Спам 2005: аналитический отчет

Краткое содержание отчета

Введение

2005: стабилизация спам-индустрии

"Политизация" спама и превращение его в инструмент информационных войн

Политпропаганда средствами спама

Спам как инструмент "черного PR"

Криминализация спама

Доля криминализированного спама: 6-12%

Основная цель мошенников - это деньги или доступ к финансовой информации

Контрабанда и контрафакт как признак криминализации спама

"Реальный" криминальный бизнес демонстрирует интерес к спаму

Количественная характеристика спама: стабилизация доли спама в почтовом трафике

Тематическая характеристика спама в 2005 году

Тематические различия спама в Рунете и в "западном" сегменте Интернета

Маскировка под личные сообщения - новинка 2005

Тематические лидеры спама в Рунете

Технологии рассылки спама в 2005 году

Основные способы доставки спама

Использование сетей зомби-компьютеров

Открытые релеи

Выделенные сервера

Организация спамерских рассылок

Быстрые рассылки

Обратная связь

Программное обеспечение

Разделение труда

Выводы и прогнозы

Краткое содержание отчета

2005 год продемонстрировал дальнейшее развитие тенденций, наметившихся в 2003 и 2004 годах. Девиз года: стабилизация спам-индустрии.

Соотношение спам/нормальная почта остается неизменным

Речь идет именно о соотношении долей - в абсолютных значениях к концу 2005 года количество спама возросло в 1,5-2 раза по сравнению с аналогичным периодом 2004 года. Поскольку при этом растет и количество нормальной почты, соотношение спам/нормальная почта остается практически неизменным и составляет 70-85% от общего объема почтового трафика, а это значит, что на каждые 2-3 обычных письма приходится 7-8 спамерских.

Редкие "провалы" в количестве спама хорошо прогнозируемы и объясняются общими тенденциями развития рекламной индустрии. Минимальная доля спама в общем объеме почтового трафика была зафиксирована в начале года в период новогодних праздников (50% от общего объема), а максимальная - в конце февраля/начале марта и во второй половине октября (87-89%).

В 2005 году тематические лидеры спама в Рунете практически не изменились

Единственное новшество по сравнению с прошлым годом - категория "Компьютерное мошенничество" вытеснила из тройки лидеров тематику "Лекарственные препараты; товары для здоровья":

• Образовательные услуги (14% от общего объема спама);
• Спам "для взрослых" (12% от общего объема спама);
• Компьютерное мошенничество (11% от общего объема спама).

Тематическое развитие спама в 2005 году определялось следующими тенденциями:

• Стабилизация списка тематических лидеров спама: список основных категорий спама не меняется на протяжении уже двух лет.
• Расхождение списка "товарных" спамерских тематик в Рунете и в западной части Интернета: на русском и на английском языках спамеры рекламируют разные группы товаров и услуг.
• Криминализация и политизация спамерского бизнеса.

Cпам-индустрия продемонстрировала ярко выраженную тенденцию к дальнейшему сближению с криминогенными структурами

Основные признаки криминализации спама в 2005 году:

• стабильно высокая суммарная доля криминализированных спам-атак (6-11%);
• постепенный, но уверенный рост количества атак, целью которых является кража финансовой информации (фишинг-атаки);
• появление в спаме тематик криминального бизнеса, не связанных с компьютерными технологиями (предложения наркотиков, устройств для "обмана" игровых автоматов и т.п.);
• рост доли контрафактных и/или контрабандных товаров в спамерской товарной рекламе;
• использование спам-рассылок для распространения компромата и клеветы (в 2005 году спам-аналитики "Лаборатории Касперского" зафиксировали в спаме Рунета около 20 "черных" PR-кампаний);
• использование сетей зараженных персональных компьютеров (зомби-сетей) для рассылки спама или аренда серверов с оплатой по украденным номерам кредитных карточек, то есть использование криминальных способов организации спам-атак.

Объектами криминализированных спам-атак чаще всего являются отдельные пользователи.

"Политический" спам вышел на качественно новый уровень

В 2005 году в Рунете "политический" спам из эпизодических рассылок, в основном носящих огульно-ругательный характер, превратился в настоящие многоступенчатые PR-кампании.

Был зафиксирован также всплеск "политических" информационных спам-кампаний. Речь идет не о предвыборной агитации, а о спамерских кампаниях, направленных на формирование общественного мнения по вопросам внутренней политики государства. По сравнению с предыдущими попытками новые спам-атаки отличаются продолжительностью, настойчивостью и хорошим планированием.

Основным способом спам-рассылок стало использование сетей зомби-компьютеров

В основном спамеры идут по пути наращивания мощностей и развития зомби-сетей. У спамеров появились возможности для организации "быстрых" рассылок, то есть скорость отдельно взятой рассылки возросла в 3-4 раза по сравнению с прошлыми годами

В 2005 году не было выявлено ни одного принципиально нового спамерского приема или методики рассылки. Все основные характеристики технологий рассылок 2004 года остались справедливыми и для прошедшего года.

Можно предположить, что технологии рассылки спама и в следующем году качественно изменяться не будут: спамеры будут развивать возможности по модификации писем в распределенной сети зомби-компьютеров при сохранении скорости рассылки. Использование сетей зомби-компьютеров станет еще более гибким, получит более широкое распространение рассылка спама не напрямую с зараженного ПК, а через учетную запись пользователя у провайдера доступа.

Помимо электронной почты, спамеры осваивают другие способы распространения спама

Используемое спамерами программное обеспечение год от года становится все сложнее. Со своей стороны, рынок антиспамерского ПО также усиливает уже имеющиеся средства защиты. При высоком уровне современной защиты электронной почты от спама спамерам становится экономически выгодно использовать другие способы распространения спама, например задействовать ICQ или мобильные телефоны. Именно в этом направлении они сейчас активно работают.

Cпам как бизнес определился со своей экономической нишей и уверенно занял ее

Основных игроков этого бизнеса ситуация экономически устраивает, даже при том условии, что им приходится смещать фокус деятельности с хорошо защищенных крупных корпоративных серверов на более мелкие и слабозащищенные.

В количественном и содержательном плане тенденция к стабилизации находит выражение:

• в фиксации объемов спама в почтовых потоках на уровне от 60% (в трафике небольших организаций) до 85% и даже выше (на серверах почтовых служб);
• в стабилизации количественного распределения спама по календарным месяцам, связанной с сезонными колебаниями этого рынка;
• в закреплении списка тематических (содержательных) категорий спамерских сообщений: состав лидирующих категорий не меняется в течение последних трех лет;
• в фиксации схемы "типовой спам-машины";
• в определении этапов организации спам-рассылок (например, сбора и верификации баз электронных адресов для проведения рассылок) и превращении обслуживания и поддержки этих этапов в самостоятельный бизнес.

Криминализация и политизация спама могут дестабилизировать ситуацию

С одной стороны, они усиливают негативный настрой пользователей не только по отношению к спаму, но и к электронной почте как средству коммуникации. С другой стороны, они предполагают вовлечение в спам-индустрию новых средств, что в дальнейшем вполне может вызвать новый скачок в развитии спамерского ПО и привести к очередному увеличению объемов спама.

Введение

Настоящий документ представляет собой аналитический обзор основных тенденций и направлений в развитии одного из видов компьютерных угроз - спама¹ - за прошедший 2005 г.

Все исследования и аналитика выполнены сотрудниками Департамента Инновационных Технологий компании "Лаборатория Касперского" - ведущего производителя систем защиты от вирусов, спама и хакерских атак. Система фильтрации спама под маркой Kaspersky® Anti-Spam установлена на серверах многих крупных российских корпораций и организаций, например, на серверах Национальной почтовой службы Mail.ru, ОАО "Мобильные ТелеСистемы", ОАО "Ростелеком", ОАО "Вымпелком", ОАО ГМК "Норильский Никель", CBOSS и многих других. В числе пользователей фильтра также есть и международные организации.

Фильтры Kaspersky® Anti-Spam только в России защищают более 20 миллионов почтовых ящиков и обрабатывают более 50 миллионов писем в день (до полутора миллиардов в месяц).

Группа спам-аналитиков - подразделение компании - получает и анализирует примерно 200-300 тысяч новых спамерских рассылок в день. Источником анализируемого спам-трафика служат специальные ящики-"ловушки" и срезы различных по качеству и плотности почтовых потоков, предоставляемые нашими клиентами и партнерами. Весь входящий в систему спамерский трафик автоматически классифицируется. Часть входящего потока дополнительно анализируется вручную. Уникальный рубрикатор спама, разработанный сотрудниками группы, включает в себя около 550 тематических категорий спама, что позволяет во всех деталях исследовать количественное и тематическое распределение спамерских сообщений.

¹ Законодательного или закрепленного в стандартах РФ определения спама пока не существует. Аналитики "Лаборатории Касперского" определяют спам как "анонимную массовую непрошенную рассылку средствами электронной связи". Таким образом, под это понятие подпадает не только товарная реклама средствами электронных почтовых рассылок, но и такие виды компьютерного мошенничества, как фишинг и фарминг. >>

2005: стабилизация спам-индустрии

Прошедший 2005 год продемонстрировал дальнейшее развитие тенденций, наметившихся в 2003 и 2004 годах. Наблюдался небольшой, хотя и уверенный рост доли спама в электронной почте (см. разделы Количественная характеристика спама: стабилизация доли спама в почтовом трафике и Тематическая характеристика спама в 2005 году). Речь идет именно о соотношении долей - в абсолютных значениях к концу 2005 года количество спама возросло в 1,5-2 раза по сравнению с аналогичным периодом 2004 года, но растет и количество нормальной почты, поэтому соотношение спам/нормальная почта остается практически неизменным.

Продолжилась криминализация и "политизация" спама (подробнее см. разделы Криминализация спама и "Политизация" спама и превращение его в инструмент информационных войн).

В 2005 году не было выявлено ни одного принципиально нового спамерского приема или методики рассылки. В основном спамеры идут по пути наращивания мощностей и развития зомби-сетей. Соответственно, рынок антиспамерского ПО также усиливает уже имеющиеся средства защиты, практически не предлагая принципиально новых решений.

В целом это означает, что спам как бизнес определился со своей экономической нишей на рынке и уверенно занял ее. Основных игроков этого бизнеса ситуация экономически устраивает, даже при том условии, что им приходится смещать фокус деятельности с хорошо защищенных крупных корпоративных серверов на более мелкие и слабозащищенные.

В количественном и содержательном плане тенденция к стабилизации также находит выражение:

• в фиксации объемов спама в почтовых потоках на уровне от 60% (в трафике небольших организаций) до 85% и даже выше (на серверах почтовых служб);
• в стабилизации количественного распределения спама по календарным месяцам, связанной с сезонными колебаниями этого рынка;
• в закреплении списка тематических (содержательных) категорий спамерских сообщений: состав лидирующих категорий не меняется в течение последних трех лет;
• в фиксации схемы "типовой спам-машины";
• в определении этапов организации спам-рассылок (например, сбора и верификации баз электронных адресов для проведения рассылок) и превращении обслуживания и поддержки этих этапов в самостоятельный бизнес.

Тем не менее, рынок спам-индустрии Рунета продемонстрировал и некоторые новинки. В содержательном плане это превращение эпизодических "политических" и информационных спамерских рассылок в инструмент пролонгированных и профессионально подготовленных политических и PR-кампаний. Политики и имидж-мейкеры осваивают спам как средство формирования общественного мнения. Пока это только тенденция, а не характерная черта современного спама, но тенденция яркая и способная к быстрому развитию (подробнее см. раздел "Политизация" спама и превращение его в инструмент информационных войн).

В техническом плане в 2005 году у спамеров появились возможности для организации "быстрых" рассылок, то есть скорость отдельно взятой рассылки возросла в 3-4 раза по сравнению с прошлыми годами (подробнее см. раздел Технологии рассылки спама в 2005 году).

"Политизация" спама и превращение его в инструмент информационных войн

Политпропаганда средствами спама

Уже не первый год спам активно используется как инструмент воздействия на общественное сознание и формирования общественного мнения. Во многих странах предвыборные кампании сопровождаются волнами агитационных спамерских рассылок. Такое "спам-сопровождение" выборов было зафиксировано, например, в Германии и на Украине.

Даже локальные выборы могут сопровождаться массированными спам-атаками, что наглядно продемонстрировали выборы в Московскую городскую Думу, прошедшие в декабре 2005 года (Москва, Россия). Несколько агитационных рассылок в последние две недели перед выборами практически "замусорили" все почтовое пространство Рунета. Призывы голосовать за одного из кандидатов, актуальные только для жителей Москвы, так как только они участвуют в выборах своей городской думы, были разосланы миллионам русскоговорящих пользователей не только в России, но и в Белоруссии, на Украине.

С одной стороны, этот пример демонстрирует тот факт, что спамеры не умеют или не хотят сужать аудиторию, на которую направлены рассылки, с целью повысить эффективность рекламы (в том числе - и политической рекламы). С другой стороны, этот же пример свидетельствует о том, что в 2005 году в Рунете "политический" спам вышел на качественно новый уровень. Из эпизодических рассылок, в основном носящих огульно-ругательный характер, он превратился в настоящие многоступенчатые PR-кампании, отличительными особенностями которых являются:

• пролонгированность (то есть это кампании, состоящие из нескольких тематически связанных между собой атак);
• направленность на создание "положительного" имиджа людей, партий и/или событий (в прошлые годы спам по преимуществу использовался для "черного PR").

В 2005 году в Рунете был зафиксирован всплеск "политических" информационных спам-кампаний. Речь идет не о предвыборной агитации, а о спамерских кампаниях, направленных на формирование общественного мнения по вопросам внутренней политики государства. По сравнению с предыдущими попытками новые спам-атаки отличаются продолжительностью, настойчивостью и хорошим планированием.

Примером такой информационной кампании может служить спам со ссылками на небезызвестный сайт "Кавказ-центр", который российские спецслужбы нередко называют рупором международного терроризма.

Эта информационная кампания прошла в октябре 2005 года: за две недели было зафиксировано несколько тематически связанных спам-рассылок, целью которых было привлечение внимания к событиям в Нальчике и сайту "Кавказ-центр" как информационному источнику. Первые две атаки представляли собой анонс новостных материалов на сайте "Кавказ-центр". Следующая атака была оформлена как реакция администрации "Кавказ-центра" на спам-рассылку от имени сайта. Тем не менее, в этой рассылке также содержались анонсы новостей о событиях в Нальчике с предложениями "узнать об этом всю правду". В нескольких последующих рассылках спамеры отказались от тактики анонсирования новостей и маскировали атаки либо под автоматические уведомления технических служб, либо под личные сообщения разной стилистики (от поздравления до призывов "изменить свою жизнь"). Но во всех случаях при переходе по ссылке в теле сообщения пользователь путем нескольких редиректов попадал на английскую версию сайта "Кавказ-центр". Судя по языку рассылок и открывающейся страницы сайта, в данном случае целью спамерских атак являлся не Рунет, а западные пользователи. Ниже приведен образец² одной из рассылок этой информационной кампании:

Для проведения рассылки спамеры использовали то же программное обеспечение, которое обычно применяется для распространения вредоносных программ - вирусов и троянцев. Это ПО подставляет в сообщение фальшивые заголовки и генерирует текст письма с учетом доменного имени, на который идет рассылка.

Как всегда, нет возможности однозначно определить инициатора информационно-политической рассылки. Наличие в заголовке FROM значения kavkaz.uk.com не является ни доказательством, ни свидетельством того, что рассылка была организована администрацией сайта или кем-то, кто имеет отношение к этому информационному ресурсу.

Если политизация спама продолжится, то это может иметь самые неожиданные последствия как для развития электронной почты, так и для всего Сетевого сообщества. Увеличение доли "политического" спама до серьезных величин незамедлительно спровоцирует новый виток законодательных инициатив, направленных против спамерской деятельности. При гарантированной поддержке пользователей - а отношение к "политическому" и PR-спаму у большинства пользователей резко отрицательное - могут быть приняты достаточно жесткие законы против спама и его заказчиков.

Спам как инструмент "черного PR"

Поводом для PR-спама служат не только выборы, а информационные войны разворачиваются не только во время предвыборных и прочих агитационных кампаний. Спам - это отличный информационный инструмент для большинства кампаний, целью которых является формирование общественного мнения. По эффективности воздействия спам вполне сравним с телевизионной рекламой - и по частоте повторений (если атака спамеров "пробила" спам-фильтры), и по численности аудитории, которая становится объектом рассылок.

Несмотря на попытки придать спаму положительную эмоциональную окраску в некоторых предвыборных агитационных рассылках, он по-прежнему активно используется как средство дискредитации конкурентов и снижения имиджа организации или конкретного лица.

В 2005 году спам-аналитики "Лаборатории Касперского" зафиксировали в спаме Рунета около 20 "черных" PR-кампаний. Правда, часть этих кампаний была направлена на одни и те же организации. Традиционно объектами "черного PR" являются вендоры антиспамерского, антивирусного и антихакерского ПО. Например, две поддельные рассылки от имени Антиспамерской коалиции и компании "Ашманов и Партнеры" были зафиксированы в июне 2005 года. Рассылки были оформлены как предложения услуг по борьбе со спамом и вызвали вполне понятное возмущение пользователей электронной почты: создавалось ложное впечатление, что разработчики спам-фильтров предлагают свои услуги... с помощью спама.

Скандал, развернувшийся вокруг компании DepotWPF и портала Sostav.ru и продолжавшийся с перерывами с весны по осень 2005 года, в котором компании и руководству портала инкриминировались нечестные методы конкурентной борьбы и нарушение форумной этики³, также был инициирован спамерскими рассылками и поддерживался ими же. Один из образцов такой рассылки приведен ниже (текст сообщения публикуется частично):

Строго говоря, цель подобных скандальных рассылок не совсем ясна, и инициатор их обычно тоже неизвестен. Можно строить различные предположения, кому это выгодно - то ли конкурентам компании, то ли, наоборот, ей самой как PR-повод. Но это специфика спама: сама техника спамерских рассылок подразумевает их анонимность и не позволяет однозначно идентифицировать отправителя/организатора спама.

Опасность подобных рассылок кроется в простоте их организации, дешевизне (особенно если сравнить стоимость рассылок со стоимостью заказных рекламных публикаций в печатных СМИ или рекламы на ТВ) и анонимности (то есть в отсутствии наказания за клевету и моральный ущерб). Появляется соблазн ответить на "черный PR" теми же методами. Наличие и постоянное развитие антиспамерского ПО - это, пожалуй, единственный фактор, сдерживающий начало настоящих PR-войн в электронной почте.

² Здесь и ниже во всех примерах спамерских сообщений удалена информация о получателе спама и контактная информация спамеров. >>

³ См. например, обращение Сетевого сообщества к руководству портала http://www.webplanet.ru/news/opinion/2005/4/5/sostav.html>>

Криминализация спама

Криминализация спама - это процесс, развивающийся практически с момента становления спамерской индустрии. Предпосылками криминализации является как сама идеология спамерских рассылок (точнее, такие их черты, как анонимность и отсутствие законодательного контроля), так и общие тенденции развития Сетевого сообщества, а наиболее заметная из этих тенденций - криминализация Интернета в целом. Об этом свидетельствуют многочисленные отчеты и обзоры за прошлые годы от ведущих вендоров антивирусного, антихакерского и антиспамерского ПО. "Лаборатория Касперского" неоднократно освещала эту тенденцию в своих публикациях⁴.

Стремительный рост электронных рассылок криминального характера произошел с конца 2003 года до конца 2004 года. К концу 2004 года доля криминализированных спам-атак достигла 8-10% и в течение всего 2005 года оставалась на этом уровне, демонстрируя лишь незначительные колебания вокруг этих значений.

Основными признаками криминализации спама в 2005 году являются:

• стабильно высокая суммарная доля криминализированных спам-атак (6-11%);
• постепенный, но уверенный, рост количества атак, целью которых является кража финансовой информации (фишинг-атаки);
• появление в спаме тематик криминального бизнеса, не связанных с компьютерными технологиями (предложения наркотиков, устройств для "обмана" игровых автоматов и т.п.);
• рост доли контрафактных и/или контрабандных товаров в спамерской товарной рекламе;
• использование спам-рассылок для распространения компромата и клеветы (подробнее см. раздел Спам как инструмент "черного PR");
• использование сетей зараженных персональных компьютеров (зомби-сетей) для рассылки спама или аренда серверов по украденным номерам кредитных карточек, то есть использование криминальных способов организации спам-атак.

Доля криминализированного спама: 6-12%

На графике ниже отражено количественное распределение криминализированных спам-атак⁵ в общем объеме спама в Рунете в 2005 году.

Как видно по графику, уровень криминализации спама остается стабильно высоким в течение всего года. Наметившееся в конце лета - начале осени снижение доли мошеннических атак оказалось непродолжительным, и конец года (ноябрь и декабрь) снова демонстрирует рост криминальной активности.

Основная цель мошенников - это деньги или доступ к финансовой информации

Большинство криминализированных спам-атак имеет целью получение финансовой информации или доступа к банковскому счету. Объектами атаки чаще всего являются отдельные пользователи, то есть мошенников интересует личная конфиденциальная информация (чаще всего - финансовая) или возможность вымогательства денег у отдельного физического лица. Тем не менее, многие организации, предоставляющие своим пользователям доступ к финансовой информации в режиме on-line, расценивают фишинг как более масштабную угрозу. Банки и платежные системы, которые чаще других подвергаются атакам фишеров, разъясняют своим пользователям, как отличить поддельные уведомления фишеров от настоящих, а также вывешивают на своих сайтах предупреждения об атаках и описания основных признаков фишинга. В качестве примера организаций, которые постоянно подвергаются фишинг-атакам, можно назвать немецкий "Дойчебанк", американский и российский "Ситибанк", платежную систему "PayPal" и электронную торговую систему "E-bay".

"Новинкой года" в компьютерном мошенничестве можно назвать фарминг - подмену URL страницы (чаще - на персональной машине пользователя), в результате которой пользователь, намереваясь зайти на известный сайт, на самом деле, оказывается на мошенническом сайте. Обычно спамерский сайт полностью копирует внешний вид оригинальной страницы легитимного сайта-мишени. Таким образом, можно воровать пароли и логины (если на сайте есть формы, куда нужно вводить свои личные данные), а можно, например, зарабатывать деньги на баннерной рекламе. Однако масштабный бизнес на баннерах возможен только в тех случаях, когда "фармеры" сумели напрямую атаковать DNS-сервер и подменить данные сайта на DNS-сервере.

Атаки фишеров требуют тщательной подготовки, регистрации и оформления поддельных сайтов, написания текста поддельного сообщения так, чтобы оно было похоже на настоящее, то есть это деятельность, требующая финансовых и ресурсных затрат. Но спамеры не брезгуют и более примитивными атаками, такими как банальное попрошайничество и грубые фальсификации. Ниже приведен образец попрошайничества с помощью спама.

Следующий пример - это фальсификация уведомления от администрации почтовой службы. Цель атаки - сбор логинов и паролей от почтовых ящиков пользователей Национальной почтовой службы Mail.ru. Спамеры-мошенники не потрудились ни имитировать легитимные извещения почтовой службы, ни скопировать оформление и логотипы почтовой службы. Они просто сфабриковали грубую подделку. В итоге получился интересный образчик "фишинга по-русски":

Контрабанда и контрафакт как признак криминализации спама

Еще одна тенденция 2005 года - это уменьшение доли предложений легитимных товаров и услуг. Огромное количество рекламируемых товаров - от виагры до дешевых "Ролексов" и сигарет "Мальборо" - контрафактный или контрабандный товар. Эта тенденция характерна для "западного" спама, то есть для спам-атак, объектом которых являются жители Европы и США. В русскоязычном спаме данная тенденция пока не прослеживается.

"Реальный" криминальный бизнес демонстрирует интерес к спаму

Настораживает появление в спаме тематик, характерных для "традиционного" криминального бизнеса, в частности предложений по продаже наркотиков, электронных устройств, имитирующих поступление денег в игровой автомат (так называемые "устройства для обмана игровых автоматов") и т.п. Пока таких предложений не много, но если их количество увеличится, это будет означать приток серьезного криминального бизнеса в Интернет.

Конечно, надо учитывать, что аналитики "Лаборатории Касперского" не имеют возможности проверить, что реально стоит за такими предложениями - действительно продажа наркотиков, или же это просто способ "сбора денег" с тех, кто рискнет перевести деньги на анонимный кошелек web-money, рассчитывая на честность продавцов (в которой, впрочем, есть все основания сомневаться).

В любом случае, криминальный спам вышел на новый уровень. Если раньше компьютерное мошенничество всегда маскировалось под легитимную деятельность, неважно, идет ли речь о фишинге (маскируется под реальные сообщения банковских систем) или о "нигерийских" письмах (всегда подчеркивается легальность перевода денег), то теперь спамеры напрямую декларируют нарушение закона и предлагают товары/услуги для незаконной деятельности. Ниже приведен образчик этого типа спама:

⁴ См., например, Развитие вредоносных программ в 2004 году>>

⁵ По мнению спам-аналитиков "Лаборатории Касперского", под определение криминализированных спам-атак подпадают:
- фишинг и фарминг,
- "нигерийский" спам или предложения за комиссионные обналичить/перевести крупную сумму денег,
- фальшивые уведомления о выигрыше в лотерею,
- попрошайничество,
- любые другие попытки компьютерного мошенничества. >>

Количественная характеристика спама: стабилизация доли спама в почтовом трафике

Спам составляет 70-85% от общего объема почтового трафика, а это значит, что на каждые 2-3 обычных письма приходится 7-8 спамерских.

Спам-индустрия вышла на высокий количественный уровень спам-рассылок еще в конце 2004 года и сохранила его в течение 2005 года, продемонстрировав при этом следующие тенденции:

• стабилизация количественного распределения спама в течение года, то есть "всплески" и "провалы" в графике спам-рассылок становятся прогнозируемыми;
• стабилизация доли спама в почтовом трафике; то есть достигнуто количественное насыщение этого рынка.

Редкие "провалы" в количестве спама хорошо прогнозируемы и объясняются общими тенденциями развития рекламной индустрии. Поскольку львиную долю спама составляют рекламные объявления, то активность спамеров напрямую определяется количеством заказов на рекламу товаров и услуг. Количество заказов, в свою очередь, зависит от потребительской активности пользователей. Традиционные "провалы" на графике количественного распределения спама приходятся на периоды массовых праздников и отпусков, традиционные "всплески" - на весну, осень и предпраздничные периоды. Например, в канун Нового года растут продажи подарков, а в канун майских праздников - продажи путевок и туров.

Минимальная доля спама в общем объеме почтового трафика была зафиксирована в новогодние праздники (50% от общего объема), а максимальная - в конце февраля/начале марта и во второй половине октября (87-89%).

В октябре 2005 года было зарегистрировано несколько пиков, когда количество незапрошенной почты составило до 90% от общего объема почтового трафика. При этом спамерская нагрузка на почтовый трафик росла стремительно. В том же октябре в течение 1-2 дней количество спама увеличилось в 1,5 раза по сравнению с показателями конца сентября.

Тематическая характеристика спама в 2005 году

В 2005 году тематическое развитие спама определялось следующими тенденциями:

• Стабилизация списка тематических лидеров спама. Список основных категорий спама сформирован и не меняется на протяжении уже двух лет.
• Расхождение списка "товарных" спамерских тематик в Рунете и в западной части Интернета. Это значит, что на русском и на английском языках спамеры рекламируют разные группы товаров и услуг.
• Криминализация и политизация спамерского бизнеса (об этой тенденции см. выше в разделах "Политизация" спама и превращение его в инструмент информационных войн и Криминализация спама).

Тематические различия спама в Рунете и в "западном" сегменте Интернета

В 2005 году наметилось расхождение в типичных спамерских тематиках Рунета и западной части Интернета. Особенно это касается так называемых "товарных" тематик, то есть спама, представляющего собой коммерческую рекламу товаров и услуг. Эта тенденция окончательно оформилась только в этом году, до этого спамеры Рунета демонстрировали намерение перенимать опыт западных спамеров и даже пытались создавать русскоязычные аналоги некоторых типичных англоязычных спамерских тематик (например, рассылки, предлагающие дешевые часы Rolex и Cartier или средства для повышения потенции - виагру и пр.).

На текущий момент особенностями спама в Рунете можно назвать:

• продвижение с помощью спама товаров/услуг, требующих солидных финансовых вложений (например, недвижимость и услуги по ее оформлению, юридическое и финансовое сопровождение бизнеса, дорогие автомобили, антиквариат и т.п.);
• рекламу товаров/услуг, запрещенных законом, подпадающую под действие уголовного кодекса (например, рекламу наркотиков, подробнее см. Криминализация спама);
• резкую активизацию политической рекламы и PR-спама (подробнее см. "Политизация" спама и превращение его в инструмент информационных войн).

Поскольку о криминализации и политизации спама уже шла речь в предыдущих разделах, здесь остановимся подробнее на различии в товарных спамерских тематиках Рунета и "западной" части Интернета.

В список товаров/услуг, типичных для Рунета, входят:

• предложения образовательных услуг (семинары и тренинги);
• мелкая полиграфическая продукция (календарики, надписи на сувенирах и т.п.) и услуги по ее дизайну;
• юридические услуги;
• недвижимость и услуги по ее оформлению;
• услуги по организации переездов и ремонту;
• дорогая бытовая техника (например, воздушные сплит-системы).

Нельзя утверждать, что в "западной" части Интернета такого спама вообще нет. Аналогичные предложения могут попасть в ящик западному пользователю, но их существенно меньше. В Рунете же каждый из этих видов товаров/услуг представлен достаточно объемными рекламными рассылками.

Западный спам также обладает своей спецификой. В англоязычной части Интернета широко распространен спам с предложениями дешевого программного обеспечения и лекарственных препаратов для повышения потенции и сексуального здоровья. В Рунете такой спам тоже попадается, причем в значительных количествах, но в данном случае пользователи Рунета не являются целевой аудиторией спамеров. В России контрафактное программное обеспечение широко распространено и стоит дешевле, чем его предлагают в спаме, поэтому потребительского спроса в Рунете эти предложения не находят. Вполне вероятно, что спамеры вполне осознанно держат адреса доменной зоны "ru" в "западных" базах для того, чтобы обеспечить заявленные (и, заметим себе, оплаченные заказчиками) рассылки по миллионным базам адресов. Интернет велик, но не беспределен, поэтому нужное количество разных электронных ящиков иногда приходится добирать любыми доступными средствами.

На расхождение списка рекламируемых в спаме товаров влияют и многие другие причины. Например, серьезную роль тут играет различие в законодательстве разных стран. По текущему российскому законодательству спамер не несет ответственности, собственно, за рассылку спама. Все российские законы о рекламе касаются содержания рекламных рассылок, а не способа доставки рекламы потребителю. Нельзя обманывать потребителя в рекламе (недобросовестная реклама), то есть рассказывать о свойствах товара/услуги, которыми этот товар/услуга не обладают. А рассылать рекламу в миллионах экземпляров - можно. В России представители малого бизнеса зачастую не видят разницы между спамом и любым другим видом рекламы. Использование спама практически никак не вредит имиджу организации и в то же время приносит серьезную прибыль.

Западное же законодательство гораздо более жестко подходит к этому вопросу, поэтому добропорядочные представители малого бизнеса в США и странах Европы склонны избегать спама, чтобы не повредить развитию бизнеса. В результате, в западном спаме существенную долю занимает реклама контрафактных товаров, а также дешевых товаров, продающихся по завышенным ценам. В данном случае продавцы намеренно нарушают закон и готовы пойти на такое нарушение. Объектом спамерской рекламы, нацеленной на западный сегмент Интернета, очень редко становится товар, требующий крупного денежного вложения, например недвижимость, автомобиль и т.п. В спаме Рунета, напротив, доля предложений недвижимости в некоторые недели 2005 года поднималась до 1%, а доля предложений юридических услуг до 2% от общего объема спама.

Маскировка под личные сообщения - новинка 2005

Спамеры нередко маскируют свои рассылки под те или иные виды легитимных сообщений, например - под подписные рассылки. В 2005 году появилась новая разновидность маскировки - подделка под личные сообщения. Строго говоря, такой прием не является открытием именно этого года. Но только в 2005 году количество сообщений, которым спамеры специально придали вид личных писем, достигло значения, при котором можно говорить, что это действительно новая спамерская тенденция. Сейчас мы говорим о сотнях подобных спам-атак, в то время как раньше это были единицы, в крайнем случае - десятки.

Степень маскировки может быть разной - от примитивной подстановки аббревиатур Re и Fw в теме письма до достоверной имитации стилистики и оборотов в тексте сообщения под личную переписку.

Подставляя в тему сообщения Re и Fw, спамеры надеются привлечь внимание получателя и вынудить его открыть и прочесть сообщение. При этом текст сообщения может не иметь ничего общего с заявленной темой и содержать исключительно рекламу товара/услуги.

Однако около трети такого рода писем представляют собой более или менее аккуратно составленную подделку под фрагмент личной переписки. В первой части такой подделки может быть короткая фраза вида "Что это?", или "Did you know?", или более развернутый "личный" текст, уже содержащий элементы рекламы товара/услуги/сайта. Во второй части идет основное спамерское предложение, оформленное как "исходное сообщение" (original message), которое цитируется в самом начале переписки. Вот пример такого спама:

Иногда спамеры пытаются замаскировать спам-рассылку под обычное личное письмо, т.е. не оформляют его как ответ (Re:) или пересылку (Fw:). В таком случае фальсификация осуществляется исключительно за счет стиля и лексики сообщения. Спамеры минимизируют количество типичных рекламных фраз, но при этом общее содержание сообщения должно заинтересовать получателя и побудить его перейти на сайт, позвонить по указанному телефону и т.п.:

Можно прогнозировать, что в будущем, 2006 году, количество таких фальшивок увеличится, т.к. пока пользователи не сразу распознают в таком сообщении спам.

Тематические лидеры спама в Рунете

В Рунете тематические лидеры спама практически не изменились с прошлого года. Единственное новшество - в тройке лидеров прочно обосновалась категория "Компьютерное мошенничество", вытеснив оттуда тематику "Лекарственные препараты; товары для здоровья":

• Образовательные услуги (приглашения на семинары/тренинги) - 14% от общего объема спама;
• Спам "для взрослых" - 12% от общего объема спама;
• Компьютерное мошенничество - 11% от общего объема спама.

На диаграмме ниже дано более подробное распределение основных спамерских тематик в 2005 году:

На следующей диаграмме дана расшифровка тематической категории "Другие товары и услуги".

Список различных видов товаров, отображенный на этой диаграмме, очень хорошо демонстрирует товарную специфику Рунета, о которой шла речь выше (см. раздел Тематические различия спама в Рунете и в "западном" сегменте Интернета).

Технологии рассылки спама в 2005 году

По сравнению с прошлым годом спамерами не было предложено ни одной новой технологии рассылок. Все основные характеристики технологий рассылок 2004 года остались справедливыми и для 2005 года:

• Разделение труда при организации спамерских рассылок и появление "специалистов" в своих областях: поиск клиентов, сбор адресов для спамерских баз, подготовка вычислительных мощностей, написание рекламных объявлений и т.п.
• Использование специализированного и сложного программного обеспечения для рассылки спама.
• Предоставление различных сервисов для спамеров: аренда вычислительных мощностей (в том числе и сетей зомби-компьютеров, ботнетов), продажа или аренда программного обеспечения и т.п.
• Активное использование сетей зараженных персональных компьютеров или аренда серверов с оплатой по украденным номерам кредитных карточек. Этот признак ставит спамерские рассылки вне закона, так как используется неправомерный доступ к чужим компьютерам.

Основные способы доставки спама

Использование сетей зомби-компьютеров

В 2005 году основным способом рассылки спамерских сообщений стало использование сетей зомби-компьютеров (ботнеты, botnets). Зомби-компьютером называется ПК, зараженный вирусом, который позволяет своему хозяину получить ресурсы компьютера в управление. Обычно для владельца компьютера наличие на нем троянской программы совершенно незаметно и не вызывает никаких проблем в работоспособности ПК. В то же время, хозяин сети зомби-компьютеров может использовать эту сеть для следующих целей:

• сбор информации (номера кредитных карточек, логины и пароли для доступа к различным ресурсам, адресная книга, персональная информация);
• организация DDoS-атак на сервера в Интернете;
• рассылка спама.

Заражение персонального компьютера может происходить следующим образом:

• через уязвимости в программном обеспечении (операционная система, браузер, почтовый клиент);
• с использованием методов социальной инженерии, с помощью которых владельца компьютера провоцируют запустить какую-либо программу без контроля ее происхождения.

Вирус, производящий заражение, совершенно не обязательно содержит в себе всю функциональность троянской программы, он может быть всего лишь начальным загрузчиком. В таком случае сразу же после заражения он скачивает и устанавливает на ПК троянскую программу, позволяющую выполнять удаленное администрирование зараженного компьютера.

При организации сетей зомби-компьютеров важную роль играет быстрое, удобное и стабильное управление. При этом канал управления должен быть максимально анонимным, чтобы при его обнаружении нельзя было бы вычислить владельца и организатора сети. Поэтому спамеры используют различные публичные сервисы, предоставляющие свои услуги без какой-либо идентификации пользователя, возможно, за небольшую плату. Для обеспечения управления сетью зомби-компьютеров могут быть использованы публичные IRC-сервера (Internet Relay Chat, сервера для организации чатов), на которых владелец сети создает частный канал ("частную комнату") с жесткими параметрами доступа: она не видна остальным пользователям IRC-сервера, для входа в нее требуется заранее известный пароль и т.п.

Естественно, владельцы IRC-серверов активно борются с таким использованием своих сервисов, поэтому владельцу зомби-сети приходится часто менять IRC-сервер и троянские программы, установленные на зомби-компьютерах, должны быстро находить новый канал управления, если старый оказался по каким-то причинам недоступен.

Для того чтобы иметь возможность быстро сменить IRC-сервер, владелец зомби-сетей может использовать публичные сервисы, предоставляющие динамические DNS-имена с быстрым обновлением. Подобные сервисы были предназначены для тех пользователей, которые имели динамические IP-адреса (например, выделяемые провайдером доступа к Интернету по факту авторизации) и при этом желали бы иметь для своего компьютера постоянное DNS-имя. Такая необходимость часто возникает у интернет-пользователей, которые запускают на своих домашних компьютерах, к примеру, игровые сервера или электронные доски объявлений. Регистрируя в таком сервисе какое-нибудь безобидное DNS-имя, указывающее на выбранный IRC-сервер, владелец сети зомби-компьютеров может использовать его в качестве исходной точки для своих троянских программ, которые обращаются к нему в поисках канала управления.

После того как троянская программа установлена на персональный компьютер, она открывает соединение с IRC-сервером, на котором владелец сети создал свой частный канал. Владелец сети может оценить количество зараженных компьютеров по количеству пользователей, присоединившихся к его каналу. Управление зомби-компьютерами осуществляется при помощи команд, посылаемых в частный канал IRC-сервера владельцем сети или другим лицом, которому владелец сети предоставил ограниченный доступ к своему каналу.

Размеры зомби-сетей колеблются от десятков до сотен тысяч зараженных компьютеров. В октябре 2005 года голландская полиция арестовала создателей сети, содержащей 1,5 миллиона зомби-компьютеров и созданной при помощи троянской программы удаленного администрирования Backdoor.Win32.Codbot (или W32.Toxbot). Пока эта сеть является рекордсменом по количеству компьютеров, управляемых злоумышленниками.

Открытые релеи

По итогам 2005 года можно утверждать, что, несмотря на значительное количество открытых релеев⁶ (250 тысяч по статистике сайта ordb.org), их использование спамерами для организации своих рассылок практически прекратилось и составляет доли процента от всего объема спамерских рассылок. Это связано, прежде всего, с большой эффективностью использования сетей зомби-компьютеров.

Выделенные сервера

Уменьшается также использование выделенных серверов (dedicated server) для рассылки спама. Выделенный сервер - это услуга, предоставляемая хостинг-провайдерами, позволяющая за небольшую арендную плату получить в полное управление сервер, принадлежащий провайдеру и уже установленный на технологической площадке. Часто такие сервера могут быть оплачены при помощи кредитной карты и предоставлены клиенту через десять-пятнадцать минут после оплаты.

Используя ворованные номера кредитных карт, спамеры могут арендовать такой сервер и рассылать через него спам до тех пор, пока владелец кредитной карты не отзовет платеж или провайдер не закроет доступ к серверу из-за поступающих жалоб на спамерскую активность.

Однако количество серверов, к которым можно получить доступ подобным образом, не идет ни в какое сравнение с размерами сетей зомби-компьютеров. Кроме того, блокировать один сервер, замеченный в рассылке спама, можно, просто занеся его IP-адрес в черный список. Тогда эффективность использования выделенного сервера для рассылки спама значительно сокращается.

Организация спамерских рассылок

Среди спамерских рассылок, доставивших наибольшее количество проблем в 2005 году, можно выделить два основных типа: быстрые рассылки и рассылки с использованием обратной связи. Они отличаются способом борьбы с регулярными обновлениями популярных антиспамерских почтовых фильтров.

Быстрые рассылки

Рассылка этого типа производится с расчетом обогнать регулярные обновления для популярного антиспамерского программного обеспечения и доставить спамерские сообщения до того момента, когда в фильтры добавятся сигнатуры или эвристики, способные их "поймать".

В 2004 году уже отмечался скоростной скачок в рассылках, когда доставка спамерских сообщений одной рассылки по нескольким миллионам почтовых адресов стала занимать вместо нескольких суток несколько часов. В 2005 году скорость рассылок выросла еще в несколько раз, и теперь спамеры способны разослать письма по нескольким миллионам адресов за десять-пятнадцать минут. Выйти на такие скорости спамерам позволило использование сетей зомби-компьютеров.

Для борьбы с быстрыми рассылками в 2005 году стали активно использоваться статистические средства определения массовых рассылок (DCC, Pyzor), доступные крупным провайдерам или поставщикам популярного антиспамерского ПО. Эти средства являются эффективными, потому что спамерские сообщения в быстрых рассылках пока либо не отличаются друг от друга, либо отличаются минимально. Как следствие, их легко идентифицировать как одну рассылку и блокировать по признаку массовости. С другой стороны, не каждая массовая рассылка одинаковых сообщений является спамерской, поэтому в будущем важно составить белые списки источников легальных рассылок и отладить механизм их пополнения и совместного использования.

Обратная связь

Другой способ рассылки сообщений основан не на скорости, а на возможностях по модификации текста или внешнего вида сообщений.

Спамеры следят за популярными почтовыми фильтрами и доставкой сообщений в почтовые ящики получателей. Если в какой-то момент времени фильтры стали успешно определять спамерскую рассылку, то, чтобы "обмануть" почтовые фильтры, письма в рассылке модифицируются.

В рассылках данного вида используется весь набор возможностей по генерации индивидуальных сообщений для каждого получателя:

• шаблоны писем, вариативные части;
• "невидимый" текст в HTML-частях;
• зашумление;
• словари синонимов
• и т.п.

В отличие от быстрых рассылок, здесь скорость не очень важна, поэтому рассылки данного вида могут длиться до нескольких дней.

Фактически появление рассылок с использованием обратной связи означает, что спамеры начали организовывать службы, аналогичные круглосуточным лабораториям по анализу спама крупных производителей антиспамерского программного обеспечения.

Программное обеспечение

Важно отметить, что используемое спамерами программное обеспечение год от года становится все сложнее. К примеру, управление сотнями тысяч зомби-компьютеров таким образом, чтобы они синхронно рассылали индивидуальные копии одного сообщения каждому получателю списка рассылки, является сложной инженерной задачей.

Усложнение спамерского ПО привело к появлению большого количества ошибок в нем. В 2005 году из-за сбоев в программном обеспечении спамеры:

• рассылали пустые письма;
• рассылали исходные шаблоны своих сообщений;
• ставили метки спамерского ПО в письмах;
• оставляли отладочную информацию в письмах
• и т.п.

Разделение труда

В 2005 году специализация профессионалов по рассылке спама стала еще более очевидной. Можно выделить следующие "специальности":

• Подготовка баз адресов. Сюда входит как автоматическая генерация адресов с последующей проверкой, так и сбор адресов с веб-сайтов. Кроме того, возможно использование украденной персональной информации. Очень важным этапом в создании рекламных писем, максимально похожих на настоящие, является отправка писем от знакомых людей с использованием настоящих имен.
• Написание программного обеспечения для рассылки спама, создание троянских программ. Разработка новых технологий рассылки спама.
• Продажа спамерских услуг.
• Подготовка рекламных объявлений. Важно отметить, что в 2005 году количество профессионально подготовленных рекламных сообщений в спаме возросло.
• Непосредственная рассылка спама.
• Подготовка сетей зомби-компьютеров.

Сейчас практически не существует спамеров, которые выполняли бы все вышеперечисленные функции в одиночку, потому что специализация позволяет, с одной стороны, более качественно выполнить работу и, с другой стороны, сократить временные затраты. К примеру, владелец сетей зомби-компьютеров организует заражение компьютеров, поддержку канала управления, но сам не рассылает спам с использованием своей сети - вместо этого он сдает ее в аренду.

⁶ Открытым релеем называется почтовый сервер (MTA, mail transfer agent), передающий почту без всяких ограничений, которые появляются, как правило, из-за допущенных системным администратором сервера ошибок в настройке. Это был один из самых первых способов анонимной массовой рассылки спамерских сообщений; спамерские роботы до сих пор сканируют почтовые сервера в поисках открытых релеев. >>

Выводы и прогнозы

Тенденция к окончательной стабилизации спам-индустрии, продемонстрированная в 2005 году, является положительным фактором в развитии электронных средств коммуникации.

Последние два года противостояние спамеров и разработчиков спам-фильтров напоминало ситуацию с гонкой вооружений, когда каждое новое оружие защиты приводит к появлению нового оружия поражения, обладающего более высоким потенциалом. С каждым витком гонки технические средства, используемые обеими сторонами, становятся все более изощренными. Больше всех в этой ситуации страдают пользователи: в результате появления очередной технической новинки спамеров их почтовые ящики засыпает мусором, а отчаянные попытки владельцев почтовых серверов избавиться от спама каким-нибудь одним, но действенным средством (например, черными списками или жестким описанием SPF-политики своих доменов), приводят к тому, что пропадает часть нужной почты (личной или деловой).

Стабилизация ситуации означает, что основные игроки на спамерском рынке заняли нишу, которая экономически их устраивает, даже при том условии, что им пришлось сместить фокус деятельности с хорошо защищенных крупных корпоративных серверов на более мелкие и слабо защищенные.

В условиях современной защиты от спама, которая осуществляется на разных этапах обработки сообщения и в которой задействовано большое количество различных методов детектирования спама (например, в продуктах линейки "Kaspersky Anti-Spam" таких методов более десятка), спамерам становится экономически выгодно использовать другие способы распространения спама, например задействовать ICQ или мобильные телефоны. И именно в этом направлении они сейчас активно работают.

За истекший год спам-индустрия также продемонстрировала ярко выраженную тенденцию к дальнейшему сближению с криминогенными структурами, происходит криминализация содержания спама.

Более частыми и профессиональными становятся попытки использовать спам в "политических играх". Это, безусловно, отрицательный фактор в развитии спам-индустрии.

Криминализация и политизация спама дестабилизируют ситуацию. С одной стороны, они усиливают негативный настрой пользователей не только по отношению к спаму, но и к электронной почте как средству коммуникации. С другой стороны, они предполагают вовлечение в спам-индустрию новых средств, что в дальнейшем вполне может вызвать новый скачок в развитии спамерского ПО и привести к очередному резкому увеличению объемов спама. Для незащищенного пользователя это может обернуться полным параличом средств коммуникации - как по техническим (трафик будет полностью занят спамом) и экономическим (практически вся оплата трафика будет оплатой спама плюс потери на "ручной" разбор спама) причинам, так и по психологическим (в потоке мусора будет невозможно найти нужную информацию) причинам.

Можно предположить, что технологии рассылки спама и в следующем году качественно изменяться не будут. Такая стабильность сохранится до тех пор, пока:

• большая часть персональных компьютеров не будет в достаточной мере защищена антивирусным программным обеспечением;
• провайдеры, предоставляющие доступ в Интернет, не введут фильтрацию бесконтрольного трафика, рассылаемого своими клиентами, или не ограничат количество писем, посылаемых с одного персонального компьютера.

Только после того, как использование вредоносных программ и заражение персональных компьютеров перестанет гарантировать спамерам получение в свое пользование десятков или даже сотен тысяч точек для рассылки спама, спамеры начнут поиск новых способов организации массовых рассылок.

С технической точки зрения в следующем году спамеры будут развивать возможности по модификации писем в распределенной сети зомби-компьютеров при сохранении скорости рассылки. Использование сетей зомби-компьютеров станет еще более гибким, получит более широкое распространение рассылка спама не напрямую с зараженного ПК, а через учетную запись пользователя у провайдера доступа.

Авторы: Анна Власова, Кирилл Зоркий, Андрей Калинин.
"Лаборатория Касперского"