|
|
Обзор подготовлен
При поддержке
Доля спама в почтовом трафике продолжает расти. Производители защитных систем "держат руку на пульсе" и постоянно модернизируют свое ПО с учетом используемых спамерами технологий. Однако последние не сдаются и придумывают новые, оригинальные решения, позволяющие преодолеть "защитные" барьеры.
В 2008 г. исполнилось 30 лет такому явлению современности, как спам. 3 мая 1978 г. сотрудник ныне не существующей компании DEC разослал несколько сотен сообщений с приглашениями на демонстрацию новых мини-компьютеров. Общественность осудила этот поступок. За прошедшие годы изменилось многое, кроме, пожалуй, отношения к спаму. Большинство людей осуждают, ненавидят и проклинают спам. Законодатели пытаются бороться с этим явлением. Но количество массово рассылаемых писем от этого не уменьшается. Более того, их становится все больше. За прошедший 2007 г. размер почтового спам-трафика вырос с 40% до 60%. А доля мусора в почтовом потоке порой превышает 90%.
Доля спама в почтовом трафике
Источник: "Лаборатория Касперского", 2008
В 2007 г. доля спама в почтовом трафике составила в среднем 79,2%. Меньше всего мусора было зафиксировано в мае — 73,5%, самым урожайным оказался ноябрь — 86,2%. В течение года доля писем, рассылаемых в массовом порядке, постепенно росла, хотя и с некоторыми колебаниями, и с осени превысила 80%. В четвертом квартале 2007 г. доля сообщений, адресованных не лично, достигла 85,7%. В первом полугодии 2008г. (март) был поставлен абсолютный рекорд за анализируемые 18 месяцев — более 90%.
Стоит отметить, что при увеличении доли спама с 76% в первом полугодии 2007 г. до 82% во втором объем рассылаемых писем вырос примерно в два раза. Столь бурные темпы связаны с увеличением числа пользователей электронной почты и количества писем в целом, а также с ростом числа зараженных компьютеров, используемых для рассылки спама. Пользователей интернета становится все больше, все больше компьютеров попадает в зомби-сети, что, в свою очередь, позволяет быстрее рассылать спам. Показанная выше статистика, позволяет сделать вывод о том, что в 2008 г. доля нежелательного трафика сохранит положительный тренд. Первые месяцы текущего года подтверждают это предположение: и доля, и общее количество спама в почте продолжает увеличиваться.
Сравнительная доля спама в почтовом трафике
Источник: "Лаборатория Касперского", 2008
Майский спад спама обусловлен длительными праздниками: спамеры и их заказчики отдыхают. Июньский спад — скорее результат проведения спортивных состязаний, нежели тенденция к уменьшению. Еще несколько лет назад можно было наблюдать снижение количества спама в начале лета и осеннюю активность. Но в последние несколько лет такой динамики нет, и резкое снижение отмечается только в новогодние праздники.
США и Россия по-прежнему держат лидерство по количеству рассылаемого спама. В 2006 г. на третьей позиции в рейтинге стран-спамеров был Китай. По итогам 2007 г. он занял лишь 9-е место. Видимо, китайские пользователи стали уделять больше внимания защите своих компьютеров. Третье место заняла Польша, которая, впрочем, уже не первый год входит в лидирующую пятерку. Интересно, что во вторую десятку вошли в основном страны Латинской Америки.
География источников спама в 2007 г.
Источник: "Лаборатория Касперского", 2008
Удивляет отсутствие в рейтинге некоторых развитых в плане доступа к интернету стран, например Канады и Южной Кореи. Большое количество пользователей и персональных компьютеров там не приводит к увеличению количеству писем, рассылаемого из этих стран.
Размер 40% неадресных сообщений не превышает 5 Кбайт. Они, как правило, включают небольшой текст и ссылку. Еще треть рассылаемого мусора имеет размер от 5 до 10 Кбайт. В эту категорию попадают письма с чуть более длинным рекламным текстом, либо те из них, где для обмана фильтров дополнительно используется случайный текст. Спамеры предпочитают небольшие объемы по очевидной причине: чем короче каждое отдельное сообщение, тем быстрее достигает получателей вся миллионная рассылка.
Распределение спамовых писем по объему в 2007 г.
Источник: "Лаборатория Касперского", 2008
Еще один пик на графике (13%) составляют письма, размер которых достигает от 20 до 50 Кбайт. К этой категории относится "графический" спам, а также спам с вложениями (pdf, fdf), который активно рассылался в середине года. Если же подсчитать средний размер, то он составляет 17 Кбайт.
В начале 2007 г. продолжались ставшие популярными в 2006 г. эксперименты с "графическим" спамом — сообщениями, в которых рекламный текст представлен в виде графического изображения. В феврале прошлого года преступники вспомнили об анимированном спаме, состоящем из нескольких кадров, последовательная загрузка которых дает полную картинку с текстом рекламы. Спамеры усилили этот прием, развернув изображения на каждом из кадров под разными углами и сделав кадры максимально зашумленными. Картинка стала плохо читаема, и этот прием быстро сошел на нет.
Спамовое письмо, состоящее из четырех отдельных кадров
Источник: "Лаборатория Касперского", 2008
Уже весной 2007 г. фильтры стали успешно справляться со спамом с вложенными графическими файлами, и злоумышленники были вынуждены искать новые способы доставки графической информации.
В марте 2007 года появились спамовые письма, в теле которых указывался URL, ведущий на страницу бесплатного хостинга изображений (imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com и т.п.). Графический файл в такие письма не вкладывался. Однако после того как пользователь открывал письмо, в большинстве популярных почтовых клиентов изображение автоматически подгружалось с указанного URL. Еще один вариант — использование "картинки" в виде фонового изображения. URL сайта, на котором публиковалась картинка, помещался в тег "body", атрибут "background". В результате изображение могло автоматически подгружаться в некоторых почтовых клиентах, а также в веб-интерфейсах части почтовых служб.
В обоих случаях ставка была сделана на то, что спамерское изображение не вложено в сообщение и у фильтров нет материала для анализа. Однако большого успеха эти приемы не имели, и спамеры переключились на эксперименты с форматами вложенных файлов.
Доля "графического" спама в общем потоке спама в 2007 г.
Источник: "Лаборатория Касперского", 2008
На диаграмме видно, что после активных экспериментов с "графическим" спамом в начале 2007, к концу года его доля в общем объеме спама уменьшилась. Тем не менее она продолжает оставаться на приличном уровне. Поскольку есть категории спама, которые традиционно рекламируются с помощью картинок (например, реклама виагры и других медикаментов), спамеры продолжат использовать графику и наверняка будут с ней экспериментировать и дальше. Первые шесть месяцев 2008 года полностью подтверждают и этот прогноз: графический спам никуда не делся, его доля более-менее стабильна.
В мае 2007 года появилась новинка — pdf-спам. Пользователи получали пустые письма с pdf- (а позже еще и fdf-) вложениями. Не привыкшие к тому, что спам может выглядеть подобным образом, адресаты открывали вложение и видели там все ту же рекламную картинку с текстом. Тематики же бала схожей с тематиками "обычного" спама того периода.
Сначала этот вид спама довольно успешно пробивал фильтры, и доля его от общего числа спама была высока. На пике популярности она составляла около 10%. Но спам-фильтры довольно быстро научились распознавать и ловить подобные вложения. Спамеры попытались изменять формат вложений, заменили pdf- на fdf-формат. Но фильтры успешно подстраивались и под новый вид вложений, и к концу июля 2007 г. подобный метод практически сошел на нет.
Также злоумышленники пробовали рассылать письма с архивированными вложениями и с вложенными Excel-файлами (в расчете на то, что пользователь привык к "офисным" файлам и откроет вложение). В обоих случаях спамеры не имели успеха, в основном потому, что большинство пользователей с опаской относились к нежданным письмам и вложений не открывали.
В октябре 2007 г. появился совершенно новый формат спама — письма с вложенными mp3-файлами. Расчет спамеров был сделан на то, что ни спам-фильтры, ни пользователи не ждут подобного формата, и спам легко достигнет цели.
Однако новый формат оказался крайне неудачным. Чтобы спамовым письмам с вложенными mp3-файлами было легче обойти фильтры, разработчики старались добиться отличия звуковых файлов друг от друга. Каждый файл состоял из нескольких фрагментов текста (возможно, автоматически созданного), совмещенных друг с другом в разном порядке и записанных с разной скоростью. В результате mp3-файлы получались такого плохого качества, что при прослушивании было практически невозможно понять, что на них записано. Кроме того, файлы были маленького размера, что также не способствовало хорошему качеству записи.
Данная рассылка носила концептуальный характер и, вероятнее всего, не преследовала практической цели, хотя о mp3-спаме рассказали практически все тематические СМИ.
Наигравшись с этим, в августе 2007 г. спамеры начали "ускорять" рассылки. Если раньше средняя рассылка занимала около двух дней, то письма из "быстрых" рассылок достигают ящиков миллионов пользователей за 15–30 минут. Это происходит как за счет улучшения спамерского софта, так и из-за увеличения числа компьютеров, с которых осуществляется рассылка.
Увеличение скорости рассылок принесло определенные результаты. И теперь на осуществление большинства рассылок спамерам требуется менее получаса. Но спам-фильтры научились справляться и с этим способом доставки. Например, "Лаборатория Касперского" использует новую технологию SURBL, позволяющую реагировать на спам мгновенно. Так что в 2008 г. спамерам снова пришлось придумывать новые методы. Справедливости ради стоит заметить, что до сих пор ничего нового не появилось — сверхкоротких и мегамассовых рассылок пока нет.
В условиях жесткой фильтрации спама в электронной почте спамеры вынуждены искать другие каналы распространения информации. Злоумышленники следят за тенденциями в интернете и увлечениями своих потенциальных клиентов.
Раньше многие пользователи сети были участниками каких-либо форумов, и к ним приходил спам в виде уведомлений от туда. Теперь же на пике популярности социальные сети. Спамеры не преминули использовать и их в своих целях. Уже появились письма, пришедшие с якобы известных социальных сетей. Но на сайтах, упомянутых в таких письмах, расположены, скорее всего, вредоносные программы.
Популярность социальных сетей сохраняется, и спамеры используют их в своих целях все активнее. При этом со временем имитация уведомлений и сообщений с таких сетей станет все более правдоподобной и качественной. Кроме того, спамеры попытаются рассылать спам с легитимных аккаунтов, зарегистрированных в социальных сетях (именно так они поступали с форумами). Соцсети уже предпринимают попытки защиты от подобных явлений (например, на некоторых из них ограничивается количество приглашений в день), но наверняка будут придуманы способы обхода и такой защиты.
В первом полугодии 2008 г. был испытана новинка: спам располагался на бесплатных службах различных сайтов и систем (блоги, бесплатные офисные веб-приложения и пр.), а в письме давалась только ссылка туда. Расчет был на то, что фильтры не будут банить ссылку на известный ресурс (такой как, например, Google docs или blogs.mail.ru). Причем, что характерно, спамеры в основном пользовались новыми, не так давно возникшими службами, у которых еще мало опыта и есть "дырки" в защите. Более старые службы, например livejournal или liveinternet, были проигнорированы из-за неэффективности размещения на них спама: регистрировать аккаунты с помощью робота сложно, созданные спам-журналы быстро закрывают.
Этот пример приводит к следующему заключению: поскольку почтовый спам уже далеко вышел за рамки почты, спамеры используют в этой связи все новые и новые ресурсы сети. Если раньше к такому роду массовых рассылок можно было отнести только уведомления с форумов, содержащие различные ссылки, то сейчас круг задействованных ресурсов гораздо шире.
Спам в первой половине 2008 г. продолжал поражать разнообразием предложений криминальных услуг, мошенничеством, фишингом и другими видами криминального мусора. Важно помнить, что результат пренебрежения элементарными правилами — это потеря денег со счетов в банках или своих персональных данных.
В своих мошеннических письмах спамеры ссылаются на всем известные имена и придумывают все новые причины для высылки им денег. Возможно, не будет лишним еще раз предупредить, что, если в письме по любым причинам от них требуют денег (или отправки смс-сообщения), это наверняка мошенническое письмо. Тем более не стоит торопиться, если денег требуют срочно, обещая удалить аккаунт и пр.
Надо также понимать, что мошенники атакуют наиболее популярные и "раскрученные" системы и службы для того, чтобы вероятность успеха была как можно выше. Провайдерам, чьи клиенты стали объектом атаки, рекомендуется не замалчивать эти случаи, а как можно более оперативно информировать своих клиентов о возможных инцидентах. Это единственный способ помочь им в подобной ситуации. Информирование о внутренних правилах работы (например, если провайдер никогда не рассылает сообщения об обновлениях или блокировке учетной записи и т.д.) также не будет лишним.
Пример мошеннического письма от вымогателей денег
Источник: "Лаборатория Касперского", 2008
Помимо этого, спамеры предлагали обучить пользователя взлому почты и ICQ, обманом заставить их отмывать деньги и многое другое. А популярность социальных сетей используется для того, чтобы украсть у пользователя деньги, например, предлагая послать "бесплатное" sms на короткий номер.
Мошенники используют известные адреса
Источник: "Лаборатория Касперского", 2008
Одно из простейших правил действий в такой ситуации — быть бдительным.
Если говорить о тематиках спама, то бессменный лидер — медикаменты и медицинские услуги. В первом полугодии 2008 г. в пятерку наиболее популярных из них ворвалась новая категория — "Реплики часов и поддельные товары класса люкс". И это не особенность российского спама. Предложения о поддельных сумочках Gucci или Louis Vuitton приходят с завидной регулярностью, что не удивительно, так как торговля подделками серьезно наказуема в Европе, а рекламировать товар как-то надо. Вот мошенники и выбрали спам как инструмент продвижения. Что характерно, так это схожесть стилей медицинского спама и "реплик". В англоязычном спаме это, как правило, либо короткие письма с искаженным текстом и ссылкой на сайт, либо графический спам. В русскоязычном также встречается вариант текстового спама с картинкой. Возможно, что рассылкой спама этих тематик занимаются одни и те же люди.
Тематика спамерских предложений в первой половине 2008г.
Источник: "Лаборатория Касперского", 2008
В целом "Реплики часов и поддельные товары класса люкс" — это новая, активно развивающаяся рубрика, доля которой, видимо, скоро стабилизируется. Ее резкий скачок связан, в частности, с новизной подобного бизнеса в российском сегменте рынка. Надо заметить, что российские бизнесмены пытаются также внести свою "изюминку", предлагая, например, купить "часы, как у Путина" или "телефон, как у Билла Гейтса".
Если же сравнить в 2006 г. динамику изменений, происходивших в 2007–2008, то видно, что лидеры сегментов укрепили свои позиции, а остальные категории, кроме товаров класса люкс, потеряли заказчиков. Что ж, спрос рождает предложение.
Итак, несмотря на сезонные колебания, количество спама в почтовых ящиках в целом не уменьшается. Появляются новые темы для неадресных рассылок и новые методы мусорного продвижения товаров. Так, спам в социальных сетях давно перестал быть новинкой: они и форумы уже давно используются как прикрытие для спама, а теперь к ним прибавились офисные веб-приложения (Google docs) и блоги. Там злоумышленники регистрируют контент, на который в почтовой рассылке дают ссылку.
Так как постоянно разрабатываются и совершенствуются новые методы обхода спам-фильтров, антиспамеры совершенствуют системы фильтрации. Не видно ни конца этой гонки, ни победителя. Единственный надежный способ защититься — фильтровать и фильтровать. Чем больше будет защищенных от спама компаний и пользователей, тем меньше спам-сообщений будет достигать наших ящиков и тем меньше станет притягательность массовых рассылок для заказчиков. И тогда, возможно, появится устойчивый тренд к снижению спама в почте.
Дарья Гудкова, Андрей Никишин