Спам в Рунете
Основные способы и технологии спам-рассылок
«Лаборатория Касперского» получает и анализирует около 2 млн спамерских сообщений в день, а в некоторые дни число сообщений достигает 3 млн. Материалом для анализа служат срезы различных по качеству и плотности почтовых потоков, предоставляемые клиентами и партнерами «Лаборатории Касперского», и спам, попадающий в специальные «ловушки». Настоящая статья посвящена результатам анализа спамерских сообщений, проведенного аналитиками «Лаборатории Касперского» в 2007 году.
Законодательство и спам
26 января 2007 года в России вступил в силу закон «О персональных данных», регламентирующий, в частности, электронную рассылку рекламы и агитационных писем. Закон содержит следующий пункт:
«Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено».
Закон «О персональных данных» (п. 1 ст. 15)
Этот пункт перекликается с законом «О рекламе», вступившим в силу 1 июля 2006 года:
«Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием».
Закон «О рекламе» (п. 1 ст. 18)
В обоих случаях декларируется обязательность предварительного согласия получателя. В Европе и США это называется термином OPT-IN. Надо признать, что обязательность OPT-IN значится в законодательстве далеко не всех стран Европы. Россия же, как мы видим, законодательно очень уверенно борется со спамом. Но, к сожалению, зачастую строгость российских законов компенсируется необязательностью их выполнения. В этом мы могли в очередной раз убедиться: закон «О персональных данных» существует уже почти год, а спама меньше не стало, напротив, статистика показывает, что количество спама продолжает увеличиваться.
Доля спама в почтовом трафике
В 2007 году доля спама в почтовом трафике составила в среднем 79,2%. Меньше всего спама было зафиксировано в мае — 73,5%, а самым урожайным оказался ноябрь — 86,2%. В течение года доля спама в почте постепенно росла, хотя и с некоторыми колебаниями, и осенью превысила 80%. В IV квартале 2007 года доля спама достигла 85,7% (рис. 1).
Рис. 1. Долевое распределение спама в Рунете в 2007 году
Отметим, что при увеличении доли спама в почте с 76% в первом полугодии до 82% во втором объем рассылаемого спама в течение года вырос примерно в два раза. Столь бурный рост связан с увеличением числа пользователей электронной почты, количества писем в целом, а также с ростом числа зараженных компьютеров, используемых для рассылки спама. Число пользователей Интернета возрастает, и все больше компьютеров попадает в зомби-сети, что, в свою очередь, позволяет быстрее рассылать спам.
Откуда рассылается спам
США и Россия по-прежнему держат лидерство по количеству рассылаемого спама. В 2006 году на третьей позиции в рейтинге стран-спамеров был Китай. По итогам 2007 года он занял лишь 9-е место. Видимо, китайские пользователи стали уделять больше внимания защите своих компьютеров. На третьем месте теперь оказалась Польша, которая, впрочем, уже не первый год входит в лидирующую пятерку (рис. 2).
Рис. 2. География источников спама
Интересно, что во вторую десятку вошли в основном страны Латинской Америки.
Размеры спамовых писем
Объем 40% спамовых писем не превышает 5 Kбайт. Такие письма, как правило, включают небольшой текст и ссылку. Еще треть рассылаемых спам-сообщений имеет размер от 5 до 10 Кбайт. В эту категорию входят письма с чуть более длинным рекламным текстом либо письма с дополнительным случайным текстом (что используется для обмана фильтров).
Таким образом, более 70% спам-сообщений состоят из небольшого по объему текста и ссылки. Спамеры предпочитают рассылать письма, размеры которых не превышают 10 Кбайт, по очевидным причинам: чем короче каждое отдельное сообщение, тем быстрее достигает получателей вся миллионная рассылка.
Еще один пик на графике (13%) составляют письма, размер которых варьируется от 20 до 50 Кбайт. К этой категории относится «графический» спам, а также спам с вложениями (PDF, FDF), который активно рассылался в середине года (рис. 3).
Рис. 3. Распределение размеров спамовых писем
Основные способы и технологии спам-рассылок
«Графический» спам
«Графический» спам — это спам-сообщения, в которых рекламный текст представлен в виде графического изображения. В начале 2007 года эксперименты с «графическим» спамом, столь популярным в 2006 году, продолжались.
В феврале спамеры вспомнили об анимированном спаме, состоящем из нескольких кадров, последовательная загрузка которых дает полную картинку с текстом рекламы. Спамеры усилили прием, развернув изображения на каждом из кадров под разными углами и сделав кадры максимально зашумленными. В результате картинка стала плохо читаемой, и этот прием сошел на нет.
На рис. 4 приведен пример анимированного спама с развернутыми под разным углом фрагментами изображения (итоговая картинка составлена из четырех отдельных кадров).
Рис. 4. Спамовое письмо, состоящее из четырех отдельных кадров
К весне 2007 года спам-фильтры справлялись со спамом с вложенными графическими файлами вполне успешно, и спамеры были вынуждены искать новые способы доставки графической информации.
В марте появились спамовые письма, в теле которых указывался URL, ведущий на страницу бесплатного хостинга изображений (imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com и т.п.). Графический файл в такие письма не вкладывался, однако после того, как пользователь открывал письмо, в большинстве популярных почтовых клиентов изображение автоматически подгружалось с указанного URL. Еще один вариант — использование картинки в виде фонового изображения. URL сайта, на котором публиковалась картинка, помещался в тэг ‘body’, атрибут ‘background’. В результате изображение могло автоматически подгружаться в некоторых почтовых клиентах, а также в веб-интерфейсах части почтовых служб.
В обоих случаях ставка была сделана на то, что спамерское изображение не вложено в сообщение и у спам-фильтров нет материала для анализа. Однако большого успеха эти приемы не имели, и спамеры переключились на эксперименты с форматами вложенных файлов.
В мае появился PDF-спам. Пользователи получали пустые письма с вложениями PDF (а позже еще и FDF). Непривычные к тому, что спам может выглядеть подобным образом, получатели открывали вложение и видели там все ту же рекламную картинку с текстом.
Сначала этот вид спама довольно успешно пробивал фильтры, и доля его от общего числа спама была высока. На пике популярности она составляла около 10%. Но спам-фильтры очень быстро научились распознавать и ловить подобные вложения. Спамеры попытались изменять формат вложений, заменили PDF- на FDF-формат. Но фильтры успешно подстраивались под новый вид спама, и к концу июля подобный метод практически сошел на нет.
Спамеры также пробовали рассылать письма с архивированными вложениями и с вложенными Excel-файлами (в расчете на то, что пользователь, привыкший к офисным файлам, откроет вложение). В обоих случаях спамеры не имели успеха в основном потому, что большинство пользователей с опаской относилось к нежданным письмам и вложений не открывало.
На диаграмме (рис. 5) видно, что после активных экспериментов с «графическим» спамом в начале года его доля в общем объеме спама к концу года уменьшилась. Тем не менее она продолжает оставаться на приличном уровне. Поскольку есть категории спама, которые традиционно рекламируются с помощью картинок (например, реклама виагры и других медикаментов), спамеры продолжат использовать «графический» спам и наверняка будут экспериментировать с ним и в дальнейшем.
Рис. 5. Доля «графического» спама в общем потоке спама
MP3-спам
В октябре 2007 года появился совершенно новый формат спама — письма с вложенными MP3-файлами. Расчет спамеров был сделан на то, что ни спам-фильтры, ни пользователи не ждут подобного формата и спам легко достигнет цели.
Однако новый формат оказался крайне неудачным. Чтобы спамовым письмам с вложенными MP3-файлами было легче обойти спам-фильтры, спамеры старались добиться отличия звуковых файлов друг от друга. Каждый файл состоял из нескольких фрагментов текста (возможно, автоматически созданного), совмещенных друг с другом в разном порядке и записанных с разной скоростью. В результате MP3-файлы получались такого плохого качества, что при прослушивании было практически невозможно понять, что на них записано. Кроме того, файлы были маленького размера, что также не способствовало хорошему качеству записи.
«Быстрые» рассылки
В августе 2007 года спамеры начали «ускорять» рассылки. Если раньше средняя рассылка занимала около двух дней, то письма из «быстрых» рассылок достигают ящиков миллионов пользователей за 15-30 мин. Это происходит как за счет улучшения спамерского софта, так и из-за увеличения числа компьютеров, с которых осуществляется рассылка.
Увеличение скорости рассылок принесло определенные результаты. И теперь на осуществление большинства рассылок спамерам требуется менее получаса. Но спам-фильтры научились справляться и с этим способом доставки спама — например «Лаборатория Касперского» использует новую технологию SURBL, позволяющую реагировать на спам мгновенно. Так что в 2008 году спамерам придется придумывать новые методы.
Спам и социальные сети
В жестких условиях фильтрации спама в электронной почте спамеры вынуждены искать другие каналы распространения информации. Они следят за тенденциями в Интернете и увлечениями своих потенциальных клиентов.
Раньше многие пользователи Интернета были участниками каких-либо форумов, и они получали спам в виде уведомлений с форумов. Теперь же на пике популярности социальные сети. Спамеры не преминули использовать их в своих целях. Уже появились письма, пришедшие с якобы известных социальных сетей. Но на сайтах, упомянутых в таких письмах, расположены, скорее всего, зловреды (рис. 6).
Рис. 6. Пример спама, имитирующего сообщение социальной сети
Вероятно, если популярность социальных сетей сохранится, спамеры станут использовать их более активно. При этом спам, имитирующий уведомление о сообщении в социальной сети, станет более правдоподобным и качественным. Кроме того, спамеры попытаются рассылать спам с легитимных аккаунтов, зарегистрированных в социальных сетях (именно так спамеры поступали с форумами). Социальные сети уже предпринимают попытки защиты от подобных явлений (например, в некоторых сетях есть ограничения на количество приглашаемых в день людей), но наверняка спамеры придумают способы обхода такой защиты.
Тематика спама
Лидирующие тематики спама в 2007 году представлены в таблице и на рис. 7 и 8.
Рис. 7. Распределение тематик спама в Рунете в 2007 году
Рис. 8. Доля спама различных тематик в 2006 и 2007 годах
Как и в прошлом году, в 2007 году на первом месте оказалась тематика «Медикаменты; товары/услуги для здоровья». Она не просто сохранила лидирующие позиции — доля спама этой категории в течение года росла и по итогам года составила 23,3% (на 7,3% больше, чем в 2006 году) — рис. 9. Большая часть спама данной тематики — реклама виагры и других аналогичных препаратов, которую спамеры рассылают не первый год и, видимо, продолжат такие рассылки в будущем.
Рис. 9. Доля спама тематики «Медикаменты; товары/услуги для здоровья»
в спаме в целом
В пятерке лидирующих тематик по-прежнему остаются «Образование» (11,7%) и «Компьютеры и Интернет» (8,7%), занявшие соответственно второе и третье места в рейтинге спам-тематик. Тематика «Образование» представлена в основном русскоязычной рекламой семинаров и тренингов и англоязычными письмами, в которых предлагаются дипломы о высшем образовании. К тематике «Компьютеры и Интернет» относятся по большей части англоязычные письма, предлагающие контрафактный софт. В Рунете в эту рубрику попадают также предложения купить расходные материалы, например картриджи для принтеров.
На пятое место вышла тематика «Услуги по электронной рекламе» (самореклама спамеров — 7,2%). Это плохая новость, поскольку спам данной тематики в Рунете представлен в подавляющем большинстве письмами на русском языке и относительно высокая доля таких писем означает, что, несмотря на принятые в России законы против спама, спамеры активно ищут клиентов.
Из пятерки лидеров исчезли темы «Личные финансы» и «Компьютерное мошенничество». Рассмотрим их немного подробнее.
Компьютерное мошенничество
К категории «Компьютерное мошенничество» относятся фишинговые письма и спам, используемый для реализации различных мошеннических схем выманивания денег у пользователя: «нигерийские» письма, поддельные извещения о выигрыше в лотерею и т.п.
По итогам года на долю мошеннических писем пришлось 6,9% — практически в два раза меньше, чем в прошлом году. Однако, несмотря на оптимистичные показатели, мошенничество с помощью спама стало более опасным: злоумышленники продолжают оттачивать свое мастерство и все чаще проводят целевые атаки.
Фишинговые письма все труднее отличить от легитимных сообщений даже грамотным пользователям. Адреса, ведущие на фишинговые сайты, замаскированы так, что пользователь не всегда может заметить подделку, а поддельные сайты практически неотличимы от настоящих.
В примере, приведенном на рис. 10, ссылка ведет не на указанный сайт, а на сайт фишеров http://www.usbank.com.ebanking-services-id730325379.usertech.md/client.cfm. Ссылка очень похожа, и только очень внимательный пользователь заметит, что после «com» идет не слэш, а точка; следовательно, пользователь попадает совсем на другой домен.
Рис. 10. Пример фишингового письма
В 2007 году активизировались русскоязычные фишеры, которые провели в течение года ряд атак на пользователей систем WebMoney и «Яндекс. Деньги». Кроме того, злоумышленники неоднократно пытались получить доступ к почтовым аккаунтам пользователей, под различными предлогами запрашивая у них логин и пароль от имени администрации почтовых систем.
Надо заметить, что мошенники использовали рассылки от имени администрации известных почтовых порталов не только для получения конфиденциальной информации, но и с целью украсть деньги напрямую. В приведенном на рис. 11 письме пользователю предлагается послать SMS на короткий номер, якобы для того, чтобы включить специальную защиту своего ящика. В результате, отправив SMS, жертва мошенников просто переведет деньги со своего телефона на счет спамеров.
Рис. 11. Пример русскоязычного фишингового письма
Из графика, приведенного на рис. 12, можно видеть, что доля спама категории «Компьютерное мошенничество» понижалась с апреля по сентябрь, однако в IV квартале ее показатели были нестабильны и в декабре достигли весомых 9,2%. Так что, скорее всего, в следующем году эта категория вновь вернется в группу лидеров.
Рис. 12. Доля тематики «Компьютерное мошенничество» в спаме в целом
Личные финансы
К категории «Личные финансы» относятся предложения выгодного кредитования, страхования, займов и закладов. Но большую ее часть составляет так называемый Stock Spam, используемый при реализации схемы «накачки и сброса». Эта не самая актуальная для России мошенническая схема не без успеха применяется спамерами в Европе и США с августа 2006 года. Несмотря на относительно небольшую долю «финансового» спама в общем потоке мусорной почты, с его помощью мошенникам удается неплохо наживаться на продаже акций, цену которых они искусственно повышают с помощью спама.
Падение весной и летом 2007 года доли спама категории «Личные финансы» обусловлено, возможно, тем, что этот вид мошенничества привлек внимание властей Канады и США и в I квартале 2007 года они выразили обеспокоенность «финансовым» спамом и пообещали защитить инвесторов от этой угрозы. Однако уже осенью доля такого спама вновь начала расти (рис. 13).
Рис. 13. Доля «финансового» спама в общем потоке спама
«Финансовый» спам всегда был на особом счету у спамеров. В 2007 году на нем оттачивались все новейшие спамерские приемы: именно этот вид спама рассылался в графических форматах JPEG и GIF и в PDF- и FDF-вложениях. И это единственная категория спама, которая рассылалась в MP3-формате! Остается загадкой — то ли в штате именно биржевых спамеров работают столь креативные люди, то ли биржевая тематика выбрана спамерами совершенно случайно.
Политический спам в Рунете
ГГоворя о тематике спама, невозможно не упомянуть о политическом спаме, который был популярен в Рунете в связи с выборами в Государственную Думу РФ. Конечно, его доля не столь велика, чтобы это как-то отразилось на статистике, но он весьма интересен и разнообразен по содержанию.
В российском политическом спаме нам встречались:
- завлекающие обещания политических партий: «Выбирай Союз правых сил 2 декабря и сразу сможешь арендовать себе отдельное жилье!»;
- информация о конфликтах местного значения с участием крупных политических партий: «400 человек протестовали против точечной застройки в Екатеринбурге. Непосредственную помощь в организации митинга жильцам оказало Свердловское региональное отделение партии “ЯБЛОКО”»;
- программа ЛДПР;
- националистические призывы к войне: «Каждый, кто читает это письмо, должен понимать: ПРИШЕЛ ВРАГ и ему нужно оказать сопротивление. Иначе все мы обречены»;
- «черный» PR и рассылки, проводимые с целью вызвать негативную реакцию у получателей. Например, в одной из рассылок от имени партии СПС ссылки в письмах вели якобы на партийный сайт, в котором постоянно всплывали окна. В результате зависали браузеры пользователей, выходивших на этот сайт.
Политический спам Рунета обладает рядом особенностей.
Во-первых, в случае «политических» рассылок спамеры практически не использовали трюки. Это свидетельствует о том, что заказчики таких рассылок не считают свои письма спамом. В частности, представители ЛДПР подтвердили факт рассылки, но подчеркнули: рассылались «информационные письма, с помощью которых мы информируем своих избирателей о нашей партийной программе».
Определение спама в законодательстве России отсутствует, во многих же странах, где подобное определение есть (например, в США), спамом считаются только рассылки, носящие коммерческий характер. Тем не менее законы относительно спама в России существуют, причем более суровые, чем в США. Политический спам действительно не попадает под действие закона «О рекламе» РФ, но его рассылка противоречит закону «О персональных данных». Этот закон ограничивает незапрошенное распространение не только коммерческой, но и вообще любой рассылки.
Во-вторых, если объем текста в обычном спам-сообщении, как правило, небольшой, то тексты предвыборных спамовых писем были как среднего, так и большого объема. Самое длинное письмо насчитывало около 13 страниц. Очевидно заказчики «политических» рассылок полагали, что их письма пользователям будут интересны.
И в-третьих, помимо традиционного способа проведения рассылок с помощью ботнетов, при рассылке политического спама использовался так называемый цепочечный метод, при котором в сообщении содержится просьба разослать его своим знакомым.
Англоязычный политический спам в этом году тоже встречался, но его, конечно, было гораздо меньше.
Прогнозы
2007 год показал, что эксперименты с различными форматами спама не приносят особой пользы спамерам: спам-фильтры довольно быстро начинают реагировать на новые виды угроз, полностью защищая компьютеры пользователей. Предполагается, что развитие ситуации со спамом в 2008 году будет таким:
- количество спама в почте останется на столь же высоком уровне, как и в IV квартале 2007 года, а возможно, даже незначительно увеличится;
- «гонка вооружений» продолжится: спамеры будут придумывать новые методы, антиспам-фильтры — бороться с ними;
- скорее всего, спамеры будут наращивать скорость рассылок и увеличивать количество писем в одной рассылке;
- возможно, спамеры продолжат разработку «графического» спама. Хотя в этом году доля «графического» спама снизилась, это направление по-прежнему остается привлекательным для спамеров. Однако крупные разработчики антиспамового ПО вполне способны закрыть это направление для спамеров;
- спамеры будут продолжать следить за современными тенденциями в Сети. Скорее всего, популярным станет спам, использующий социальные сети;
- спамеры вспомнят старые методы: ссылки на странички на бесплатных хостингах, искаженный и изменяемый текст.