Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Лаборатория КасперскогоSubscribe.ru
Электронный журнал "Спамтест" No. 205

В этом номере:


Новости

12.10.2007

Спамеры эксплуатируют уязвимость в системе регистрации на сервисе YouTube используя услугу "Invite Your Friends" ("Пригласи своих друзей") для рассылки нелегитимной рекламы.

Специалисты по безопасности зафиксировали всплеск нелегитимных рассылок, исходящих с серверов YouTube. Дело в том, что сервис "Invite Your Friends" предоставляет пользователям YouTube возможность показать видеоролик любому адресату, отослав ему письмо со своего аккаунта и снабдив его релевантной ссылкой. Такие сообщения получают один и тот же адрес отправителя service@youtube.com, который служба технической поддержки YouTube уверенно рекомендует включать в белые списки.

Спамеры взяли на вооружение услугу "Invite Your Friends", рассчитывая, что легитимный и хорошо известный адрес отправителя поможет спамовым письмам обойти фильтры. Спам с YouTube выглядит, как обычные письма, рассылаемые с сервиса "Invite Your Friends", но раздел "comments" ("комментарии") содержит типовой спамовый контент и ссылку на веб-сайт спамеров.

Эксперты Marshal полагают, что спамеры автоматически создают аккаунты на YouTube. Как и на многих публичных интернет-серверах, на YouTube при регистрации для борьбы с ботами используется тест CAPTCHA. По информации Marshal, спамеры научились "обманывать" систему верификации с помощью программы распознавания символов (intelligent character recognition, ICR).

Исследователи Marshal уже зарегистрировали около 150000 спамовых писем, исходящих с аккаунтов YouTube. Эксперты Sophos также перехватили ряд спамовых сообщений с service@youtube.com, рекламирующих видеоигры и сайты знакомств.

Источник: ZDNet.co.uk

PhishTank: США - лидер по хостингу фишерских веб-сайтов

12.10.2007

Анализ статистики, представленной в первом годовом отчете сервиса PhishTank, показал, что более 30% фишерских веб-сайтов находятся на территории США.

В рейтинге PhishTank по фиш-хостингу США в течение всего отчетного периода прочно удерживали первое место, только в ноябре 2006 года уступив непочетное лидерство Южной Корее. Больше всего фишерских веб-сайтов было зафиксировано в сетях американского интернет-провайдера SBC - 53666; второе и третье места поделили Comcast и Road Runner (соответственно 28016 и 25925 фишерских сайтов).

В течение года в базу данных PhishTank было занесено около 300000 подозрительных веб-сайтов, из них примерно 220000 признаны фишерскими. В 8760 случаев сообщество PhishTank допустило ошибку.

По оценке добровольцев PhishTank, активность фишеров продолжает возрастать; с января по апрель 2007 года количество атак с подозрением на фишинг увеличилось в 2,5 раза. Уникальные фишинговые послания в отчетный период регистрировались в PhishTank каждые две минуты.

По наблюдениям активистов PhishTank, современные атаки фишеров имеют несколько интересных особенностей. 18% фишерских веб-сайтов были размещены всего на 3 IP-адресах. 4 из 5 фишерских веб-сайтов, отличавшихся наибольшей агрессивностью, были размещены на домене .cn (китайский домен высшего уровня).

Среди популярных у фишеров брэндов несомненными лидерами являются PayPal и eBay, которые значительно опережают крупнейшие банки мира. Кстати, ознакомительный просмотр новых записей в базе данных PhishTank за 10 октября обнаружил 10 записей о фиш-хостингах с поддельной страницей регистрации eBay на домене .ru. Помимо финансовых структур, фишеры начали атаковать и другие сервисы, такие как Amazon.com, WalMart и CareerBuilder.com.

По оценке PhishTank, большинство современных фишерских веб-сайтов созданы на базе домашних компьютеров, захваченных злоумышленниками. Активисты PhishTank, как правило, оперативно информируют интернет-провайдеров об обнаруженных в их сетях криминальных хостингах. С 9 октября борцы с фишингом открыли новый сервис: теперь новые записи в базе данных PhishTank будут доступны в виде RSS-рассылки.

Источник: OpenDNS

Во Вьетнаме появится закон против спама

16.10.2007

Министерство информации и связи Вьетнама представило на рассмотрение правительства проект закона против спама. Нарушителей нового законодательства будут штрафовать на сумму от 1 до 100 миллионов вьетнамских донгов (60-6200 долларов США).

За основу законодательного проекта был взят разработанный в прошлом году министерский циркуляр о рекламе в электронном сервисе. Юрисдикция этого циркуляра была расширена и теперь охватывает все средства связи - электронную почту, мобильную, факсимильную связь и телефон. В обсуждении проекта нового закона приняли участие представители бизнес-структур и интернет-провайдеры.

Новое вьетнамское законодательство запретит рассылку спама, рассылку электронных сообщений с вводящими в заблуждение заголовками, использование чужих аккаунтов для рассылки спама, торговлю электронными адресами и использование специализированных программ для рассылки спама и сбора электронных адресов.

Легитимные рекламодатели смогут осуществлять коммерческие рассылки на адреса получателей, зарегистрированные в Министерстве информации и связи, но в ограниченном объеме - не более 5 сообщений в сутки на один адрес. Получатели коммерческих писем от специализированных рекламных сервисов будут в соответствии с законом иметь возможность отказаться от подписки. В случае отказа рекламодатель обязан в течение суток прекратить рассылку на данный адрес. Прямая реклама товаров и услуг местных компаний должна всегда сопровождаться опцией "согласиться на подписку".

По данным Symantec, объемы спама во Вьетнаме в 1 половине 2007 года составляли 84% всего почтового трафика. Рассылка спама в этой стране давно поставлена на профессиональную основу. Десятки вьетнамских компаний открыто предлагают услуги по организации массовой рассылки нелегитимной рекламы, по продаже специализированных программ для осуществления таких рассылок, поиска и сбора электронных адресов на новостных веб-сайтах и онлайн-форумах (стоимость этих программ не превышает 30 долларов).

Новый законодательный акт призван положить конец безнаказанности спамеров во вьетнамском секторе Интернета, не ущемляя интересов легальных бизнес-структур.

Источник: english.vietnamnet.vn

История убийства русского спамера оказалась мистификацией

16.10.2007

11 октября на веб-сайте LooNov.com появился захватывающий материал про застреленного киллерами "известного русского спамера" Алексея Толстокожева, сразу подхваченный и прокомментированный в блогах. Однако в результате небольшого расследования ликующим противникам спама пришлось признать, что это просто "утка", пущенная в целях рекламы новоиспеченного ресурса.

В сообщении, опубликованном от имени некоего Алекса Лунова (Alex Loonov), говорилось, что автор "из передачи по российскому телевидению" якобы узнал, что злостный спамер-бизнесмен Алексей Толстокожев был застрелен в своих роскошных подмосковных апартаментах, получив "контрольный выстрел" в голову - вполне в манере русских киллеров, нанятых мафиози. Лунов даже провел параллель с убийством двухлетней давности другого спамера, Вардана Кушнира.

По словам Лунова, Толстокожев с арендованного ботнета производил миллионные спам-рассылки с рекламой Виагры и прочих средств от импотенции, снабжая нелегитимные письма ссылками на интернет-аптеку, которая выплачивала ему комиссионные. Масштабы его незаконной деятельности якобы были таковы, что он причастен к рассылке трети подобного спама в Сети, а его доход в 2007 году уже составил 2 миллиона долларов.

История "преступления и наказания" увлекла многих. Однако бдительные блоггеры попытались отыскать незнакомое русское имя в Google и российских поисковых системах, заглянули в списки ROKSO Spamhaus и энциклопедию SpamWiki, но безрезультатно - спамер с такой фамилией нигде не фигурировал.

Кроме того, выяснилось, что веб-сайт LooNov.com зарегистрирован анонимно в день публикации сенсационного материала. История убийства "злостного спамера" оказалась фальшивкой, опубликованной на новоиспеченном ресурсе в целях его рекламы.

Регистратором LooNov.com оказался ресурс EST Domains, на который было много нареканий из-за вредоносного веб-хостинга. Вредоносных программ на LooNov.com пока не выявлено, но при столь широкой саморекламе этот веб-сайт уже обрел солидный статус в поисковой системе Google? и не исключено, что его владельцы имеют далеко не невинные планы на будущее.

Источник: THE REGISTER

Источник: COMPUTERWORLD

Интернациональную группу спамеров будут судить по американским законам впервые

16.10.2007

Впервые со времени принятия закона о безопасности Сети (Safe Web Act), позволяющего преследовать киберпреступников за пределами США, перед американским судом предстанут спамеры-иностранцы. Федеральная торговая комиссия США (ФТК) обвинила граждан Австралии, Канады и США в незаконной продаже контрафактных медикаментов при помощи нелегитимных рассылок по электронной почте.

С 2004 года американская компания Spear Systems в лице своих сотрудников Брюса Паркера (Bruce Parker) и Лайзы Кимси (Lisa Kimsey), а также владелец ресурса eHealthylife.com Ксавье Ратель (Xavier Ratelle) занимались онлайн-продажей гормональных препаратов против старения и таблеток для снижения веса, рекламируя свою продукцию с помощью спамеров. По оценке ФТК, предлагаемые Spear Systems и eHealthylife препараты не дают ожидаемого результата, а методы, применяемые для их продвижения, противоречат американскому антиспамовому законодательству.

В базе данных ФТК с апреля 2006 года зарегистрировано 175000 коммерческих сообщений с рекламой препаратов Spear Systems и eHealthylife. Все эти письма снабжены многообещающими заголовками, которые, по мнению экспертов ФТК, вводят в заблуждение получателей. В нарушение CAN-SPAM, в данных письмах отсутствуют опция "отказаться от рассылки" и физический адрес рекламодателя, а обратный адрес подделан во избежание обнаружения источника рассылки.

В связи с вышесказанным ФТК в начале сентября 2007 года подала жалобу в окружной суд штата Иллинойс, надеясь официально пресечь незаконное распространение поддельных медикаментов и рассылку нелегитимной рекламы. В отсутствие ответчика судья огласил распоряжение о временном ограничении деятельности, связанной с бизнесом подозреваемых, и замораживании их активов до следующего слушания по этому делу.

Источник: FTC

"Заразительный" смех

16.10.2007

Специалисты по сетевой безопасности предупреждают о возвращении "штормового троянца" под новым прикрытием. На сей раз вредоносный файл спрятан в ссылку на флэш-открытку, которая якобы воспроизводит смех забавного котенка, объевшегося "кошачьей травки".

По данным F-Secure и McAfee, в октябре "штормовой троянец" продолжил свое турне по Интернету, сменив обличье и вредоносный веб-сайт. Письма злоумышленников предлагают от души посмеяться над забавным клипом с ресурса видеоигр ShockWave.

Указанный в сообщении URL открывает картинку с логотипом веб-сайта бесплатных открыток Superlaugh.com, на котором изображен хохочущий котенок. Исследователи McAfee обнаружили, что эта страница начинена уже "обкатанным" коктейлем из эксплойтов.

Услышать смех "психоделического кота" ("Psycho cat") получателю вредоносного послания не удастся, в какое бы место картинки он ни "кликал". По словам специалистов F-Secure, вместо звука все ссылки загружают на машину жертвы файл SuperLaugh.exe c троянской программой Email-Worm.Win32.Zhelatin.ki.

Источник: avertlabs.com

Источник: f-secure.com

17.10.2007

Отказав в пересмотре дела Джеффри Килбрайду (Jeffrey Kilbride) и Джеймсу Шафферу (James Schaffer), окружной суд первой инстанции Феникса (штат Аризона) вынес им окончательный приговор - многотысячные штрафы и заключение под стражу совокупным сроком более 11 лет.

Напомним, что Килбрайд и Шаффер были признаны виновными в организации масштабного порнобизнеса, финансовых махинациях и нарушении ряда статей американского антиспам-законодательства. Подельники навязывали интернет-сообществу рекламу порносайтов с помощью спам-рассылок, используя различные ухищрения для маскировки источника писем. AOL и ФТК (Федеральной торговой комиссией США) было зарегистрировано более полутора миллионов жалоб от получателей сообщений с "жестким порно", авторы которых теперь в очередной раз предстали перед судом.

Слушание по делу Килбрайда и Шаффера в суде первой инстанции продолжалось почти 3 недели. В итоге порноспамеры были приговорены к лишению свободы: Килбрайд - сроком на 6 лет, Шаффер - на 5 лет и 3 месяца (Килбрайд поплатился за препятствование правосудию, так как пытался запугать свидетеля). Кроме того, преступники должны выплатить штраф размером 100000 долларов и компенсацию убытков сервису AOL - 77500 долларов. У "грязной парочки" также конфискуют более 1,1 миллиона долларов, нажитых незаконным путем.

Источник: usdoj.gov

Ограничивала ли Microsoft легитимные рассылки пользователям Hotmail?

17.10.2007

В середине сентября Уильям Оулд (William Old), IT-администратор одного из английских информационных сервисов, обнаружил, что 29 из 39 очередных подписных бюллетеней вернулись с уведомлением об ошибке. "Ошибка 552: слишком много получателей", - сообщил Уильяму почтовый сервер Hotmail. Такая же участь постигла и все последующие новостные рассылки по адресам 550 подписчиков этого сервиса. Информационные бюллетени получали только первые 10 счастливцев, остальные письма отклонялись сервером как превышающие некий лимит.

По словам представителя MIS Sciences Джеффа Уиллиса (Jeff Willis), его компания также столкнулась с ограничениями на Hotmail. MIS Sciences специализируется на рассылках электронных оповещений от правительственных агентств и университетов. За последние три месяца компания постоянно получала от серверов Hotmail ответы с ошибкой "Слишком много получателей на этот час". В отдельных случаях это были сообщения об экстренных ситуациях, о которых узнавали только первые 10 получателей.

В официальном заявлении Microsoft утверждает, что в большинстве случаев письмо будет доставлено 100 реципиентам в короткие сроки. Количество получателей рассылки ограничено только для IP-адресов, классифицированных как неизвестные или ненадежные. На такие IP-адреса отправляется сообщение об ошибке 552 ("Слишком много получателей").

MIS Sciences - безупречная компания, практикующая двойное подтверждение подписки: регистрацией на сайте и ответом на электронное уведомление. Компания подключена непосредственно к магистральной сети провайдера Qwest, поддерживает системы аутентификации SPF и DomainKeys и имеет корректные записи в DNS. Уиллис обращался в службу поддержки Hotmail, но без видимого эффекта.

Получив еще несколько сообщений об идентичных случаях, исследователи The Register обратились к Microsoft за объяснениями. Им сообщили, что в целях защиты пользователей почтового сервиса от спама для каждого отправителя введен суточный лимит - 250 реципиентов, а число получателей идентичных уведомлений пока не ограничено. В интервью с представителем сервиса Hotmail журналу The Register было отказано.

Несколько месяцев назад представители Hotmail признались, что из 5 миллиардов сообщений, ежедневно получаемых пользователями этого почтового сервиса, 90% - спам. Пытаясь оградить получателей электронной корреспонденции от спама, Microsoft принимает подчас слишком крутые меры, которые ущемляют интересы легитимных отправителей и наносят ущерб получателям, теряющим важные письма.

По данным The Register, в настоящий момент Hotmail - единственный крупный провайдер, который позволяет себе блокировать письма-оповещения.

Источник: THEREGISTER

"Нигерийские игры" на сцене

17.10.2007

Третий год не сходит со сцены "мультимедийная" комедия Дина Кэмерона (Dean Cameron) "The Nigerian Spam Scam Scam", основанная на реальной переписке автора с "нигерийским" мошенником. За это время шоу с участием двух актеров проигрывалось 150 раз, дополняясь новыми эпизодами, взятыми из архива автора.

Получив однажды письмо от "Ибрагима, сына усопшего нигерийского лидера", который просил помощи в переводе наследства на счет в голландском банке, американский актер Дин Кэмерон не поспешил удалить его как спам, а вступил в переписку с мошенниками. В течение 9 месяцев он водил за нос "Ибрагима" и подключившуюся к атакам "жену усопшего Мариам Абача (Mariam Abacha)", прикинувшись полоумным миллионером из Флориды, любителем кошек и нетрадиционного секса.

По мере развития электронного сюжета Кэмерон вводил в действие новые персонажи, заставляя "Ибрагима" общаться со своим "нечистым на руку личным поверенным Перри Мейсоном (Perry Mason)", разговаривать по телефону с "Дином" о его кошках, которые якобы унаследуют после его смерти кругленькую сумму, о его любимой телепрограмме. "Безумный Дин" пел "Ибрагиму" серенады, высылал ему рецепты экзотических блюд и любовался присланными в ответ фотографиями <Мариам> и набитых долларами кейсов.

Когда Кэмерон переслал "Ибрагиму" письмо другого "нигерийского" мошенника, корреспонденты упрекнули его в излишней доверчивости и повели параллельную атаку на неподатливого "миллионера" под личиной своего конкурента. Но "жертва" никак не могла взять в толк хитросплетения международного валютного обмена и банковских операций, предлагая мошенникам взамен несметное количество почтовых марок на сумму, эквивалентную их аппетитам.

Не спуская с крючка "нигерийцев", Кэмерон попутно развлекал друзей отрывками из своей рискованной переписки. Друзья и натолкнули его на мысль воплотить "историю в письмах" на сцене. Режиссер Пол Провенца (Paul Provenza) помог Дину написать сценарий часового шоу и вносил в него изменения по мере развития реальных взаимоотношений Дина с его опасными собеседниками.

По словам Кэмерона, еще пару лет назад ему приходилось перед началом спектакля объяснять зрителям суть "нигерийского" мошенничества. Теперь он играет перед подготовленной публикой, для которой сюжет пьесы вполне актуален. Побывав на гастролях за океаном, шоу "The Nigerian Spam Scam Scam" (приблизительный русскоязычный эквивалент: "Обманутый мошенник, или "нигерийские" игры") вернулось в США. Его можно увидеть, заплатив за билет около 25 долларов.

Вопреки кажущейся легкомысленности всего предприятия, Дин считает, что ходил по острию ножа: "нигерийская" мафия шутить не любит. Своему "нигерийскому" корреспонденту Кэмерон "из уважения к соавтору" выслал отзывы о спектакле. "Ибрагим", который в миру оказался Джозефом, уверовал в существование Перри Мейсона и пытается через него стребовать с Кэмерона авторский гонорар. "Мариам Абача" обнаружила лестные рецензии на веб-сайте spamscamscam.com и, поддерживая легенду, написала Дину, что <он разбил ей сердце>.

Источник: ARIZONA DAILY STAR

Источник: SPAMSCAMSCAM

"Лаборатория Касперского" сообщает об обнаружения первой спамовой рассылки, использующей MP3-файлы

18.10.2007

"Лаборатория Касперского" сообщает об обнаружении первой спамовой рассылки, использующей для донесения основного рекламного сообщения до конечной аудитории аудиофайлы в формате MP3. Первые образцы подобных рассылок спам-аналитики зафиксировали в европейском почтовом трафике.

Зарегистрированный спам-аналитиками компании MP3-спам относится к категории так называемого stock-спама - спамовых сообщений, цель которых состоит в рекламе и повышении курса акций неких компаний. Данная категория нежелательных рассылок впервые появилась в августе прошлого года и с тех пор уверенно занимает первое место по числу инновационных методов доставки, применяемых злоумышленниками для обхода антиспамовых фильтров и других средств защиты от нежелательных сообщений. Так, именно распространители stock-спама первыми провели рассылку нежелательных сообщений в специально зашумленных графических файлах и в документах в формате pdf, которые на тот момент еще не распознавались антиспамовыми фильтрами.

Рассылка аудиозаписей в формате MP3 является следующим витком борьбы спамеров и разработчиков средств защиты от спама. Письма, зарегистрированные "Лабораторией Касперского", не содержат никакого текста, однако несут вложенный MP3-файл продолжительностью от 25 до 33 секунд. Открыв его, пользователь услышит искаженный звуковым фильтром женский голос, на английском языке предлагающий купить акции некой компании под названием Exit Only Inc. Очевидно, что спамеры, завладевшие акциями этой компании, пытаются таким образом поднять ее капитализацию, с тем, чтобы впоследствии выгодно продать эти акции по возросшей цене.

Вероятно, что данная рассылка является для спамеров своего рода пробным камнем, и ее нельзя назвать удачной в силу некоторых технических ограничений. Из-за необходимости сделать спамовые письма как можно более компактными злоумышленники были вынуждены использовать аудиозапись очень низкого качества, поэтому слушателям очень трудно разобрать текст послания даже на самой высокой громкости. Кроме того, чтобы обойти антиспамовые фильтры, отправители несколько изменяют запись в каждом письме, от чего ее восприятие ухудшается еще больше.

Эксперты "Лаборатории Касперского" отмечают, что предсказания о скором появлении MP3-спама звучали уже довольно давно, однако, по их мнению, его развитие и дальнейшее распространение будет сильно ограничено вышеупомянутыми техническими ограничениями и необходимостью искать компромисс между качеством записи и объемом писем. Учитывая, что большинство пользователей не будут даже пытаться разобрать спамовую MP3-запись плохого качества, эффективность и целесообразность такой рассылки представляется сомнительной.

"Пользователи довольно часто пересылают друг другу короткие звуковые файлы с шутками и привыкли к тому, что такие файлы стоит прослушать. Похоже, именно на это и рассчитывают спамеры - увидев MP3-файл, получатели будут их слушать, предполагая, что это что-то интересное. Но спамеры сильно ограничены в размерах звукового сообщения и, следовательно, качество звука в спамовой записи очень плохое. Думаю, что рассылки MP3-спама будут иногда повторяться, но особого влияния на спам-статистику эти рассылки не окажут", - говорит Андрей Никишин, директор направления аутсорсинга IT-безопасности "Лаборатории Касперского".

Источник: "Лаборатория Касперского"


Спам-статистика за период
08 - 14 октября 2007 г.

"Лаборатория Касперского"

Объем и тематические особенности спама

Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 76,4%.

Тематическое распределение спама на прошлой неделе претерпело серьезные изменения по сравнению с предыдущей. Стабильно высокие показатели сохраняет только рубрика "Медикаменты; товары/услуги для здоровья", которая давно уже лидирует в потоках спама и явно не собирается сдавать позиции в ближайшее время. Относительно высока и доля рассылок "взрослой" тематики. На этой неделе подобный спам был представлен и русскоязычными, и англоязычными рассылками.

Существенные изменения произошли в рубриках "Компьютеры и Интернет" (доля спама этой тематики в общем потоке увеличилась более чем на 13%), "Образование" (доля снизилась почти на 9%), "Отдых и путешествия" (снизилась примерно на 9%). На 6,3% увеличилась относительная доля спама, рекламирующего услуги самих спамеров.

Популярные тематики

No Тематика Описание Доля тематики Изменения за неделю
1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 37,0% +4,4%
2 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 19,6% +13,4%
3 Другие товары и услуги Предложения других товаров и услуг 10,0% +4,1%
4 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 9,6% +6,3%
5 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 8,9% -2,8%
6 Остальной спам   4,8% +3,0%
7 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 4,1% -0,7%
8 Образование Реклама семинаров, тренингов, курсов 2,2% -8,8%
9 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. Менее 2% -8,8%
10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -1,8%
11 Юридические услуги и аудит Предложения юридических услуг Менее 2% -2,2%
12 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -4,4%
13 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -1,8%

Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест.


Технологии защиты от спама

Анна Власова

Современная спам-рассылка распространяется в сотнях тысяч экземпляров всего за несколько десятков минут. Чаще всего спам идет через зараженные вредоносными программами пользовательские компьютеры - зомби-сети. Что можно противопоставить этому натиску? Современная индустрия IT-безопасности предлагает множество решений, и в арсенале антиспамеров есть различные технологии. Однако ни одна из существующих технологий не является магической "серебряной пулей" против спама. Универсального решения просто не существует. Большинство современных продуктов используют несколько технологий, иначе эффективность продукта будет не высока.

Ниже перечислены наиболее известные и распространенные технологии.

Черные списки

Они же DNSBL (DNS-based Blackhole Lists). Это одна из наиболее старых антиспам-технологий. Блокируют почту, идущую с IP-серверов, перечисленных в списке.

Плюсы: Черный список на 100% отсекает почту из подозрительного источника.

Минусы: Дают высокий уровень ложных срабатываний, поэтому применять следует с осторожностью.

Контроль массовости (DCC, Razor, Pyzor)

Технология предполагает выявление в потоке почты массовых сообщений, которые абсолютно идентичны или различаются незначительно. Для построения работоспособного "массового" анализатора требуются огромные потоки почты, поэтому эту технологию предлагают крупные производители, обладающие значительными объемами почты, которую они могут подвергнуть анализу.

Плюсы. Если технология сработала, то она гарантировано определила массовую рассылку.

Минусы. Во-первых, "большая" рассылка может оказаться не спамом, а вполне легитимной почтой (например, Ozon.ru, Subscribe.ru тысячами расылают практически одинаковые сообщения, но это не спам). Во-вторых, спамеры умеют "пробивать" такую защиту с помощью интеллектуальных технологий. Они используют ПО, генерирующее разный контент - текст, графику и т.п. - в каждом спамерском письме. В итоге контроль массовости не срабатывает.

Спамеры пишут специальные программы для генерации спамерских сообщений и их мгновенного распространения. При этом они допускают ошибки в оформлении заголовков, в результате спам далеко не всегда соответствуют требованиям почтового стандарта RFC, описывающего формат заголовков. По этим ошибкам можно вычислить спамерское сообщение.

Плюсы. Процесс распознавания и фильтрации спама прозрачный, регламентированный стандартами и достаточно надежный.

Минусы. Спамеры быстро учатся, и ошибок в заголовках спама становится все меньше. Использование только этой технологии позволит задержать не более трети всего спама.

Контентная фильтрация

Также одна из старых, проверенных технологий. Спамерское сообщение проверяется на наличие специфических для спама слов, фрагментов текста, картинок и других характерных спамерских черт. Контентная фильтрация начиналась с анализа темы сообщения и тех его частей, которые содержали текст (plain text, HTML), но сейчас спам-фильтры проверяют все части, включая графические вложения.

В результате анализа может быть построена текстовая сигнатура или произведен подсчет "спамерского веса" сообщения.

Плюсы. Гибкость, возможность быстрой "тонкой" настройки. Системы, работающие на такой технологии, легко подстраиваются под новые виды спама и редко ошибаются с разграничением спама и нормальной почты.

Минусы. Обычно требуются обновления. Настройкой фильтра занимаются специально обученные люди, иногда - целые антиспам-лаборатории. Такая поддержка дорого стоит, что сказывается на стоимости спам-фильтра. Спамеры изобретают специальные трюки для обхода этой технологии: вносят в спам случайный "шум", затрудняющий поиск спамерских характеристик сообщения и их оценку. Например, используют в словах небуквенные символы (вот так, например, может выглядеть при использования этого приема слово viagra: vi_a_gra или vi@gr@), генерируют вариативный цветной фон в изображениях и т.п.

Контентная фильтрация: байес

Статистическией байесовские алгоритмы также предназначены для анализа контента. Байесовские фильтры не нуждаются в постоянной настройке. Все, что им нужно - это предварительное обучение. После этого фильтр подстраивается под тематики писем, типичные для данного конкретного пользователя. Тем самым, если пользователь работает в системе образования и проводит тренинги, то лично у него сообщения данной тематики не будут распознаваться как спам. У тех, кому предложения посетить тренинг не нужны, статистический фильтр отнесет такие сообщения к спаму.

Плюсы. Индивидуальная настройка.

Минусы. Лучше всего работает на индивидуальном потоке почты. Настроить "байес" на корпоративном сервере с разнородной почтой - сложная и неблагодарная задача. Главное, что конечный результат будет намного хуже, чем для индивидуальных ящиков. Если пользователь ленится и не обучает фильтр, то технология не будет эффективной. Спамеры специально работают над обходом байесовских фильтров, и это у них получается.

Грейлистинг

Временный отказ в приеме сообщения. Отказ идет с кодом ошибки, который понимают все почтовые системы. Спустя некоторое время они повторно присылают сообщение. А программы, рассылающие спам, в таком случае повторно письмо не отправляют.

Плюсы. Да, это тоже решение.

Минусы. Задержка в доставке почты. Для многих пользователей такое решение неприемлемо.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2005


В избранное