Электронный журнал "Спамтест" No. 226 В этом номере: Новости Спам-статистика за период 17 - 23 марта 2008 г. Методы "зашумления" текста спамовых писем Новости Новгородский хакер понесет уголовную ответственность 24.03.2008 Сотрудниками отдела "К" УВД по Новгородской области был выявлен злоумышленник, занимавшийся размещением "троянских" файлов на серверах интернет-провайдера "Новгород Дейтаком" с целью хищения персональных данных его клиентов. В соответствии с российским уголовным законодательством хакеру грозит штраф в размере до 200000 рублей и тюремное заключение сроком до трех лет. Причиной для инициирования расследования послужило обнаружение в сетях провайдера 15 троянских программ. В ходе проведения оперативных мероприятий удалось установить компьютер-источник вредоносного ПО, владельцем которого оказался 18-летний новгородец. При исследовании изъятого системного блока компьютера на жестком диске были обнаружены личные данные более 60 пользователей "Новгород Дейтаком", похищенные с помощью троянцев. На основании найденных улик следственным управлением при УВД по Великому Новгороду возбуждено уголовное дело по статье 273 Уголовного кодекса РФ "Создание, использование и распространение вредоносных программ для ЭВМ". Следователям предстоит определить сумму ущерба, причиненного действиями хакера. Последний пока находится на свободе. Источник: НовгородИнформ.Ру Источник: "РИА Новости" Румыния - основной источник фишинговых атак против eBay 25.03.2008 Руководство компании eBay обескуражено инертностью правоохранительных органов Румынии, России и Китая в отношении фишинговых атак, проводимых с территорий этих стран с целью хищения персональной информации пользователей ее онлайн-аукциона. Выступая в Лондоне на конгрессе, посвященном вопросам борьбы с киберпреступностью, представитель британского отделения eBay Марк Ли (Mark Lee) отметил, что фишинг остается основной угрозой безопасности посетителей онлайн-аукциона. eBay удалось снизить число успешных атак фишеров благодаря просветительской работе среди пользователей и средствам защиты, которыми снабжены современные интернет-браузеры. Специалистам компании нередко удается отследить индивидуальный источник фишинговой атаки, но противостоять организованной киберпреступности в одиночку им не под силу. Согласно статистике eBay, большинство фишинговых писем рассылается пользователям онлайн-аукциона именно с территории трех названных стран. В них проживает много молодых специалистов, получивших блестящую техническую подготовку, но не имеющих достойного легального заработка. В то же время киберпреступники в этих странах пользуются откровенной безнаказанностью. По словам Ли, особые масштабы фишинг приобрел в Румынии, где он носит преимущественно организованный характер. В некоторых провинциальных румынских городах фишинговые атаки против веб-сайтов типа eBay.com служат для населения основным источником дохода. Правоприменительная система в этой стране функционирует главным образом в пределах ее столицы, Бухареста, а в городах с населением 50000-100000 жителей нет ни квалифицированных специалистов, ни технических ресурсов для борьбы с фишингом. Местные власти зачастую не имеют даже компьютерной базы, не говоря уже о выходе в Интернет; полицейские нередко пользуются теми же интернет-кафе, что и киберзлоумышленники. По данным eBay, румынские фишеры специализируются на преследовании участников онлайн-аукциона, проигравших с небольшим разрывом. Исходя из предположения, что посетители eBay.com используют идентичные логин и пароль в аккаунтах аукциона и электронной почты (в популярных почтовых сервисах Gmail, Hotmail, Yahoo), злоумышленники атакуют выбранную жертву серией фишинговых посланий. Летом прошлого года eBay опубликовала подробности расследования в области онлайн-мошенничества, проведенного при тесном сотрудничестве с румынскими властями. Чтобы обеспечить успех совместным операциям, руководство eBay создало специализированную группу правовых и компьютерных экспертов, которые организовывали тренинги с представителями румынских правоохранительных структур, работали с жертвами фишинга. Полицейские подразделения Румынии были оснащены современным компьютерным оборудованием, цифровыми веб-камерами и обеспечены выходом в Интернет. Трехлетняя антифишинговая кампания завершилась сотнями арестов. Исчтоник: CNET News.com Месть работодателю за увольнение 25.03.2008 Большое жюри штата Нью-Джерси обвинило 36-летнего Рори Эдварда Трингали (Rory Edward Tringali) и 34-летнего Мэтью Джастина Уилнера (Matthew Justin Willner) в сговоре с целью нанесения ущерба с использованием Интернета. По имеющимся доказательствам, Трингали - уволенный в 2003 году консультант интернет-магазина MedPro, занимающегося розничной торговлей лазерным медицинским оборудованием, - нанял своего соседа Уилнера, чтобы рассчитаться с бывшим работодателем за нанесенную обиду. С ноября 2006 года по март 2007 новоявленный мститель и его подручный провели серию сетевых атак на веб-сайт MedPro, приведших к его неработоспособности. Компания дважды меняла домен, но преследователи не унимались. В довершение ко всему они занялись рассылкой спама от имени MedPro. Поскольку ее бизнес построен исключительно на сетевых контактах, последствия деятельности злоумышленников были поистине разрушительными. По экспертным оценкам, сумма ущерба MedPro от действий Трингали и Уилнера составила 894000 долларов. Сообщники были арестованы в штате Флорида весной 2007 года и препровождены в Нью-Джерси. Криминальному дуэту вменяются противоправные действия с использованием компьютерной техники и сговор с целью их совершения при отягчающих обстоятельствах, а также имперсонация, сговор с целью имперсонации и попытка совершения компьютерного преступления. Согласно местному законодательству, максимальным наказанием за правонарушения при отягчающих обстоятельствах является заключение под стражу в пределах штата на срок до 20 лет и штраф в размере 200000 долларов, за нарушения второй степени - тюремное заключение на срок до 10 лет и штраф в 150000 долларов. Источник: www.nj.gov Последний из обвиняемых сознался в рассылке "троянских" открыток 25.03.2008 На очередном заседании окружного суда штата Коннектикут 24-летний Дэниел Масциа (Daniel Mascia) признал себя участником мошеннической схемы, нацеленной на хищение персональных данных в сетях AOL. Согласно представленным суду свидетельствам, Масциа и его сообщники более двух лет занимались хищением персональных данных многочисленных подписчиков AOL, атакуя их письмами с "троянскими" ссылками, фишинговыми извещениями о выигрыше в лотерею или о проблемах с онлайн-счетами. Украденные реквизиты злоумышленники впоследствии использовали для личного обогащения. Расследование по делу данной группировки проводилось местными полицейскими подразделениями при поддержке ФБР, Почтовой службы и Секретной службы США. Пятеро соучастников уже сознались в своих преступных действиях; признание Масциа завершило этот показательный процесс против спама и фишинга. Обвиняемый признался, что за двое январских суток 2006 года разослал тысячи злонамеренных писем пользователям AOL, используя свой домашний компьютер. Приговор ему будет вынесен 4 июня текущего года. Максимальное наказание, предусмотренное федеральным законодательством за групповые махинации с использованием средств доступа к онлайн-сервисам, составляет 7,5 лет содержания под стражей и 250000 долларов штрафа. За нарушение статей CAN-SPAM Act в отношении рассылки спама в мошеннических целях Масциа грозит тюремное заключение сроком до 5 лет и штраф в размере до 250000 долларов. Источник: www.usdoj.gov "Троянская" атака на сторонников свободного Тибета 26.03.2008 Специалисты по сетевой безопасности отмечают эскалацию целевых спам-рассылок на адреса общественных организаций, поддерживающих освободительное движение в Тибете. Поддельные письма от "коллег по правозащите" с вредоносными вложениями нацелены на хищение конфиденциальной информации получателей и дезорганизацию их деятельности. В последние годы целевые кибератаки с использованием электронно-почтового сервиса все чаще используются как орудие борьбы с идеологическими противниками. Представители международного альянса Human Rights in China ("Права человека в Китае") отмечают, что в 2006 году против 25 организаций-членов альянса было проведено всего 2 таких атаки, в 2007 году - около 40, а за I квартал 2008 года - уже более 100. Правозащитные организации, входящие в объединение Tibet Support Network ("Поддержка тибетского освободительного движения"), в настоящее время получают в среднем 20 вредоносных писем в сутки. Последняя серия подобных спам-рассылок, по мнению экспертов, свидетельствует о высокой степени организации кибератаки и ее тщательной технической подготовке. Вредоносные письма снабжены поддельными заголовками и распространяются по спискам рассылки правозащитных организаций, контактам на специализированных онлайн-форумах и в индивидуальном порядке. Они написаны от имени реальных единомышленников, в них упоминаются реальные события и факты, стиль изложения убедительно сымитирован. Спамовые письма содержат вложенные файлы в различных форматах - ".doc", ".xls", ".pdf", ".ppt", ".chm" (html-справка Microsoft). Имена вложений соответствуют содержанию писем и отличаются большим разнообразием: "UNPO Statement of Solidarity" ("Заявление о солидарности Организации непредставленных наций и народов"), "reports_of_violence_in_tibet" ("Случаи насилия в Тибете"), "tibet-landscape" ("Облик Тибета"), "Photos of Tibet" ("Фотографии Тибета"), "genocide" ("Геноцид") и т.п. При открытии прикрепленного файла получатель видит релевантный материал, тщательно скомпилированный на основе реальных источников. На самом деле этот контент - всего лишь приманка, заряженная эксплойтом, который при активации загружает на машину жертвы многокомпонентную троянскую программу, включающую кейлоггер и бэкдор. Данная программа вначале не распознавалась большинством антивирусных средств и впоследствии была определена экспертами McAfee как Spy-Agent.cp. По данным экспертов, использованные в данной кибератаке командные серверы расположены главным образом на территории Китая, а также в США, Южной Корее и на Тайване. Источник: WashingtonPost Источник: F-SECURE ...Ибо говорю вам: не отвечайте 26.03.2008 Отправляя клиенту по электронной почте деловое письмо, не требующее ответа, многие организации сопровождают его мифическим обратным адресом - например, somethinghere@donotreply.com (доменное имя переводится как "не отвечать"). Невнимательные реципиенты, озабоченные своими проблемами, нередко все-таки отвечают отправителю, и тогда содержимое их переписки оседает в почтовом ящике Чета Фалижека (Chet Faliszek) - владельца причудливого домена. Программист из Сиэтла зарегистрировал этот домен еще в 2000 году, когда вместе с друзьями организовал электронно-почтовый сервис EvilEmail. Молодые люди долго резвились, выдумывая забавные доменные имена, и остановились на варианте DoNotReply.com. Никто из них не мог представить, что невинная шутка в скором времени обернется многомиллионным потоком блуждающих в Сети писем, который выведет из строя почтовый сервер. Помимо ответных посланий клиентов бизнес-структур, друзья получали всю отбивку с устаревших и просроченных почтовых аккаунтов, а также солидные порции спама. Оказалось, инициаторы спам-рассылок тоже не лишены чувства юмора и облюбовали купленный Фалижеком домен для подделки обратного адреса в своих нелегитимных посланиях. Когда законный владелец домена попытался, в свою очередь, "отбивать" чужую корреспонденцию, его доменное имя сразу же попало в "черные списки" за рассылку спама. Исследуя "заплутавшие" письма, Фалижек с удивлением обнаружил в них массу конфиденциальной информации - от фотографий неработающей бытовой техники до подробностей персональных онлайн-счетов и развернутой документации на компьютерный парк банка, нуждающийся в установке новых защитных патчей. Нередко авторы посланий, набирая ответ, цитировали текст полученного сообщения, также содержащий данные деликатного свойства. Вначале невольный обладатель этих не предназначенных для посторонних глаз материалов пробовал приватно информировать заинтересованные стороны о сложившейся ситуации. В ответ летели обвинения в хакерстве и угрозы передать дело в суд. Никто не желал вникать в техническую суть проблемы. Тогда Фалижек начал публиковать в своем блоге любопытные выдержки из некоторых попавших в его распоряжение писем, тщательно избегая рискованных ситуаций. Знакомый юрист посоветовал ему использовать эти публикации для получения - пусть символического - вознаграждения за потраченное время и причиняемые его сервису неудобства. После некоторых колебаний Фалижек придумал альтернативный вариант и разместил на своем веб-сайте donotreply.com полушутливое объявление. Оно гласило, что несанкционированное использование домена donotreply.com в переписке дает его владельцу полное право на публикацию корреспонденции правонарушителя и облагается штрафом не менее 1 доллара за письмо или 100 долларов в сутки. Разумеется, Фалижек не думал заниматься вымогательством. Свои публикации он удаляет с сайта по первому требованию. Если "засветившийся" корреспондент при этом пожелает сделать добровольное пожертвование, его небольшой взнос послужит благородному делу защиты животных. В "штрафной" кассе предприимчивых молодых людей уже насчитывается 500 долларов, которые они готовы передать одному из приютов для бездомных собак. Источник: WashingtonPost Источник: DoNotReply Спам-статистика за период 17 - 23 марта 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю увеличилась по сравнению с предыдущей и составила в среднем 90,6%. Основные изменения в тематическом распределении спама на прошедшей неделе коснулись рубрик "Образование" и "Отдых и путешествия" (относительные доли в общем потоке спама выросли на 3,2% и 2,0% соответственно), а также категории "Личные финансы" (доля уменьшилась на 3,7%). Одновременное увеличение количества рассылок, посвященных образованию и отдыху, не является случайным. Объяснение простое - конец учебного года все ближе, и особо актуальными становятся две проблемы: как достойно его завершить и как достойно отпраздновать это событие. На прошедшей неделе спамеры одинаково настойчиво рекламировали услуги как по написанию дипломов, курсовых и рефератов, так и по проведению выпускных вечеров (встречались даже предложения вечерних платьев). Впрочем, некоторые турфирмы, не мудрствуя лукаво, просто заменили слово "корпоратив" на "выпускной" в уже знакомых нам спам-письмах с рекламой "эксклюзивных" программ отдыха "на необитаемом острове" и т.п. Уменьшение доли тематики "Личные финансы" связано с тем, что масштабная англоязычная рассылка с рекламой услуг по кредитованию и инвестициям, пик активности которой наблюдался на предыдущей неделе, резко пошла на спад. На фоне выпускного великолепия практически потерялись предложения отдыха на майские праздники, но нельзя было не заметить рекламы билетов на концерт r'n'b-дивы Рианны (состоявшийся в Москве 23 марта). Что касается спам-рассылок рубрики "Образование", они ознаменовались не только рекламой услуг по написанию различных школьных и студенческих работ, но и англоязычными предложениями получить ученую степень за рекордно короткий срок. Главный пафос писем данной рассылки заключался во фразе "Для вас не будут лишними несколько лишних букв после вашей фамилии" - имеется в виду, конечно же, аббревиатура "PhD", обозначающая докторскую степень. Прошедшая неделя ознаменовалась также возвращением к старому недоброму "черному" PR. Речь идет о повторении спам-рассылки от имени страховой компании "Автогарант", уже имевшей место в середине января. Любопытно, что текст спамовых писем был абсолютно идентичен тексту январских посланий (даже предлагались все те же "огромные скидки в январе" на ОСАГО и КАСКО), но при его создании был использован популярный в последнее время спамерский прием, предназначенный для обхода спам-фильтров - "зашумление" текста с помощью случайных наборов букв, малозаметных за счет малого размера и близкого к фону письма цвета. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 26,7% +1,8% 2 Образование Реклама семинаров, тренингов, курсов 16,8% +3,2% 3 Другие товары и услуги Предложения других товаров и услуг 15,7% +0,1% 4 Реплики элитных часов Копии элитных, в первую очередь швейцарских, часов 7,6% -1,8% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 6,1% +2,0% 6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 5,8% +0,3% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3,9% -1,3% 8 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 3,6% -0,8% 9 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 3,3% +1,0% 10 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 3,3% +0,7% 11 Юридические услуги и аудит Предложения юридических услуг 3,2% +0,3% 12 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -0,8% 13 Остальной спам   Менее 2% -1,1% 14 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -3,7% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Методы "зашумления" текста спамовых писем Дмитрий Шильцов, "Лаборатория Касперского" Как известно, многие методы фильтрации спама основаны на анализе текста почтовых сообщений. Спам-фильтры анализируют массовость адресатов письма - если его идентичные варианты рассылаются на множество электронных адресов, оно отсеивается. Также системы фильтрации отсеивают сообщения на основании наличия в них слов, характерных для спама. Тысячи писем, даже если они уникальны для робота, но содержат, к примеру, пресловутое слово "viagra", могут не достигнуть получателей. Поэтому при осуществлении нелегитимных рассылок спамеры не только стремятся придать уникальность посланиям с точки зрения массовости, но и замаскировать их содержимое. Все эти меры имеют целью обход спам-фильтров. Для обхода спам-фильтров спамеры прибегают к хитростям - искажают текст сообщения, "зашумляют" его различными способами, чтобы робот не догадался о сомнительном содержимом, а получатель смог прочесть письмо и понять его смысл. Впрочем, маскируя свои "прогрессивные примеры интернет-маркетинга", спамеры в жесткой борьбе за их прохождение через системы фильтрации зачастую перегибают палку, и в итоге получатель видит совершенно нечитаемый текст. Спамеры вооружаются методами для "зашумления" своих посланий на основе простого текста, на основе html, а также средствами маскировки ссылок. "Зашумление" на основе обычного текста Самый простой способ исказить слово так, чтобы его понял человек, но не понял робот, работающий со словарем, - написать это слово с ошибками. Широкую распространенность этому способу обеспечивает его неосознанное применение многими не совсем грамотными спамерами. А вот к смене регистра букв в пределах одного слова спамеры прибегают уже осознанно, в надежде запутать системы фильтрации, дифференцирующие при анализе текста писем строчные и прописные буквы. Впрочем, современные алгоритмы анализа текста на подобные "провокации" уже не поддаются, поэтому для маскировки ключевых фраз спамеры могут использовать разрядку - отделение букв друг от друга пробелами. Формально каждая отдельно стоящая буква считается отдельным словом, что затрудняет роботам их сопоставление со списками "подозрительных" лексических единиц. Помимо пробелов для разбиения букв применяются всевозможные знаки препинания. Этот прием особенно популярен при записи телефонных номеров. Вместо традиционного дефиса спамеры используют различные разделители, порождая массу вариантов записи одного и того же номера. Этот же фокус, но с использованием в качестве "наполнителей" букв или цифр следует признать неудачным. Спам-фильтры могут спасовать перед подобными изысками, но и человек порой способен с трудом разобрать смысл написанного. Никаких затруднений не испытывает получатель, если слова в тексте спамового письма состоят из смеси букв русского и латинского алфавита. Аккуратно подменяя кириллические символы на имеющие схожее начертание латинские, можно добиться вполне пристойного визуального эффекта. Возможность использования букв русского алфавита в англоязычном спаме отсутствует ввиду нарушения кодировки. Это аналогично вставке иероглифов в русскоязычные письма. Поэтому заморские спамеры вооружаются цифрами: нулем они заменяют букву "O", а единица сходит за "l" и "I". Русскоязычные спамеры нередко поступают наоборот - в датах и номерах телефонов можно увидеть буквы вместо цифр. С написанием телефонов вообще связано множество спамерских трюков. Например, помимо хитростей с разделением цифр и замены их буквами встречаются случаи записи цифр числительными. Не стремятся к особой маскировке текста своих посланий спамеры, делающие ставку на быструю рассылку коротких писем. Их письма настолько лаконичны, что скрывать в них практически нечего - 3-5 слов и ссылка, которая меняется в среднем ежечасно. Такие умельцы достигают уникальности сообщений не путем изменения их содержимого, а с помощью "зашумления" вариативным текстом. В конец послания или в его тему они помещают произвольную последовательность букв и цифр. Эта строка уникальна для каждого письма рассылки. Впрочем, начинающие спамеры, подражая более опытным коллегам по цеху, иногда добавляют во все свои сообщения идентичный набор символов - разумеется, безрезультатно. Применение лингвистических методов анализа позволяет отсеивать подобные откровенно "замусоренные" письма. По этой причине "продвинутые" спамеры используют нормальные, "неспамовые" слова, которые случайным образом подбираются для каждого конкретного варианта сообщения. Наличие этого странного "хвоста" порой выдается за "ключевые слова рассылки, на которые не надо обращать внимания". Включение набора слов и даже целых предложений в спамовые письма служит не только для придания уникальности каждому из них. Не секрет, что работа многих спам-фильтров основана на байесовских алгоритмах, позволяющих анализировать частоту вхождения слов в незапрошенную электронную корреспонденцию. Цитируя в своих сообщениях целые абзацы из популярных книг и заголовки новостных лент, спамеры размывают понятия "типично спамерского" и "нехарактерного для спама" текста. А получателю остается только гадать, как связано, например, предложение услуг по массовым e-mail рассылкам с ассорти строк из "Евгения Онегина". "Зашумление" средствами html Большинство современных почтовых клиентов поддерживает чтение и создание писем с html-разметкой. Она позволяет разнообразно форматировать текст, добавлять в него изображения и вставлять "кликабельные" ссылки... А также использовать десятки ухищрений для искажения текста с целью "обмана" программы-робота и доставки спамового письма получателю, который даже не заметит в нем никаких изменений. Пожалуй, самый известный из подобных приемов - использование так называемого "невидимого текста", цвет которого совпадает с цветом фона письма - к примеру, белый шрифт на белом фоне. Таким образом можно замаскировать любой случайный текст. Благодаря широкому распространению этот прием стал распознаваться многими системами фильтрации - на основании совпадения html-кодов, задающих цвета фона и шрифта, поэтому в последнее время спамеры все чаще делают нежелательные для глаза получателя наборы символов едва заметными. Средства html позволяют набирать "зашумляющие" символы минимальным шрифтом, а основной текст максимальным, а также придать им бледный оттенок. В результате получатель безо всяких затруднений прочитает то, что хотят донести до него спамеры. Тэг <table> и сопутствующие ему (<tr>, <td>), предназначенные для представления табличных данных в html, также используются спамерами в попытках замаскировать содержание рекламного сообщения. К примеру, помещая начало слова в одну ячейку, а конец - в соседнюю, можно добиться его визуальной целостности, в то время как для робота это будут два бессмысленных набора букв. Еще для "зашумления" писем спамеры разбавляют их html-код так называемыми комментариями, заключаемыми внутрь дескриптора <!-- -->. Его содержимое невидимо для получателя, однако очевидно для робота. Например, в комментарии могут помещаться произвольные наборы слов, зачастую из разных языков. Похожий эффект дают заключенные в треугольные скобки последовательности случайных символов, по сути являющиеся несуществующими тэгами и потому игнорируемые почтовыми клиентами и браузерами. Любой символ, будь то обычная буква или диакритический знак, можно отобразить с помощью кодировки UTF-8. Хитроумные спамеры догадались заменять случайные символы в тексте спамового письма на их UTF-8-коды. Почтовый клиент отображает текст, разбавленный такими кодами, в обычном виде. Производя замену различных символов в различных вариантах письма, можно добиться того, что спам-фильтр будет воспринимать каждое конкретное сообщение как уникальное. Получатель же в любом случае увидит одну и ту же картину. Маскировка ссылок Основная цель спамера, внедряющего в нелегитимное послание ссылку, - заставить получателя перейти по ней. Адрес сайта, указанный в письме, зачастую является критерием, на основании которого спам-фильтр блокирует его доставку. Вполне понятно, что спамеры стараются этого избежать, однако ни один из описанных выше методов "зашумления" текста не годится, поскольку изменение хотя бы одного символа в ссылке приводит к ее неработоспособности. Добиваясь уникальности URL, рассыльщики "электронного мусора" маскируют их различными способами. Поскольку частая смена доменов рекламируемых ресурсов сопряжена со значительными затратами, дельцы прибегают к следующему способу создавать более-менее уникальные ссылки: они добавляют к своему домену второго уровня (например, хххххviagra.info) домен третьего уровня (http://dksj1.хххххviagra.info) или каталог (http://хххххviagra.info/lfk85) со случайными именами. Переход по сгенерированной ссылке приводит пользователя на главную страницу спамерского сайта, где и расположена рекламная информация. Многие популярные сервисы фильтрации спама типа SURBL при проверке вычленяют из URL только доменное имя второго уровня, что сводит на нет старания спамеров. Поэтому последние часто прибегают к использованию "сервисов коротких имен". Данные сервисы позволяют для неудобного в написании, длинного доменного имени получить альтернативный короткий адрес, с которого осуществляется редирект на основной сайт. Спамеры эксплуатируют эту легальную услугу в своих целях, маскируя настоящий домен сайта со спам-рекламой. Пример: ссылка в спамовом письме http://tinyurl.com/ххххх ведет на порносайт http://privateххххх.biz. В последнее время сервисы коротких имен начали активно бороться с таким неправомерным использованием, и шансы на то, что "короткий адрес" из "мусорного" письма сработает, уже не столь велики. Нельзя не упомянуть об умельцах, внедряющих в спамовые письма редирект Google на спам-сайт. Если в Google сделать, к примеру, запрос "хххххporno.su", то вполне логично, что первым результатом поиска станет адрес данного сайта. В этом случае есть возможность получить открытый редирект. Для систем фильтрации доменное имя google.com безупречно с точки зрения спам-репутации, в то время как указанная ссылка осуществляет прямое перенаправление пользователя на хххххporno.su. Заключение Существует множество способов маскировки текста, которыми пользуются спамеры. Можно предполагать, что имеются также методы, которые они не применяют. Пока. Многие спамерские трюки порой искажают спамовое письмо до неузнаваемости. Это, с одной стороны, служит ограничителем фантазии спамеров. С другой стороны, при длительном применении тот или иной прием "зашумления" спам-текста становится неэффективным и неактуальным. Это подталкивает спамеров к новым экспериментам, и они вряд ли когда-нибудь прекратят изыскания в области обхода систем фильтрации электронной почты. (Примеры спамовых писем вы найдете на сайте Спамтест.) Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005