет и причиняемый им ущерб

В марте 2004 года президент Ассоциации документальной электросвязи Александр Иванов сообщил на пресс-конференции, что в России ущерб операторов и пользователей сети Интернет от рассылки несанкционированных рекламных сообщений ежегодно составляет около 55 млн. долларов.

Наша оценка выше - как минимум, 250 млн. евро в 2004 году.

Следующие темы спама лидировали в Рунете в 2004 году:

  • "Для взрослых"
  • "Лекарства"
  • "Приглашения на семинары/тренинги"
  • "Программное обеспечение""Финансовый спам (инвестиции и акции)"
  • "Услуги по электронной рекламе"
  • "Отдых и путешествия"

Происходит тематический сдвиг спама

К концу 2004 года неожиданно наметилась тенденция перераспределения ведущих спамерских тематик. Порно-реклама все годы являлась несомненным лидером спамерских тематик, но к концу 2004 года реклама "потрясающе дешевых товаров" обгоняет порнографические рассылки. Большинство подобных товаров либо являются контрафактными, либо не соответствуют заявленному названию и могут представлять угрозу для жизни и здоровья.

Смена тематик-лидеров указывает на то, что заказчики спама тоже поменялись: для англоязычного спама заказчиками все чаще становятся представители того или иного криминального и "скользкого" бизнеса.

Однако в России использование "сомнительных" способов рекламы пока не считается фактором, существенно влияющим на имидж и репутацию компании, поэтому мелкий бизнес активно использует спамерскую рекламу для продвижения "нормальных" и законных товаров и услуг: не менее половины спама в Рунете рассылается нашими соотечественниками и рекламирует услуги и товары малого бизнеса.

Фишинг - спамерская новинка этого года

Фишинг - это распространение поддельных сообщений от имени банков/финансовых компаний. Целью такого сообщения является сбор логинов/паролей/пин-кодов пользователей. Хотя объем фишинг-писем в общем потоке спама пока не превышает 1%, стремительный рост этой разновидности спама вызывает справедливые опасения. Большинство фишинг-писем являются англоязычными, однако пользователей Рунета спамеры тоже не обошли своим вниманием, в основном атакуя Ситибанк.

Из мошеннических спамерских "новинок" в Рунете были отмечены также так называемые нигерийские письма, эксплуатирующие ситуацию, сложившуюся в российской экономике (в частности - арест М. Ходорковского и нестабильность компании "Юкос"), а также русскоязычный финансовый спам.

Политический и черный PR набрал силу

В 2004 году продолжился рост спама, целью которого является не реклама товаров/услуг, а политическая или PR-акция. Все зафиксированные рассылки представляли собой классические случаи "черного PR" - против кандидата. Особенно много было украинского спама о выборах, в основном, от сторонников Ющенко.

В технологиях спамеры сделали упор на скорость рассылки

Технологии спамеров развивались в 2004 году эволюционно, изменений технологий спамерских рассылок по сравнению с предыдущим годом практически нет. Существенным прорывом в спамерских технологиях стал только "скоростной скачок" - рассылка многих миллионов писем за 1-2 часа (в прошлом году средняя скорость полной спамерской рассылки по базе в несколько миллионов адресов составляла около суток). Кроме того, повысилась и скорость реакции спамеров на работу антиспам-фильтров.

Окончательно сформирована технологическая цепочка спамерской рассылки:

  • Сбор и верификация e-mail-адресов получателей.
  • Подготовка "точек рассылки" - компьютеров, через которые будет рассылаться спам.
  • Создание программного обеспечения для рассылки.
  • Поиск клиентов.
  • Создание рекламных объявлений для конкретной рассылки.
  • Проведение рассылки.

Наибольшую популярность как средство рассылки сейчас имеет установка троянских компонент на компьютерах.

Все крупные вирусные эпидемии, произошедшие за последний год, были произведены вирусами, которые могли быть использованы для удаленного доступа к пользовательскому компьютеру;

Интенсивность попыток использования уязвимостей Windows на сегодня просто чудовищна - подключенная к Интернету стандартная Windows XP без установленного firewall, антивируса и сервис-паков оказывается зараженной в течение нескольких десятков минут.

Методы аутентификации отправителя пока что потерпели неудачу

Эти методы предполагают проверку соответствия того домена, который "заявлен" в заголовках сообщения, реальному адресу отправителя. В течение весны-лета 2004 года многие E-mail-сервисы, ISP, производители программного обеспечения объявляли о поддержке SPF (а затем - Caller ID), причем основная направленность этих объявлений была "ну вот теперь мы покончим со спамом". Однако, осенью 2004 года произошли следующие события:

Проект стандарта Sender ID был отклонен IETF; рабочая группа MARID, разрабатывавшая стандарт Sender ID, была распущена, как не сумевшая достичь цели; о неподдержке Sender ID объявили крупные разработчики открытого ПО (самого популярного в мире веб-сервера Apache и популярного дистрибутива Linux - Debian Linux).

Также выяснилось, что спамеры осваивают новые технологии куда быстрее, чем "обычные" системные администраторы, и им довольно просто поддержать SPF/Sender ID в своих рассылках.

Мы считаем, что в ближайшее время ожидать какого-либо значимого эффекта от подключения подобных технологий не следует, потому что потребуется их массовое внедрение, что не очень реально.

Прогнозы и перспективы на 2005 год

Нас ожидают:

  • Дальнейшая стабилизация и, возможно, незначительное уменьшение объемов спама в течение года.
  • Бурное развитие антиспамерских технологий, повсеместная установка фильтров.
  • Потеря привлекательности спама как средства рекламы для малого бизнеса из-за дальнейшей криминализации спамерской деятельности (в основном, на Западе).
  • Совершенствование спамерских технологий (борьба за скорость).
  • Переход части спамеров в альтернативные рекламные системы (ICQ, окна pop-ups). Медленное развитие мобильного спама.


1. Спам и Интернет: десять лет вместе

5 марта 2004 года исполнилось десять лет с момента первой спамерской рассылки. В этот день американская юридическая компания "Canter and Siegel" отправила в несколько Usenet'овских конференций рекламу своих услуг для людей, желающих участвовать в лотерее US Green Card.

Как изменился спам за эти десять лет? Агрессии и наглости в спаме не убавилось, скорее, наоборот. За эти годы были разработаны специализированные спамерские технологии, выпущены программы для спамерских рассылок. Все это было более или менее предсказуемо и десять лет назад, поскольку перед глазами имелся аналогичный пример - эволюция развития компьютерных вирусов.

Однако, прошедший 2004 год выявил такие тенденции развития спама, которые трудно было предвидеть в 1994-м:

  1. Криминализация спамерского бизнеса и ответное усиление законодательной борьбы со спамом.
  2. Рост объемов спама до 75% - 85% от общего почтового трафика и стабилизация объемов на этом значении.
  3. Постоянное обновление тематической палитры спама: в 2004 году появилось несколько новых спамерских тематик, самая заметная из которых - фишинг и "черный PR".
  4. Построение развернутой технологической схемы рассылки спама, спам-машины образца 2004 года.
  5. Попытки крупных игроков IT-рынка найти панацею от спама и неудача этих попыток.


2. Откуда мы берем данные для отчета

Компания "Ашманов и Партнеры" является ведущим производителем антиспамерского программного обеспечения в России. Антиспам-фильтр, разработанный компанией, установлен на серверах Национальной почтовой службы Mail.ru, в Петерлинке, РТКомм, РБК и многих частных компаниях. Ежедневно наши фильтры обрабатывают более 50 миллионов писем (до полутора миллиардов в месяц), а наша лаборатория "Спамтест" - подразделение компании - получает и анализирует примерно 100-150 тысяч различных новых спамерских писем в день.

Источником такого объемного спам-трафика служат специальные ящики-"ловушки" и срезы различных по качеству и плотности почтовых потоков Рунета от наших клиентов.

Подобный разнообразный материал позволяет составить достоверную, детализированную картину распределения потоков спама, его качественного и количественного состава. Наши фильтры автоматически разбирают входной поток спама примерно по 550 рубрикам, так что тематическая и календарная картина спама оказывается полностью открытой для анализа.


3. Криминализация спама

Криминализация - одна из главнейших тенденций, характеризующих развитие спама в 2004 году. Предпосылки к криминализации спамерского бизнеса имелись с момента его возникновения, но до принятия специальных законодательных актов у спамеров была возможность делать вид, что "это просто бизнес".

Десять лет назад типичной реакцией пользователя на получение спама было написание ответного письма, главная мысль которого заключалась в том, что "в интернет-сообществе спамить не принято", т.е. рассылка спама находилась в области морально-этических проблем, расценивалась как поступок, нарушающий нормы поведения в данном сообществе, но законодательно приемлемый.

Теперь же во многих странах спам юридически запрещен, тем самым спамеры вынуждены либо отказаться от бизнеса, либо войти в прямой конфликт с действующими законодательными актами и, как следствие, постепенно переходить к консолидации с уже существующими криминальными структурами. Сейчас при получении очередного спамерского сообщения с предложением купить контрафактный "Ролекс" или получить приз от несуществующей лотереи, западный пользователь все чаще обращается с жалобами к провайдеру и подает иски в суд. А это значит, что отношения "спамер-пользователь" перемещаются в плоскость, которая полностью регулируется текущим законодательством, и не зависят от личных этических оценок.

Аналитики "Лаборатории Касперского1 " в качестве одной из тенденций ушедшего 2004 года называют общую криминализацию Интернета. Криминализация спама - одна из наиболее заметных граней этого процесса.

3.1. Черты криминализации

Криминализация спама проявляется в постепенной переориентации спама на юридически "сомнительный" контент, сращивание с хакерскими структурами и во многом другом. Вот основные признаки криминализации, отмеченные в 2004 году:

  1. Дальнейшее сращивание спамерских и хакерских технологий. Процесс объединения усилий спамеров и хакеров начался в 2003 году, к концу 2004 любое профессиональное спамерское программное обеспечение включает специальные модули, позволяющие производить рассылки через зараженные ("затрояненные") пользовательские машины, т.е. изначально рассчитано на взаимодействие с троянской компонентой различных вирусов.
  2. Зафиксирован резкий рост объемов спама с криминальным содержанием: мошенничество, фишинг, фальсификация, "черный PR", реклама контрафактных или поддельных товаров и т.п.

Фишинг (кража персональных данных) - спамерская новинка этого года2, объемы фишинг-спама, количество пин-кодов кредитных карт, похищенных в результате спамерских кампаний, стремительный рост этой разновидности спама вызывают справедливые опасения у мировой интернет-общественности. По данным компании MessageLabs3, в сентябре 2003 года в почтовых потоках, которые обрабатывает принадлежащий компании программный антиспам-сервис, было зафиксировано 279 фишинг-сообщений, а в сентябре 2004 года эта цифра составила 2 098 012, т.е. более двух миллионов, что составляет прирост на четыре порядка4.

В основном фишинг используется для кражи паролей доступов к банковским счетам и пин-кодов, но его своеобразной разновидностью можно считать письма, цель которых - кража паролей от почтовых ящиков. В 2004 году несколько раз проводились подобные рассылки с целью кражи логинов и паролей пользователей Национальной почтовой службы Mail.Ru.

Вот пример спамерского письма, целью которого являлся сбор паролей пользователей Mail.ru.

В 2004 году были неоднократно зафиксированы случаи фальсификации рассылок от имени известных фирм, производившиеся с целью испортить имидж данной фирмы и дискредитировать ее в глазах пользователей.

Спам активно используется для "черного PR", т.е. для создания отрицательного имиджа компании-конкурента.

Участились случаи, когда спамеры, фальсифицируя сведения об отправителях/источниках рассылки, наоборот, пытаются использовать репутацию известной фирмы, чтобы привлечь внимание к рекламируемым товарам/услугам. В конце ноября - декабре 2004 года по Рунету прошла волна спама, замаскированного под рассылки популярного проекта Subscribe.ru. Такие подделки включали не только упоминание Subscribe.ru в тексте спамерского письма, незаконное использование логотипов проекта и так далее; в фальшивых рассылках также были аккуратно подделаны все технические сведения (заголовки сообщения).

Доля рекламы "потрясающе дешевых товаров" - от лекарств до программного обеспечения - к концу 2004 года увеличилась настолько, что превысила долю порно-рекламы, которая раньше являлась несомненным лидером спамерских тематик. Между тем, большинство подобных товаров либо являются контрафактными (как софт или часы "Ролекс"), либо не соответствуют заявленному названию и могут представлять угрозу для жизни и здоровья (как некоторые лекарства и сигареты).

Смена частотных спамерских тематик указывает на то, что заказчики спама тоже поменялись. Для англоязычного спама заказчиками все чаще становятся представители того или иного криминального бизнеса (от детской порнографии до производства подделок под известные торговые марки). В России же использование "сомнительных" способов рекламы пока не считается фактором, существенно влияющим на имидж и репутацию компании, поэтому малый бизнес активно использует спамерскую рекламу для продвижения "нормальных" товаров и услуг. Скорее всего, так не будет продолжаться вечно, поскольку постепенно формируется негативное отношение пользователей к спамерским рассылкам, и законопослушному предпринимателю станет невыгодно размещать свою рекламу в одном ряду с порно-рассылками и поддельными сигаретами Marlboro.

3.2. Законодательные ограничения спамерского бизнеса

Криминализация спама вызывает естественную обеспокоенность, как интернет-сообщества, так и руководства различных стран. Поэтому в 2004 году происходит усиление законодательной борьбы со спамом.

1. Развитие антиспамерского законодательства в различных странах. В первые месяцы 2004 года во многих странах начали действовать новые законодательные акты, направленные на борьбу со спамом. Юридическое определение спама и ужесточение мер по борьбе с ним обсуждались государственными органами США, Дании, Великобритании, Австралии и многих других стран.

Одним из наиболее строгих законов против спама можно считать австралийский Spam Act, который вступил в силу с апреля 2004 года. За рассылку спама предусмотрен штраф до миллиона австралийских долларов за каждый день рассылки. По данным компании MessageLabs, появление этого законодательного акта привело к тому, что спамеры стали покидать Австралию и переносить свою деятельность в другие страны, что, впрочем, не мешает им по-прежнему слать спам австралийским пользователям. Вполне возможно, что по мере усиления антиспамерских законодательных мер наиболее территориально благоприятными для спамерского бизнеса странами останутся Китай и, возможно, Россия, пока же лидером остаются США.

В этом году в России юридические аспекты такого явления как спам обсуждались на самом высоком уровне. В июле 2004 года на рассмотрение Госдумы РФ был внесен проект по борьбе со спамом, который предусматривал внесение изменений в федеральный Закон о рекламе, Уголовный кодекс РФ и Кодекс РФ об административных нарушениях. Вызвав нарекания экспертов Госдумы по некоторым своим положениям, законопроект отправился на доработку и сейчас активно обсуждается.

2. Проведение показательных судов над спамерами, наложение на организаторов спамерских рассылок финансовых штрафов. В мае 2004 года к семи годам лишения свободы был приговорен "спамер из Буффало" Говард Кармак (Howard Carmack) за рассылку 850 млн. спамерских сообщений и подделку адресов электронной почты. В декабре 2004 года суда штата Айова за рассылку спама приговорил три американские компании к штрафу, в общей сложности превышающему 1 миллиард долларов. Это самый крупный в истории штраф за рассылку спама. Примечательно, что истец - владелец небольшой компании CIS Internet Services - даже не надеется когда-либо получить эти деньги.

20 июня 2004 года вступил в законную силу первый в истории России приговор лицу, рассылавшему SMS-спам. Гражданин Андросов Д. И. был признан виновным в совершении деяния, предусмотренного статьей 273 Уголовного кодекса РФ, и приговорен к 1 году лишения свободы условно и уплате штрафа в размере 3000 рублей.

1  Лаборатория Касперского - ведущий российский производитель систем защиты информации; данные взяты из свежего отчета "Развитие вредоносных программ в 2004 году". >>

2  Подробнее см. раздел 5.2.2. Новая разновидность спама: фишинг >>

3  MessageLabs - крупная компания, специализирующаяся на обеспечении безопасности почтовых потоков >>

4  Данные взяты из годового отчета компании MessageLabs по угрозам электронной почте >>


4. Спам в 2004 - динамика роста

4.1. Доля спама в почтовых потоках: стабилизация

В 2003 году аналитики компании "Ашманов и Партнеры" прогнозировали на 2004 год дальнейший рост объемов спама, который должен был составить не менее 70% почты Рунета.

Этот прогноз полностью подтвердился. По состоянию на конец 2004 года объем спама в Рунете составляет 75 - 80%, а на отдельных серверах (в основном, на серверах публичных почтовых систем) достигает 85-90%. Это усредненные данные по многочисленным почтовым потокам, которые обрабатывает специализированное подразделение компании. В трафике почтовых серверов, различающихся по количеству ящиков, "известности" и т.п., и, тем более, в почте индивидуальных пользователей показатели количественного распределения спама могут, конечно, существенно различаться.

В целом, количественное развитие спама в 2004 году определялось следующими двумя тенденциями:

  1. Период лавинообразного (обвального) роста спама закончен;
  2. продолжается незначительный, хотя и стабильный, ежеквартальный прирост незапрошенной коммерческой корреспонденции.

Диаграмма 1. Количественное распределение спама в Рунете в 2004 году.

Динамика "всплесков" и "падений" уровня спама имеет свою закономерность. Спамеры подстраиваются под традиционные сезонные пики и провалы покупательской активности. На диаграмме количественного распределения спама в 2004 году можно видеть два резких "провала" в спамерской активности, особенно заметных на фоне общего стабильного роста объемов нежелательной почты.

Оба "провала" вполне предсказуемые наверняка такая же картина ожидает пользователей Рунета и в следующем, 2005 году. Они приходятся на периоды продолжительных праздничных отпусков, точнее - на новогодние и майские праздники.

Минимум спама в Рунете в 2004 году был зафиксирован 3-го мая (в некоторых потоках доля спама снизилась до 5%), максимального значения уровень спама достиг в первой половине декабря (до 86,5 % в отдельных потоках).

Немного подробнее о динамике спама в течение года. Начало года характеризуется типичным сезонным спадом в почтовом трафике: зафиксировано падение объема спама в почтовых потоках с 70% (на декабрь 2003 года) до 48% (первая декада января 2004 года). Сразу после новогодних праздников отмечен скачок количества спамерских сообщений. Основную их массу составила реклама услуг самих спамеров, т.е. шел поиск заказчиков.

В феврале ситуация стабилизировалась, и далее вплоть до апреля доля спама оставалась на среднем уровне конца 2003 года: 65-70%. В апреле начинается стремительный подъем уровня спама, резко увеличивается количество русскоязычных предложений туров и поездок на весенние каникулы, майские праздники и летний отпускной период.

Рост спамерских предложений продолжается, уровень спама доходит до максимальной отметки конца прошлого года, и снова следует спад, на этот раз - резкий. Это первая декада мая - майские праздники. Для Рунета это традиционный "мертвый" сезон, почтовая, да и покупательская, активность пользователей снижается до минимума. Соответственно падает объем рекламных предложений. Минимум спама был зафиксирован 3-го мая: спамерских сообщений оказалось в пять раз меньше, чем среднее суточное значение за предыдущие два месяца (март-апрель). В корпоративной почте некоторых небольших компаний доля спама снизилась до удивительно низкого показателя - 5%.

Сразу после майских праздников спамеры возобновляют активную деятельность, и нарастание объема рассылок идет так же активно, как до этого их спад. К концу мая - середине июня доля спама в почтовом трафике Рунета превышает показатели прошлого года и вплотную приближается к значению 80%.

Далее следует период пониженной спамерской активности - летние отпуска в июле-первой половине августа. Но, уже начиная с конца августа, спамеры ищут новых клиентов: как и в начале года резко возрастает доля рассылок с предложениями собственно спамерских услуг. Одновременно растут предложения курсов, тренингов и семинаров.

В период с сентября по декабрь уровень спама перекрывает показатели прошлого года и удерживается в районе 80% от общего объема почты Рунета.

4.2. Ущерб от спама: новый виток

По мере увеличения объемов спама, растет и причиняемый им ущерб. С точки зрения отдельного пользователя, материальный ущерб от спама может быть не слишком велик. В действительности это далеко не так: значительную часть убытков от обработки 80% мусорной почты от общего объема электронных сообщений несут на себе провайдеры и держатели сервисов бесплатной публичной почты, такие как Mail.ru, Hotmail.com и др.

Если же учесть в "убытках всего человечества" трату времени сотрудников корпораций, вынужденных удалять мусорную почту, то получатся весьма впечатляющие цифры.

В марте 2004 года президент Ассоциации документальной электросвязи Александр Иванов сообщил на пресс-конференции, что только в России ущерб операторов и пользователей сети Интернет от рассылки несанкционированных рекламных сообщений ежегодно составляет около 55 млн. долларов5.

По нашим оценкам, ущерб от спама в Рунете в 2004 году значительно больше и составляет как минимум 250 миллионов евро, поскольку следует учесть также потери рабочего времени сотрудников компаний (которые можно оценить в 100-200 евро на одного офисного сотрудника в год).

В мире оценивают "удельные" убытки от спама существенно выше. В мае 2004 года компания Nucleus6 провела опрос сотрудников 82-х крупнейших мировых компаний7. Выяснилось, что сотрудники этих компаний ежедневно получают в среднем 29 спамовых писем (по сравнению с 13 спамерскими письмами в 2003 году) и тратят на них 3,1% рабочего времени. По сравнению с 2003 годом ущерб от спама вырос в 2,23 раза и составил $1934 в год на одного сотрудника.

Всего же убытки от спама оценивают в среднем в несколько десятков миллиардов долларов ежегодно.

А благодарить за такие потери приходится всего пару сотен человек, на долю которых приходится 80-90% мусорных рассылок. Многие спамеры живут и работают в США, откуда, по данным антивирусной компании Sophos8, рассылается 40-60% всего спама, циркулирующего в Интернете.

У спама в Рунете своя специфика: не менее половины этого спама рассылается нашими соотечественниками.

5  www.newsru.com >>

6  Nucleus - один из крупнейших канадских провайдеров, в IT-индустрии с 1993 года. >>

7  Результаты исследования опубликованы на сайте компании Nucleus. >>

8  Sophos - известный разработчик ПО для обеспечения безопасности в сфере IT-технологий, в IT-индустрии с 1985 года. >>


 


5. Спам - качественное развитие

5.1. Главные темы спама в Рунете: смена лидеров

Из общей массы спама легко выделяется группа тематических "лидеров", которые покрывают более 50% всего потока спама. На протяжении последних 5-ти лет абсолютным лидером являлся спам тематики "для взрослых", т.е. письма с предложениями посетить порносайты, купить разные приспособления/таблетки для усиления потенции и так далее.

Качество подготовки текстов спамерских писем перешло в 2004 году на новый уровень. Заметно, что многие русскоязычные рассылки теперь готовятся специалистами в сфере рекламных текстов. Появились "пролонгированные" рекламные кампании (кампания, состоящая из нескольких последовательных рассылок, связанных общим содержанием); налажен мгновенный отклик на "горячие" новости и события, и эксплуатируются такие события более профессионально.

Лидирующие спамерские тематики в Рунете:
  • "Для взрослых"- 18,2%
  • "Лекарства" - 16,8%
  • "Приглашения на семинары/тренинги" - 10,3%
  • "Программное обеспечение" - 9,8%
  • "Финансовый спам (инвестиции и акции)" - 9,0%
  • "Услуги по электронной рекламе" - 4,4%
  • "Отдых и путешествия" - 3,8%

Диаграмма 2. Распределение спама в 2004 году.

К концу 2004 года неожиданно наметилась тенденция перераспределения ведущих спамерских тематик.

Спам "для взрослых" постепенно уступает место рекламе дешевых лекарств.

По данным компании Postini Inc с января по сентябрь 2004 года доля порноспама в мировом почтовом трафике уменьшилась на 78%9.

Также постепенно растет доля предложений контрафактных товаров, таких как поддельные часы Rolex.

Смена приоритетов спамеров действительно оказалась неожиданностью для аналитиков и экспертов. Причины пусть и незначительного, но все же отступления распространителей порнопродукции со спамерского рынка пока не ясны. Весьма вероятно, что причина кроется в усилении в мире законодательного контроля за спамерским бизнесом (напомним, что подавляющее большинство порно-рассылок - англоязычные).

5.2. Новые виды спама

5.2.1. Попытки повлиять на котировки акций

Сейчас происходит стремительный рост количества рассылок предложений по инвестициям и игре на фондовой бирже. Этот спам предлагает информацию о динамике акций той или иной компании на фондовой бирже. Часто информация подается как "инсайдерская", случайно попавшая к данному отправителю письма. Фактически это попытка повлиять на предпочтения инвесторов и курс акций.

В международной классификации спама подобные письма относят к мошенничеству (scam), хотя и не запрещенному юридически. Такие рассылки могут быть оплачены держателями акций мелких компаний, желающими, например, поднять стоимость акций до максимума и оперативно продать их, пока они снова не упали в цене. Фальшивые "советы" по инвестициям могут также использоваться для снижения стоимости акций конкурентов. Кроме того, эти рассылки могут быть выгодны самим спамерам, если спамер является держателем акций "неперспективной" компании и стремится их выгодно продать.

До сих пор подобный спам существовал исключительно на английском языке, но сейчас эту разновидность спама можно изредка встретить и в русском варианте.

Очевидно, в следующем году у такого "финансового" спама есть все шансы подняться выше в списке лидирующих тем.

5.2.2. Фишинг

В 2004 году появилась и начала стремительно расти новая тематическая разновидность спама - фишинг.

Фишинг (ловля на удочку) - это распространение поддельных сообщений от имени банков/финансовых компаний. Целью такого сообщения является сбор логинов/паролей/пин-кодов пользователей.

Обычно такой спам содержит текст с предупреждением об обнаруженных дырах в безопасности денежных операций "онлайн", в качестве меры предосторожности предлагается зайти на сайт и подтвердить/сменить пароль доступа к счету или пин-код банковской карты.

Естественно, ссылки в таком письме ведут не на настоящие банковские сайты, а на поддельные (спамерские) сайты. Ворованные коды/пароли можно использовать как для доступа к счету, так и для оплаты покупок в интернет-магазинах. К концу 2004 года спамеры перешли на более продвинутые технологии, и теперь фишинг-сообщения могут содержать "шпионский" скрипт, который перехватывает коды/пароли при вводе их на официальном банковском сайте и пересылает спамеру. Для активации скрипта достаточно просто открыть сообщение.

В процентном отношении доля фишинг-сообщений пока не слишком велика, не более 1% от общего потока спама, но пугают темпы роста. В 2003 году такого спама просто фактически не было заметно, сейчас это уже заметное явление, не понаслышке известное многим пользователям.

Хотя большинство фишинговых писем является англоязычными, пользователей Рунета спамеры тоже не обошли своим вниманием. Особой "любовью" спамеров пользуется российский "Ситибанк".

Вот пример типичного фишинг-сообщения.

5.2.3. Черный PR

В 2004 году продолжился рост объемов спама, целью которого является не реклама товаров/услуг, а политическая или PR-акция.

Примечательно, что в исполнении спамеров подобные кампании всегда имеют ярко выраженный негативный оттенок, их цель - опорочить ту или иную фирму, политического кандидата и т.п. Все зафиксированные рассылки представляли собой классические случаи "черного PR".

Если в прошлом году в Рунете рассылки, производимые якобы от имени той или иной фирмы, были редкостью (за весь 2003 год была зафиксирована только одна подобная русскоязычная рассылка), то в 2004 году они превратились в регулярное явление.

Вот несколько примеров: в начале года прошла фальсифицированная рассылка от имени компании "Ашманов и Партнеры", где указывались подлинные реквизиты компании и реальные обратные адреса (впрочем, "черные" рассылки как раз и отличаются наличием достоверной контактной информации). Рассылка была ориентирована на западного пользователя и проводилась на английском языке, т.е. цель спамеров состояла в том, чтобы испортить имидж компании для потенциальных западных клиентов. Компания "Ашманов и Партнеры" занимается разработками антиспамерского программного обеспечения, поэтому причины выбора ее в качестве мишени для атаки вполне объяснимы.

В ноябре подобной "черной" атаке подверглась компания "Караван"10, причиной, скорее всего, послужил отказ компании в предоставлении услуг по хостингу спамерских сайтов. Эта спамерская акция отличалась особой циничностью: в разосланном сообщении якобы предлагалась полезная информация для террористов, после чего указывались реквизиты компании "Караван". Сообщение составлено таким образом, что при желании его можно попытаться представить как "плохую шутку".

Спамеры, видимо, рассчитывали на волну возмущенных звонков и писем от пользователей Рунета, особенно после всех событий прошедшего года: Беслан, теракты на борту самолетов и т.п. И такие отклики появились в форумах и пр.

Вот это письмо:

Добро пожаловать
На нашем сайте вас научат как быстро сделать самодельную бомбу, как взорвать поезд, также у нас можно купить фальшивые пасспорта, фальшивые доллары и евро, стать официально гражданином РФ, клоны кредитных карт банков Москвы, сделать пластическую операцию, купить оружие наркотики, и многое другое. Еще раз напоминаем, все это и только у нас по специальной цене. Большое спасибо нашему хостинг www.caravan.ru, который не обращая внимания на звонки с ФСБ по прежнему предоставляет нам самый лучший хостинг, а также помогает получать деньги за оружие.
Внимание, купив сегодня взрывчатку C4 вы в подарок получаете детонатор, и это еще не все, вы также получите сумочку для взрывчатки, и пояс шахида, и все это за 499$. Спешите время акции ограничено. Если вы уже ознакомились с нашими ценами, то вы можете послать деньги напрямую по нашим реквезитам
Реквизиты
(далее в письме следуют реквизиты ЗАО "Караван-Интернет")

5.2.4. Политический спам

Политический спам 2004 года в Рунете наиболее ярко представлен огромным количеством рассылок, связанных с выборами на Украине.

Большинство этих рассылок имели "негативный" характер, т.е. это была агитация не "за", а "против": в письмах давался список причин, почему не надо голосовать за того или иного кандидата. Ни рассыльщики, ни заказчики не скрывали того факта, что эта политическая акция является спамом, о чем лучше всего свидетельствует следующая цитата из одного из писем:

"Простите великодушно за то, что прибегаем к такому малопочтенному способу распространения информации, как спам, но наверное сегодня это лучший способ донести до вас правдивую информацию о том, что действительно происходит у нас в Украине...".

В основном, спам рассылали сторонники Ющенко, видимо, в силу большей компьютерной квалификации.

5.2.5. Нигерийские письма с русским акцентом

"Нигерийскими письмами" называют спам, написанный от имени реальных или вымышленных лиц, обычно - граждан стран с нестабильной экономической ситуацией, воспринимаемых публикой как рассадник коррупции. Первый зафиксированный спам такого типа рассылался от имени вымышленных нигерийских чиновников, именно поэтому он и получил название "нигерийских писем".

Автор такого письма обычно утверждает, что он располагает миллионами долларов, но они приобретены не совсем законными способами или же хранятся в обход закона. Например, это украденные иностранные инвестиции или гранты ООН. Дальше автор письма объясняет, что по этой причине он не может более держать деньги на счету в нигерийском банке, и что ему срочно требуется счет в зарубежном банке, куда можно перечислить "грязные" деньги. В качестве вознаграждения за помощь предлагается от 10% до 30% от заявленной в письме суммы. Идея мошенничества заключается в том, что доверчивый пользователь предоставит автору письма доступ к своему счету. Нетрудно предугадать результат - все деньги с этого счета будут сняты и уйдут в неизвестном направлении.

В 2004 году спамеры, можно сказать, впервые обратили внимание на события в России, и пользователи Рунета получили сообщения, эксплуатирующие ситуацию, сложившуюся в российской экономике, в частности - арест М. Ходорковского и нестабильность компании "Юкос". В них предлагалось обналичить крупные суммы денег, так или иначе доставшиеся отправителю письма после ареста Ходорковского.

В частности, рассылались письма от якобы финансового директора Ходорковского, иностранца, у которого только теперь открылись глаза на незаконность действий его бывшего босса (так что теперь он считает себя вправе не возвращать ему эти сто неправедных миллионов).

Вот пример еще одного такого письма.

5.2.6. Спам как источник слухов: цепочечные письма

Нежелательная корреспонденция бывает разных видов. Пользователи Рунета привыкли считать спамом сообщения, несущие более или менее ярко выраженную рекламную компоненту, но спам более разнообразен, чем это кажется на первый взгляд.

В 2004 году снова появилась увядшая было разновидность "нерекламной" нежелательной почты. Особенность ее в том, что практически вся рассылка производится силами пользователей. Организаторы рассылки инициируют первые несколько писем, содержащих эмоционально нагруженные сведения о потенциальной опасности (например, сведения о заражении питьевых источников, готовящемся теракте и т.п.) или просьбы о помощи жертвам стихийных бедствий, которыми был так богат уходящий год.

Пользователи склонны доверчиво относиться к таким письмам и рассылают их копии дальше по спискам адресов в своих адресных книгах. По массовости такие пересылки оказываются вполне сопоставимыми со средней спамерской рассылкой, и уступают они только в скорости распространения.

Ниже приведен пример этой разновидности "нерекламного" спама:

Здравствуйте
Сообщаемая мной информация не слух, а официальная информация, разосланная ФСБ телеграммами по администрациям больниц, поликлиник, скорой помощи Москвы и Московской области (это стандартная процедура в случае угрозы вреда здоровью массе людей, т.к. данные службы должны быть в первую очередь в курсе). Информация получена от моего родственника, который как раз и работает в "скорой". Кроме того, соответствующие объявления уже развешены во многих лечебных учереждениях.
Информация: "По имеющейся у спец.служб информации в настоящее время планируется террористическая акция по отравлению питьевой воды в Москве или в Московской области, биологическое (например, сальмонэлиоз) или химическое (например, цианид). К сожалению, точной информации по месту и характеру отравления нет.
Но необходимо уделить особое внимание всем случаям отравлений, особенно массовым."
Меры предосторожности:
Пить только кипяченую воду (ни в коем случае сырую), желательно предварительно пропущенную через очищающие фильтры.
Предупредить всех, кого знаем.

В последние дни 2004 года и в начале января 2005 года особенно массовым было цепочечное письмо о потерявшемся в Таиланде мальчике (родственники которого к моменту пика рассылки уже давно нашлись).

Большинство разработчиков писем волей-неволей относят этот вид массовой нежелательной почты к спаму и включают образцы таких писем в свои базы сигнатур спама.

5.2.7. Пустые письма

За 2003 год у спамеров сложилась практика периодически проводить рассылки содержательно "пустых", т.е. нерекламных сообщений. Иногда это действительно пустые письма (нет контента), иногда письма с единственным словом "привет" или "тест", довольно часто рассылки содержат бессмысленные последовательности символов. В 2004 году таких писем было особенно много.

Такие рассылки преследуют сразу несколько целей. С одной стороны, это обычное тестирование нового или модифицированного спамерского программного обеспечения; активности зомби-сети и т.п. С другой стороны, "пустые" рассылки довольно легко проходят антиспам-фильтры (не содержат спамерского контента), вызывая у пользователей понятное раздражение и скепсис по отношению к фильтрации спама.

Они также создают большую дополнительную нагрузку на каналы связи, что может выражаться в существенном снижении скорости обмена электронной корреспонденцией на время прохождения спамерской рассылки.

9  Postini Inc - крупный разработчик ПО для обеспечения безопасности почтовых потоков, в IT-индустрии с 1999 г. >>

10  Караван - известный провайдер Рунета, представляет услуги хостинга и провайдинга с 1996 года. >>


В следующем номере Спамтест:

  • Новости
  • Статистика за период 10 - 23 января
  • Спам 2004: аналитический отчет. Часть 2




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) ЗАО "Ашманов и Партнеры", 2003-2004


http://subscribe.ru/
http://subscribe.ru/feedback/
Подписан адрес:
Код этой рассылки: inet.safety.spamtest
Отписаться

В избранное