Центр исследования компьютерной преступности

home контакты

Спам 2004: аналитический отчет

Дата: 12.02.2005
Источник: Ашманов и Партнеры


spam/nospam.jpg ... требованиям спамеров-профессионалов. Эти программы на сегодняшний день:

* Умеют рассылать как через 'открытые сервисы' (почтовые релеи, proxy), так и через зараженные пользовательские машины.
* Могут формировать динамический текст письма.
* Достаточно точно подделывают заголовки сообщений - распознавание спама по заголовкам становится нетривиальной задачей.
* Могут отслеживать валидность баз данных адресов.
* Могут отслеживать статус сообщения на каждый отдельный адрес - и перепосылать сообщение через другую 'точку рассылки' в случае использования на приемной стороне черных списков.

6.6. Динамическое формирование текста писем

На сегодняшний день простая рассылка одинаковых (или почти одинаковых) спам-сообщений является полностью неэффективной. Такие письма будут гарантированно обнаружены многочисленными фильтрами по критерию частотности (повторяемости одинаковых сообщений).

Спам-сообщения сейчас - индивидуальны, каждое следующее отличается от предыдущих.

Основные технологии 'индивидуализации' сообщений таковы.
6.6.1. Внесение случайных текстов, 'шума', невидимых текстов

В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести 'невидимый' текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования 'спамерского трюка' и отклассифицировать сообщение как спам, не анализируя его текст в деталях.
6.6.2. Графические письма

Рекламное сообщение можно прислать пользователю в виде графического файла, что крайне затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст.

Широко используются изменяющиеся графические письма. В графическое сообщение спамеры стараются внести 'шум' (меняющийся фон, волнистый текст с переменной 'волнистостью'), что затруднит его анализ фильтром.
6.6.3. Перефразировка текстов

Одно и то же рекламное сообщение рассылается во множестве вариантов одного и того же текста (например, некоторые или все фрагменты письма заменяются на уместные синонимы).

Каждое отдельное письмо выглядит как обычный связный текст и, только имея много копий сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить спам-фильтры можно только после получения существенной части рассылки.
6.7. Поиск клиентов

Судя по всему, основной способ поиска клиентов - это тоже рекламные рассылки (спам). Такие рекламные объявления составляют существенную долю всего спама. Таким же образом рекламируются и другие чуть более 'легальные' сервисы, например, программы для рассылки и базы данных электронных адресов.
6.8. Разделение труда

Все основные технологические составляющие бизнеса спамеров могут быть использованы независимо. Как следствие, в настоящее время существуют отдельные 'производители' вирусов и троянских компонент, отдельные авторы программ для рассылки, отдельные сборщики адресов.

Спамеры - а именно те, кто собирает с клиентов деньги и производит рассылку, - могут просто арендовать необходимые им сервисы, покупать базы данных, списки рассылающих машин и использовать их.

Таким образом, вход на данный рынок является относительно дешевым.

В то же время, очевидно разделение рынка на профессионалов (которые, как правило, обладают чем-то своим: базой данных адресов, или программой для рассылки, или собственным вирусом), для которых спам является основным источником дохода, и любителей, пытающихся заработать немного денег.

Повсеместная установка фильтров и их возрастающее качество повышают технологический порог для вхождения на рынок, отсекая любителей, которые все делают сами, и заставляя их обращаться к профессионалам.

7. Внедрение стандартов аутентификации пользователя в 2004 году

В 2004 году началось широкое продвижение и внедрение стандартов верификации отправителя письма. Аутентификация отправителя как средство борьбы со спамом предполагает проверку соответствия того домена, который 'заявлен' в заголовках сообщения, и реального 'физического' IP-адреса отправителя.

Что же это - готовая панацея от спама или очередная ложная надежда?
7.1. Стандарты SPF/Sender ID от Microsoft

Наибольшую известность получили технологии SPF (Sender Policy Framework, разработчик pobox.com), Caller ID (Microsoft) и Sender ID (объединение SPF и Caller ID), продвигаемые альянсом, в котором главную роль играет корпорация Microsoft.

В течение весны-лета 2004 года многие публичные почтовые сервисы, провайдеры доступа (ISP), производители программного обеспечения объявляли о поддержке SPF (а затем - Caller ID), причем основная направленность этих объявлений была примерно такой: 'ну вот теперь мы быстро покончим со спамом'.

Действительность оказалась куда сложнее. В конце лета - начале осени произошло сразу несколько событий:

* проект стандарта Sender ID был отклонен IETF;
* рабочая группа MARID, разрабатывавшая стандарт Sender ID, была распущена как не сумевшая достичь цели (существенный вклад в то, что члены рабочей группы переругались и не смогли продуктивно работать, внес Ричард Столлмен - идеолог открытого программного обеспечения, поднявший шум по поводу частных технологий Microsoft внутри предлагаемого стандарта).
* О неподдержке Sender ID объявили крупные разработчики открытого ПО (самого популярного в мире веб-сервера Apache и популярного дистрибутива Linux - Debian Linux).
* Выяснилось, что спамеры осваивают новые технологии куда быстрее, чем 'обычные' системные администраторы, и им ничего не стоит поддержать SPF/Sender ID в своих рассылках. В результате, согласно отчету CipherTrust, осенью 2004 года спам-сообщение имело втрое большие шансы быть пропущенным 'чистым' SPF-фильтром, чем обычная почта.

Другими словами, активность вокруг SPF оказалась скорее 'PR-технологиями': первые компании, объявившие о поддержке, надеялись, вероятно, на PR-машину Microsoft, а остальным компаниям не оставалось ничего, кроме как соответствовать правилам, вроде бы складывающимся в индустрии.

До сих пор не решенная проблема с пересылкой почты также не улучшает ситуацию с распространением данного стандарта.

В то же время, по нашим данным, в последние месяцы 2004 года стандарт SPF был поддержан примерно 10-12% отправителей.
7.2. Стандарт DomainKeys от Yahoo

Отдельно следует остановиться на альтернативной технологии Yahoo DomainKeys (разработчик - yahoo.com). Эта технология основана на электронной подписи всего сообщения (текста и заголовков) и лишена ряда недостатков SPF, в частности, пересылки (forward) почты не нарушают валидности письма.

Первым из крупных игроков рынка эту технологию внедрил Google (на почте Gmail), в настоящее время тестовая эксплуатация происходит на Yahoo, о тестировании технологии объявил Earthlink.

Как и в случае SPF, спамерам не составит большой проблемы подписывать свои сообщения.

В ближайшее время ожидать какого-либо значимого эффекта от подключения подобных технологий не следует, потому что потребуется их массовое внедрение, причем с перенастройкой или переустановкой программного обеспечения (почтовых серверов), что не очень реально.

8. Прогнозы и перспективы на 2005 год

В 2004 году мировая общественность всерьез занялась решением проблемы спама. Об этом свидетельствуют:

* повышенный интерес общества к этой проблеме, резкий рост негативного отношения к спаму;
* ужесточение законодательства во многих странах;
* широкое внедрение антиспам-фильтров как на уровне провайдеров и владельцев публичных почтовых серверов, так и на уровне конечных пользователей;
* рост предложений интегрированных систем обеспечения безопасности почты (антивирус, антиспам и антихакер в одной системе).

В совокупности эти меры должны привести к стабилизации и постепенному снижению объемов спама в 2005-2007 годах. Не нужно ждать резкого сокращения спама или его полного уничтожения, но выживут на этом рынке только спамеры-профессионалы, спамеры-любители просто не смогут 'пробиться' через фильтры.

Кроме того, именно любителям может не хватить знаний и умений для грамотной 'маскировки' рассылающих серверов, и поэтому именно они могут стать объектами показательных процессов.

Будет происходить дальнейший передел спамерского рынка, консолидация крупных спамеров.

Скорее всего, в связи со стабилизацией объемов спама во входящей почте и широкой установкой фильтров в 2005 году нас ожидает новый виток развития спамерских технологий.

Вполне возможно, что спамеры в очередной раз сделают ставку на графику (от чего в последнее время они стали отходить).

Главным направлением развития будет борьба за скорость проведения рассылок.

Очевидно, продолжится тенденция 2004 года - дальнейшая криминализация спамерского бизнеса, что будет выражаться:

а) в еще более плотном сращении с хакерами и 'вирусописателями',

б) в тематическом дрейфе спамерского контента в сторону мошенничества (увеличение доли рекламы контрафактных товаров, мошеннических писем, попыток кражи паролей и т.п.).

С другой стороны, в Рунете клиентами спамеров в 2005 году по-прежнему останутся представители малого...

Подробнее : http://www.spamtest.ru/document?pubid=19223&context=1

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2012 Computer Crime Research Center

CCRC logo
Рассылка новостей