Электронный журнал "Спамтест" No. 211 В этом номере: Новости Спам-статистика за период 19 - 25 ноября 2007 г. Современные технологии спамеров Новости Спам-реклама с стихотворной обработке 27.11.2007 В чикагском издательстве Silver Wonder Press вышел сборник стихов американского певца и гитариста Ли Ранальдо (Lee Ranaldo). В качестве исходного материала для своей поэзии рок-музыкант использовал тексты спамовых писем. Ранальдо является одним из основателей рок-группы Sonic Youth и имеет ряд литературных - и не только поэтических - работ. Новый сборник его стихотворений под названием "Hello From the American Desert" ("Привет из американской пустыни"), написанных в период с 2004 по 2007 годы, инспирирован содержимым спам-карантина его электронного почтового ящика. Небольшая книга объемом в 40 страниц выпущена ограниченным тиражом - всего 1000 экземпляров. Поскольку авторская стихотворная интерпретация сохранила информативность спамовой рекламы, приобретение сборника, по всей вероятности, может быстро окупиться за счет приобретения контрафактного дефицита по льготным ценам - если верить спамерам. Источник: PITCHFORK Фишеры наносят ущерб репутации английских бизнес-структур 27.11.2007 Согласно итогам онлайн-опроса, проведенного компанией YouGov и спонсированного Cloudmark, 42% британцев, получая фишинговые сообщения-подделки от имени легитимных компаний, проникаются недоверием к "скомпрометированным" таким образом брендам. В аналогичной ситуации столько же респондентов теряют доверие к своим интернет-провайдерам, 36% - к интернет-магазинам и еще треть - к социальным веб-сайтам. Несмотря на эту печальную статистику, большинство участников опроса (общее число которых - около 2000 человек) полагают, что ответственность за защиту от фишинга лежит на них самих и на интернет-провайдерах, а отнюдь не на компаниях, логотипы которых используют фишеры. 26% респондентов считают, что сами должны вооружиться средствами противостояния фишингу, 23% уповают на спам-фильтры своих интернет-провайдеров, а 17% делают ставку на защитные меры со стороны служб-отправителей почтовой корреспонденции. По мнению исследователей Cloudmark, подобная разница во мнениях по поводу ответственности за защиту от сетевых угроз играет на руку организаторам фишинговых атак. По данным компании, английские бизнес-структуры (ресурсы которых зарегистрированы на доменах ".uk") являются самой популярной мишенью фишеров в Европе. Подрывая доверие пользователей к уважаемым брендам, фишеры наносят невосполнимый урон банкам Великобритании, репутация которых в большой степени зависит от доверительных взаимоотношений с клиентами. Безусловно, специалисты по безопасности онлайн-банкинга не могут воспрепятствовать злоупотреблениям в отношении легитимных брендов со стороны криминальных элементов в Сети. Они полагают, что разумное сочетание защитных средств на уровне клиентских ПК и надежных систем фильтрации почты в ресурсах интернет-провайдеров способно адекватно решить проблему фишинга в банковском сервисе. Источник: VNUNET В Гонконге опубликован Кодекс обязательств интернет-провайдеров при проведении коммерческих электронных рассылок 27.11.2007 В продолжение кампании по созданию нормативно-правовых документов, регулирующих рассылку коммерческой рекламы, в китайском Специальном административном районе Гонконг (HKSAR) был опубликован Кодекс обязательств интернет-провайдеров в отношении оформления коммерческих электронных рассылок. Разработка данного Кодекса имеет целью приведение существующей практики рассылки коммерческой рекламы и релевантных сервисов в соответствие с современным законодательством Гонконга. Для рекламодателей, использующих каналы факсимильной, телефонной и мобильной связи, в декабре будут выпущены списки "do-not-call" - номера, на которые рассылать коммерческие сообщения разрешается только с предварительного согласия реципиентов. Кодекс интернет-провайдеров вступит в силу 22 декабря - одновременно с Нормативами рассылки нелегитимных электронных сообщений (Unsolicited Electronic Messages Regulation) и второй фазой реализации закона против спама Unsolicited Electronic Messages Ordinance (UEMO), призванной придать правовую основу правилам рассылки электронных сообщений коммерческого характера. Источник: news.gov.hk Спам-статистика за период 19 - 25 ноября 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 88,5%. На прошедшей неделе в тематическом распределении спама снова произошло несколько существенных изменений. Особенно ощутимо уменьшилось относительное количество спама, предлагающего медикаменты и товары/услуги для здоровья (-20,9%) и услуги по электронной рекламе (-13,9%). Напротив, значительно увеличилась доля рассылок, рекламирующих образовательные услуги (+10,5%). Отдельно стоит отметить изменения, затронувшие обычно более-менее стабильные рубрики "Недвижимость" и "Юридические услуги" (+4,3% и +4,1% соответственно). Как и на предыдущей неделе, одной из основных особенностей спам-рассылок на этой неделе стало обилие политического спама. Приближающиеся выборы в Государственную Думу накаляют атмосферу и заставляют спамеров слать все новые письма соответствующей тематики. Большая часть предвыборного спама посвящена рекламе партии СПС. Впрочем, если присмотреться внимательнее, становится понятно, что налицо все признаки "черного пиара". В интервью прессе представители СПС утверждают, что сама партия не имеет никакого отношения к рассылке спама. Необходимо отметить, что подавляющая часть подобных рассылок анонимна, а приведенные в письмах ссылки совсем не похожи на адрес официального сайта партии. (Пример такого письма был приведен в предыдущей спам-статистике.) Впрочем, только "черным пиаром" предвыборный спам не исчерпывается. Самое впечатляющее и удивительное письмо социально-политической направленности, замеченное спам-аналитиками "Лаборатории Касперского" на истекшей неделе, было подписано ни иначе как "Великий Князь Всея Руси". В отличие от мелочных воззваний большинства политизированных спам-писем, слова Великого Князя обращены к самым важным и серьезным вещам: всем желающим он предлагает записаться в Варяги. В массовых нелегитимных рассылках прошедшей недели отразилось еще одно важное явление: прошла реклама новой социальной сети. Причем спам-письма имитировали индивидуальные приглашения. Более того, в каждом письме спамеры уверяли, будто данное послание не является спамом, так как "содержит индивидуальный код приглашения". Между тем нет никаких сомнений в том, что прошедшая рассылка - самый настоящий спам. Злоумышленниками был использован метод перефразировки - текст сообщения имел множество различных вариантов. Неоднократно отмеченная нами тенденция криминализации спама проявилась и на прошедшей неделе. Русскоязычные потоки электронной почты "порадовали" предложением очистить Интернет от компромата и обучить всех желающих искусству взлома учетных записей ICQ, электронных почтовых ящиков и т.д. Англоязычные предложения были серьезнее и касались продажи наркотиков, в том числе кокаина и героина. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 26,5% +10,9% 2 Образование Реклама семинаров, тренингов, курсов 15,7% +10,5% 3 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 14,2% -20,9% 4 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 9,4% +0,5% 5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 6,4% +1,8% 6 Юридические услуги и аудит Предложения юридических услуг 5,8% +4,1% 7 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 5,4% +4,3% 8 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 4,0% -0,8% 9 Остальной спам   3,6% +1,4% 10 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 2,8% -13,9% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. 2,5% +1,6% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% +0,4% 13 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества Менее 2% -0,6% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Современные технологии спамеров Наталья Заблоцкая, "Лаборатория Касперского" На сегодняшний день распространение спама приобрело исключительные масштабы: ежесуточно в мире рассылаются десятки миллиардов спам-сообщений (от 60 до 90 процентов всей электронной почты). Очевидно, что такие масштабы требуют существенных вложений в технологии рассылок. Технологические цепочки Сложились вполне устойчивые технологические цепочки действий спамеров: Cбор и верификация email-адресов получателей. Классификация адресов по типам. Подготовка "точек рассылки" - компьютеров, посредством которых будет рассылаться спам. Создание программного обеспечения для рассылки. Поиск клиентов. Создание рекламных объявлений для конкретной рассылки. Проведение рассылки. Каждый отдельный шаг в этой цепочке может выполняться независимо от других. Сбор и верификация списков адресов Для рассылки спама необходимо иметь список адресов электронной почты потенциальных получателей ("спам-базу", email database). Адреса в таких списках могут классифицироваться по следующим критериям: регион; вид деятельности компании (или интересы пользователей); принадлежность адресов пользователей к конкретной почтовой службе (Yandex, AOL, Hotmail и т. п.) или к конкретному сервису (eBay, Paypal). Сбор адресов осуществляется следующими методами: подбор по словарям имен собственных, "красивых слов", частых сочетаний "слово-цифра" (например, "jonh@", "destroyer@", "alex-2@"); метод аналогий - если существует адрес Joe.User@hotmail.com, то вполне резонно поискать Joe.User в доменах yahoo.com, aol.com, Paypal; сканирование всех доступных источников информации - веб-сайтов, форумов, чатов, досок объявлений, Usenet, баз данных Whois -- на сочетание "слово1@слово2.слово3" (при этом на конце такого сочетания должен быть домен верхнего уровня - com, ru, info и т. д.); воровство баз данных сервисов, провайдеров и т. п.; воровство персональных данных пользователей при помощи вредоносных программ. При сканировании доступных источников информации спамеры могут пытаться определить "круг интересов" пользователей каждого конкретного источника, что дает возможность получить тематические базы данных. В случае воровства конфиденциальных данных у провайдеров достаточно часто имеется дополнительная информация о пользователях, что тоже позволяет провести персонализацию. Все большее распространение получает воровство персональных данных пользователей, в частности, из адресных книг почтовых клиентов (большинство адресов в которых являются действующими). К сожалению, вектор развития вредоносных программ свидетельствует, что частота их использования в целях похищения конфиденциальной информации будет увеличиваться. Полученные адреса необходимо верифицировать, что осуществляется следующими способами: Пробная отправка сообщения. Как правило, это сообщения со случайным текстом, которые проходят через спам-фильтры. Анализируя ответ почтового сервера (почта принята или не принята), можно выяснить, действует ли каждый конкретный адрес из списка. Помещение в текст спам-сообщения уникальной ссылки на картинку, расположенную на веб-сервере. При прочтении письма картинка загружается автоматически (впрочем, во многих современных почтовых программах эта функция блокирована), а владелец сайта узнает о доступности адреса. Данный метод верифицирует не валидность адреса, а факт прочтения письма. Ссылка "отписаться" в спам-сообщении. Если получатель переходит по ней, то никакой отписки не происходит, а его адрес помечается как валидный. Метод верифицирует активность получателя. Все три способа верификации не особо надежны. Соответственно, в базах данных спамеров, пользующихся ими, окажется достаточно много "мертвых" адресов. Подготовка "точек рассылки" На сегодняшний день профессиональная рассылка спама осуществляется тремя основными способами: прямая рассылка с арендованных серверов; использование "открытых релеев" и "открытых прокси" - сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам; скрытая установка на пользовательский компьютер программ (бэкдоров), предоставляющих несанкционированный доступ к его ресурсам. Для рассылки спама с арендованных серверов необходимо иметь постоянно пополняемый набор этих серверов, поскольку их IP-адреса достаточно быстро попадают в "черные списки". Для эксплуатации открытых сервисов необходимо постоянно вести их поиск. Для этого пишутся и используются специальные программы, которые быстро сканируют большие участки адресного пространства Интернета. Наибольшую популярность на сегодняшний день имеет установка бэкдоров на компьютеры обычных пользователей. Осуществляется она одним из следующих способов: Внедрение троянских программ в пиратское программное обеспечение: модификация распространяемых программ, включение троянской программы в "генераторы ключей", "программы для обмана провайдеров" и т. п. Достаточно часто такие программы распространяются через файлообменные сети (eDonkey, Kazaa) либо через сайты с "варезом" (warez, пиратские копии программ). Использование уязвимостей в интернет-браузерах (в первую очередь в Microsoft Internet Explorer) - ряд версий таких программ содержит ошибки в проверке прав доступа, что позволяет злоумышленникам размещать на веб-сайтах компоненты, которые незаметно для пользователей скачиваются на их машины и запускаются на исполнение. Результат - открытие удаленного доступа для злоумышленника. Такие программы распространяются в основном через часто посещаемые сайты (прежде всего порнографического содержания). Летом 2004 года была замечена двухступенчатая схема - массовый взлом сайтов, работающих под управлением MS IIS, с последующей модификацией страниц на этих сайтах с включением в них вредоносного кода. Это привело к заражению компьютеров посетителей данных ресурсов вполне пристойного содержания. В ноябре 2006 года аналогичной атаке подверглись сервера, пользовавшиеся услугами хостинг-провайдера Valuehost. Использование вредоносных программ, распространяемых по каналам электронной почты и эксплуатирующих уязвимости в сетевых сервисах Microsoft Windows. Интенсивность попыток использования уязвимостей Windows на сегодняшний день просто чудовищна - подключенная к Интернету машина под управлением стандартной Windows XP без включенного межсетевого экрана и установленных сервисных паков оказывается зараженной в течение нескольких десятков минут. Современные вредоносные программы являются достаточно развитыми в техническом смысле - их авторы прикладывают значительные усилия для затруднения их обнаружения (например, провайдером, клиенты которого невольно рассылают спам). Троянские компоненты могут притворяться интернет-браузерами, обращаясь на веб-сайты за инструкциями, что им делать - заниматься DoS-атакой, рассылать спам и т. п. Инструкции могут содержать указание о времени и "месте" следующего получения инструкций. Другой способ замаскированного получения команд заключается в использовании IRC. Одно из применений ботнетов - сетей зараженных машин - сдача их в аренду (в том числе для рассылки спама). "Продаваемость" обеспечивается работой вредоносных программ по стандартным протоколам (HTTP или SOCKS-proxy) и через небольшое количество портов, что дает возможность использования данной "продукции" третьими лицами и попутно облегчает поиск зараженных машин системным администраторам. Программное обеспечение для рассылки спама Средняя спам-рассылка на сегодняшний день имеет объем не менее нескольких десятков миллионов сообщений, которые требуется разослать за минимальное время - до перенастройки (или обновления баз данных) спам-фильтров. Быстрая рассылка большого количества электронных писем представляет собой технологическую проблему, решение которой требует солидных ресурсов. Как следствие, сейчас имеется относительно небольшое количество программ, удовлетворяющих требованиям спамеров-профессионалов. Данные программы: умеют рассылать спам как через "открытые сервисы" (почтовые релеи, прокси), так и через зараженные пользовательские машины; могут формировать динамический текст письма (см. ниже раздел о формировании текстов); достаточно точно подделывают заголовки сообщений - распознавание спама по заголовкам становится нетривиальной задачей; могут отслеживать валидность баз данных email-адресов; могут отслеживать статус сообщения для каждого отдельного адреса - и перенаправлять его через другую "точку рассылки" в случае использования на приемной стороне "черных списков". Такие программы оформлены либо в виде сервиса, доступного по подписке, либо как покупаемая программа. Поиск клиентов Судя по всему, основной способ поиска клиентов - это собственно рекламные рассылки (спам). Рекламные объявления составляют существенную долю всех нелегитимных рассылок. (Таким же образом рекламируются программы для рассылки и базы данных email-адресов.) Формирование текста писем На сегодняшний день простая рассылка одинаковых (или почти одинаковых) спам-писем не является эффективной. Такие письма будут обнаружены спам-фильтрами по частотности (повторяемости одинаковых сообщений); настройка фильтров по содержанию письма тоже является типичной мерой. Поэтому спам-сообщения сейчас носят индивидуальный характер, каждое последующее отличается от предыдущих. Основные технологии "индивидуализации" спамовых писем таковы: Внесение случайных текстов, "шума", невидимых текстов. В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести "невидимый" текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования "спамерского трюка" и классифицировать сообщение как спам, не анализируя его текст в деталях. Графические письма. Рекламное сообщение можно прислать пользователю в виде графического файла, что затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст. "Зашумленные" графические письма. В графическое сообщение можно внести "шум", что затруднит его анализ фильтрами. Фрагментирование изображения. Изображение с текстом, которое пользователи видят на экране, может состоять из нескольких фрагментов, хотя рядовой пользователь этого не замечает и на экране видит целостное изображение. Разновидностью способа является использование анимации, когда изображение содержит несколько кадров, которые накладываются друг на друга, в результате чего пользователь видит полный текст спамерского предложения. Перефразировка текстов. Рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст, и факт перефразировки можно установить, только имея много копий сообщения. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки. Описанные методы поддерживаются непосредственно в программах для рассылки, поэтому использование конкретного метода "индивидуализации" спам-сообщений зависит от используемого спамерами программного обеспечения. Спам и психология Быстро отправить сообщение и доставить его, обойдя все фильтры - важная часть процесса рассылки спама, но не единственная. Спамерам важно добиться, чтобы пользователь прочел спам и выполнил требуемые действия (позвонил, перешел по ссылке и т.п.), поэтому они осваивают психологические способы воздействия на получателей сообщений. В частности, чтобы привлечь внимание получателей и спровоцировать чтение писем, спамеры пытаются заставить пользователей поверить, что перед ними не спам, а личные сообщения. В начале 2006 года спамеры пользовались в основном примитивными приемами: добавляли в тему сообщения метки "RE:" или "FW:" как показатель того, что данное сообщение является ответом на предыдущую переписку или отправлено кем-то из известных адресатов. Но уже к середине года такие простые уловки дополнились более изощренной маскировкой - некоторые спамерские тексты стилистически и лексически стали оформляться как личная переписка. С целью создания у пользователя иллюзии, что письмо адресовано именно ему, такой спам часто содержит обращения типа "дружище", "малышка" и т.п. либо не содержит обращений вовсе. Иногда в подделке под частную переписку упоминаются и имена. В любом случае, делается ставка на то, что пользователь может захотеть разобраться, откуда это письмо, не надо ли его куда-то переслать, и, как минимум, прочтет экземпляр спама. Распространенным спамерским трюком является также использование в качестве темы письма заголовков "горячих" новостей (зачастую собственного сочинения). Разделение труда Как видно из вышесказанного, все основные технологические составляющие бизнеса спамеров могут быть использованы независимо друг от друга. Как следствие, в настоящее время существуют отдельные "производители" вредоносных программ, отдельные авторы программ для рассылки, специалисты по сбору адресов. Спамеры - а именно те, кто собирает с клиентов деньги и производит рассылку - могут просто арендовать необходимые им сервисы, покупать базы данных, списки рассылающих машин и использовать их. Таким образом, вход на данный рынок является делом относительно дешевым. В то же время очевидно разделение игроков спам-рынка на профессионалов, для которых рассылка спама является основным источником дохода и которые, как правило, обладают своим инструментарием (базой данных адресов, программой для рассылки или собственным троянцем), и любителей, пытающихся заработать чуть-чуть денег. Перспективы Зная стоимость спам-рассылки (порядка 100 USD за миллион сообщений) и количество рассылаемых в мире сообщений (десятки миллиардов в день), несложно оценить денежный оборот на этом рынке - он составляет сотни миллионов долларов в год. В индустрии с таким оборотом не могут не появляться "компании полного цикла", осуществляющие весь комплекс услуг "на высоком профессиональном уровне". Единственной проблемой является криминальный характер всего бизнеса - распространение троянских программ является уголовным преступлением во всех странах, где есть минимальное количество компьютеров. Сбор персональных данных без ведома пользователей также является занятием наказуемым. С другой стороны, интегрированность дает массу неоспоримых технологических преимуществ. По всей видимости, если подобные компании еще не появились, то возникновение их - дело ближайшего будущего. Пострадавшими окажутся, разумеется, рядовые получатели электронной почты. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005