Спам 2004: аналитический отчет

Дата: 12.02.2005
Источник: Ашманов и Партнеры


... знаем.

В последние дни 2004 года и в начале января 2005 года особенно массовым было цепочечное письмо о потерявшемся в Таиланде мальчике (родственники которого к моменту пика рассылки уже давно нашлись).

Большинство разработчиков писем волей-неволей относят этот вид массовой нежелательной почты к спаму и включают образцы таких писем в свои базы сигнатур спама.
5.2.7. Пустые письма

За 2003 год у спамеров сложилась практика периодически проводить рассылки содержательно 'пустых', т.е. нерекламных сообщений. Иногда это действительно пустые письма (нет контента), иногда письма с единственным словом 'привет' или 'тест', довольно часто рассылки содержат бессмысленные последовательности символов. В 2004 году таких писем было особенно много.

Такие рассылки преследуют сразу несколько целей. С одной стороны, это обычное тестирование нового или модифицированного спамерского программного обеспечения; активности зомби-сети и т.п. С другой стороны, 'пустые' рассылки довольно легко проходят антиспам-фильтры (не содержат спамерского контента), вызывая у пользователей понятное раздражение и скепсис по отношению к фильтрации спама.

Они также создают большую дополнительную нагрузку на каналы связи, что может выражаться в существенном снижении скорости обмена электронной корреспонденцией на время прохождения спамерской рассылки.

9 Postini Inc - крупный разработчик ПО для обеспечения безопасности почтовых потоков, в IT-индустрии с 1999 г. >>

10 Караван - известный провайдер Рунета, представляет услуги хостинга и провайдинга с 1996 года. >>

6. Спам-машина образца 2004 года

В 2004 году рассылка спама приобрела исключительные масштабы: ежесуточно в мире рассылаются десятки миллиардов спам-сообщений, но с точки зрения технологий революционных изменений по сравнению с предыдущим годом нет. Росли базы зараженных машин, совершенствовались методы варьирования текста писем.

Существенным прорывом в спамерских технологиях стал только 'скоростной скачок'.
6.1. Скоростной скачок

Если в 2003 году средняя скорость спамерской рассылки в несколько миллионов почтовых адресов составляла около суток, то сейчас это может быть несколько часов, а иногда и несколько десятков минут. Это означает, что спамеры стараются успеть разослать все до того, как рассылка будет замечена разработчиками фильтров, сигнатуры писем будут созданы и добавлены в базу данных фильтра, и у конечных пользователей пройдут обновления установленных фильтров.

Обычно этот цикл обновлений фильтра занимает несколько часов, и 'обрезать хвост' быстрой рассылке становится проблематичным. В результате скорость реакции фильтра становится главным критерием качества работы сервиса. В частности, фильтры Спамтест уже перешли на обновление раз в 20 минут.

Кроме того, повысилась скорость реакции спамеров на работу антиспам-фильтров. Если рассылка спама проводится, например, на серверах Mail.ru, то спамеры в режиме реального времени контролируют степень прохождения своих тестовых писем сквозь фильтр в их тестовые ящики на Mail.ru и при необходимости быстро вносят коррективы в текст или технические параметры рассылки.
6.2. Технологическая цепочка рассылки спама

Можно утверждать, что к концу 2004 года окончательно сформировалась технологическая цепочка спамерской рассылки, включающая несколько более или менее независимых этапов:

* Сбор (подбор) и верификация e-mail-адресов получателей.
* Подготовка 'точек рассылки' - компьютеров, через которые будет рассылаться спам.
* Создание программного обеспечения для рассылки.
* Поиск клиентов.
* Создание рекламных объявлений для конкретной рассылки.
* Проведение рассылки.

6.3. Сбор почтовых адресов для спамерских баз

Для сбора адресов используется:

* Подбор по словарям имен собственных, 'красивых слов', частых сочетаний слово-цифра (jonh@, destroyer@, alex-2@).
* Метод аналогий - если существует [email protected], то вполне резонно поискать [email protected], @aol.com, @Paypal.
* Сканирование всех доступных источников информации - Web-сайтов, форумов, чатов, досок объявлений, Usenet News, баз данных Whois на сочетание слово1@слово2.слово3... (при этом, на конце такого сочетания должен быть домен верхнего уровня - .com, .ru, .info и так далее).
* Кража баз данных сервисов, провайдеров и т.п.
* Кража персональных данных с компьютеров пользователей посредством компьютерных вирусов и прочих вредоносных программ (уже существуют троянские программы, сканирующие диски пользователя на предмет обнаружения именно адресов электронной почты).

Кража персональных данных пользователей - как адресных книг почтовых клиентов (большинство адресов в которых - действующие), так и других персональных данных, - получила распространение сравнительно недавно.

К сожалению, массовые вирусные эпидемии последних лет показывают, что распространенность антивирусных средств в мире недостаточна, следовательно, распространенность данного способа сбора персональных данных будет расти.

Полученные адреса нужно верифицировать, что может происходить такими способами:

* Пробная посылка сообщения. Как правило, это сообщения со случайным текстом, которые проходят через спам-фильтры. Анализируя ответ почтового сервера (почта принята или не принята), можно выяснить, действует ли каждый конкретный адрес из списка.
* Помещение в текст спам-сообщения уникальной ссылки на картинку, расположенную на WWW-сервере. При прочтении письма картинка будет загружена (во многих современных почтовых программах эта функция блокирована), а владелец сайта узнает о доступности адреса. Метод верифицирует не валидность адреса, а факт прочтения письма.
* Ссылка 'отписаться' в спам-сообщении. Если получатель нажимает на эту гиперссылку, то никакой отписки не происходит, а его адрес помечается как валидный. Метод верифицирует активность получателя.

6.4. Подготовка 'точек рассылки'

На сегодняшний день профессиональная рассылка спама осуществляется тремя основными способами:

* Прямая рассылка с арендованных серверов.
* Использование 'открытых релеев' и 'открытых proxy' - почтовых сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам.
* Скрытая установка на пользовательских компьютерах программного обеспечения, позволяющего несанкционированный доступ к ресурсам данного компьютера.

Для рассылки с арендованных серверов необходимо иметь постоянно пополняемый набор этих серверов. Они достаточно быстро попадают в черные списки IP-адресов, соответственно, рассылать спам таким образом можно только на тех получателей, почтовые сервисы которых не используют черные списки. В любом случае, в виду введения законов о спаме и повсеместной расстановки фильтров, этот способ уходит в прошлое.

Для использования открытых сервисов необходимо постоянно вести поиск таких сервисов - для этого пишутся и используются специальные программы, которые быстро сканируют большие участки адресного пространства Интернета.

Наибольшую популярность на сегодняшний день имеет установка троянских компонент на компьютерах пользователей. Установка происходит следующими способами:

А) Включение троянских компонент в пиратское программное обеспечение: модификация распространяемых программ, включение троянской компоненты в 'генераторы ключей', 'программы для обмана провайдеров' и т.п. Достаточно часто такие программы распространяются через файлообменные сети (eDonkey, Kazaa) либо через сайты с 'варезом' (warez, пиратские копии программ).

Б) Использование уязвимостей в программах просмотра Web-сайтов (в первую очередь, Microsoft Internet Explorer) - ряд версий таких программ содержит ошибки в проверке прав доступа, что позволяет разместить на WWW-сайте компоненты, которые будут незаметно для пользователя скачаны и выполнены на его компьютере, после чего на компьютер пользователя будет открыт удаленный доступ для злоумышленников.

Такие программы распространяются, в основном, через посещаемые сайты (прежде всего, порнографического содержания). Летом 2004 года была замечена двухступенчатая схема - массовый взлом сайтов, работающих под управлением MS IIS, модификация страниц на этих сайтах с включением в них вредоносного кода, что привело к заражению компьютеров пользователей, посещавших эти ('хорошие') сайты.

В) Использование компьютерных вирусов, прежде всего, распространяемых по каналам электронной почты и использующих уязвимости в сетевых сервисах Microsoft Windows:

* все крупные вирусные эпидемии, произошедшие за последний год, были произведены вирусами, которые могли быть использованы для удаленного доступа к пользовательскому компьютеру;
* интенсивность попыток использования уязвимостей Windows на сегодня просто чудовищна - подключенная к Интернету стандартная Windows XP без установленного firewall, антивируса и сервис-паков оказывается зараженной в течение нескольких десятков минут.

6.5. Программное обеспечение для рассылки спама

Средняя спам-рассылка имеет на сегодня объем не менее нескольких миллионов сообщений. Эти сообщения требуется разослать за небольшое время, чтобы успеть произвести рассылку до перенастройки (или обновления базы данных) антиспам-фильтров.

Быстрая рассылка большого количества почтовых сообщений является технологической проблемой, решение которой требует достаточно больших ресурсов. Как следствие, 'на рынке' имеется относительно небольшое количество программ, удовлетворяющих требованиям спамеров-профессионалов. Эти...

Подробнее : http://www.spamtest.ru/document?pubid=19223&context=1

Добавить комментарий

Всего 0 комментариев