Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Лаборатория КасперскогоSubscribe.ru
Электронный журнал "Спамтест" No. 163

Спам в первом полугодии 2006 года

В данном отчете анализируются количество и тематический состав спама в первом полугодии 2006 года, рассказывается о новых спамерских приемах и методах рассылки спама. Даются прогнозы развития спама в ближайшем полугодии. Отчет может быть полезен как профессионалам в области IT-безопасности, так и пользователям, интересующимся проблемой спама.

«Лаборатория Касперского» получает и анализирует примерно 300-500 тысяч спамерских сообщений в день. Источником анализируемого спам-трафика служат специальные ящики-«ловушки» и срезы различных по качеству и плотности почтовых потоков, предоставляемые нашими клиентами и партнерами. Весь входящий в систему спамерский трафик автоматически классифицируется. Часть входящего потока дополнительно анализируется вручную. Уникальный рубрикатор спама позволяет во всех деталях исследовать количественное и тематическое распределение спамерских сообщений.

Количество спама

Начиная с марта 2006 года аналитики «Лаборатории Касперского» отмечают стабильно высокую долю спама в почтовом трафике: 75-78% от общего объема почты.

Это высокий показатель, и характерно, что аналогичная картина, по наблюдениям аналитиков «Лаборатории Касперского», наблюдается как в Рунете, так и в западном сегменте Интернета.

По сравнению с 2004-2005 годами нижняя граница нормального распределения спама незначительно повысилась – с 73% до 75%. Но одновременно график долевого распределения спама оказался более плавным, без ярко выраженных подъемов и спадов. Это нетипичная картина. В 2003-2005 гг. в Рунете наблюдались два «сезонных» спада спама, связанные с традиционными праздниками – Новым годом и майскими выходными. В этом году «майского» спада не было.

Складывается впечатление, что к настоящему моменту произошло «насыщение» спамом почтовых потоков. Доля спама стабилизировалась на достаточно высоких показателях, и показатели эти уже слабо подвержены влиянию внешних факторов, например таких, как региональные праздники.

Картина долевого распределения спама в первом полугодии 2006 года следующая: в январе уменьшение доли спама до минимального значения – 44% от общего объема почтового трафика (4-5 января); затем скачкообразный подъем до пика в 86,4% в феврале (14-17 февраля); еще несколько резких скачков с колебаниями от 63,8% до 81,2%; и, наконец, выход доли спама в стабильную зону 75-78%.

В течение последних четырех месяцев полугодия доля спама была слабо подвержена колебаниям, хотя 13 апреля был зафиксирован всплеск до 89,7%. К концу первого полугодия наметился постепенный рост доли спама, и последний месяц полугодия – июнь – завершился с долевым значением 82,2%, что также нетипичнодля середины лета. До этого года середина лета оказывалась своеобразным мертвым сезоном на рынке спамерской рекламы. Последующие месяцы покажут, вернется ли доля спама в границы средних значений, т.е. Опустится ниже 80% или нет.

Тематический состав спама

В первом полугодии 2006 года тройка лидирующих тематических категорий спама выглядит так:

  1. Спам тематики «компьютерное мошенничество» (Сюда относятся такие категории спама, как фишинг, «нигерийские» письма, фальшивые уведомления о выигрыше в лотерею и т.п., предложения контрафактных и контрабандных товаров, мошеннические предложения отправить SMS на платный номер и т.п.).
  2. Спам с предложениями лекарств и прочих медицинских и «околомедицинских» товаров/услуг.
  3. «Образовательный» спам: предложения курсов, семинаров и тренингов.

Доля спама тематики «компьютерное мошенничество» вновь росла. Среднее значение этой доли спама в 2005 году составило 11% от всего объема спама, а в первом полугодии 2006 года этот показатель уже равен 18,8%. Подробнее см. ниже в разделе «Криминализированный спам».

Некоторые рассылки внутри тематик отличаются завидным постоянством: они регулярно повторяются и рассылаются по миллионам адресов.

Список TOP-3 самых массовых, продолжительных и регулярно повторяющихся спам-атак выглядит следующим образом:

  1. Предложения виагры и прочих средств для усиления потенции (темы сообщений с искаженными написаниями названий медицинских препаратов, например ouxomVjlAGRA).
  2. Финансовый спам – попытка повлиять на стоимость акций на фондовой бирже (темы сообщений с предложениями акций, например Stock Promo Mover: SGXI.PK).
  3. Предложения курсов, тренингов и семинаров для руководителей по повышению мотивации служащих, вопросам бухгалтерии и налогообложения.

Криминализированный спам

О продолжении процесса криминализации спама свидетельствуют: дальнейший рост доли спама тематики «Компьютерное мошенничество»; появление новых видов мошенничества, инструментом для реализации которых служит спам; совершенствование уже известных видов спама этой тематической категории.

О росте доли криминализированного спама свидетельствуют цифры – в первом полугодии 2006 года доля криминализированного спама в среднем составила 18,8%.

Распределение криминализированного спама в первом полугодии не было равномерным. В пиковые периоды доля кримилизированных спам-атак иногда достигала 25% от всего объема спама. Продолжительность каждого такого «пика» составляла 1-3 дня. В остальное же время криминализированные атаки составляли 13–16% от всего спама. Точечные детальные замеры по этой категории спама показывают, что случаи фишинга могут составлять до половины всех спам-атак тематики «Компьютерное мошенничество».

Некоторые виды криминализированного спама распространены во всем мире. Это прежде всего фишинг, «нигерийский» спам, «финансовый» спам, предложения контрафактного ПО и пр. Но существуют виды спама, уникальные для разных регионов. Например, участие в замаскированных схемах по отмыванию денег (подается спамерами как легальный бизнес) предлагают исключительно пользователям западной части Интернета.

В свою очередь, пользователи Рунета в конце первого полугодия 2006 года могли оценить спамерскую новинку: спам, призывающий получателя под тем или иным предлогом отправить SMS на платный номер. Предлоги бывают самые разнообразные. Например, спам-аналитики «Лаборатории Касперского» обнаружили спам с предложением… отписаться от спама, отправив SMS на указанный в тексте письма номер.

Часть криминализированного спама обычно представлена рассылками на европейских языках - английском, французском, немецком. Например, поддельные уведомления о выигрыше в лотерею обычно англоязычные, «нигерийцы» пишут на английском и французском, поддельные часы и сумки известных марок предлагают на английском языке и т.п.

В первом полугодии 2006 года спамеры вновь продолжили осваивать русскоязычную аудиторию, которая, очевидно, кажется им достаточно перспективной.

Попытки перевести некоторые популярные виды англоязычного спама были зафиксированы и в прошлые годы. До сих пор они остаются скорее в разряде курьезов, т.е. не носят массового характера. Пока это лишь эпизодические попытки адаптации типичного англоязычного спама к российскому рынку, но если они увенчаются успехом – спамеры получат достаточный финансовый «отклик», – то подобный спам может стать нередким гостем в почтовых ящиках российских пользователей.

Технические особенности рассылки спама

За прошедшее полугодие не появилось никаких принципиально новых технологий рассылки спама, но произошло последовательное развитие существующих технологий.

Программное обеспечение современных спамеров имеет сложную организацию, куда входят следующие компоненты:

  • Вирусы, заражающие персональные компьютеры.
  • Распределенные средства управления зомби-сетями.
  • Средства удаленного управления персональными компьютерами и серверами.
  • Автоматические генераторы сообщений по шаблонам.

Уровень сложности этих компонентов стал столь высок, что что-либо принципиально новое в рассылке спама уже не может появиться за несколько месяцев, вместо этого идет эволюционное развитие существующих методов рассылки спама.

Как и прежде, для рассылки спама используются: сети зомби-компьютеров (ботнеты); веб-сервера, уязвимости в популярном серверном ПО.

Сети зомби-компьютеров

Основной объем спама рассылается через сети зомби-компьтеров (ботнеты). Количество таких сетей неуклонно увеличивается, и сами сети объединяют все больше машин. Хотя зафиксированный голландской полицией рекорд прошлого года, арестовавшей создателей сети из полутора миллионов персональных компьютеров, до сих пор не был превзойден. К сожалению, из этого не следует, что таких больших сетей зомби-компьютеров не существует, скорее всего, пока не удается их вычислить и найти владельцев сети.

Типовой способ управления зомби-сетями постепенно мигрирует с протокола IRC на протокол HTTP. При этом для централизованных сетей (то есть имеющих некоторый узел управления, к которому присоединяются остальные зомби-компьютеры) центр управления все чаще располагается на «спамоустойчивом» выделенном сервере (Под «спамоустойчивым» сервером понимается сервер, арендованный у провайдера, лояльно относящегося к использованию его мощностей в качестве источников спама, игнорирующего жалобы на адрес abuse и т.п. Обычно такие провайдеры находятся за пределами стран, имеющих законодательство, регулирующее распространение спама.). Тем самым, выделенные сервера получают вторую жизнь не как источники спама, а как центры управления зомби-сетями.

Кроме того, стали чаще появляться децентрализованные сети зомби-компьютеров, в которых каждый «зомби» пытается соединиться с максимальным числом других, а команды управления передаются от одного компьютера к другому по всей сети. Управление подобными сетями происходит через любой из компьютеров, входящих в сеть.

В качестве противодействия сетям зомби-компьютеров, интернет-провайдеры, предоставляющие доступ в Интернет конечным пользователям, устанавливают для своих пользователей следующие ограничения:

  1. Запрет на непосредственную рассылку почты иным почтовым релеям, кроме принадлежащего провайдеру. Это нужно для получения контроля над всей исходящей почтой.
  2. Контроль количества исходящих почтовых сообщений за единицу времени от одного пользователя. Отключение пользователя или существенное ограничение возможности отправлять электронную почту при превышении определенного порогового количества.
  3. Фильтрация содержимого отправляемых писем теми же фильтрами, которые используются для входящей почты.

Такие меры позволяют ограничить рассылку спама зомби-сетями, рассылающими его напрямую или большими количествами с одного и того же компьютера, и при этом не являются обременительными для обычного пользователя. В ответ на это спамеры стали использовать большее количество зомби-компьютеров для производства спамерских рассылок, тем самым сокращая количество писем приходящееся на одну зомби-машину. Еще один способ рассылки, который стали использовать спамеры – рассылка спама через почтовый сервер провайдера, который определяется сканированием сети или с помощью анализа настройки почтового клиента пользователя.

Веб-сервера: уязвимости в популярном серверном ПО

Основная идея рассылки спама с использованием веб-серверов и уязвимостей в серверном ПО аналогична идее использования бот-сетей: злоумышленникам необходимо заставить сервер выполнить нужные им операции. Однако поиск уязвимостей производится не в персональных компьютерах, а в серверах, обычно работающих под управлением операционных систем Unix, немного отличаются способы заражения и управления, а также использования найденных уязвимостей.

Заражение веб-серверов происходит примерно по следующей схеме: Исследуя исходные тексты популярного серверного ПО, написанные на языке программирования, злоумышленник ищет уязвимости, с помощью которых можно получить доступ к ресурсам сервера. В основном, поиск уязвимостей производится в интерпретаторе PHP, популярных движках форумов или блогов.

  1. При помощи поисковых систем (Google, Yandex и т.д.) разыскиваются веб-узлы, на которых установлено программное обеспечение, содержащее в себе уязвимости.
  2. Уязвимости используются для того, чтобы установить на сервер скрипты, позволяющие удаленно выполнить какие-либо команды или модифицировать данные, доступные веб-серверу.

После этого найденный доступ можно использовать для рассылки спама или DDoS-атак.

Такое использование сервера может быть достаточно быстро замечено системным администратором, который ликвидирует как вредоносный код, так и саму уязвимость.

Другое использование, менее заметное для владельца сервера, заключается в интеграции в html-код зараженных ресурсов вирусов, заражающих интернет-браузеры посетителей, - соответственно, чем популярнее ресурс, тем больше персональных компьютеров рискуют превратиться в зомби через уязвимости браузеров.

Спам в форумах

В прошлом году мы писали о том, что не только эл. п. Служит спамерам для осуществления их целей – спамеры начали осваивать другие каналы: средства instant messaging (ICQ, MSN), сотовые телефоны (SMS, MMS). Однако на этом они не остановились. Значительно увеличилось количество спама в популярных форумах и лентах комментариев блогов.

Раньше спам подобного типа был предназначен не для прочтения людьми, а для обмана поисковых систем, т.е. Повышения рейтинга рекламируемого сайта за счет большего количества ссылок на него. Для распространения такого спама в основном использовались «забытые» форумы, хозяева которых больше не следят за их состоянием.В прошедшем полугодии начала расти доля спама, который несет рекламную информацию и предназначен для прочтения людьми. Внешне такой спам имитирует обычные сообщения на форумах. Для его распространения выбираются наиболее посещаемые форумы и блоги, часто подходящие по тематике рекламируемых товаров или услуг.

Графический спам

Хитом первого полугодия 2006 года стал «графический» спам, то есть спамерские рассылки, в которых основная информация находится на приложенной к письму картинке, а не в тексте письма. Количество такого спама неуклонно растет. Одновременно спамеры модифицируют ПО для подготовки и рассылки «графического» спама. В частности, появились следующие новшества:

  1. Повороты исходных картинок на случайные углы.
  2. Разрезание картинок на части и представление их вместе средствами языка разметки HTML.
  3. Графическое представление отдельных букв – разных в разных образцах одной и той же спам-атаки. (Строго говоря, это не столько новшество, сколько попытка реанимации очень старого графического трюка. Подобных примеров не было уже более 1,5 лет, поэтому мы позволили себе отнести эти попытки к разряду новинок этого полугодия.)

Новые трюки, разрабатываемые спамерами, преследуют ту же цель, что и более старые способы обхода спам-фильтров: внести в изображение «шум», который не позволит фильтрующему модулю сгруппировать спам-рассылку и идентифицировать графические вложения в рассылке как одинаковые по контрольной сумме.

Любое новшество спамеров требует модификации программного обеспечения, которое они используют. А это уже – время, деньги и людские ресурсы. Значит, если спамеры начали работу в каком-то направлении, то на текущий момент именно такой спам наиболее успешно пробивает почтовую защиту.

Сегодняшние спам-атаки с применением графических «новинок» являются англоязычными и ориентированы прежде всего на западного пользователя. Чаще всего в «графическом» спаме встречаются предложения лекарственных препаратов, дешевого ПО, швейцарских часов, попытки биржевых спекуляций.

В Рунете волна экспериментов с «графическим» спамом прошла два года тому назад, но затем спамеры, работающие на рынке Рунета, практически прекратили опыты с графикой, ограничившись теми технологиями и наработками, которые были созданы ими в 2004 году.

Примеры графических «новинок» первого полугодия 2006 года см. на сайте Спамтест.

Выводы

  1. Доля спама в почте по-прежнему высока: 75-78%. К середине лета неожиданно наметилась тенденция роста доли спама. Июнь закончился на показателе 82,2%.
  2. Чаще всего пользователи получали спам следующих тематических категорий: «компьютерное мошенничество», «фармацевтика» (в основном представленная виагрой и подобными средствами), «образовательные услуги».
  3. В Рунете появился новый вид мошеннического спама. Это спам, призывающий получателя под тем или иным предлогом отправить SMS определенного вида (содержащее заданное кодовое слово и/или номер) на номер платного сервиса. Цель спамеров: перечисление денег на их личные счета.
  4. Происходит эволюция существующих методов рассылки спама.
  5. Спамеры осваивают форумы и блоги.
  6. Графический спам: новый виток развития спамерских технологий.


Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2005


В избранное