Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Лаборатория КасперскогоSubscribe.ru
Электронный журнал "Спамтест" No. 141

в этом номере:


Новости

Хакеры активно используют новую уязвимость в Internet Explorer

31.03.2006

По данным компании Websense, для привлечения пользователей на свои ресурсы, хакеры рассылают спам с анонсами новостей BBC и ссылками "читать дальше". Киберпреступники заманивают пользователей на фальшивые сайты, а затем, используя недавно обнаруженную уязвимость браузера Internet Explorer, устанавливают на их компьютеры шпионскую программу для считывания логов клавиатуры (кейлогер).

"Этот кейлогер контролирует активность пользователя на сайтах финансовой тематики и передает записанную обновленную информацию преступникам", - говорится в предупреждении Websense. Вредоносная программа способна перехватить логины и пароли к сайтам - сведения, которые преступники впоследствии продают или используют для опустошения счета жертвы.

Уязвимость в Internet Explorer связана с тем, как он обрабатывает вызов метода "createTextRange" языка DHTML. С момента заявления о существовании этой уязвимости, было создано, по меньшей мере, 200 сайтов, которые ее используют. Все эти ресурсы, как правило, устанавливают на компьютер пользователя шпионские и троянские программы.

Представители Microsoft заявили, что выпуск обновления для ликвидации уязвимости запланирован на 11 апреля. Впрочем, в компании не исключают возможности и более раннего релиза.

Между тем, две компании, занимающиеся обеспечением информационной безопасности, уже опередили Microsoft. eEye Digital Security и Determina на этой неделе выпустили неофициальные патчи для Internet Explorer. Многие эксперты рекомендуют пользователям быть осторожными с возможной установкой неофициальных патчей и до появления официального релиза пользоваться либо другими браузерами, либо отключить поддержку Active Scripting. Эта технология используется для поддержки сценариев на любых скриптовых языках на стороне пользователя.

Источник: CNET News.com

Фишеры используют интерес бразильцев к чемпионату мира по футболу

31.03.2006

Клиенты сразу нескольких бразильских банков были атакованы создателями новой фишинг-схемы, связанной с чемпионатом мира по футболу, который пройдет летом этого года в Германии.

Фишеры рассылают письма от имени платежной системы Mastercard и предлагают пользователям возможность бесплатно отправиться в Германию и посетить несколько матчей предстоящего первенства. Для того чтобы использовать эту возможность, получатели писем должны перейти по ссылке в письме. Однако клик в итоге загружает на компьютер программу для считывания логов клавиатуры.

В результате, когда пользователь посещает банковские сайты с компьютера с установленной вредоносной программой, его логин и пароль оказываются в руках у фишеров. В фишерском списке сайтов оказались bradesco.com.br, itau.com.br, unibanco.com.br, bancoreal.com.br, caixa.gov.br и caixa.com.br.

Источник: Vnunet.com

"Лаборатория Касперского" - на юбилее центрального события российской интернет-индустрии

03.04.2006

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, приняла участие в юбилейном, десятом, заседании Российского Интернет Форума (РИФ), организованного Региональным Общественным Центром Интернет Технологий (РОЦИТ). Юбилейное заседание РИФ прошло под патронажем Федерального агентства по печати и массовым коммуникациям, при этом поддержку мероприятия осуществляли Федеральное агентство по информационным технологиям и Федеральное агентство по образованию.

История Российского Интернет Форума насчитывает уже 10 лет. За время работы РИФ его основной задачей являлось объединение профессионалов в области интернет-технологий, популяризация глобальной Сети и привлечение внимания широкой общественности к тому уникальному средству глобального обмена информацией, каким является сегодня Интернет.

Юбилейное, десятое по счету, ежегодное заседание РИФ прошло 26 марта 2006 года в пансионате "Лесные дали". О значительном росте социальной востребованности освещаемых в рамках конференции тем свидетельствует небывалое для мероприятия увеличение количества участников. Впервые за всю историю проведения форума общее количество его участников превысило 1000 человек и составило 1327 специалистов в области интернет-технологий, представляющих более 800 организаций из крупнейших городов России и стран СНГ.

"Лаборатория Касперского" приняла традиционно активное участие в проведении Российского Интернет Форума, представив вниманию участников мероприятия профильную секцию "Информационная безопасность". В рамках данной секции ведущие специалисты "Лаборатории Касперского" выступили с рядом докладов, посвященных наиболее актуальным аспектам современной информационной безопасности.

В ходе работы секции "Информационная безопасность" представителями "Лаборатории Касперского" были освещены такие острые для сегодняшней глобальной Сети проблемы, как последние тенденции в области создания и распространения вредоносных программ, массовые незапрошенные рассылки по электронной почте (спам), Практика противодействия сетевым атакам на интернет-сайты, существующие и будущие угрозы для мобильной телефонии, а также ряд других актуальных вопросов.

Выступления специалистов "Лаборатории Касперского", традиционно отличающиеся, помимо неформального подхода к взаимодействию с аудиторией, информативностью, вниманием к деталям и высоким уровнем организации, привлекли пристальное внимание как участников форума, так и освещающих конференцию представителей СМИ. Ярким подтверждением актуальности проблем, затронутых в ходе докладов экспертов "Лаборатории Касперского", стало большое количество вопросов со стороны слушателей, превративших регламентные сессии "вопросов и ответов" в оживленные дискуссии.

Более подробная информация об участии "Лаборатории Касперского" в юбилейном, десятом, заседании Российского Интернет Форума, включая презентационные и информационные материалы, использованные в ходе докладов специалистов компании, доступна здесь.

Источник: "Лаборатория Касперского"

Имидж дороже

03.04.2006

По информации SoftScan, многие солидные компании прекратили рассылку автоматических сообщений о недоставке писем на адреса компаний, поскольку спамеры стали использовать эти рассылки для распространения спама. Хотя сообщения о недоставке корреспонденции полезны в деловой переписке, компании, дорожащие своим имиджем, предпочитают никак не ассоциироваться со спамом.

Подстановка спамерами фальшивых обратных адресов - прием хорошо известный. В результате его использования спамеры не только прячут истинные источники рассылки, но и избавляют свои ящики от множества сообщений почтовых роботов о недоставке писем, которые приходят после проведения спам-рассылок. А разгребают многочисленные "отлупы" те бедолаги, чьи адреса были подставлены в спамовых письмах в качестве обратных.

Однако спамеры додумались использовать автоматические сообщения о недоставке в своих целях. В качестве обратных адресов в спамовых письмах ставятся адреса-мишени, на которые должен быть доставлен спам. А рассылаются такие письма по заведомо несуществующим адресам с доменными именами, принадлежащими известным компаниям.

В результате от почтовых роботов этих компаний на адреса-мишени приходят сообщения о недоставке, содержащие текст не доставленного, т.е. спамового, письма. Таким сообщениям легче проскочить через спам-фильтры, да и пользователь может заинтересоваться письмом, пришедшим из легитимного источника.

По словам представителя SoftScan, ни одна уважаемая компания не хочет, чтобы ее доменное имя ассоциировалось со спамом. Хотя автоматические сообщения о недоставке писем могут быть полезными в деловой переписке, многие компании прекратили их рассылать, дабы избежать использования этих сообщений спамерами и, как следствие, появления доменного имени компании в жалобах на спам.

По данным "Лаборатории Касперского", прием с автоматическими сообщениями о недоставке спамеры используют довольно давно, а в последнее время он явно теряет популярность. Вероятно, такой способ рассылки спама не принес ожидаемого эффекта, поскольку пользователи, как правило, не читают текстов писем, о недоставке которых сообщают роботы. Особенно в тех случаях, когда не доставленные письма ими не отправлялись.

Источник: The Register

Почему фишинг действует

04.04.2006

Причиной успехов фишеров является беспечность пользователей. К такому выводу пришли американские ученые из Гарвардского и Калифорнийского университетов, которые выясняли, почему фишеры по-прежнему успешно проводят свои акции, несмотря то, что первые публичные предупреждения об их опасной активности появились несколько лет назад.

В ходе своего исследования "Почему фишинг действует" американские ученые провели работу с фокус-группами. 90 процентов участников фокус-групп оказались неспособными понять, пришло им подлинное или фальшивое письмо.

Исследователи представили респондентам хорошо подделанное письмо от банка Bank Of the West, в котором стояла ссылка на фишинг-сайт www.bankofthevvest.com (с двойной v вместо w). Сайт содержал все элементы, способные ввести пользователей в заблуждение: символ замка, лого компании VeriSign и даже поп-ап с предупреждением о необходимости соблюдать правила безопасности. 91 процент респондентов посчитали подлинными письмо и сайт с указанными элементами.

Участникам фокус-группы было также представлено письмо от настоящего электронного магазина, в котором была ссылка на сайт с простым дизайном для мобильных браузеров. 77 процентов респондентов посчитали этот сайт фишерским.

Почти четверть участников исследований вообще не обращали внимания на содержимое адресной и статусной панелей браузера и на вид символов безопасного соединения на фишинг-сайтах. Беспечность пользователей и делает их легкой добычей фишеров.

Преступники активно используют метод замены знаков в веб-адресах, например, строчной буквы l на единицу или прописную I. Авторы доклада считают, что люди не разбираются в синтаксисе доменных имен. "Они могут посчитать, что домен www.ebay-members-security.com принадлежит eBay", - отмечается в исследовании.

По мнению Бернхарда Отупаля, офицера департамента Интерпола по борьбе с высокотехнологичными преступлениями, пользователи не только по-прежнему попадаются на уловки фишеров, но и зачастую облегчают им задачу, демонстрируя полную беспечность. "Ответственность со стороны пользователей необходима. Недавно целый ряд пользователей стали жертвами фишинг-атак со стороны группы, члены которой писали письма от имени известного банка. Свои данные мошенникам сообщали даже те, кто не являлся клиентом этого банка", - сказал Отупаль.

Авторы исследования "Почему фишинг действует" считают, что возраст пользователей не играет роли для успеха фишеров. Однако в исследовании от другой компании - YouGov - получены иные результаты. Согласно опросу, проведенному YouGov, лишь 58 процентов респондентов в возрасте от 18 до 29 лет стали принимать меры предосторожности в связи с растущей угрозой киберпреступлений. Среди людей старше 50 лет эта доля составила уже 79 процентов.

Источник: CNET News.com

Verizon предлагает компенсацию за блокированные легитимные письма

05.04.2006

Один из крупных американских провайдеров, Verizon, оказался втянутым в судебное разбирательство. Коллективный иск против Verizon был подан абонентами, недовольными результатами жесткой антиспамовой политики провайдера.

Вплоть до лета 2004 года Verizon блокировала почту, приходящую с доменов целых регионов - в основном, из стран Европы и Азии. Как следствие, клиенты провайдера не получали деловые и личные письма. В результате Verizon "схлопотала" коллективный иск. Среди истцов люди, которых жесткая антиспамовая политика Verizon лишила возможности получать письма от родственников, и адвокат, обслуживающий клиентов из Великобритании.

По мнению адвоката Майкла Бони (Michael Boni), серверы Verizon не справлялись с возрастающими объемами почтового трафика, и провайдер решил проблему, заблокировав входящую корреспонденцию из некоторых регионов.

Представитель Verizon Бобби Хенсон (Bobbi Henson) утверждает, что фильтры не были настроены таким образом. По словам Хенсон, Verizon, у которой в настоящее время 5,1 миллиона абонентов, отлаживает свою систему, пытаясь найти оптимальный режим фильтрации. Компания хочет блокировать также сообщения, содержащие вирусы, и мошеннические письма.

Verizon Communications готова выплатить компенсацию своим клиентам. Если предложенное Verizon предварительное решение будет одобрено судом Лос-Анджелеса, компенсацию получат бизнес-клиенты и пользователи, которые были абонентами Verizon с 1 октября 2004 года по 31 мая 2005 года. Максимальная сумма выплат может составить $28 - по $3,5 за каждый месяц.

Verizon сообщила клиентам о своем предложении на специальном сайте EmailBlockingSettlement.com. Отказаться от компенсации можно до 19 мая, внести себя в список пострадавших - до 9 августа.

Между тем фирма Kohn, Swift & Graf, которую представляет Майкл Бони, намерена добиваться выплаты, сумма которой составляет $1,4 миллиона.

Следующее слушание в суде Лос-Анджелеса назначено на 20 июня.

Источник: USA Today


Спам - статистика за период
27 марта - 02 апреля 2006 г.

"Лаборатория Касперского"

Объем спама и тематические особенности

Средняя доля спама на прошлой неделе составила около 75,2% от общего объема почтового трафика, т.е. в целом ситуация сохраняет стабильность.

На прошедшей неделе очень серьезный скачок совершили рассылки из раздела "Компьютерное мошенничество", хотя никаких принципиально новых видов компьютерного мошенничества не было зафиксировано. Несколько необычно для пользователей Рунета выглядит только одно спам-сообщение (оно приведено ниже в разделе "Самые оригинальные предложения" - сообщение с темой "Business proposal"). Последнее время такой спам стал появляться в западной части Интернета. Для Рунета подобные предложения пока являются редкостью. Пока эксперты не пришли к единому мнению, что собой представляет этот "бизнес-спам". Возможно, это разновидность нигерийских писем, но их авторы перешли от предложений золотых гор, - т.е. многих миллионов долларов, - на более "реальные" суммы с расчетом, что пользователи быстрее "клюнут" на такую приманку. Или же это действительно предложение поучаствовать в создании схемы по "отмыванию" незаконных денег. В таком случае доверчивый пользователь рискует не только потерять некоторую сумму денег, но и, с точки зрения закона, оказаться соучастником мошеннической группировки. Будьте бдительны!

Аналитики "Лаборатории Касперского" также отметили волну "спам-попрошайничества". Пример подобного спама приведен на сайте Спамтест; тема сообщения - "Просьба".

Тематика "Медикаменты; товары/услуги для здоровья", напротив, продемонстрировала незначительное падение, но именно она принесла на этой неделе несколько любопытных экземпляров спама, причем на русском языке (все англоязычные письма не отходят от излюбленных тем - средств для повышения потенции и антидепрессантов). В первом письме речь идет о целебной музыке - слушая эту музыку хотя бы и стоя в пробке в машине, можно достигнуть целительного эффекта (пример см. на сайте Спамтест). Другое письмо посвящено лекарствам, но это не привычные в спаме виагра или циалис, а... слабительное. Конечно же, идеальное!

Предлагали спамеры и другие удивительные вещи. Например, в прошлый понедельник прошла рассылка с предложением приобрести колеса для электровозов. А в среду была зафиксирована рассылка, в которой рекламировались пояса (ремни) с молитвами. Спектр товаров и услуг, предлагаемых спамерами, поистине поражает! Как и их "креативный" подход к контенту. Например, возьмем традиционный уже спам, в котором рекламировался дешевый софт. Вроде бы ничего примечательного. Кроме того, что рекламируемый сайт, на который предлагалось зайти, назывался muhosransk.com. Оригинальное рекламное решение.

Популярные тематики

No Тематика Описание Доля тематики Изменения за неделю
1 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 25,3% +7,9%
2 Медикаменты; товары/услуги для здоровья Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 16,3% +7,9%
3 Другие товары и услуги Предложения других товаров и услуг 12,5% -3,5%
4 Образование Реклама семинаров, тренингов, курсов 11,1% -5,6%
5 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 10,1% +5,2%
6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 8,7% -3,1%
7 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 7,2% +4,4%
8 Остальной спам   4,8% -3,4%
9 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 2,9% -1,3%
10 Спам "Для взрослых" Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом Менее 2% Без изменений

Самые оригинальное предложение, а также самый массовый спам недели вы найдете на сайте Спамтест.


Борьба с фишингом и мошенническими рассылками

Александр Горный, технический руководитель почтовой службы Mail.ru

Доклад на конференции "Проблема спама и ее решения", декабрь 2005

В настоящий момент в Рунете представлены пять основных видов спама. Самая популярная и наиболее типичная его разновидность - рекламные письма, предлагающие купить тот или иной товар или услугу. Наиболее характерные примеры - спам от Центра Американского Английского или многочисленных туристических фирм, агитирующих за прекрасный отдых по низким ценам. В силу его распространенности именно на борьбе с ним и сконцентрированы усилия большинства антиспам-систем, и, как следствие этого, именно рекламный спам вынужден предпринимать максимум ухищрений для маскировки.

Второе место по распространенности занимает технический спам, то есть письма, возникающие не в силу чьей-то злой воли, а из-за неидеальной работы программного обеспечения. В первую очередь к такому спаму относятся сообщения о невозможности доставки тех писем, которые пользователь не отправлял (спамерские или вирусные сообщения с поддельным адресом отправителя). Несмотря на кажущуюся простоту задачи, автоматически отфильтровывать такие сообщения достаточно сложно - основная проблема заключается в невозможности сверки приходящих "отлупов" с реально отправленными письмами, поскольку как smtp мог быть использован и посторонний (провайдерский) почтовый сервер.

Пока еще экзотично, но набирает популярность использование спама для кампаний черного пиара. Конкуренты или недоброжелатели заказывают рассылку с текстом, основная мысль которого "политический деятель XXX (или компания YYY) - мошенники". Всплеск таких писем был во время прошлогодней украинской предвыборной кампании, но и в обычное время они иногда приходят. Почему-то чаще всех достается московскому интернет-провайдеру "Караван".

Безусловно следует признавать спамом "письма счастья" или "цепочечные письма". Их главная отличительная особенность - относительно небольшой размер первоначальной рассылки, массовость же достигается за счет просьбы переслать письмо всем, кто есть в адресной книге или контакт-листе инстант-мессенджера. Естественно, откровенно рекламные письма рассылать таким способом невозможно, обычно "цепочечные письма" носят эмоциональную окраску (самый яркий пример - поиски родителей нашедшегося в Таиланде мальчика в январе этого года), но иногда и скрытую рекламу (что-нибудь типа "передай всем, что в Москве повысился радиационный фон, не выходи из дома и пей больше йода, я в аптеке такой-то дешево его купил").

И наконец, пятый распространенный вид спама - мошеннические рассылки (фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества). Такие письма, как правило, призывают пользователя совершить какие-то действия (чаще всего просто заплатить деньги), но не за реальные товары/услуги, как в случае рекламного спама, а за нечто эфемерное, не получив в ответ никакого результата.

Распределение спама, приходящего на сервера Mail.Ru:

  • Рекламный спам - 88,5%
  • Технический спам - 5%
  • Фишинг - 3%
  • "Черный" PR - 2%
  • "Письма счастья" - 1,5%

Это картина типичной недели при отсутствии какой-либо явной эпидемии. Отметим, что цифры рассчитывались по жалобам пользователей, этим объясняется заниженное количество "писем счастья" - на знакомых жалуются менее охотно, чем на безличную рекламу.

Опасность фишинга

Одной из разновидностей мошеннических писем является "фишинг" (английский вариант - phishing, от fishing - "ловля на удочку"). Целью фишинг-рассылок является выманивание у пользователей персональной информации (логины, пароли, пин-коды, номера кредитных карт) с тем, чтобы в дальнейшем использовать их для наживы. Фишинговые письма имитируют легитимные сообщения солидных организаций (банков, финансовых компаний). Как правило, такие письма содержат ссылку, кликнув на которую потенциальная жертва мошенников попадает на поддельную страницу, которая выглядит как страница на сайте организации, от имени которой было отправлено сообщение. На фальшивом сайте посетителю под тем или иным предлогом предлагается ввести в форму свои персональные данные, которые, в конечном итоге, попадают в базы мошенников.

С точки зрения простого подсчета количества писем в ящике, фишинг сейчас не кажется чрезмерно опасным. Обычных "писем счастья" среднему пользователю сейчас приходит существенно больше, а рекламных рассылок на порядок больше, чем фишинговых писем. Тем не менее, опасности фишинга уже сейчас следует уделить повышенное внимание, и для этого существует сразу несколько причин.

Во-первых, доля фишинга в России растет (диаграмму см. здесь: http://www.spamtest.ru/document?pubid=183548007&context=1). На наш взгляд, индустрия фишинга в России еще не доросла до состояния отлаженного, постоянно работающего механизма (как это случилось с рекламным спамом). Когда это произойдет (скорее всего, в 2006-ом или 2007-ом году), доля такого спама стабилизируется на уровне, соизмеримом с рекламным спамом, а пока мы боремся только с "энтузиастами", которые испытывают естественные для любых малочисленных групп подъемы и спады. Однако готовиться к неизбежному лучше заранее, не закрывая глаза на проблему.

Во-вторых, каждое фишинговое письмо, оказавшееся в почтовом ящике, приносит существенно больше убытков, чем любой другой спам. Вообще, весь возможный минус от большинства видов спама - только потерянное на его прочтение/уничтожение время, плюс + расходы на оплату интернет-трафика). Фишинг же, не снимая этих потерь, добавляет возможность попасться на удочку мошенников, что, как правило, подразумевает достаточно серьезные проблемы - прежде всего, финансовые.

В-третьих, есть достаточно много чисто технических факторов, затрудняющих борьбу с фишингом, то есть при одинаковом допустимом проценте ложных срабатываний любая современная антиспам-система пропустит меньше рекламных писем, чем мошеннических.

Разновидности фишинга

Чтобы понять причины такого положения нужно вспомнить историю фишинга. Вероятно, впервые он появился в середине 90-ых годов в сети AOL. Сообщения подписывались администрацией этого сервиса и предлагали в разных вариациях прислать пароль от своего аккаунта, иначе он будет закрыт.

Со временем пользователи начали привыкать, что пароли в письмах обычно не отправляют, и эффективность такой ловушки начала падать. В ответ спамеры изобрели ее несложную модификацию: письмо уже не требовало пароля, а сообщало о каком-то событии на сервисе (новый перевод денег на PayPal, новое предложение на eBay и т.п.), требующее реакции пользователя, а рядом была ссылка, по которой следовало пройти, чтобы совершить необходимые действия. Ссылка естественно вела не на оригинальный сайт PayPal, а на копию его страницы, расположенную где-то под контролем спамера. На ней пользователь вводил свой логин и пароль (не испытывая никаких сомнений, авторизовываться по http он давно привык, а на URL в адресной строке мало кто смотрит), данные оказывались в базе данных мошенника, ну а пользователя кидало уже на настоящий PayPal, чтобы заметить обман и сменить пароль ему было сложнее.

Как альтернативный вариант на месте поддельного сайта могла быть просто страница, использующая очередную уязвимость в Internet Explorer и устанавливающая на локальный компьютер троян (для дальнейшей пересылки владельцу всех паролей или использования машины в качестве зомби-рассыльщика спама).

Для тех, кто все-таки смотрит на посещаемые им адреса сайтов, постепенно развивались методы маскировки URL'ов, чтобы сделать их более похожими на оригинальные. Начав с бесплатных хостингов и адресов типа paypal.boom.ru, в дальнейшем мошенники использовали адреса пародируемых сайтов перед собакой, то есть что-то типа http://www.paypal.com@34643.com/. В данный момент такая адресация запрещена в Internet Explorer и вызывает специальное предупреждение в Firefox, но несколько лет назад эта уловка отлично работала (а в одной из версий IE собаку можно было даже замаскировать полностью с помощью нулевого символа).

С помощью поддельных сайтов чаще всего пытаются одурачить пользователей интернет-банкинга (очень часто пародируется, например, Citibank). С поправкой на исправленные уязвимости браузеров, для обмана используется тот же арсенал, что и в западных аналогах так же без каких-либо значимых отличий.

К сожалению, в России продолжает работать и прямое выпрашивание паролей, образца AOL 90-ых годов. Зарегистрировав адрес типа mail.ru.admin@mail.ru и написав 100 "предупреждений о необходимости активации ящика" различным пользователям, все еще можно получить несколько ответов с реальными данными (а ведь контролируя почту, легко получить доступ и к другим регистрациям того же человека через системы напоминания пароля).

Другой вариант сбора паролей к почте - гуляющий из форума в форум текст (меняется только имя ящика-сборщика), рассказывающий о том, что, дескать, в системе восстановления пароля на Mail.Ru обнаружена ошибка, и если прислать на определенный ящик в определенном формате свой пароль и чужой логин, то можно получить пароль жертвы.

"Нигерийские" письма

Другой популярной схемой мошенничества были так называемые "нигерийские" письма, названные так по первому зафиксированному общественностью примеру (да и до сих пор Нигерия в "нигерийских" письмах фигурирует чаще любой другой страны). Спам был разослан от лица вымышленного высокопоставленного чиновника, который якобы сумел с помощью взяток и махинаций заработать достаточно большое состояние, но теперь находится под следствием и не может вывезти его из страны. Чтобы вывести деньги, ему нужен доступ к какому-нибудь банковскому счету, за предоставление которого он предлагает какой-то процент от общей суммы. Естественно, что получив желаемый контроль над счетом от доверчивого пользователя, мошенник не оставлял на нем ни копейки.

На российской почве отлично прижились аналоги "нигерийского" спама, только роль Нигерии у нас исполняет ЮКОС и окружение Ходорковского (письма подписываются именами членов его семьи или руководителей дочерних предприятий ЮКОСа), в остальном никаких отличий от "общепринятой" западной схемы мошенничества нет.

"Письма счастья"

Наконец, последний технологический прорыв спамеров -мошеннические рассылки в виде "писем счастья", самым ярким примером которого была недавняя эпидемия Golden Stream. Наверное все видели письмо, начинающееся со слов "Данное письмо НЕ является спамом. Это действительно выгодное предложение, от которого будет трудно отказаться. Это сообщение посылается вам только один раз, и если вы его проигнорируете, то, может быть, пожалеете об этом...". В нижеследующем тексте объяснялась простейшая пирамидальная схема - вам предлагалось заплатить 100 рублей автору письма (своему куратору), а потом переслать это письмо дальше, получив по 100 рублей со своих знакомых (стать их куратором) и какую-то часть прибыли от своих "подопечных" более низкого уровня. Пирамида обещает сделать миллионером каждого из своих участников. Особенностью рассылки было сочетание вреда от мошенничества (у получателей напрямую вымогали деньги) и эффективностью и фильтропроходимостью распределенной рассылки "писем счастья".

К сожалению, "письма счастья" не обошли стороной и М-Агент. Типичное сообщение такого рода, полностью скопировано из ICQ, выглядит примерно так: "Привет, передай всем, что номер 235234534 рассылает вирусы! Не добавляй его в контакт лист, или придется переустанавливать Windows". Самое забавное, что даже UIN приводится именно в таком, асечном виде, хотя в Агенте идентификатор пользователя - e-mail, а не какой-то номер. Мы пока не фиксировали мошеннических или фишинг-рассылок, но осуществить их очень несложно - достаточно добавить в изначальный текст фразу "подробнее смотри на таком-то сайте", а там уже расположить настоящий вирус. 80% пользователей сообщение проигнорируют, 10% обеспечат дальнейшую рассылку, а 10% клюнут на удочку.

Методы противодействия

Естественно, что борьба с мошенническими рассылками идет на основе обычных антиспамерских методов, в том числе используется богатейший опыт борьбы со стандартными рекламными рассылками. Наиболее близки к рекламе "нигерийские" письма, и против них хорошо работает практически весь традиционный арсенал - и черные списки IP (RBL), и детектирование массовых рассылок (DCC), и лингвистический анализ, и методы сличения с образцами.

Несколько по-другому дело обстоит с рассылками поддельных уведомлений от банков или платежных систем. Будучи очень выгодными для спамера в пересчете на одно письмо, они могут рассылаться не слишком массово (а значит, и с хороших IP), а чтобы проскочить мимо лингвистического фильтра, их можно сделать точно совпадающими с реальными уведомлениями (за исключением ссылки). Хранение же соответствий образца уведомления и легального для этой рассылки IP - задача очень сложная административно, а для небольших почтовых систем - просто невозможная. Тем не менее, в какой-то мере все эти методы продолжают работать, а в сумме дают неплохой результат.

Рассылки по технологии "писем счастья" обычно неплохо ловятся по образцам и методами лингвистического анализа, но практически всегда они приходят с правильными заголовками и с благонадежных IP-адресов (ведь рассылаются-то вручную или почти вручную). Поэтому в комплексных системах блокируются они обычно позже, чем рекламные рассылки той же степени массовости.

Более того, против нас начинает работать старая идея об обелении "старых корреспондентов". Часто считается, что письмо-ответ на собственное письмо, или письмо, отправленное кем-то из адресной книги, не может быть спамом и должно проходить любые фильтры. В обычном случае это идея довольно здравая и способствует уменьшению false positives, но распространению "писем счастья" она только помогает.

Еще одна проблема заключается в том, что совершенно непонятно, как "наказывать" такого спамера. Если open relay или зомби-машину в бразильской DSL-сети можно было спокойно поместить в черный список и забыть об их существовании, то для участника "счастливой" цепочки подобных мер нет. Закрывать ему ящик (даже если он пользуется нашим, а не конкурирующим сервисом) бессмысленно, он не поймет своей вины и в тот же день заведет себе новый. Занести в черный список его адрес - неприемлемо, такая практика приведет к слишком высокому false positives, он же живой человек и обычные письма тоже пишет. Теоретически полезно было бы проводить с ним воспитательные беседы, но, увы, это нереально, так как количество необходимых бесед измеряется десятками и сотнями тысяч.

Интересно, что против "писем счастья" помогает простое ограничение числа отправляемых писем за единицу времени в публичных почтовых службах (а такого рода спам идет в подавляющем большинстве от них). По крайней мере, по количеству таких писем, приходящих нам от коллег, сразу было видно, стоит ли такое ограничение у них или нет. Естественно, подобные запреты не должны применяться в лоб, иначе первыми под него подпадут IP-адреса мобильных операторов. Но реализовать rate limit, даже со всеми поправками и исключениями, - несложная задача для любого почтового провайдера.

Еще хуже дело обстоит с вымогательством паролей от имени администрации. Письма эти очень часто адресные, почти всегда пишутся вручную. Некоторые почтовые службы борются с таким видом мошенничества, запрещая регистрировать определенные ящики (например, в некоторых почтовых службах запрещена регистрация имен, начинающиеся на admi). К сожалению, практика показала, что результатов этот подход дает мало, так как фантазия запрещающих фильтров ограничена, а мошенников - нет. Эффективность рассылки с адреса passadmin@mail.ru оказалась практически такой же, как с headpassword@mail.ru, хотя второй уже, казалось бы, совсем не похож на системный.

Подобным видам мошенничества можно противодействовать практически только социальными методами - долгие годы приучать пользователей, что никто никогда не спрашивает у них регистрационные данные в письме, что адреса администрации отличаются от адресов пользователей по формальному признаку, а не по красоте, что администрация любой службы всегда обращается к своим клиентам по имени-фамилии, а не безлично. Эту работу необходимо проводить, причем проводить всем Рунетом, однако очевидно, что результат она даст (если даст) лишь через годы.

Прогнозы на будущее

C точки зрения угрозы фишинга, дополнительную опасность представляет распространение поддержки нелатинских доменов и появление двойников у известных служб (eBay можно написать и с использованием русских "е", "а" и "у", например). Возможно, это приведет к необходимости предупреждать пользователя о кириллических адресах в тексте писем.

Внутри подвидов фишинга будет постепенно сходить на нет доля "вирусного фишинга" - современные браузеры выдают слишком много предупреждений перед тем, как запустить что-либо опасное. Зато популярнее становятся кредитные карты, а значит, популярнее станет и попытка их украсть. Количество поддельных сайтов Ситибанка обязательно будет расти в геометрической прогрессии.

Если нынешние тенденции сохранятся, то нам следует ожидать персонализации рассылаемых спамерских рассылок (для "писем счастья" это вполне реально - имена можно брать из адресной книги почтового клиента или почтовой службы). Та же программа, которая будет разбирать адресные книги, начнет модифицировать сам текст сообщений, и в итоге пройдет ту же эволюцию, что прошли рекламные письма (текст через пробелы, текст псевдографикой, текст картинками, цитаты из классиков и все остальные ухищрения, которые мы видели у последователей ЦАА).

Ответом на это будет соответственное усиление контентной фильтрации, еще сильнее упадет эффективность RBL. Повсеместно будут введены ограничения на количество отправляемых писем и количество адресатов в каждом из них. Но в ближайшие годы доля фишинговых писем в общем потоке спама скорее всего увеличится.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2005


В избранное