Электронный журнал "Спамтест" No. 202 В этом номере: Новости Спам-статистика за период 17 - 23 сентября 2007 г. Спам в первом полугодии 2007 года Новости Осужденный спамер апеллирует к Конституции 26.09.2007 Антиспамовое законодательство штата Вирджиния противоречит первой поправке Конституции США о свободе слова - такой аргумент в пользу своего подзащитного выдвинул адвокат Джерими Джейнса (Jeremy Jaynes) на заседании Верховного суда Вирджинии. Джейнс, некогда считавшийся одним из мировых лидеров по рассылке спама, был уличен в проведении крупномасштабных мошеннических рассылок с использованием сервера AOL. Его ежемесячный доход от нелегального бизнеса был оценен в 750000 долларов. Джейнс был приговорен к 9 годам тюремного заключения и подал апелляцию. В сентябре прошлого года апелляционный суд штата Вирджиния признал деятельность спамера противозаконной и оставил приговор в силе. Теперь апелляция Джейнса рассматривается в высшей судебной инстанции штата. На самом деле вирджинский закон против спама не запрещает массовые рассылки некоммерческого характера по каналам электронной почты. Вина Джейнса в том, что в целях наживы он распространял в письмах заведомо ложную информацию и фальсифицировал адрес отправителя в целях маскировки. В процессе рассмотрения апелляции спамер остается на свободе. Итоговое решение Верховного суда должно быть оглашено в ноябре. Источник: AP Источник: Washingtonpost Английский бизнес несет убытки от несовершенства антиспам-защиты 26.09.2007 По оценке исследовательской компании e-Media, трудозатраты английских IT-администраторов на выявление "ложных срабатываний" систем фильтрации почты ежегодно составляют 5,85 миллиона рабочих часов и обходятся бизнес-структурам в 140,4 миллиона фунтов стерлингов (более 280 миллионов долларов). В опросе e-Media, проведенном по инициативе интернет-провайдера Mimecast, приняли участие более 100 IT-администраторов различных компаний и организаций Великобритании. 26% респондентов отметили, что проверяют содержимое спам-карантина каждый день, извлекая деловую почту, попавшую туда по ошибке; 12% - дважды в день, 16% делают это непрерывно. По данным консультативной компании E-Skills, в Великобритании в настоящее время насчитывается 270000 IT-администраторов. Взяв за основу эту цифру, среднестатистический уровень почасовой оплаты и выделив на каждую такую проверку 10 минут, специалисты e-Media произвели нехитрые расчеты и обнаружили, что недоверие к системам фильтрации почты ведет к ощутимым убыткам. Кроме того, 10% участников опроса заявили, что задержки в доставке электронной корреспонденции наносят серьезный ущерб бизнесу, а 7% - что важные деловые письма регулярно попадают в карантин. Главный исполнительный директор Mimecast Питер Бауэр (Peter Bauer) склонен винить в этом несовершенство методики оценки контента, используемой во многих антиспам-продуктах. Контент-фильтрация на основе количественной оценки непригодна для деловой переписки финансовых структур, фармацевтических компаний и правовых организаций. По его мнению, здесь уместней было бы применять репутационные фильтры, проверяющие трафик на входе во внутреннюю сеть. Источник: computerweekly.com "Штормовой троянец" предлагает отмывать деньги в открытую 26.09.2007 Интересный образец спам-рассылки с ботнета, зараженного "штормовым троянцем", перехватили специалисты Symantec. Спамовые сообщения с броским заголовком "Живые деньги!" приглашают ознакомиться с условиями "работы" на некоем веб-сайте, где искателям легкой наживы открытым текстом предлагается принять участие в схеме отмывания денег, подтвердив свое согласие регистрацией и отправкой письма по указанному адресу. К удивлению исследователей Symantec, инициаторы спам-рассылки даже не попытались придать своей акции хоть сколько-нибудь легальный вид. Указанная спамерами ссылка открывает php-страничку на одном из веб-хостингов популярной open-source электронной доски объявлений. Работодатель подробно описывает всю процедуру "финансовых операций" по переводу мелких (до 5000 долларов) сумм на счета в банках Канады, Австралии, Новой Зеландии и США, обналичиванию и отсылке денег обратно - за вычетом комиссионных (10%). По данным Symantec, использованный спамерами DNS зарегистрирован в Китае, а обнаруженные IP-адреса принадлежат, по всей видимости, зомби-машинам во Франции, Японии, Испании и Швеции. Надо отметить, что сайт, предлагающий "хороший и легальный способ заработать деньги", пользуется большой популярностью. При первом заходе на страницу с одиозным объявлением специалисты Symantec обнаружили около 4800 посещений, через три часа счетчик показывал уже 5446 просмотров, а пять минут спустя число визитов увеличилось еще на 40. Источник: Symantec Новая Зеландия: антиспам-закон в действии 27.09.2007 В течение первой недели после вступления в силу антиспам-законодательства в Новой Зеландии в экспертную группу Министерства внутренних дел поступило 155 жалоб и 300 запросов от пользователей Интернета. Работа нового правоохранительного органа началась при активной поддержке бизнес-структур и интернет-сообщества новозеландских пользователей InternetNZ. Первые две жалобы на спам поступили уже в день инициации Unsolicited Electronic Messages Act - бдительные получатели прислали копии писем от компаний, поверявших базы данных подписчиков на свою коммерческую рекламу. Еще 10 нелегитимных сообщений были классифицированы экспертами как порнографический спам и стали объектом их первоочередного внимания в соответствии с обозначенными новым законом приоритетами. Особого отношения от исследователей потребовали спамовые сообщения с вредоносными ссылками: доказательственная копия подлежит предъявлению судебным органам в полной неприкосновенности, препровожденная релевантным заключением экспертов. При изучении копий спамовых писем особое внимание уделяется информации, позволяющей определить источник рассылки. Местные правонарушения находятся в юрисдикции новозеландских властей, к ограничению деятельности заокеанских спамеров привлекаются силы зарубежных правоохранительных ведомств. По мнению новозеландских экспертов, стоящих на страже закона о нелегитимных коммерческих рассылках, применение его на практике требует индивидуального подхода в конкретных случаях. При наличии многочисленных жалоб на спам, исходящий от какой-либо местной организации, целесообразнее сначала связаться с нарушителем по телефону и склонить его к добровольному урегулированию ситуации. Источник: stuff.co.nz Спам-статистика за период 17 - 23 сентября 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 80,8%. Тематическое распределение спама на прошлой неделе мало отличалось от показателей недель предыдущих. Самое значительное изменение произошло в рубрике "Медикаменты; товары/услуги для здоровья" - доля этой тематики снизилась на 7,3%. Впрочем, "медицинский" спам все равно составляет четверть общего потока спама. Напротив, увеличилась доля русскоязычных рассылок, посвященных отдыху и путешествиям (+3,9%). Можно было бы ожидать, что такой всплеск обусловлен логичным продолжением новогодней тематики, появление которой было отмечено нами на прошлой неделе. Однако анализ этих рассылок показывает, что более вероятная причина повышения показателей - бабье лето и прекрасная погода, установившаяся на прошлой неделе. Подавляющее большинство предложений касается отдыха на выходные, причем предлагаются самые разнообразные варианты - от стандартных путешествий по городам Золотого кольца до туров "Магия древних славян" и "Реконструкция событий 1941-го на Бородинском поле". Посодействовало увеличению доли спама этой тематики и открытие театрального сезона. Многие предложения, отнесенные нами в эту рубрику, предлагали приобрести билеты на тот или иной спектакль. Интересно увеличение доли спама тематики "Личные финансы". Несмотря на то, что на фоне остальных изменений +0,5% выглядят скромно, для такой малочисленной рубрики они весьма существенны. Особенно интересно то, что этой половиной процента рубрика обязана рассылке на неоднократно описанную нами тему - акции. Именно такой спам произвел настоящий бум год назад. Кроме того, именно в этой тематической категории спамеры проводят наиболее активные эксперименты. Сейчас они решили вернуться к тактике простых plain text-рассылок с использованием старых текстовых трюков - замене обычных букв на небуквенные символы и разбиению ключевых слов ("акции" и пр.) небуквенными символами. Один из примеров таких рассылок приведен ниже под заголовком "Самый оригинальный спам". Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 25,2% -7,3% 2 Другие товары и услуги Предложения других товаров и услуг 20,5% +2,4% 3 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 11,8% +3,9% 4 Образование Реклама семинаров, тренингов, курсов 11,8% -3,8% 5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 7,2% +2,6% 6 Остальной спам   5,2% -0,8% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3,9% +2,3% 8 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 3,3% +0,5% 9 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 2,9% +1,1% 10 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 2,5% +0,4% 11 Юридические услуги и аудит Предложения юридических услуг 2,3% -3,0% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 2,3% -0,5% 13 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% +0,1% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Спам в первом полугодии 2007 года Анна Власова Спамерские приемы и методы В первом полугодии 2007 года спамеры предприняли несколько попыток освежить технологии генерации графических вложений в спаме (спам "в картинках"). Например, в феврале 2007 года спамеры вспомнили об анимированной графике, практически заброшенной ими в конце ноября прошлого года. Новая разновидность анимации отличалась тем, что исходное изображение было разбито на фрагменты, которые оказывались повернутыми под разными углами друг к другу. Затем появились и другие варианты "графического" спама - в частности, спамеры пытались использовать разные, причем далеко не самые распространенные, шрифты. Тем не менее, эти ухищрения не принесли успеха спамерам, и доля спама с графическими вложениями ("*.gif", "*.jpeg" и т.п.) начала постепенно снижаться. В январе доля такого спама составила 33% от общего количества спама, но уже в марте этот показатель снизился до 25,7%, а в июне составил всего 18,8%: Основная причина падения доли "графического" спама - снижение его эффективности. Спам-фильтры различных производителей научились неплохо разбираться с вложенными графическими файлами и успешно блокируют спам "в картинках". Тем не менее, спамеры вовсе не собираются отказываться от вложений-изображений, а потому ищут новые пути доставки графической информации, помимо привычных уже вложений форматов gif и jpeg. В первом полугодии 2007 года появилось несколько новых способов доставки и/или демонстрации пользователю спамерской "картинки": Размещение графических файлов на страницах бесплатного хостинга изображений (например, imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com и т.п.). В теле спамерского сообщения указывалась ссылка на URL с "картинкой". Когда получатель открывал сообщение, в большинстве популярных почтовых клиентов изображение автоматически подгружалось с данного URL. Использование спамерской "картинки" в виде фонового изображения письма. Графический файл не вкладывался в сообщение, а, опять-таки, публиковался на том или ином сайте. В теле сообщения был указан только URL сайта - как источник фонового изображения (атрибут "Background"). В результате изображение могло автоматически подгружаться в некоторых мейлерах, а также в веб-интерфейсах части почтовых служб. Спам с вложениями формата "*.pdf". Этот вид вложений не открывается и не подгружается автоматически. Чтобы увидеть спамерский контент, пользователь должен самостоятельно открыть файл-вложение. Спам с вложениями формата "*.fdf". В некотором смысле это аналог pdf-вложений, тем более что открыть fdf-файл и ознакомиться с его содержимым можно с использованием все того же Adobe Acrobat Reader. При первых двух нововведениях спамерами делалась ставка на то, что изображение непосредственно не вкладывается в сообщение, а значит, у спам-фильтров не будет материала для анализа. В последних двух случаях графический файл хотя и приложен, но формат его таков, что он игнорируется многими программами фильтрации спама. В итоге полноценный анализ спамерского контента не производится. Перечисленные приемы оказались достаточно эффективными в момент своего появления, но уже спустя несколько месяцев (а в некоторых случаях через несколько недель) спам-фильтры подстроились под спамерские новинки. Нельзя не отметить, что для наиболее "продвинутых" фильтров новые методы спамеров изначально не составили никакой проблемы. Например, серверный фильтр Kaspersky Anti-Spam изначально оснащен необходимыми средствами борьбы со спамом в pdf- и fdf-вложениях, что позволило ему противостоять новому виду спама без дополнительных программных модификаций. Долевое и тематическое распределение спама В первом полугодии 2007 года доля спама в основном продолжала удерживаться в уже привычном диапазоне - 70-80%. Причина такой равномерности - в меняющемся характере спама. Все большая его часть криминализируется и выходит за рамки традиционного рекламного жанра. Криминализированный спам не подчиняется законам рекламного рынка и практически не подвержен колебаниям, зависящим от сезонного спроса/предложения. Минимальное значение доли спама - 62,9% - было зафиксировано аналитиками "Лаборатории Касперского" 27 апреля, максимальное - 86,0% - 11 февраля и 28 мая. Рейтинг тематических рассылок-лидеров в первом полугодии 2007 года выглядит следующим образом (в скобках указан процент от общей доли спама): "Медикаменты; товары и услуги для здоровья" (17,3%). "Образование" (13,8%). "Компьютеры и Интернет" (9,2%). "Компьютерное мошенничество" (8,6%). "Услуги по электронной рекламе" (8,3%). Традиционно велика доля спама тематики "Медикаменты; товары и услуги для здоровья". Наибольшую часть подобного спама составляет англоязычная реклама дешевых медикаментов (виагра, циалис и т.п.). Наряду с уже привычными англоязычными предложениями виагры и антидепрессантов спам данной тематики пополнился русскоязычной рекламой оздоровительных товаров и услуг, среди которых: массажные очки, пособия по отказу от курения и абонементы в фитнес-клубы. Доля "медицинского" спама упорно росла с начала года. К концу полугодия она почти удвоилась - с 11,5% в январе до 21,4% в июне. Второе место занимает тематика "Образование" - 13,8%. В эту категорию в основном вошли русскоязычные предложения тренингов и семинаров, а также англоязычные предложения "дипломов". Тематика "Компьютеры и Интернет", оказавшаяся на третьем месте, в основном представлена англоязычными предложениями нелицензионного софта. Замыкают пятерку лидеров идущие практически вровень тематические категории "Компьютерное мошенничество" (8,6%) и "Услуги по электронной рекламе" (8,3%). По-прежнему высокие показатели рекламы спамерских услуг - признак того, что спамеры продолжают искать все новых клиентов. В течение полугодия неуклонно уменьшалась доля спама тематики "Личные финансы". В январе она занимала первое место с показателем в 13,3%, но с февраля "финансовый" спам сдает лидирующие позиции по объему и уступает место рекламе медикаментов. К июню доля спама тематики "Личные финансы" сократилась до 3,7%. Рекордно низкий показатель - 1,1% - был отмечен в первой декаде месяца. Такое сокращение обусловлено воздействием нескольких факторов: произошло насыщение спроса, т.е. даже излишне доверчивые пользователи потеряли интерес к этому виду спама и перестали реагировать на него; спам-фильтры разных производителей научились распознавать "финансовый" спам; официальные органы Канады и США в первом квартале 2007 года выразили обеспокоенность "финансовым" спамом и пообещали защитить инвесторов от этой угрозы. Это, несомненно, заставило спамеров задуматься о некотором риске. Фишеры заинтересовались Рунетом? В первом полугодии 2007 года было отмечено несколько попыток фишинга, направленного на сервисы, ориентированные преимущественно на пользователей Рунета. В первом квартале была зафиксирована попытка фишинга по отношению к российскому банку. Это редкость, т.к. обычно мишенями фишеров становятся западные банки, обладающие развитыми системами online-банкинга и большим количеством клиентов, пользующихся ими. Целью атаки, состоявшейся в 20-х числах февраля 2007 года, стал "Альфа-Банк". Фишеры работали по классической схеме: рассылаемые ими якобы от имени "Альфа-Банка" электронные послания маскировались под письма от банковской администрации и содержали ссылку на фальшивый сайт. Фишинговая страница также была замаскирована - под официальный сайт "Альфа-Банка", а точнее, копировала стиль, реквизиты, тексты и прочее с сайта-оригинала. На поддельной странице пользователю предлагалось ввести свой аккаунт и пароль в веб-форму, после чего все данные отправлялись злоумышленникам. В мае был зафиксирован ряд атак на платежную систему "Яндекс.Деньги". Цель их также была вполне стандартной: убедить пользователя ввести персональные данные в форму на фишинговом сайте и получить таким образом доступ к аккаунтам в платежной системе. И в первом, и во втором случае те из пользователей, кто не распознал мошенничество, серьезно рисковали своими деньгами, а возможно и лишились части из них. Попытки атаковать российские компании пока очень редки. В приведенном случае это, скорее всего, своеобразная разведка - попытка фишеров понять, подходят ли пользователи Рунета под категорию потенциальных жертв, а также выяснить, насколько популярны сервисы, позволяющие совершать денежные транзакции. Судя по тому, что мгновенного продолжения не последовало, пока фишеры остались недовольны уловом. Но не следует думать, что подобные попытки прекратятся. Через некоторое время - и вряд ли продолжительное - фишеры наверняка повторят пробу. Прогнозы на второе полугодие 2007 Во втором полугодии 2007 года весьма вероятны дальнейшие попытки совершенствования спамерами графических технологий в рассылке спама. Вместе с тем они попытаются исследовать и опробовать и другие технологии. Возможны возвраты к "хорошо забытому старому", т.е. попытки возрождения старых трюков, приемов и технологий. Не стоит ожидать серьезной угрозы от спама с pdf- и fdf-вложениями - доля такого спама уже сейчас демонстрирует тенденцию к дальнейшему сокращению. Наметилась тенденция минимального таргетинга спам-рассылок. Особенно это касается компьютерного мошенничества и всех вариантов фишинга (например, фишинговые письма, ориентированные на клиентов "Альфа-Банка", рассылаются по пользователям Рунета; имеет место случай своеобразного геотаргетинга). Судя по всему, часть спам-рассылок может превратиться в целевые, т.е. ориентированные на конкретную социальную, географическую, возрастную, языковую и т.д. аудиторию. Впрочем, произойдет это не сразу, и, скорее всего, процесс займет длительное время. Массовая доля спама в общем потоке электронной почты не должна претерпеть резких изменений. Смена основных спамовых тематик, входящих в приведенную 5-ку лидеров, маловероятна. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005