Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 105 в этом номере: Новости Спам - статистика за период 20 - 26 июня 2005 г. Охотники за "головами" ботнетов Новости "Лишние" требования Can-Spam Act 23.06.2005 Специальные метки в теме незатребованных рекламных писем, которые необходимо ставить в соответствии с требованием Can-Spam Act, не эффективны в борьбе со спамом. К такому выводу пришла Федеральная торговая комиссия США (FTC). Согласно Can-Spam Act, в поле "тема" незатребованных рекламных сообщений отправитель должен ставить специальные метки "ADV", которые позволят ISP и получателю быстро идентифицировать такие письма. FTC пришла к выводу, что идея себя не оправдала: мало кто из американских спамеров утруждает себя маркированием спам-писем, к тому же в некоторых штатах это требование просто не включено в местные антиспамовые законы, а спамеров, осуществляющих рассылки из других стран, не волнуют требования федерального антиспамового закона США. Простого решения для борьбы со спамом не получилось. FTC посчитала, что метка в теме письма менее эффективна для отделения спама от легитимной корреспонденции, чем широко используемые в настоящее время антиспамовые фильтры. Выводы FTC опубликованы в докладе, адресованном Конгрессу США. Источник: DMA Новый австралийский закон в действии 24.06.2005 Австралийские власти обвиняют компанию Clarity1 в рассылке спама. Это первое обвинение в нарушении принятого в стране в апреле прошлого года нового антиспамового закона. Компания Clarity1, известная также как Business Seminars Australia, рассылала около 56 миллионов спамерских писем в год. Жалобы на нее австралийские власти получали даже из Великобритании. Так что компания не случайно внесена организацией Spamhaus в список 200 самых активных спамеров мира. Еще нескольким австралийским спамерам из этого списка до вступления в силу нового антиспамового закона власти написали письма с предложением осуществлять рассылки в соответствии с требованиями закона. По информации Spamhaus, несколько крупных спамеров прекратили свою деятельность в Австралии. Директор компании Clarity1 Уэйн Мэнсфилд (Wayne Mansfield) обвиняется также в сборе электронных адресов, на которые рассылался спам, незаконными методами. Мэнсфилд утверждает, что закона не нарушал, и готов доказывать свою невиновность в суде. Если компания Clarity1 будет признана виновной в нарушении антиспамового закона 2003 года, ей придется заплатить штраф в размере от $171 тыс. до $1,1 млн. Источник: The Register Источник: Telecom Asia Насильно мил не будешь? 25.06.2005 К концу года сервисы Hotmail and MSN будут относить к спаму все письма, не прошедшие проверку на подлинность отправителя с помощью технологии Sender ID. Эксперты говорят, что Microsoft таким образом пытается навязать Sender ID в качестве стандарта. Технология Sender ID объединяет созданную ранее Мен Вонгом (Meng Wong) Sender Policy Framework (SPF) и технологию Caller ID, разработанную Microsoft. Sender ID предполагает публикацию SPF-записей в DNS провайдерами, компаниями и другими владельцами почтовых серверов. Используя эти записи, принимающая сторона проверяет, действительно ли письмо отправлено серверами e-mail, относящимися к указанному в сообщении домену. Специалисты считают, что Sender ID может помочь, прежде всего, в борьбе с мошенниками и фишерами. Microsoft предложила Sender ID в качестве стандарта, однако в сентябре прошлого года IETF отвергла это предложение, в основном, в связи с проблемами внедрения, вызванными несовместимостями с лицензиями open-source. Кроме того, специалисты отмечают наличие технических проблем, в частности, при пересылке сообщений. "Если вы получили письмо, форвардированное вам, например, через учетную запись на университетском сервере, Sender ID не сработает", - поясняет старший технолог по борьбе со спамом MessageLabs Мэтт Сарджант (Matt Sergeant). В октябре 2004 года, Microsoft внесла на рассмотрение IETF новую исправленную версию стандарта аутентификации отправителя Sender ID. В течение последних шести месяцев сервисы Hotmail и MSN использовали Sender ID как один из вариантов проверки сообщений. 22 июня Microsoft начала маркировать письма с доменов, не опубликовавших записи в DNS, как сообщения, не прошедшие аутентификацию и, возможно, являющиеся спамом. К концу года Microsoft ужесточит требования и будет относить все такие письма к спаму. В настоящее время SPF-записи публикуют всего около одного миллиона из 71,4 млн доменов, зарегистрированных во всем мире, однако технологию Sender ID поддерживает ряд крупных провайдеров, в том числе AOL. По мнению директора отделения технологической защиты и безопасности Microsoft Крейга Шпицля (Craig Spiezle), решение Microsoft будет способствовать утверждению технологии Sender ID. "Все владельцы доменов и отправители e-mail должны опубликовать SPF-записи, и им лучше сделать это сейчас, если они хотят повысить легитимность своей почты и защитить свой домен и заказчиков. К этому нужно отнестись со всей ответственностью", - сказал Шпицль. Решение Microsoft вызвало волну критики. Эксперты отмечают, что спецификация Sender ID не является утвержденным стандартом и имеет много недостатков. К тому же существуют конкурирующие технологии, такие как DomainKeys от Yahoo. "Microsoft старается заставить индустрию принять неполный и не утвержденный стандарт", - сказал главный технолог по безопасности интернет-контента компании Trend Micro Дейв Рэнд (Dave Rand). Соучредитель "Коалиции против незатребованной коммерческой электронной почты" и один из авторов книги "Fighting Spam for Dummies" Рей Эверетт-Чарч (Ray Everett-Church) выразился жестче: "Microsoft уже несколько лет пытается насильно затолкать Sender ID интернет-сообществу в глотку, но толку мало". Эверетт-Чарч считает, что односторонний шаг Microsoft может причинить вред пользователям: поскольку Sender ID не получила широкого распространения, легитимные письма пользователей, направленные на адреса Hotmail, будут помечаться как спам. По оценкам специалистов, в настоящее время пройти проверку Sender ID могут 25-30% всех электронных сообщений. Источник: Washingtonpost Источник: ZDNet.ru Фишеры украли деньги, предназначенные для больных детей 29.06.2005 Известно, что фишеры умеют подделывать сайты и не чураются методов социальной инженерии, а стремление к наживе делает их изобретательными и беспринципными. Не остановились они и перед воровством денег, предназначенных для помощи больным детям. Фишеры комплексом вины не страдают, а муки совести для них, судя по всему, так же далеки, как для большинства наших сограждан проблемы воровства номеров кредитных карт. Нет совести - нечему мучить, нет кредитной карточки - нет и номера, который фишер может украсть. Зато россияне по-прежнему народ сердобольный и готовы помочь, особенно больным детям. Пользователи Интернета наверняка встречали на страницах различных сайтов сообщения о болеющих людях, для спасения которых необходимо собрать определенную сумму. Некоторые помогали - и перечисляли деньги на указанные счета. Издание "Аргументы и факты" рассказывает о том, что мошенники покусились на деньги, предназначенные больным детям. Чтобы заполучить их, они использовали фишинг-технологии. По информации издания, в Сети начали появляться странички, копирующие благотворительные сайты. Разница заключалась лишь в измененном адресе (к примеру, адресная строка страницы заканчивалась не на ru, а на com) и другом номере счетов для получения денег. Ссылки на поддельные сайты рассылались в спамовых письмах, рассказывающих о якобы благородной деятельности организаторов сайтов. Аналогичная информация публиковалась и в специально созданных дневниках вроде "Живого журнала". Там же появлялись фальшивые отчеты о собранных средствах. Для наживы мошенники воспользовались не только идеей благотворительности, но и реальными историями больных, украденными с настоящих сайтов. Деньги, посланные на лечение детей, в итоге попали в карман преступников. "АиФ" рекомендует своим читателям пересылать деньги лишь при помощи сообществ, предоставляющих информацию о цели мероприятия, способах связи с родителями больных детей и координаторами проекта. Мы присоединяемся к этой рекомендации и напоминаем, что ко всем сообщениям, рассылаемым с помощью спам-технологий, надо относиться с осторожностью. Источник: "Аргументы и факты" Commtouch запустила онлайн-сервис статистики спама 29.06.2005 Компания Commtouch объявила о запуске веб-сервиса, позволяющего получить данные спам-статистики в режиме реального времени. "Мы понимаем всю важность актуальных данных, доступных в режиме реального времени, именно поэтому мы создали Commtouch Spam Lab", - сказал представитель компании Орен Дрори (Oren Drori). Commtouch Spam Lab предлагает широкий спектр информации, включая число спам-атак в течение месяца, квартала или года и географическое распределение источников спама. Для удобства посетителей, среди которых, как полагают создатели сервиса, будет много журналистов и аналитиков, на странице статистики предусмотрена возможность скачать нужную информацию в виде диаграмм (JPG) либо таблиц данных (Excel). На странице мониторинга спам-рассылок можно получить в реальном времени детальную информацию о спам-атаках. На карте мира отмечены страны, откуда рассылается спам. Если навести курсор на соответствующий "спам-очаг", появится подробная информация о последних атаках: источник, объем и скорость рассылки, адрес спамерского сайта, наиболее частая тема письма, число отправителей. Что касается экспертов, которым необходима дополнительная информация, то, по словам Дрори, Commtouch готова ее предоставить. Данные Commtouch Spam Lab основаны на анализе информации Commtouch Detection Center, который обрабатывает более 1,5 миллиардов сообщений в месяц (в среднем более 50 миллионов в день). Полученная из Commtouch Detection Center информация обрабатывается "на лету", после чего автоматически обновляются все таблицы и диаграммы. По утверждению представителей Commtouch, ни один из ресурсов в настоящее время не предоставляет такой актуальной и полной информации о глобальной спам-активности, как новый сервис компании. Источник: Commtouch Спам - статистика за период 20 - 26 июня 2005 г. Ашманов и Партнеры Объем спама и тематические особенности Уровень спама несколько повышен и достигает 85-87%% от общего объема почтового трафика Рунета. По-прежнему наблюдается рост объемов спама с предложениями отдыха в России и за рубежом, а вот приглашения на тренинги и семинары постепенно пошли на убыль. На прошлой неделе был зафиксирован всплеск англоязычных предложений виагры и прочих товаров, усиливающих потенцию. Пик подобных рассылок пришелся на понедельник-вторник, после чего эта волна стала постепенно спадать, сменившись англоязычными же предложениями дешевых часов от Rolex и Cartier. Небольшой опрос пользователей Рунета показал, что у россиян эти предложения не вызывают никаких "потребительских" реакций, кроме веселого недоумения, т.к. в Рунете аналогичные китайские подделки можно купить, в среднем, за 50 у.е., в то время как в англоязычном спаме предложена цена 200-300 у.е. Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Остальной спам   25,5% +5% 2 Разные товары и услуги Предложения других товаров и услуг 19% -6% 3 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 13% +5% 4 Образование Реклама семинаров, тренингов, курсов 10% -2% 5 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 8% -5% 6 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 7% +2% 7 Мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 7% Без изменений 8 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 4,5% Без изменений 9 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 4% +1% 10 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. Менее 2% -1% Самый массовый спам и самые оригинальные предложения Вы найдете на сайте Спамтест. Охотники за "головами" ботнетов По материалам eWeek.com Любопытная статья, опубликованная на cсайте eweek.com, рассказывает о работе группы экспертов, которые борются с ботнетами. Более 100 экспертов по компьютерной безопасности из различных организаций - антивирусных компаний, ISP, образовательных учреждений и др. - занялись выявлением и дезактивацией C&C (command-and-control) инфраструктуры, которая рассылает инструкции миллионам зомбированных машин. У группы нет официального статуса. По словам одного из участников, это просто компания хороших парней, которые заинтересованы в том, чтобы "заткнуть" ботнеты. "Идея в том, чтобы обмениваться информацией и вычислять, откуда ботнеты получают инструкции. Выявив командный сервер, мы можем действовать быстро и вывести его из строя. Оставшись "без головы" ботнеты становятся бесполезными", - сказал Роджер Томпсон (Roger Thompson), эксперт из компании Computer Associates International. Изначально тактика была другой: выявлялись зараженные машины. Однако такой подход оказался неэффективным: одну вычищенную машину сменяли 20 или 100 новых зомби. Поэтому группа нацелилась на систему, управляющую ботнетами. Наблюдая за машиной, зараженной трояном, исследователи могут понять, что она делает, какой сервер с ней взаимодействует, и каким образом владельцы ботнетов посылают инструкции зараженным машинам. Инфраструктура C&C чаще всего использует сервер IRC (Inter Relay Chat), нелегально инсталлированный в корпоративную сеть или сеть образовательного учреждения. Группой были обнаружены ботнеты разного размера, в том числе сеть из 100000 машин. Отмечено много случаев кросс-инфекций, когда одна машина принимает команды с нескольких управляющих серверов, что значительно усложняет задачу. Расправившись с одним сервером C&C, исследователи зачастую обнаруживали еще несколько действующих. Еще одна проблема - уязвимость машин, однажды ставших звеном ботнетов. Даже когда "голова" ботнета отрублена, машины в "загашенной" зомби-сети, как правило, остаются доступными для последующего инфицирования. Участники группы говорят о том, что им приходится иметь дело с очень умелыми и изобретательными противниками, которые доказали, что они знают, как обойти существующие системы защиты. Недавно антивирусные компании били тревогу по поводу новой вирусной атаки с использованием трех различных троянов, которые взаимодействовали друг с другом. Атака проходила в несколько этапов: проникновение, быстрая дезактивация антивирусного ПО и получение инструкций извне. Кроме того, инфицированный компьютер автоматически начинал сканировать собственную сеть в поисках незащищенной системы с тем, чтобы расширить зомби-сеть. Хорошие парни из группы утверждают, что плохие парни тоже учатся и могут быстро реагировать на угрозу со стороны специалистов по безопасности. В результате, охота за серверами C&C превращается в своего рода игру в кошки-мышки - надо найти командный сервер ботнета до того, как его владельцы вычислят, что "охотники" у них на хвосте, и сменят дислокацию командного центра. Эксперты отмечают, что многое зависит от ISP. В частности, необходимо быстро отключать доступ в Интернет зомбированных машин. Однако о возможности скорой и легкой победы, увы, не говорит никто. По данным компании MessageLabs, в настоящее время 80% спамовых писем рассылаются с зомбированных машин. Цифра, полученная Sophos, менее значительная - 50%, однако это на 25% больше, чем данные компании за прошлый год. Спамеры - основные заказчики ботнетов, и спрос на зомби-сети растет. Время одиноких хакеров и романтичных вирусописателей прошло. Нынче в теневой интернет-индустрии действуют хорошо организованные преступные группы, стремящиеся к наживе. Решение проблемы ботнетов выходит за рамки технических вопросов. Пока не прекратится спрос на зомби-сети, а, значит, их финансирование, война выиграна не будет. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004