Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Лаборатория КасперскогоSubscribe.ru
Электронный журнал "Спамтест" No. 203

в этом номере:


Новости

Symantec: США - полугодовой лидер по спаму, фишингу и краже конфиденциальных данных

02.10.2007

Статистический анализ, проведенный компанией Symantec в I полугодии 2007 (XII Internet Security Threat Report), показывает, что общий уровень спама в первом полугодии 2007 года несколько превысил средний показатель за II половину 2006 года и составил 61%. 60% спамовых сообщений, зафиксированных Symantec, являлись англоязычными; 0,43% спамовых писем (1 письмо из 233) содержали вредоносный код. Эксперты Symantec отмечают сокращение "биржевого" спама на 30% и заслугу эту приписывают энергичным действиям Комиссии США по торговле ценными бумагами (SEC). Как следствие, уменьшились и объемы графического спама - излюбленной формы "биржевых" спамеров: в мае-апреле, по данным Symantec, письма с "картинками" составляли 27% от общего количества спамовых посланий, тогда как в начале января примерно половина спама рассылалась в графическом виде.

Тематическое разделение спама в 1 полугодии 2007 года, согласно статистике Symantec, выглядело следующим образом: промтовары и услуги - 22%, финансы - 21% (сказалось сокращение "биржевого" спама!), медицинские препараты и услуги - 20%, Интернет - 17%. Основным источником спама остаются США, доля которых по сравнению с предыдущим отчетным периодом несколько возросла и составила 47%; наибольшее число спам-зомби также базируются на территории США - 10%.

В 1 половине 2007 года Symantec заблокировала в полтора раза больше фишерских сообщений, чем в предыдущий период - более 2,3 миллиона, причем 42% из них были разосланы с помощью трех готовых комплектов для проведения фишерских атак. По данным Symantec, такие комплекты стоят на подпольном рынке от 300 до 800 долларов; созданные ими для хищения персональных данных веб-сайты составляют 86% всех поддельных страниц; их хостинг осуществляется на 30% фишерских серверов. На 18% увеличилось и разнообразие фишерских посланий: за отчетный период Symantec зафиксировала 196860 отдельных видов подобных писем.

Охотясь за конфиденциальной информацией, фишеры по-прежнему предпочитают подделывать брэнды финансовых структур - 79% всех атак; не оставили они без внимания и сектор интернет-услуг - 11%. Больше половины (59%) серверов, на которых осуществляется хостинг фишинговых страниц, находится на территории США.

Что касается коммерциализации и индустриализации киберпреступного бизнеса, то и здесь США на первом месте - по оценке Symantec, самый обширный рынок похищенных из Интернета данных, а также 64% подпольных серверов, ведущих торги ими, находятся именно здесь.

Основным плацдармом сетевых атак по-прежнему являются также США, ответственные за четверть всех атак в Интернете. Штаты сохраняют лидерство и по общему уровню криминальной активности в Интернете (30%) (хотя в пересчете на количество пользователей уровень киберкриминала выше в Израиле и Канаде). 4% всей вредоносной активности исходит из внутренних сетей компаний, входящих в список Fortune 100. От целевых атак больше всего страдают пользователи домашних компьютеров - 95% от общего числа атак.

Источник: SYMANTEC

Источник: COMPUTERWORLD

Фишеры атакуют российский банк

02.10.2007

Онлайн-сервис "Альфа-Банка" в очередной раз стал мишенью фишерской атаки. Служба безопасности банка оперативно отреагировала на действия злоумышленников и ведет расследование.

Поддельные письма от имени "Альфа-Банка", разосланные фишерами, убеждали пользователей поторопиться с получением электронного ключа безопасности во избежание блокировки доступа к системе "Альфа-Клиент On-Line". В данных письмах сообщалось также о якобы проводимой акции по бесплатной раздаче ключей в ограниченные сроки. Получить электронный ключ предлагалось путем перехода по услужливо предоставленной ссылке.

По словам ведущего вирусного аналитика "Лаборатории Касперского" Александра Гостева, приведенная фишерами ссылка загружает на компьютер потенциальной жертвы скрипт, перенаправляющий браузер на веб-страницу с эксплойтом. Уязвимость инициирует ступенчатую "троянскую" атаку, направленную на хищение паролей и банковских реквизитов.

Администрация "Альфа-Банка" заявила о своей непричастности к данной мошеннической рассылке и в очередной раз призвала клиентов электронного сервиса быть бдительными. На веб-сайте банка подробно описан порядок действий, которые необходимо предпринять клиенту, имевшему неосторожность открыть вредоносную ссылку в письме-подделке. Служба безопасности банка пытается определить масштабы фишерской атаки и размер ущерба, нанесенного клиентской базе "Альфа-Клик".

Клиенты "Альфа-Банка" не в первый раз становятся объектом внимания фишеров. По прогнозам Гостева, с развитием электронного банковского сервиса в Рунете подобные атаки получат дальнейшее распространение. В настоящее время онлайн-услугами трех ведущих банков России уже пользуются около 300000 клиентов. Тем не менее, эксперт "Лаборатории Касперского" склонен считать, что банковский фишинг в Рунете пока менее опасен, чем, к примеру, атаки на пользователей платежных систем - Webmoney, Яндекс.Деньги и пр.

Источник: CNews.ru

Источник: vz.ru

IBM: Россия - третий спамер мира

02.10.2007

По данным отчета исследователей группы X-Force подразделения Security Systems IBM, в 1 половине 2007 года 13,2% спамовых сообщений (около 1/8) рассылались с территории США, 7,1% - из Польши, 5,9% - из России, столько же из Германии, немного меньше из Южной Кореи и Китая. Треть рекламируемых спамерами веб-сайтов находится на территории США. Большая часть спамовых писем (86,35%), зафиксированных X-Force, была написана на английском языке, из прочих в ходу немецко- и русскоязычный спам (6,74% и 2,93% соответственно). Самым популярным заголовком рассылаемых спамерами писем является "Re: "; зачастую тема письма не указана вовсе.

Против ожиданий экспертов, объемы графического спама в 1 полугодии 2007 года сократились до 30%, соответственно, уменьшился и размер нелегитимного письма. Специалисты IBM объясняют это обращением спамеров к другим форматам, позволяющим обойти спам-фильтры - PDF, XLS.

В рейтинге IBM по фишингу на первое место вышла Европа; главными источниками фишерских посланий являются опередившая Южную Корею Испания (17,9%) и Италия (14,7%). Почти половина фишерских веб-сайтов базируются на территории США. В своих письмах фишеры предпочитают тему письма не указывать; из прочих зарегистрированных в IBM заголовков наиболее распространенным был "Notification" ("Уведомление"). Основным контингентом атак злоумышленников являются клиенты финансовых структур - банков, аукционов, платежных систем.

Согласно статистике X-Force, количество асоциального контента в Интернете (порнография, насилие, преступность, наркотики) за отчетный период несколько уменьшилось и составляет 10%, причем на долю порносайтов из этих десяти приходится 9,9%. Лидером по хостингу страниц подобного содержания являются США.

Впервые за все время функционирования базы данных X-Force по эксплуатации уязвимостей количество выявленных объектов пошло на убыль. В то же время возросло число серьезных уязвимостей, использование которых злоумышленниками способно нанести значительный ущерб: 2% от всех выявленных уязвимостей, по оценке IBM, являются критическими (10 баллов по 10-балльной шкале). 90% выявленных за отчетный период уязвимостей позволяют злоумышленнику провести атаку из удаленного источника, чуть больше половины - получить доступ к хост-системе после успешной атаки.

Криминальная индустрия эксплойтов, по сведениям IBM, добавила в свой арсенал еще один вид услуг - прокат. Получая новинку во временное пользование, потенциальный покупатель имеет возможность опробовать ее в "полевых условиях" при небольших затратах.

По прогнозам исследователей X-Force, в ближайшем будущем тенденции дальнейшего развития подпольного рынка криминального инструментария и совершенствования предлагаемого им "товара" будут актуальны.

Источник: Cyber Attacks On The Rise: IBM 2007 Midyear Report (pdf)

Источник: money.cnn.com

США: жертвами мошенников чаще становятся лица преклонного возраста

02.10.2007

78-летний житель штата Канзас Уолтер Блевинз (Walter Blevins) за два года отдал в руки канадских мошенников 300000 долларов, пытаясь получить обещанный "выигрыш в лотерею". Совместные усилия американских и канадских властей по поимке преступников успехом не увенчались.

Почтенный пользователь Интернета имел неосторожность отозваться на нелегитимное предложение об участии в тотализаторе, якобы исходящее от игорного заведения в Лас-Вегасе. После этого ему поступил ряд звонков по телефону с сообщением о крупном выигрыше (на сумму 2,2 миллиона долларов) в лотерее, проводимой в Канаде, и предложением оплатить издержки по оформлению и переводу денег из-за рубежа.

Вступив в общение с мошенниками, Блевинз уже не мог вовремя остановиться и перевел за границу все свои сбережения, даже заложил свой дом. Узнав о случившемся, его дочь поспешила вмешаться и обратилась за помощью в полицию. К расследованию, помимо местных властей, были подключены силы ФБР, ФТК и канадских правоохранительных органов, но преступников выявить не удалось.

По экспертной оценке, пенсионеры представляют собой группу, наиболее уязвимую для всякого рода обмана. Как показывает статистика американского Национального центра по борьбе с мошенничеством (National Fraud Information Center), 60% жалоб на обман при розыгрыше призов, проведении лотерей, приеме заявок на инвестиции и благотворительные пожертвования с использованием Интернета и телефонной связи исходит именно от лиц преклонного возраста. Реальное число пенсионеров-жертв мошенничества определить трудно, так как пожилые люди зачастую даже стесняются официально признать, что их обвели вокруг пальца.

Старшее поколение американцев воспитывалось в те времена, когда можно было доверять скрепленным "честным словом" обещаниям, страдает от одиночества и ищет общения. В то же время у них есть накопленные за годы труда сбережения, они всегда дома, доступны по телефону или электронной почте и в результате неизменно попадают в списки легкой добычи, которыми торгуют в сетевом андеграунде.

Согласно статистике Американской ассоциации пенсионеров (American Association of Retired Persons, AARP), в ближайшие 20 лет не менее 75 миллионов американцев отпразднуют свое шестидесятилетие. Демографическая ситуация в США заставляет сделать неутешительный прогноз относительно дальнейшей экспансии киберкриминала.

Тем временем Федеральная торговая комиссия США (ФТК) отмечает возрастание мошеннических атак из-за рубежа, в особенности из Канады, на долю которой в прошлом году приходилась четверть подобных акций. По данным ФТК, ущерб американцев от трансграничного мошенничества в 2006 году составил 141 миллион долларов, из коих 93 миллиона попали в распоряжение канадских криминальных структур.

Правоохранительные органы США, такие как ФБР, ФТК и Почтовая служба, в сотрудничестве с канадскими коллегами создали несколько оперативных групп по борьбе с трансграничным мошенничеством. Они ведут совместные расследования, обмениваются информацией и изучают жалобы, поступающие от населения обеих стран. Их совместная работа уже увенчалась несколькими успешными судебными процессами.

Источник: The Billings Gazette

"Биржевой" спам открытым текстом

02.10.2007

По данным Symantec, "биржевые" спамеры вновь вернулись к использованию текстового формата в своих рассылках, применяя дополнительные уловки для обхода антиспам-защиты.

В сентябре исследователи Symantec зафиксировали новый тип спам-рассылок, продвигающих мелкие акции. Спамовые "биржевые ведомости" выполнены в традиционном текстовом формате, но снабжены характерными мерами маскировки от спам-фильтров:

  • строка "Subject" ("Тема") не заполнена, заголовок перенесен в тело сообщения;
  • в теле письма также приведены несколько произвольных адресов в алфавитном порядке;
  • в теле письма представлены дополнительные заголовки с информацией о динамике цен на продвигаемые акции;
  • в "mailto:" вместо URL повторно записана информация о ценах на акции.

За несколько дней специалисты Symantec блокировали более 990000 подобных атак. По их мнению, появление нового вида "биржевого" спама вызвано снижением эффективности других мошеннических трюков - графических изображений, писем с вложениями, которые уже успешно блокируются современными системами фильтрации спама.

Согласно статистике Symantec, объемы графического спама в 1 полугодии 2007 года значительно уменьшились; количество спамовых писем с вложениями, которые еще в конце августа составляли более 20% от общего объема спама, также сошло на нет.

Источник: SYMANTEC

Отчет MessageLabs за сентябрь и III квартал 2007

03.10.2007

По данным отчета MessageLabs, в III квартале 2007 года количество вредоносных и фишерских атак увеличилось значительно. В сентябре специалисты компании зафиксировали вторую волну целевых атак против руководителей высшего звена. Общие объемы спама в регулируемом трафике несколько уменьшились, "биржевые" спамеры вернулись к использованию текстового формата.

Как показывает анализ статистики MessageLabs, в настоящее время 1 письмо из 48 является носителем вредоносной программы. Прямую доставку вируса или троянца вложением в письмо злоумышленники стали заменять указанием ссылок на вредоносные веб-хостинги. За отчетный квартал популярность этого метода у киберпреступников выросла на 15%.

В перехваченных MessageLabs в сентябре злонамеренных рассылках 1 письмо из 87 было нацелено на хищение персональных данных. Доля фишерских посланий в общем объеме вредоносных писем увеличилась почти на 10% и в сентябре составила 56%. По данным MessageLabs, типовая атака фишеров по масштабам значительно превосходит вирусную атаку; объем фишинг-рассылок, как правило, составляет 20-80 тысяч писем, в отдельных случаях переваливает за 200 тысяч. По экспертному мнению, возросшая активность фишеров связана с распространением на подпольном рынке готовых комплектов для проведения интернет-атак.

Целевые атаки охотников за промышленными секретами, по оценке MessageLabs, стали технически более подготовленными, сфера их распространения расширилась. Перехваченные специалистами компании злонамеренные письма сообщали о выгодных вакансиях, понуждая получателя открыть вредоносный RTF-файл.

По статистике MessageLabs, общий уровень спама в течение III квартала снизился на 0,9%, в сентябре - на 0,5% по сравнению с предыдущим месяцем, и в настоящее время составляет 73,5%. Анализ "биржевых" спам-рассылок показал, что 90% писем, продвигающих мелкие акции по схеме "накачка-сброс", оформлены в традиционном текстовом формате и используют дополнительные элементы маскировки от спам-фильтров. Атака "биржевых" спамеров проводится в короткие сроки, но большим тиражом. По данным MessageLabs, 20 сентября из-за одной такой спам-рассылки входной трафик на некоторых доменах увеличился втрое.

Главной мишенью спамеров остается Израиль (73,8% спама), меньше прочих спама получают японцы (27,1%). Что касается разделения по профессиональным сферам, уровень спама в сельскохозяйственном секторе продолжал повышаться и в сентябре составил 67,8%, немногим меньше объемы спама в телекоммуникационных сервисах (67,2%). В финансовых структурах за прошедший квартал уровень спама уменьшился на 11,13%.

Источник: MESSAGELABS


Спам - статистика за период
24 - 30 сентября 2007 г.

"Лаборатория Касперского"

Объем и тематические особенности спама

Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 79,4%.

Последняя неделя сентября охарактеризовалась редкой стабильностью с точки зрения тематического распределения спама. Изменения в общем потоке спама долей рассылок, относящихся к определенным тематическим рубрикам, не превысили 3% каждая.

По-прежнему велика доля тематики "Отдых и путешествия", и по-прежнему большую ее часть составляют предложения об отдыхе на ближайшие выходные. По нашим прогнозам, изменение этой ситуации будет напрямую связано с окончанием "бабьего лета" и ухудшением погоды.

Мы уже неоднократно писали о криминализации спама. Из-за нечеткой правовой базы в России организации, не желающие иметь отношения к нелегальной деятельности, не гнушаются таким видом рекламы как спам. И все же для нелегальной или полулегальной деятельности спам остается едва ли не единственным способом широко заявить о себе. В качестве иллюстрации можно привести две рассылки, разосланные на прошедшей неделе: в одной из них предлагалась помощь по оформлению разрешения на оружие, в другой - по очистке "кредитной истории" тех, кто уже успел запятнать свою репутацию.

Англоязычный спам на прошедшей неделе порадовал спам-аналитиков рекламой интерактивного mp3-караоке. В англоязычных же потоках был обнаружен типичный сезонный спам, пока не очень характерный для нашей страны: спамеры предлагали купить плюшевые игрушки, посвященные грядущему Хэллоуину. Впрочем, с учетом того, как активно западные праздники приживаются в России, нельзя быть уверенными, что и в русском спаме не будет использована тематика этого мрачноватого праздника.

Популярные тематики

No Тематика Описание Доля тематики Изменения за неделю
1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 27,2% +2,0%
2 Другие товары и услуги Предложения других товаров и услуг 18,7% -1,8%
3 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 11,9% +0,1%
4 Образование Реклама семинаров, тренингов, курсов 10,8% -1,0%
5 Остальной спам   5,4% +0,2%
6 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 5,2% +1,3%
7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 4,9% -2,3%
8 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 4,9% +1,6%
9 Юридические услуги и аудит Предложения юридических услуг 3,1% +0,8%
10 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 2,9% +0,6%
11 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 2,7% +0,2%
12 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -1,6%
13 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -0,1%

Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест.


Энциклопедия спама. Эволюция спама

Рассылки спама (нежелательной рекламы) появились в середине 90-х годов прошлого века - как только количество интернет-пользователей достигло такой величины, что рекламодатели стали заинтересованы в таких рассылках. К 1997 году начали говорить уже о "проблеме спама", в том же году появился первый черный список IP-адресов спам-машин.

Эволюция методов рассылки спама

Эволюция способов рассылки спама определялась эволюцией средств фильтрации. Как только один из методов рассылки начинает преобладать, находятся эффективные средства борьбы с ним, и спамерам приходится менять технологию. При этом, чем большей проблемой является спам, тем активнее ищутся пути противодействия, и тем быстрее меняются технологии спамеров - их бизнес растет и позволяет вкладывать больше средств в разработку.

Прямые рассылки

Спам начинался с прямых рассылок - спамеры рассылали сообщения от собственного имени с собственных почтовых серверов. Такой спам блокируется достаточно просто (по адресу почтового сервера или адресу отправителя). Как только такие блокировки стали распространенными, спамеры были вынуждены начать подделывать адреса отправителей и другую техническую информацию.

Рассылки через "открытые релеи"

Открытый релей (open relay) - это почтовый сервер, который позволяет произвольному пользователю отправить произвольное электронное письмо на произвольный адрес. В середине 90-х годов все почтовые серверы представляли собой открытые релеи, поэтому понадобилось изменять и перенастраивать программное обеспечение на всех почтовых серверах мира. Не все администраторы почтовых систем делали это достаточно быстро, поэтому появились сервисы поиска "открытых релеев", а затем и их списки (в том числе основанные на технологии DNS списки реального времени - RBL, realtime blackhole list) и блокировка приема почты с таких машин. На сегодняшний день этот метод рассылки все еще применяется, т. к. открытые релеи до сих пор существуют.

Рассылки с модемных пулов

Как только рассылки через открытые релеи перестали быть эффективными, спамеры стали применять рассылку с dialup-подключений, используя следующие возможности:

  • как правило, почтовый сервер провайдера принимает почту от своих клиентов и пересылает ее дальше;
  • dialup-подключение получает динамический (меняющийся после каждого нового соединения) IP-адрес, таким образом, спамер может рассылать почту со множества IP-адресов.

В качестве ответной меры провайдеры стали вводить лимиты на число писем, посланных от одного пользователя, появились черные списки dialup-адресов и блокировка приема почты с "чужих" модемных пулов.

Рассылки с proxy-серверов

В начале 2000-х годов одновременно с распространением высокоскоростных подключений (ADSL, Cable) спамеры стали использовать уязвимости в клиентском оборудовании. Многие ADSL-модемы имели встроенный SOCKS-сервер или HTTP proxy (программное обеспечение, позволяющее осуществлять разделение интернет-канала между многими компьютерами), причем доступ к ним дозволялся со всего мира без паролей и контроля доступа (для упрощения настройки конечным пользователем). Таким образом, можно было произвести любое действие (в том числе и рассылку спама) с IP-адреса ADSL-пользователя. Так как таких пользователей по всему миру - миллионы, то проблема была частично решена только усилиями производителей оборудования - открытые всему миру "посредники" последние годы в состав оборудования не входят.

Использование зомби-машин

В настоящее время основная масса рассылок производится с пользовательских компьютеров, на которые тем или иным способом установлено "троянское" программное обеспечение, позволяющее спамерам (и прочим недобросовестным людям) осуществлять доступ к пользовательским машинам без ведома и контроля пользователя. Для взлома пользовательских машин используются следующие методы:

  • троянские программы, распространяемые вместе с пиратским ПО по файлообменным сетям (Kazaa, eDonkey и пр.);
  • использование уязвимостей в различных версиях Windows и широко распространенного ПО (в первую очередь MSIE и MS Outlook) для установки бэкдоров на пользовательских компьютерах;
  • email-черви последних поколений, также используемые для установки бэкдоров.

По самым скромным оценкам троянские программы установлены на нескольких миллионах машин по всему миру. На сегодняшний день эти программы достаточно хитроумны - они могут обновлять свои версии, получать инструкции с заранее подготовленных сайтов или каналов IRC, рассылать спам, осуществлять DDoS-атаки и т. п. По данным компании Return Path, 96,7% компьютеров, с которых рассылается электронная почта, контролируются спамерами, т.е. входят в так называемые зомби-сети.

Эволюция писем

Появление средств обнаружения спама, основанных на анализе содержания письма (контентный анализ), привело к эволюции содержания спамерских писем - их готовят таким образом, чтобы автоматический анализ был затруднен. Как и в случае изменения методов рассылки, спамеры вынуждены бороться с антиспам-средствами.

Простые текстовые и HTML-письма

Первые спам-сообщения были одинаковыми - всем получателям рассылался один и тот же текст. Такие сообщения тривиально фильтруются (например, по частоте повторения одинаковых писем).

Персонализированные сообщения

Следующим шагом было добавление персонализации (например, "Hello, joe!" - в начале письма на адрес joe@user.com), что сделало все сообщения разными. Теперь для их фильтрации нужно было выискивать неизменяющуюся строчку и заносить ее в список правил фильтра. В качестве метода борьбы были предложены нечеткие сигнатуры - устойчивые к небольшим изменениям текста и статистические обучаемые методы фильтрации (Байесовская фильтрация и т. п.).

Внесение случайных текстов, "шума", невидимых текстов

В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести "невидимый" текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования "спамерского трюка" и отклассифицировать сообщение как спам, не анализируя его текст в деталях.

"Графические" письма

Рекламное сообщение можно прислать пользователю в виде графического файла - что крайне затруднит автоматический анализ. В качестве ответной меры появились способы анализа изображений, выделяющие из них текст.

Графический спам представляет собой самые разнообразные рассылки. Некоторая часть такого спама - это простые картинки, которые можно детектировать спам-фильтрами. Однако спамеры все больше прибегают к усложненным видам графических писем: используют картинки с зашумленным фоном, прыгающими буквами и строчками (т.е. буквы расположены неровно относительно строки), заменяют отдельные буквы на изображения, разворачивают изображение на несколько градусов, используют на картинках редкие шрифты или шрифты разного размера, пытаясь таким образом обойти спам-фильтры. При этом текст на спамерской картинке часто становится практически нечитаем, в результате получатель с трудом может оценить спамерское предложение, и основная цель рассылки не достигается (реклама не работает).

Еще один технический прием спамеров - использование анимации. Это спам, рассылаемый не в виде обычных статических "картинок" (графических вложений), а в виде анимированной графики. Спамеры используют GIF-анимацию, т.к. она распознается и автоматически воспроизводится всеми популярными браузерами. Обычно анимированный спам содержит от 2 до 4 кадров, из которых только один кадр является значимым, т.е. содержит информационную составляющую.

Спамеры регулярно предпринимают попытки обновить технологии генерации графических вложений в спаме. В первом полугодии 2007 года появилось несколько новых способов доставки и демонстрации пользователю спамерской "картинки":

  1. Размещение графических файлов на страницах бесплатного хостинга изображений (например, imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com и т.п.). В теле спамерского сообщения указывалась ссылка на URL с "картинкой". Когда получатель открывал сообщение, в большинстве популярных мейлеров изображение подгружалось с указанного URL.
  2. Использование спамерской "картинки" в виде фонового изображения. Графический файл не вкладывался в сообщение, а, опять-таки, публиковался на том или ином сайте. В теле сообщений был указан только URL сайта, помещенный в тэг 'body', атрибут 'background'. В результате изображение могло автоматически подгружаться в некоторых мейлерах, а также в веб-интерфейсах части почтовых служб.
  3. Спам с вложениями формата *.pdf. Этот вид вложений не открывается и не подгружается автоматически. Чтобы увидеть спамерский контент, пользователь должен самостоятельно открыть вложение.
  4. Спам с вложением формата *.fdf. В некотором смысле это аналог pdf-вложений, тем более, что открыть и увидеть вложение можно с использованием все того же Adobe Acrobat Reader.

Все эти новинки оказались достаточно эффективными в момент появления, но уже спустя несколько месяцев, а иногда и недель, спам-фильтры подстроились под новые спамерские приемы.

Перефразировка текстов

Одно и то же рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст, и только имея много копий сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки.

На сегодняшний день широко используются три последних метода - далеко не все антиспам-средства могут с ними нормально бороться, что дает возможность доставлять спам тем пользователям, которые используют недостаточно продвинутые средства фильтрации.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2005


В избранное