Спам 2004: аналитический отчет
Дата: 12.02.2005Источник: Ашманов и Партнеры
... 'скоростной скачок' - рассылка многих миллионов писем за 1-2 часа (в прошлом году средняя скорость полной спамерской рассылки по базе в несколько миллионов адресов составляла около суток). Кроме того, повысилась и скорость реакции спамеров на работу антиспам-фильтров.
Окончательно сформирована технологическая цепочка спамерской рассылки:
* Сбор и верификация e-mail-адресов получателей.
* Подготовка 'точек рассылки' - компьютеров, через которые будет рассылаться спам.
* Создание программного обеспечения для рассылки.
* Поиск клиентов.
* Создание рекламных объявлений для конкретной рассылки.
* Проведение рассылки.
Наибольшую популярность как средство рассылки сейчас имеет установка троянских компонент на компьютерах.
Все крупные вирусные эпидемии, произошедшие за последний год, были произведены вирусами, которые могли быть использованы для удаленного доступа к пользовательскому компьютеру;
Интенсивность попыток использования уязвимостей Windows на сегодня просто чудовищна - подключенная к Интернету стандартная Windows XP без установленного firewall, антивируса и сервис-паков оказывается зараженной в течение нескольких десятков минут.
Методы аутентификации отправителя пока что потерпели неудачу
Эти методы предполагают проверку соответствия того домена, который 'заявлен' в заголовках сообщения, реальному адресу отправителя. В течение весны-лета 2004 года многие E-mail-сервисы, ISP, производители программного обеспечения объявляли о поддержке SPF (а затем - Caller ID), причем основная направленность этих объявлений была 'ну вот теперь мы покончим со спамом'. Однако, осенью 2004 года произошли следующие события:
Проект стандарта Sender ID был отклонен IETF; рабочая группа MARID, разрабатывавшая стандарт Sender ID, была распущена, как не сумевшая достичь цели; о неподдержке Sender ID объявили крупные разработчики открытого ПО (самого популярного в мире веб-сервера Apache и популярного дистрибутива Linux - Debian Linux).
Также выяснилось, что спамеры осваивают новые технологии куда быстрее, чем 'обычные' системные администраторы, и им довольно просто поддержать SPF/Sender ID в своих рассылках.
Мы считаем, что в ближайшее время ожидать какого-либо значимого эффекта от подключения подобных технологий не следует, потому что потребуется их массовое внедрение, что не очень реально.
Прогнозы и перспективы на 2005 год
Нас ожидают:
* Дальнейшая стабилизация и, возможно, незначительное уменьшение объемов спама в течение года.
* Бурное развитие антиспамерских технологий, повсеместная установка фильтров.
* Потеря привлекательности спама как средства рекламы для малого бизнеса из-за дальнейшей криминализации спамерской деятельности (в основном, на Западе).
* Совершенствование спамерских технологий (борьба за скорость).
* Переход части спамеров в альтернативные рекламные системы (ICQ, окна pop-ups). Медленное развитие мобильного спама.
1. Спам и Интернет: десять лет вместе
5 марта 2004 года исполнилось десять лет с момента первой спамерской рассылки. В этот день американская юридическая компания 'Canter and Siegel' отправила в несколько Usenet'овских конференций рекламу своих услуг для людей, желающих участвовать в лотерее US Green Card.
Как изменился спам за эти десять лет? Агрессии и наглости в спаме не убавилось, скорее, наоборот. За эти годы были разработаны специализированные спамерские технологии, выпущены программы для спамерских рассылок. Все это было более или менее предсказуемо и десять лет назад, поскольку перед глазами имелся аналогичный пример - эволюция развития компьютерных вирусов.
Однако, прошедший 2004 год выявил такие тенденции развития спама, которые трудно было предвидеть в 1994-м:
1. Криминализация спамерского бизнеса и ответное усиление законодательной борьбы со спамом.
2. Рост объемов спама до 75% - 85% от общего почтового трафика и стабилизация объемов на этом значении.
3. Постоянное обновление тематической палитры спама: в 2004 году появилось несколько новых спамерских тематик, самая заметная из которых - фишинг и 'черный PR'.
4. Построение развернутой технологической схемы рассылки спама, спам-машины образца 2004 года.
5. Попытки крупных игроков IT-рынка найти панацею от спама и неудача этих попыток.
2. Откуда мы берем данные для отчета
Компания 'Ашманов и Партнеры' является ведущим производителем антиспамерского программного обеспечения в России. Антиспам-фильтр, разработанный компанией, установлен на серверах Национальной почтовой службы Mail.ru, в Петерлинке, РТКомм, РБК и многих частных компаниях. Ежедневно наши фильтры обрабатывают более 50 миллионов писем (до полутора миллиардов в месяц), а наша лаборатория 'Спамтест' - подразделение компании - получает и анализирует примерно 100-150 тысяч различных новых спамерских писем в день.
Источником такого объемного спам-трафика служат специальные ящики-'ловушки' и срезы различных по качеству и плотности почтовых потоков Рунета от наших клиентов.
Подобный разнообразный материал позволяет составить достоверную, детализированную картину распределения потоков спама, его качественного и количественного состава. Наши фильтры автоматически разбирают входной поток спама примерно по 550 рубрикам, так что тематическая и календарная картина спама оказывается полностью открытой для анализа.
3. Криминализация спама
Криминализация - одна из главнейших тенденций, характеризующих развитие спама в 2004 году. Предпосылки к криминализации спамерского бизнеса имелись с момента его возникновения, но до принятия специальных законодательных актов у спамеров была возможность делать вид, что 'это просто бизнес'.
Десять лет назад типичной реакцией пользователя на получение спама было написание ответного письма, главная мысль которого заключалась в том, что 'в интернет-сообществе спамить не принято', т.е. рассылка спама находилась в области морально-этических проблем, расценивалась как поступок, нарушающий нормы поведения в данном сообществе, но законодательно приемлемый.
Теперь же во многих странах спам юридически запрещен, тем самым спамеры вынуждены либо отказаться от бизнеса, либо войти в прямой конфликт с действующими законодательными актами и, как следствие, постепенно переходить к консолидации с уже существующими криминальными структурами. Сейчас при получении очередного спамерского сообщения с предложением купить контрафактный 'Ролекс' или получить приз от несуществующей лотереи, западный пользователь все чаще обращается с жалобами к провайдеру и подает иски в суд. А это значит, что отношения 'спамер-пользователь' перемещаются в плоскость, которая полностью регулируется текущим законодательством, и не зависят от личных этических оценок.
Аналитики 'Лаборатории Касперского1 ' в качестве одной из тенденций ушедшего 2004 года называют общую криминализацию Интернета. Криминализация спама - одна из наиболее заметных граней этого процесса.
3.1. Черты криминализации
Криминализация спама проявляется в постепенной переориентации спама на юридически 'сомнительный' контент, сращивание с хакерскими структурами и во многом другом. Вот основные признаки криминализации, отмеченные в 2004 году:
1. Дальнейшее сращивание спамерских и хакерских технологий. Процесс объединения усилий спамеров и хакеров начался в 2003 году, к концу 2004 любое профессиональное спамерское программное обеспечение включает специальные модули, позволяющие производить рассылки через зараженные ('затрояненные') пользовательские машины, т.е. изначально рассчитано на взаимодействие с троянской компонентой различных вирусов.
2. Зафиксирован резкий рост объемов спама с криминальным содержанием: мошенничество, фишинг, фальсификация, 'черный PR', реклама контрафактных или поддельных товаров и т.п.
Фишинг (кража персональных данных) - спамерская новинка этого года2, объемы фишинг-спама, количество пин-кодов кредитных карт, похищенных в результате спамерских кампаний, стремительный рост этой разновидности спама вызывают справедливые опасения у мировой интернет-общественности. По данным компании MessageLabs3, в сентябре 2003 года в почтовых потоках, которые обрабатывает принадлежащий компании программный антиспам-сервис, было зафиксировано 279 фишинг-сообщений, а в сентябре 2004 года эта цифра составила 2 098 012, т.е. более двух миллионов, что составляет прирост на четыре порядка4.
В основном фишинг используется для кражи паролей доступов к банковским счетам и пин-кодов, но его своеобразной разновидностью можно считать письма, цель которых - кража паролей от почтовых ящиков. В 2004 году несколько раз проводились подобные рассылки с целью кражи логинов и паролей пользователей Национальной почтовой службы Mail.Ru. Ниже приведен пример спамерского письма, целью которого являлся сбор паролей пользователей Mail.ru:
Здравствуйте!
Уважаемый пользователь сервиса @mail.ru, пожалуйста, следуйте всем инструкциям данного письма.
Некто (скорее всего, злоумышленник) только что попытался получить Ваш пароль от e-mail ящика методом MD6 PASSWORD POST. В целях защиты наш DB робот очистил из базы данных Вашу запись с паролем, и Вы НЕМЕДЛЕННО должны послать на адрес [email protected] сообщение данной конструкции: (вместо 'password' после } PASSWORD IS .. вы должны указать свой настоящий пароль от этого e-mail ящика)
// Password re-write
ADD to * '$username' TABLE * 'password'
} PASSWORD IS password // вместо 'password' в письме должен быть указан Ваш текущий пароль (без кавычек)
} rewrite with * deleted password /
} end }...
Подробнее : http://www.spamtest.ru/document?pubid=19223&context=1
Добавить комментарий |
Всего 0 комментариев |