Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Информационный Канал Subscribe.Ru

Ашманов и ПартнерыSubscribe.ru
Электронный журнал "Спамтест" No. 91

в этом номере:


Новости

Опасное сотрудничество вирусописателей

10.03.2005

Аналитики "Лаборатории Касперского" пришли к выводу о существовании тесного взаимодействия между авторами червей Bagle, Zafi и Netsky.

Вредоносная программа SpamTool.Win32.Small.b, обнаруженная экспертами компании 15 февраля и выполнявшая скрытый сбор адресов электронной почты на персональных компьютерах, оказалась частью организованной 1 марта атаки червя Bagle.

Специалисты "Лаборатории Касперского" считают, что авторы червей Zafi, Netsky и ряда других используют для рассылок червей информацию, полученную автором Bagle.

По информации компании, в течение только двух дней было разослано порядка 50 различных модификаций вредоносных программ. Все рассылки производятся распределенными по времени, т.е. в автоматическом или полуавтоматическом режиме.

Таким образом, сетевые атаки начали осуществляться в автоматическом режиме, планироваться в несколько этапов и разноситься во времени.

Эти данные свидетельствуют о резком витке криминализации Интернета и дальнейшем развитии преступных технологий. В целях увеличения эффективности своих атак авторы разных червей объединяют усилия, создают группы, обмениваются информацией и перенимают друг у друга схемы и техники работы.

Источник: "Лаборатория Касперского"

Ботнеты используют по-новому

09.03.2005

По данным MessageLabs, спама, рассылаемого напрямую с "зомби"-машин, стало значительно меньше, хотя в целом его объем увеличился. Судя по всему, спамеры успешно осваивают новую технологию рассылки.

Согласно результатам исследования MessageLabs, в октябре прошлого года с "зомбированных" машин, используемых как прокси-серверы, рассылалось 79% спама. Проверка 90000 спамовых сообщений в начале февраля 2005 года выявила, что доля спама, рассылаемого таким образом, снизилась до 59%. Однако при этом объем спама в почтовом трафике вырос с 72% в сентябре 2004 года до 83% в январе 2005.

Исходя из полученных результатов, специалисты MessageLabs сделали вывод, что спамеры применяют новую технологию рассылки.

Поскольку многие ISP блокируют 25-й порт, спамеры были вынуждены искать способы обхода защиты, установленной провайдерами. Такое ПО, как Send-Safe с недавно появившейся опцией "proxy lock", позволяет спамерам осуществлять рассылки с "зомби"-машин через почтовые серверы их ISP.

По словам Поля Вуда (Paul Wood), старшего аналитика MessageLabs, полученные результаты свидетельствуют о преимуществах нового метода для спамеров.

Источник: The Register

Злоумышленники "портят" DNS

10.03.2005

Фарминг - замена на серверах DNS цифровых адресов легитимных веб-сайтов на адреса поддельных сайтов, в результате которой пользователи перенаправляются на сайты мошенников - может стать очень опасным способом выманивания персональных данных.

На прошлой неделе были отмечены случаи редиректов посетителей с сайтов eBay и Google на веб-серверы злоумышленников, пытающихся загрузить на компьютеры жертв шпионское ПО. Умельцы атаковали серверы DNS и заменили цифровые адреса популярных сайтов нужными им адресами.

Замена цифровых адресов веб-сайтов на серверах DNS на адреса сайтов-фальшивок, в результате которой ничего не подозревающие пользователи перенаправляются на сайты мошенников - относительно новая угроза, получившая название фарминг (pharming). По данным Internet Storm Center, широкого распространения этот метод пока не получил. Однако эксперты считают, что если мошенники начнут активно его использовать, это может привести к серьезным последствиям.

В последнем случае содержание сайта, на который попадали пользователи вместо сайтов eBay и Google, отличалось от оригинальных. Однако подделки могут быть сделаны так, что посетители не поймут, что их заманили на фальшивый сайт, а никаких указаний на это в браузере не будет. Злоумышленники смогут легко заполучить персональные данные своих жертв или "одарить" их компьютеры шпионскими программами.

По мнению специалистов Internet Storm Centre, для "порчи" DNS (DNS poisoning) может применяться обнаруженная недавно дыра в брандмауэрах и шлюзах Symantec. Однако жертвами стали и другие сайты, которые не применяют продукты Symantec.

Эксперты признают, что для окончательных выводов у них пока недостаточно данных.

Источник: CNET News.com

За рассылку спама будут штрафовать

11.03.2005

10 марта Комитет Госдумы по экономической политике, предпринимательству и туризму рекомендовал депутатам принять в первом чтении новую редакцию федерального закона "О рекламе".

Законопроектом устанавливаются общие требования к рекламе, способы ее распространения, требования к рекламе и ограничения рекламы отдельных видов товаров, а также основы государственного контроля в этой сфере.

"До сих пор рекламные нормы, которые зачастую противоречили друг другу, были разбросаны по десяткам законов. Теперь же все они будут сведены в единый закон", - сказал один из разработчиков законопроекта депутат Владимир Мединский.

Документ направлен на сокращение потока рекламы и содержит целый ряд принципиальных новшеств.

Если новый закон будет принят, вне закона будет поставлено распространение любой рекламы по сетям электросвязи общего пользования (в том числе с использованием телефонной, факсимильной, мобильной связи и компьютерных сетей) без предварительного согласия адресата на получение. При этом реклама признается распространенной без предварительного согласия адресата, если отправитель рекламы не докажет, что такое согласие было получено. Кроме того, рассылка рекламных сообщений должна быть немедленно прекращена по первому требованию адресата.

Нарушителей закона будут наказывать штрафом.

Мединский считает, что следующим шагом должно стать увеличение штрафов за нарушение положений закона, иначе вся борьба с некачественными рекламодателями окажется бесполезной.

Однако сначала депутатам предстоит согласовать положения законопроекта, а уже сейчас можно сказать, что он вызовет немало возражений - критические замечания звучат как в самой Думе, так и со стороны правительства.

Обсуждение законопроекта на пленарном заседании состоится не раньше апреля.

Источник: Страна.ру

SMS-спам изменит имидж КПРФ?

14.03.2005

Как заявил на очередном пленуме ЦК КПРФ первый заместитель председателя ЦК КПРФ Иван Мельников, коммунистам необходимо менять имидж партии, чтобы привлечь в ее ряды молодежь, активнее применяя для этого Интернет и массово рассылая SMS.

По словам Мельникова, "по телефону можно рассылать и политические анекдоты, и частушки, и обращать внимание на то или иное событие. Что угодно, что мотивирует человека переслать это сообщение еще кому-то".

Хотя коммунисты оказались не чужды технического прогресса, SMS-спам не единственный способ агитации, к которой призвал партию Мельников. Он напомнил и о таких проверенных методах, как уличные театры, плакаты первых лет Советской власти, Окна РОСТА Владимира Маяковского, карикатуры Кукрыниксов и многое другое, в том числе граффити. А "важнейшим искусством из искусств для партии" Мельников назвал листовку.

Хотя в постановлении пленума ЦК КПРФ о рассылке SMS ничего не сказано, там говорится об активном использовании Интернета. Так что вероятность получения SMS-спама с частушками от КПРФ достаточно велика.

Источник: РБК

Немецкий мобильный оператор оштрафован за спам

15.03.2005

269000 евро заплатит в качестве штрафа за рассылку спама немецкий оператор мобильной связи Debitel. Таково решение коммерческого суда Дании.

В апреле 2003 года Debitel разослал 12000 SMS-сообщений и 36000 электронных писем с предложением собственных услуг клиентам компании-конкурента Telmore, которая в то время была собственностью датского мобильного оператора TDC.

Представитель абонентов Хаген Йоргенсен (Hagen Joergensen), подавший жалобу на Debitel, заявил, что удовлетворен решением суда, которое "ясно показывает, что спам запрещен законом".

Йоргенсен создал несколько электронных адресов, на которые пользователи могут посылать жалобы на спам. Ежедневно на них приходит до 1500 писем.

Источник: AFP (Yahoo!)


Спам - статистика за период
7 - 13 марта 2005 г.

Ашманов и Партнеры

Объем спама и тематические особенности

К концу недели уровень спама вновь поднялся до 80-85% от общего почтового трафика Рунета. На бесплатных почтовых серверах уровень спама вплотную приближался к отметке 90%.

Популярные тематики

No Тематика Описание %% от общего объема Изменение за неделю
1 Разные товары и услуги Предложения других товаров и услуг 29% +2%
2 Остальной спам   15% +8%
3 Образование Реклама семинаров, тренингов, курсов 14% -3%
4 Мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 11% +5%
5 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 10% -2%
6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 8% -2%
7 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 5% -3%
8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 3% Без изменений
9 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3% -3%
10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 2% -2%

Самый массовый спам недели

В четверг-пятницу по бесплатным почтовым службам прошла спамерская рассылка, маскирующаяся под уведомление под выигрыш в конкурсе. Это типичное мошенничество, идея которого заключается в том, что доверчивый пользователь клюнет на обещание приза размером 25 тысяч рублей и согласится предварительно заплатить налог в размере 194 рубля. Психологически приманка выполнена грамотно: деньги предлагается переводить через Сбербанк, "некруглая" сумма также внушает доверие неискушенному человеку.

Это письмо, а также сочиненное не без чувства юмора послание с говорящим названием "Каждой девушке 6-ой литр водки БЕСПЛАТНО" Вы найдете на сайте Спамтест.


Антиспам Касперского для корпораций, ISP и индивидуальных пользователей
Часть 1

Андрей Никишин
"Лаборатория Касперского"

Сегодня, пожалуй, сложно найти организацию, которая в той или иной степени не использовала бы электронную почту - на работу с e-mail приходится примерно 25% рабочего времени сотрудников. При этом 50% всей получаемой почты - это письма, которые не имеют никакого отношения к бизнесу. Похоже, что уникальные возможности Интернета по доставке сообщений одновременно сотням тысяч получателей оборачиваются для компаний не только мощным средством ведения бизнеса, но и большой головной болью. Не будем останавливаться на ущербе, который наносит бизнесу спам, поскольку это не является темой данной статьи, а сразу перейдем к описанию тех методов, благодаря которым возможно уничтожить спам как явление.

Последние несколько лет в компьютерной и околокомпьютерной прессе постоянно предлагаются и обсуждаются различные способы борьбы со спамом. Ограничения статьи не позволяют подробно рассмотреть все методы борьбы со спамом (юридические, социальные и технические), поэтому ограничимся только техническими методами. Сразу оговоримся, что без комплексных мер добиться победы над этим злом вряд ли возможно.

Рассмотрим наиболее популярные и интересные технические методы фильтрации спама и особенности реализации этих методов в Kaspersky® Anti-Spam.

Но прежде хотелось бы уточнить некоторые важные моменты. Ошибочно полагать, что главное для любой программы спам-фильтра - распознать 100% спама. На самом деле, главное - не допускать ложных срабатываний, когда нормальное деловое письмо принимается за спам. В этом случае ущерб от потери нужного письма может быть гораздо больше, чем ото всех спам-писем за год. В принципе, обеспечить фильтрацию 100% спама легко - нужно не пропускать никаких писем вообще. Но задача антиспам-фильтра несколько другая - разделить входящий поток сообщений на спам и нормальную почту.

Распознавание спама и ложные срабатывания - классическая проблема радиолокации: высокий уровень обнаружения - и при этом высокое количество ложных тревог; низкий уровень ложных тревог - низкий уровень детектирования. Либо то, либо другое страдает.

Итак, идеальное средство от спама должно почти никогда не допускать ложного детектирования и фильтровать почти 100% спама. "Почти" - потому что на 100% выполнить обе задачи одновременно не представляется возможным. Будем иметь ввиду этот момент при рассмотрении методов фильтрации.

Способы фильтрации

Любое письмо приходит к клиенту с почтового сервера. Получается, что фильтровать почту можно или на этом почтовом сервере, или на самом клиентском компьютере. Оба эти способа действенны. Естественно, в каждом случае есть как и достоинства, так и недостатки, которые мы обсудим ниже.

Существуют два основных метода фильтрации спама - фильтрация по формальным признакам почтового отправления и по содержанию, то есть лингвистически:

I. Формальные методы II. Лингвистические методы
1. Фильтрация по спискам (почтовых адресов, IP-адресов). 3. Распознавание по содержанию письма (словосочетания, эвристики, статистика).
2. Фильтрация по формальным признакам письма (наличие полей, много отправителей, нет получателя, путь, формат, размер, пр.) 4. Распознавание по образцам писем (распознавание по сигнатурам, с голосованием и пр.).

Метод фильтрации - черные списки. Провайдеры обычно фильтруют спам, используя так называемые черные списки IP-адресов (real-time black hole lists - RBLs). Это списки адресов известных спамеров, адресов открытых почтовых пересылок, используемых спамерами эпизодически или регулярно, и списки диапазонов адресов тех сетей, которые не борются со спамерами или слишком к ним либеральны. Эти списки ведут организации провайдеров и разные добровольцы. Наиболее известных списков около десятка.

Применение именно списков провайдерами обусловлено тем, что проверять содержание писем провайдеры, вообще говоря, не могут по закону. А черные списки позволяют, не обращаясь к содержанию письма, отказаться от его получения, проанализировав обратный адрес, - то есть даже не получая письма на свой почтовый сервер.

Некоторые системные администраторы полагают, что фильтрация по IP-адресу может показать очень высокую эффективность. Однако, по нашему опыту, черные списки фильтруют не более 25-30% спама, поскольку в последнее время все чаще для рассылки спама используются не открытые почтовые сервера, а так называемые "зомби"-компьютеры. "Зомби" - это, как правило, домашний компьютер пользователя, который заражен вредоносной программой, позволяющей злоумышленнику от лица пользователя рассылать почтовые сообщения. Таких компьютеров много (десятки тысяч), и ежедневно список "зомби" меняется - появляются новые и исчезают старые. Добавить все такие адреса в RBL, с одной стороны, очень сложно, а с другой стороны - не имеет смысла, так как люди, компьютеры которых без их ведома рассылают спам, не являются спамерами и наказывать их можно только за разгильдяйство, повлекшее за собой заражение вредоносной программой.

Еще одна существенная проблема черных списков - при их использовании резко возрастает число писем, ошибочно принятых за спам. В черные списки часто попадают провайдеры "в целом" (по причине все тех же "зомби"-сетей). В таких случаях совершенно "нормальные" клиенты "провайдеров, не любящих спам" (фильтрующих по черным спискам), лишаются возможности общения с нормальными же клиентами "дружелюбных к спаму провайдеров". Показательным стал случай с закрытием известного сервиса Osirusoft, подвергавшегося неоднократным атакам, который перед закрытием 26 августа 2003 года поместил в черный список весь мир (весь диапазон IP-адресов). В результате огромное число пользователей электронной почты во всем мире потеряли корреспонденцию за два дня - она отвергалась теми почтовыми серверами, которые использовали списки Osirusoft для борьбы со спамом.

Таким образом, метод фильтрации по RBL должен использоваться, но в комплексе с другими методами фильтрации, так как один этот метод не в состоянии решить поставленную задачу по фильтрации нежелательной почты.

Фильтрация по формальным признакам письма. В данном случае анализируются так называемые формальные признаки письма, такие как: адреса получателя и отправителя, размер, наличие и количество вложений, IP-адрес отправителя. Спамом может считаться письмо, в котором, например, отсутствует адрес отправителя, отсутствуют или слишком много получателей, отсутствует IP-адрес в системе интернет-адресов DNS и т.п. Также возможна фильтрация по размеру, формату сообщения. Этот метод позволяет определить около 30-40% спама, однако обладает средним уровнем ложных срабатываний. Резко уменьшить количество ошибок возможно, применяя белые списки, - списки отправителей, от которых любая почта не считается спамом. Вообще, использование белых списков - хорошая практика по уменьшению количества ложных срабатываний при использовании любой программы антиспама.

Фильтрация по содержанию. Проверяется наличие в письме признаков спамерского содержания: определенного набора и распределения по письму специфических словосочетаний. Это наиболее простой метод, но при этом один из самых эффективных. При хорошей базе уровень распознавания спама - порядка 50-70% при довольно низком уровне ложных срабатываний. То есть можно говорить, что этот метод является основным методом выявления спама.

Сигнатуры (образцы). По каждому спамерскому письму может быть автоматически или вручную создана так называемая лексическая сигнатура, позволяющая распознать конкретное спамерское сообщение. Используя методы нечеткого сравнения, можно также распознавать слегка модифицированный спам. Сигнатурный метод фильтрации примечателен тем, что уровень ложных срабатываний минимален и стремится к нулю. Однако при этом количество отфильтрованного спама не очень велико - около 15-20%.

На диаграмме приведены все основные методы фильтрации, даны примерные параметры уровня распознавания и количества ложных срабатываний.

Как вы понимаете, ни один из вышеперечисленных методов не может гарантировать высокую эффективность и низкий уровень ошибок одновременно. Только применение всех методов позволит добиться высокого качества работы фильтра.

Некоторые компании-разработчики систем защиты от спама используют в своей бизнес-модели модель антивирусных компаний с выпуском регулярных обновлений специальной базы данных. Нужно заметить, что такой подход имеет определенные преимущества по трем причинам:

  1. Высокая подвижность лексикона спамеров. Хотя цели спамеров практически неизменны - они хотят что-то продать пользователю, заманив его на сайт или заставив ответить по электронной почте, - применяемые ими выражения постоянно меняются просто потому, что спамеры свободно пользуются родным языком.
    По нашему опыту, качество распознавания спама при использовании старой, "замороженной" базы может снижаться на несколько процентов в неделю, падая от 85%-95% до 40-60% в пределе (этот предел определяется вечным спамерским лексиконом и типичными признаками рекламных писем).
  2. Повторяемость писем. Краткосрочная повторяемость спамерских писем довольно велика, она может доходить до 10-15% за месяц. Иногда приходит пять-шесть копий одного и того же письма за неделю. В частности, ярким примером такой повторяемости является печально известный American Language Center. Таким образом, большая часть повторных писем может быть отфильтрована за счет "свежести" базы.
  3. Конечная скорость распространения. Чтобы разослать миллион писем, нужно затратить определенное время. Сама по себе работа почтового сервера, рассылающего сотни тысяч писем, может занять несколько суток. Кроме того, электронная почта - это средство с негарантированным временем доставки. Это означает, что последние спамерские письма из большой партии могут доходить до получателя через несколько дней. А, следовательно, при ежедневном обновлении часть клиентов могут успеть получить новую версию базы с сигнатурой нового письма раньше прихода к ним этого же письма.

Фильтрация на клиенте

На стороне клиента можно использовать все перечисленные выше методы, но встает вопрос о целесообразности и "стоимости" использования того или иного метода. Исходя из этого, в большинстве клиентских анти-спам программ метод фильтрации по RBL не используется. Кроме этого существует еще один метод фильтрации, который подходит только для клиентского компьютера.

Байесовская фильтрация по словам

Очень простым, понятным методом является "наивная" байесовская классификация. "Наивной" она называется, потому что исходит из предположения о взаимной независимости признаков спама и не спама, и, как ни странно, этого оказывается вполне достаточно.

Использование формулы Байеса для фильтрации спама предложено совсем недавно, чуть больше двух лет назад. Автор первого фильтра, Paul Graham, предназначал его для персональной фильтрации. Для работы требуется, чтобы у классифицируемого объекта было достаточно признаков. Этому требованию идеально удовлетворяют все слова писем данного пользователя, за исключением, пожалуй, очень редко встречающихся и совсем коротких. Вторым требованием является постоянное переобучение и пополнение коллекции "спам - не спам". Все такие условия идеально работают в локальных почтовых клиентах, поддерживающих этот алгоритм, потому как поток "не спама" у конечного клиента довольно постоянен и, если и меняется, то не очень быстро.

Для сервера же, вернее сказать, для всех клиентов этого сервера, довольно сложно точно определить поток "не спама". Иными словами, одно и то же письмо для одного клиента является спамом, а для другого - нет. Как следствие - словарь будет большим, не будет четкого разделения "спам - не спам", система начнет давать множество ложных тревог, и качество фильтрации резко снизится.

Идеальное средство фильтрации спама

Давайте рассмотрим идеальную программу борьбы со спамом. Такие продукты будут обладать следующими свойствами:

  • Использование всех методов фильтрации, как формальных, так и лингвистических (объединенных единым интеллектуальным решающим центром).
  • Использование антивирусной схемы бизнеса:
    • Поддержка класса 24*7 от специальной лаборатории по борьбе со спамом (аналог антивирусных лабораторий).
    • Регулярные обновления баз несколько раз в день (скачиваемые автоматически через сеть).
  • Простота установки и использования (фильтрация "под ключ", работа по схеме "черного ящика").

Можно рассчитывать на то, что такой продукт будет фильтровать до 90-95% спама и обладать очень низким процентом ложных срабатываний. С оставшимся "процентом" спама нам, скорее всего, придется мириться.

 




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) ЗАО "Ашманов и Партнеры", 2003-2004


http://subscribe.ru/
http://subscribe.ru/feedback/
Подписан адрес:
Код этой рассылки: inet.safety.spamtest
Отписаться

В избранное