Опять про спам, который так мешает нам…
Обзор спам-индустрии за 2006 год
Новые технологические приемы спамеров
Антиспам-решения «Лаборатории Касперского» для ПК
Корпоративное решение Kaspersky Anti-Spam
Как уменьшить количество спама
Спам гораздо хуже рекламы, поскольку он есть неизбежное зло, а реклама всего-навсего необходимое.
Большую часть рассылок в электронном ящике занимают предложения услуг по осуществлению рассылок.
Из коллекции афоризмов www.aphorism.ru
Сколько было идей по быстрому искоренению спама — и в юридической сфере, и в воспитательной, и в технической! А воз, как говорится, и ныне там… Конечно, нельзя сказать, что принимаемые меры борьбы со спамом не дают никаких результатов. Если бы не они, нас, наверное, просто завалило бы спамом. А ведь все так просто: не покупайте у спамеров — и они тут же найдут себе другой бизнес, возможно, более цивилизованный. Но в том-то и дело, что природа человека двойственна и противоречива. Иной пишет статьи о спаме, клеймит его, требует покончить со злом раз и навсегда, а когда увидит заманчивое дешевое предложение, например «горящую» путевку, в спамерской рассылке, то не преминет им воспользоваться. Хотя самостоятельно найти в Сети то же самое предложение можно за пять минут. Вот и получается замкнутый круг: мы, пользователи, платим деньги за антиспам-продукты и одновременно сами же финансируем спамеров, то есть развиваем их бизнес.
Замечательная возможность отправить письмо сразу нескольким адресатам обернулась проблемой спама | Дешевая e-mail-реклама превратилась в доходный бизнес |
В итоге величайшее изобретение — электронная почта, позволяющая сразу обратиться к огромной аудитории, — обернулось серьезной проблемой: мы вынуждены оплачивать генерируемый спамерами трафик и тратить время на разборку ненужной почты.
Наличие спама крайне осложняет сортировку сообщений на нужные и ненужные | Используя спам, мошенники тем или иным способом выманивают деньги у доверчивых пользователей |
Более того, анонимность спама создает идеальные условия для разного рода мошенничества — злоумышленники рассылают спам, посредством которого выманивают деньги у доверчивых пользователей электронных почтовых ящиков.
Человек обладает более высоким интеллектом,
чем фильтр, и может вычленять полезную информацию
из «зашумленного» сообщения, даже если способ создания этого
шума заранее неизвестен...
Технически пресекать получение спама очень сложно. Проблема его фильтрации заключается в том, что спамеры все время придумывают новые формы шума, которые мозг человека легко отсеивает, а фильтр нет. Фильтр может отсеять только тот шум, который ему известен. Поскольку интеллект человека выше, чем у любого фильтра, спамеры будут постоянно придумывать новые технологии зашумления послания, которое пользователь будет отсеивать сразу (вычленять полезную информацию). Фильтр же для распознавания каждого нового вида «шума» приходится переучивать.
Обзор спам-индустрии за 2006 год
Статистика по спаму
Согласно данным группы спам-аналитиков «Лаборатории Касперского» под руководством Анны Власовой, в среднем спам-рассылки в Рунете в 2006 году составляли более 70% от общего объема почтового трафика (рис. 1).
Рис. 1. Спам в Рунете в октябре 2005 — сентябре 2006 г. (источник: «Лаборатория Касперского»)
Небольшое снижение активности спамеров наблюдалось в период рождественских каникул, а пик ее пришелся на начало октября, когда заканчивается период отпусков и все включаются в работу. Таков же цикл и интернет-активности пользователей. На рис. 1 представлены усредненные данные. На серверах бесплатных почтовых служб доля спама может быть выше, а на корпоративных почтовых серверах — ниже. Но, по данным «Лаборатории Касперского», менее 50% от всей почты она никогда не составляет.
Что касается тематики спама, то она подробно рассмотрена на рис. 2.
Рис. 2. Тематика спама в Рунете
в январе — сентябре 2006 г.
(источник — «Лаборатория Касперского»)
Спам и криминал
Анонимность и отсутствие эффективных средств контроля стимулируют криминализацию спама. Причем ужесточение законодательства в отношении спама приводит к тому, что спамерами становятся те, кому нечего терять, то есть люди, уже занимающиеся нелегальным бизнесом (мошенники, продавцы запрещенных товаров и т.п.).
По данным «Лаборатории Касперского», в 2006 году продолжился рост доли «Компьютерного мошенничества» (она объединяет фишинг, «нигерийские» письма, поддельные извещения о выигрыше в лотерею и другие сообщения, целью которых является получение денег/персональных данных обманным путем) по отношению ко всему спаму, появились новые виды мошеннического спама. Спам все чаще используют для кражи персональных данных, а также для распространения вредоносных программ.
В текущем году спамеры продемонстрировали способность к консолидации в ответ на угрозы антиспам-разработчиков. В этом отношении показателен пример войны со спамерами компании BlueSecurity. Эта израильская антиспамерская компания, организовавшая проект BlueFrog, была вынуждена прекратить свою деятельность после атаки спамерами ее сайта. Программа BlueFrog рассылала спамерам сообщение с требованием исключить адреса участников проекта из спам-рассылок, а также автоматически заполняла этим текстом формы на спамерских сайтах. Спамеры получали от BlueSecurity до тысячи сообщений в день с требованием очистить список рассылки. Однако вскоре (в начале мая) злоумышленники, раздраженные методами BlueSecurity, предприняли на ее сайт и еще несколько ресурсов массированную DDoS-атаку. Одновременно спамеры начали угрожать участникам программы тем, что они будут получать спам с вирусами, если не удалят свои адреса из базы BlueFrog. В итоге компания BlueSecurity заявила, что не может справиться со спамерами и поставить под угрозу своих пользователей.
Еще одна тенденция уходящего года — это мошеннические письма с «магическими» SMS. Обещания спамеров звучат примерно так: отправьте SMS по номеру такому-то и получите деньги на свой счет.
Спамеры эксплуатируют SMS-сервисы, предназначенные для перевода денег со счета мобильного телефона на другой счет (мобильный или специализированный, созданный в одном из специальных сервисов). Подобные SMS-сервисы, предназначенные для быстрого перевода денег, востребованы пользователями. Их создатели, конечно, не предполагали возможности подобного мошенничества и теперь пытаются бороться со спамерами, закрывая их аккаунты при поступлении жалоб пользователей.
При отправке SMS со счета пользователя снимается определенная сумма, часть которой идет оператору связи за предоставленную услугу перевода, а остальное — спамеру.
Для того чтобы убедить пользователя отправить SMS с определенным содержанием на заданный адрес, мошеннику нужен предлог, например он может сообщить пользователю о выигрыше в лотерее (рис. 3) или пообещать оградить его электронный ящик от спама, если пользователь отправит SMS (в этом письме спамер даже предупреждает, что услуга платная). Нередко встречается и откровенный криминал, например предложения по взлому почтовых ящиков — рис. 4.
Рис. 3. Пример спам-письма, в котором предлагается отправить
SMS для получения несуществующей бесплатной услуги
Рис. 4. Пример спам-письма с предложением взлома почтовых ящиков
Бум «финансового» спама
В текущем году финансовый спам (реклама акций) стал рассылаться с помощью новых графических технологий.
Спамеры агитируют пользователей покупать акции малоизвестных компаний. Несмотря на то что эксперты относят такой спам к тематической группе «Личные финансы» (она объединяет предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов, покупке акций, инвестициям и т.п.), он явно тяготеет к криминализированному. Подобные письма содержат умышленно завышенную оценку потенциально возможного роста стоимости акций (рис. 5).
Рис. 5. Пример письма, направленного
на повышение стоимости акций
Резкое увеличение количества спама тематической группы «Личные финансы» началось в августе и продолжается до сих пор (рис. 6). С января по сентябрь доля этой группы выросла соотвтетственно с 6,6 до 13,7%.
Рис. 6. Динамика роста доли финансового спама в 2006 году (источник: «Лаборатория
Касперского»)
Большую часть этого спама составляют рассылки с призывом вложить деньги в акции, которые и вызвали столь значительное увеличение доли всей тематической группы.
Новые технологические приемы спамеров
Развитие антиспам-фильтров и спам-технологий их обхода (или, вернее, пробивания) идет путем последовательных итераций. Фильтры становятся все более интеллектуальными и начинают лучше отсеивать спам, пока спамеры не придумывают новые уловки и тем самым не дают разработчикам новую работу.
Графический («зашумленный») спам появился еще в 2004 году и в свое время пробил серьезную брешь в антиспам-защите различных производителей, но через пару месяцев разработчики антиспамового ПО решили эту проблему.
В 2006 году спамеры снова сделали ставку на графику. С начала года технологии, использующие элементы графического представления спама — замена отдельных букв в тексте соответствующими изображениями, применение картинок с текстом редких шрифтов, например готического, наклон картинки в спамерском сообщении на несколько градусов и многое другое (рис. 7) — неоднократно совершенствовались. А наиболее серьезные проблемы для систем фильтрации в текущем году создавала новая спам-технология — анимированный спам. Первые такие рассылки были зафиксированы аналитиками «Лаборатории Касперского» в конце августа, после этого технологии совершенствовались до конца октября (увеличивалось количество кадров в анимации, появлялись наслаивающиеся кадры и т.п.). К концу ноября вся затихло, и сейчас количество анимированного спама пошло на убыль. Возможно, антиспамеры сумели оперативно отреагировать на него и разработать действенные обновления для спам-фильтров.
Рис. 7. Разные варианты графического обмана фильтров
Спамеры используют GIF-анимацию, так как она распознается и автоматически воспроизводится всеми популярными браузерами. Первые анимированные рассылки состояли из двух-четырех кадров, из которых только один содержал информационную составляющую — текст спамерского предложения, а остальные были фоном. Кадр с текстом демонстрируется пользователю до 10 минут (в разных спам-рассылках это время существенно варьируется — от нескольких секунд до 10 минут), а вспомогательные — всего десятые доли секунды. Особенность новой технологии состоит в том, что пользователь в большинстве случаев не понимает, что перед ним анимированный графический файл. «Зашумленные» кадры демонстрируются сотые доли секунды, и человеческий глаз просто не успевает их воспринять. Пользователь видит сообщение и расценивает его как обычный текст, а программы, предназначенные для борьбы со спамом, учитывают все кадры анимации и могут не распознать сообщение как спамерское.
В сентябре спамеры попробовали разнообразить анимацию, включив в GIF-файл не только «зашумленные» кадры, но и кадры со словом «покупай» (от англ. buy) (рис. 8).
Рис. 8. Кадры анимированного спам-письма
Совершенствуя новую технологию, спамеры пошли по пути увеличения количества кадров в анимированном GIF-файле и распределения по ним текста рекламы. В итоге сообщение может содержать не один, а десять-двадцать информативных кадров с одной-двумя строчками из рекламого письма на каждом. Кадры накладываются друг на друга, и в итоге пользователь видит полный текст спамерского предложения. В анимации по-прежнему сохранены «зашумленные» кадры в начале и в конце.
Кроме совершенствования формата спам-рассылок, спамеры в течение года вели работу над уменьшением времени отдельной спам-рассылки (новейшие спамерские технологии позволяют разослать сотни тысяч сообщений всего за несколько десятков минут), а также успешно применяли прием маскировки спама под личное сообщение.
Спам и законодательство
1 июля 2006 года вступил в силу новый Федеральный закон РФ «О рекламе», принятый Государственной думой ФС РФ 22 февраля текущего года и отменивший действие предыдущей редакции закона.
Новшеством в российском законодательстве является выделение такого способа рекламы, как распространение по сетям электросвязи, которому в новом законе посвящено два пункта статьи 18. Законом закрепляется не только принцип opt-in, но и презумпция отсутствия согласия адресата на получение рекламных сообщений. Это значит, что бремя доказывания возлагается на рекламораспространителя, который, в случае возникновения спора, обязан доказать факт получения согласия адресата на получение рекламы. Кроме того, запрещаются автоматические рассылки, под которыми в законе понимается распространение рекламы с применением средств выбора без участия человека.
Впервые в России спам хотя бы частично попал под действие законодательства. В законе «О рекламе» есть раздел, регулирующий рекламу, распространяемую по сетям электросвязи, то есть имеющий прямое отношение к той части спама, которая такой рекламой и является. Заметим, что подобного спама в Рунете большинство. В меньшинстве остаются «политический» спам, проверочные рассылки для валидации спамерской базы адресов, мошенничество и некоторые другие виды нежелательной почты.
Как изменения в законодательстве повлияли на поведение спамеров и заказчиков спама, можно проследить по диаграмме (рис. 1). К концу лета спама стало меньше, причем наиболее резким его сокращение оказалось в сегменте товарной рекламы. К октябрю объемы и долевое распределение спама вернулись к прежним позициям.
Примечательно, что теперь спамеры придерживаются схемы работы, при которой спам-рассылка производится, а законодательство при этом не нарушается. В ее основе лежит формальное заключение договора на предоставление информационных, а не рекламных услуг, которые не попадают под действие закона «О рекламе».
К сожалению, в обновленном законодательстве пока не хватает реальных инструментов для исполнения закона. Допустим, пользователь получил спам, и что ему делать? Куда направить жалобу, кто будет искать нарушителей и наказывать их? На эти вопросы ответов пока нет. Так что пользователям по-прежнему приходится уповать исключительно на технологические решения — программы, фильтрующие спам.
Поведав о неприятностях, которые доставляют и будут доставлять нам спамеры, нельзя не рассказать о продуктах антиспам-защиты. Перечислить все программы (а их существует сотни) в одной статье невозможно, поэтому мы рассмотрим два решения от «Лаборатории Касперского», предназначенных для защиты пользователей на уровне персонального компьютера и корпоративной сети.
Антиспам-решения «Лаборатории Касперского» для ПК
До недавнего времени «Лаборатория Касперского» предлагала программный продукт Kaspersky personal security suite, который включал компонент, предназначенный для защиты пользователей почтовых клиентов Microsoft Outlook и Microsoft Outlook Express от нежелательных сообщений. Данная программа включала проверку всевозможных атрибутов письма (адрес отправителя и получателя и его заголовков (включая From и To). Использовалась также контентная фильтрация, при которой анализируется содержание самого письма (включая заголовок Subject) и файлов вложений. Решение включало уникальные лингвистические эвристические алгоритмы, основанные на нечетком сравнении с письмами-образцами, а также на более глубоком анализе текста, оформления и других атрибутов электронных сообщений.
Сегодня защита от спама для домашних пользователей поставляется как часть в составе нового пакета Kaspersky Internet Security 6.0 (рис. 9). Это комплексное решение для обеспечения безопасности при работе в Интернете, в котором защита от спама реализована наравне с защитой от вирусов, хакеров и шпионских программ. Программа поставляется как коробочное решение, работает под управлением Microsoft Windows 98 — XP , цена — 79 долл.
Рис. 9. Kaspersky Internet Security 6.0
В программе реализован комплекс методов для распознавания спама. Высокое качество фильтрации спама достигается благодаря применению различных методов: проверка по черным и белым спискам адресатов (включая адреса фишинговых сайтов) и по фразам в тексте письма, анализ текста письма с помощью самообучающегося алгоритма. Распознается даже графический спам.
Продукт поддерживает распространенные почтовые программы. Для программ Microsoft Outlook, Microsoft Outlook Express и The Bat! предусмотрен специальный модуль расширения, который позволяет задавать правила обработки писем по результатам их анализа.
Имеется функция предварительного просмотра писем, то есть можно просматривать только заголовки входящих писем на сервере без загрузки их на компьютер, что позволяет отказаться от приема некоторых сообщений и не только экономит время и интернет-трафик, но и снижает вероятность загрузки спама и вирусов на компьютер пользователя.
Корпоративное решение Kaspersky Anti-Spam
Пакет Kaspersky Anti-Spam защищает пользователей корпоративной почтовой системы от спама, идентифицирует и блокирует спамерские сообщения в потоке входящей и/или исходящей почты, выполняя роль фильтра на почтовом сервере.
Интеллектуальные технологии анализа почтовых сообщений и регулярные обновления, выпускаемые спам-лабораторией круглосуточно с интервалом в 20 минут, позволяют блокировать подавляющее большинство спам-рассылок.
При разработке продукта учтены потребности интернет-провайдеров, вследствие чего Kaspersky Anti-Spam можно рекомендовать как решение для ISP.
Основные функции Kaspersky Anti-Spam:
- защита от спама:
- фильтрация по спискам — обрабатывая сообщения, программа проверяет наличие почтового и IP-адреса отправителя в черных списках (так называемые DNSBL — DNS-based Blackhole List) провайдеров и некоммерческих организаций. Администратор продукта может также вести свои белые списки адресатов («списки друзей»), почта от которых принимается всегда,
- анализ формальных признаков письма — модификация адреса отправителя, отсутствие получателей или большое их количество, отсутствие IP-адреса в системе интернет-адресов DNS и т.п. — все эти признаки спамерского сообщения принимаются во внимание при обработке писем. Кроме того, осуществляется анализ по размеру и формату сообщения,
- лингвистические эвристики — приложение проверяет письма на наличие определенного набора и распределение в тексте сообщения специфических словосочетаний, причем сервер фильтрации анализирует не только текст письма, но и вложения,
- сигнатурный анализ — для каждого спамерского письма может быть автоматически создана так называемая лексическая сигнатура, позволяющая распознать даже модифицированный вариант сообщения. Ежедневно лингвистическая лаборатория пополняет базы сотнями новых сигнатур,
- обнаружение графического спама — процесс создания и графических сигнатур аналогичен процессу создания образцов текстового спама, но в данном случае работа ведется с изображениями, используемыми спамерами как в теле письма, так и во вложениях,
- UDS-запросы (UDS — Urgent Detection Service (служба оперативного обнаружения)) в режиме реального времени — если по результатам анализа письмо не получило однозначной оценки (спам/не спам), то программа выполняет запрос к UDS-серверу, который содержит данные о самых последних рассылках: информация о новом спаме добавляется в базу данных в момент обнаружения его аналитиком лаборатории;
- администрирование:
- тонкая настройка — администратор может настраивать степень фильтрации, белые и черные списки отправителей, включать/отключать действие тех или иных правил фильтрации, включать блокирование почты с кодировками восточных языков,
- управление группами пользователей — администратор продукта может создавать отдельные группы пользователей, причем как в виде списка адресов, так и с помощью масок доменов (например, *@???.domain.com). Для каждой группы могут быть заданы разные настройки и правила фильтрации и различная бизнес-логика обработки сообщений,
- бизнес-логика фильтрации — предусмотрен широкий набор действий по отношению к обнаруженному спаму: письмо может быть автоматически удалено, отправителю может быть послан отказ в приеме сообщения. К теме или к служебным заголовкам письма может быть добавлена заданная администратором метка — в этом случае письмо доставляется по адресу и фильтруется на уровне почтового клиента,
- обновление баз — производится по заданному администратором расписанию (по умолчанию каждые 20 минут). При необходимости приложение обращается к серверу UDS-обновлений с запросом относительно подозрительных сообщений в режиме реального времени,
- подробные отчеты — администратор может контролировать работу приложения, состояние защиты от спама и статус лицензий, используя наглядные HTML-отчеты или просматривая лог-файлы Linux. Возможен экспорт отчетов в файлы формата CSV или Excel. Доступны отчеты об общем почтовом трафике и различных долях спама в нем за заданный период времени.
Системные требования Kaspersky Anti-Spam:
- процессор Intel Pentium III 500 МГц или выше;
- не менее 512 Мбайт свободной оперативной памяти (рекомендуется 1 Гбайт);
- 100 Мбайт свободного дискового пространства для установки приложения (без учета объема резервного хранилища и временных файлов);
- почтовые серверы:
- Sendmail 8.13.5 с поддержкой Milter API,
- Postfix 2.2.2,
- Qmail 1.03,
- Exim 4.52,
- Communigate Pro 4.3.7;
- операционные системы:
- RedHat Linux 9.0,
- RedHat Fedora Core 3,
- RedHat Enterprise Linux Advanced Server 3,
- SuSe Linux Enterprise Server 9.0,
- SuSe Linux Professional 9.2,
- Mandrake Linux version 10.1,
- Debian GNU/Linux version 3.1,
- FreeBSD version 4.10,
- FreeBSD version 5.4.
Принцип работы UDS
О технологии UDS следует рассказать подробнее. На состоявшейся недавно ежегодной международной конференции «Проблема спама и ее решения» технические подробности о работе UDS привел Андрей Калинин, руководитель группы развития антиспам-технологий «Лаборатории Касперского».
Для классификации почтовых сообщений программный комплекс Kaspersky Anti-Spam (KAS) использует формируемую спам-аналитиками «Лаборатории Касперского» базу данных о спаме, в которую входят как сигнатуры известного спама, так и различные эвристики, позволяющие ловить не только уже известный спам, но и подобный ему, который может распространяться в будущем. Для эффективной работы KAS требуется, чтобы база данных поддерживалась в актуальном (обновляемом) состоянии. Рекомендуемая периодичность ее обновления — раз в 20 минут.
За последние два года скорость рассылки спамерских сообщений выросла на несколько порядков. Применение сетей зомби-компьютеров позволяет спамерам распространять миллионы сообщений за считаные минуты. Для ускорения реакции KAS на новые спамерские рассылки и была разработана технология UDS, которая обеспечивает программному комплексу KAS, установленному на почтовом сервере клиента, прямой доступ к данным антиспам-лаборатории, не ожидая обновления локальной базы.
Во время обработки почтового сообщения UDS-клиент, интегрированный в KAS 3.0, подготавливает небольшой блок информации о почтовом сообщении, который не позволяет восстановить текст сообщения, однако дает возможность группировать одинаковые или похожие почтовые сообщения. Затем UDS-клиент посылает подготовленный запрос выбранному UDS-серверу и ждет получения вердикта: является ли данное почтовое сообщение спамом, содержит ли оно вредоносную программу или UDS-серверу о нем пока ничего не известно. Если образец некой спамерской рассылки уже попал в антиспам-лабораторию, то при помощи UDS спам-аналитики могут моментально заблокировать данную рассылку (рис. 10).
Рис. 10. Схема определения принадлежности письма к категории «спам»
Наполнение базы данных UDS-сервера может производиться тремя способами:
- вручную;
- автоматически при наличии образца блокируемого сообщения;
- автоматически, основываясь на статистических исследованиях запросов UDS-клиентов.
Первый вариант, ручной, подразумевает, что информация о рассылке добавляется в базу UDS-серверов только спам-аналитиком. Такой подход позволяет избежать ложных срабатываний, но быстрым его тоже не назовешь.
При использовании второго, автоматического, способа информация о рассылках добавляется в базу без подтверждения спам-аналитика, что повышает скорость реакции на новые спамерские рассылки. Поскольку в базу добавляется образец рассылки, в дальнейшем его можно проверить и в случае ошибки удалить из базы. Таким образом, ложные срабатывания если и возможны, то только в течение того времени, которое требуется для доставки почтового сообщения спам-аналитику и последующей его оценки — является оно спамом или нет.
Третий подход — статистический — подразумевает анализ журналов запросов UDS-сервера и блокирование каких-либо рассылок на основании наличия признаков массовости их распространения. Такой способ имеет еще большую скорость реакции, чем автоматический, поскольку не требует получения образца спамерского сообщения антиспам-лабораторией.
Сейчас при наполнении базы UDS-серверов используются первые два подхода, потому что они обеспечивают достаточное время реакции на спамерские рассылки и гарантируют отсутствие ложных срабатываний. Статистический подход требует большого количества исследований, проводимых сейчас специалистами «Лаборатории Касперского».
Как уменьшить количество спама
Исследования показывают, что в ближайшее время вряд ли следует ожидать исчезновения или существенного сокращения количества спам-рассылок. Судя по всему, спамеры по-прежнему будут разрабатывать новые способы обхода фильтров, продолжится криминализация спама. Законодательные меры пока оказываются малоэффективными. Законодательное противостояние спаму в Рунете началось только в текущем году, и впереди еще очень долгий путь, поэтому без внедрения фильтров пока не обойтись. Нужно иметь в виду, что только объединив усилия по трем направлениям — техническое, законодательное и образовательное, — можно действительно приблизиться к решению проблемы. Спам будет существовать до тех пор, пока достаточно большое для поддержания бизнеса спамеров количество людей покупает рекламируемые в спам-рассылках товары.
В статье использованы материалы «Лаборатории Касперского».