Спам – нежелательная (не заказанная) корреспонденция, чаще всего рекламного характера, получаемая миллионами пользователей электронной почты ежедневно. В современном мире сложно найти человека, знающего, что такое e-mail и ни разу не столкнувшегося со спамом. Электронная почта и спам стали неотделимыми друг от друга понятиями.
Hint: Сразу хочу оговориться, что статья не «вчерашняя», так что, пожалуйста, делайте скидку на прошедшее время. :)
Если допустить лёгкий налёт романтики, то можно смело утверждать – борьба со спамом давно приобрела характер известного противостояния «меча и щита». По одну сторону баррикад находятся спамеры, занимающиеся постоянным сбором почтовых адресов пользователей интернета, изобретением и модификацией технологий отправки спама, а так же обхода средств его блокирования. По другую сторону находятся все остальные пользователи электронной почты:
• Это простые пользователи, которые ежедневно удаляют из своих ящиков от единиц до сотен спам-сообщений, а более тесно «дружащие» с программным обеспечением обучают персональные почтовые программы по возможности распознавать и удалять сообщения (как вариант, маркировать специальным образом или изолировать в специально отведённом месте), содержащие мусор.
• Это системные администраторы компаний, устанавливающие и обучающие специальные антиспам-фильтры для уменьшения потока нежелательной корреспонденции.
• Это компании и корпорации, тратящие немалые средства на покупку, внедрение и модификацию антиспам-технологий.
• Это компании — разработчики различного программного обеспечения, позволяющего в какой-то мере сократить миллионы ежедневных сообщений, которые попадают в почтовые ящики пользователей.
История развития спамерских технологий.
Родоначальницей спама можно считать рассылку 2 мая 1978 года, когда было разослано 600 спам сообщений для приглашения на презентацию DEC. С этого дня можно начинать отсчёт века спам-сообщений. 12 апреля 1994 года Лоренс Кантер и Марта Сигель впервые использовали специальное программное обеспечение для рассылки спама в конференциях USENET. Первый спамер (по крайней мере, известный) из наших соотечественников — это Михаил Армалинский.
В наше время, по информации спам-аналитиков лаборатории Касперского на 2005 год, спам составляет 70-80% от общего объёма почтового трафика (речь идёт о «поштучном» исчислении) спамерских, а это значит, что на каждые 2-3 обычных письма приходится 7-8. Точной цифры по ежедневному количеству рассылаемого спама, по понятным причинам, быть не может. Но цифры, озвучиваемые различными источниками, внушают опасение за будущее электронной корреспондеции, так как любая крупная компания, работающая с почтой, находится под угрозой быть просто погребённой под невообразимым количеством почтового мусора.
История развития спамерских технологий.
Среда передачи.
Технологии рассылки спам-сообщений развивались достаточно бурно. Началось всё с обычной прямой отправки респондентам, указанным в поле CC и BCC. Однако этот метод быстро ушёл в историю в виду своей неэффектичности.
Следующим шагом стало использование модемных пулов провайдеров. Каждому пользователю интернета известна система – по бесплатному гостевому доступу на сайт провайдера зарегестрировал учетную запись, оплатил его и пожалуйста — можно приступать к отправке сколь угодно большого количества спама. Разумеется, среда передачи данных сильно ограничивала возможности такого метода, однако на тот период времени этого уже было более чем достаточно для заметного всплеска нежелательной корреспонденции в ящиках пользователей. Количество времени, требуемое на написание жалобы и рассмотрение её провайдером, было достаточно велико. А ведь далеко не каждый, получивший спам, станет озадачиваться выявлением источника спама и обращением к службе технической поддержки провайдера, «прикормившего» мерзавца. Таким образом, у спамера было предостаточно времени для осуществления своих намерений. Да и реакция со стороны провайдера в виде блокирования аккаунта не являлась проблемой. Ведь никто не мешал заново пройти всю цепочку, описанную выше, для повторного получения доступа через этого же провайдера или, на крайний случай, другого. Эта проблема была, отчасти, решена службами провайдеров с помощью установки АОН (автоматических определителей номеров) на оборудовании, обслуживающем абонентов. А отчасти, с помощью введения некоторых ограничений на отправку сообщений пользователями.
Большой проблемой на тот период времени являлось наличие огромного количества открытых для бесконтрольной пересылки почтовых серверов (так называемых open relay), позволяющих любому желающему отправлять через себя сколь угодно много корреспонденции по абсолютно любым адресам. Эта проблема возникла из-за того, что изначально, до 90-х годов, практически все сервера были «открытыми». Они позволяли передавать почтовые сообщения на другие сервера без ограничений на отправителя. Эта проблема была решена модификацией программного обеспечения почтовых серверов интернета. Однако, как показывает сухая статистика, даже в наше время количество Open Relay серверов исчисляется тысячами. Причин для этого множество – некорректные настройки, а так же несовершенство используемого программного обеспечения. Да-да, как это ни удивительно, некоторые почтовые сервера по сей день используют сервисы, просто не обученные средствам предотвращения использования их, как дойных коров. Поэтому основным средством борьбы, в итоге, стало использование rbl-списков (Realtime Blackhole List ), содержащих перечень выявленых уязвимых серверов. Некоторым спискам, которые призваны вести учёт таких серверов, известно более 225 тысяч уязвимых систем (из них более 2500 находятся в России). Но в наше время такая цифра уже не считается огромной и составляет всего лишь 0.65% хостов-отправителей спама (по информации mail.ru).
В недалёком прошлом при использовании общеизвестных и доступных rbl-списков (некоторые из наиболее популярных указаны на сайте rbls.org) возникали проблемы с хождением почты. Сейчас крупнейшие почтовые системы (такие как mail.ru) используют собственные rbl списки, что даёт им возможность больше не оглядываться на держателей какого-нибудь сервиса. Разумеется, есть и те, кто по сей день предпочитают общедоступные ресурсы, ведь можно выбрать тот, который наиболее вам подходит (например, только список содержащий пространства модемных пулов провайдеров). Проблемы прохождения почты были обусловлены тем, что разные почтовые системы могли использовать не идентичные списки «чёрных адресов», хотя для возможного отказа в доставке, разумеется, хватало примения этого метода только на системе-получателе. Другими словами, две почтовые системы могли оказаться в роли своеобразных пейджеров, когда почта от пользователей системы А доходит до системы Б, а вот в обратную сторону уже нет. Так как система Б находится в каком-нибудь чёрном списке, по которому проверяет отправителей система А. Причем причин, по которым система Б могла оказаться в сколь угодно большом количестве чёрных списков, было не мало. Начиная от жалобы одного из пользователей сервиса rbl, заканчивая проверкой самим сервисом на Open Relay серверов, попадающих в сканируемый диапазон ip адресов. То есть примерно по тому же принципу, как сканируют сеть поисковые системы. В некоторых случаях на исключение легальной системы из чёрного списка могло уйти от нескольких дней до месяцев. Известны так же случаи, когда администрацией какого-либо сервиса rbl заносились в базу «чёрных» вполне легальные сервера, а за исключение просили некоторую плату.
После всех мытарств и приключений с rbl-сервисами, очень многие администраторы почтовых системы были вынуждены отключить использование rbl в своих системах. Пользователи были сильно недовольны «гаданием», дошла ли их корреспонденция до получателей или нет, так как далеко не все способны понять ответ сервера-получателя об отказе доставки. Да и что таить, мало кто вообще на отчёты серверов обращал внимания. Зачастую такие письма удалялись без предварительного прочтения, а уже спустя продолжительное время, когда становилось известно, что получатель письма не получил – начинались «разборы полётов». В результате чего и выяснялось, что пользователь получил некий отчёт, но не обратил на него внимания. После этого системные администраторы уже начинали выяснять причину и связываться с администраторами нужной почтовой системы для урегулирование вопроса прохождения почты. Полагаю, системные администраторы отказывались от этого (ставшего уже популярным) метода фильтрации с лёгким сердцем, так как это значительно проще, чем каждый раз вести переговоры с другими сисадминами о проблемах прохождения почты через их системы. К слову сказать, именно в тот период времени, как мне кажется, в головах многих руководителей осело неверное представление о борьбе со спамом. Среди многих известных мне руководителей популярно мнение, что фильтрация спама ведёт к потере важной корреспонденции. К примеру, в одной из компаний, где я когда-то работал, мне так и не удалось уговорить начальство использовать фильтрацию спама (всего лишь маркируя поле темы сообщения меткой «SPAM») несмотря на то, что количество ежедневной нежелательной корреспонденции, получаемой сотрудниками, превышало средне-месячный трафик легальной почты (трафик был установлен посредством анализа лог-файла почтовой системы). А в другой компании мне пришлось сразу же после трудоустройства выключить систему фильтрации, так как менеджеры буквально объявили забастовку из-за постоянной потери почты, в которой они обвиняли спам-оборону компании (реальная причина потерь оказалась значительно прозаичнее и не имела никакого отношения к фильтрам).
Когда вышеназванные средства стали не столь эффективны, как того хотелось бы спамерам, они нашли новое средство. Использование собственных серверов. Они покупали сервера, размещали их на площадке провайдера и занимались рассылками, используя немалую мощь оборудования телекоммуникационных компаний. Количество времени, которое отводилось спамерам для их деятельности, исчислялось лишь тем, сколько согласны были закрывать глаза на деятельность своих хостеров службы провайдера. Всё упиралось в те же жалобы от пользователей, пострадавших от действий спамеров. Но и количество спама, который был отправлен – весьма и весьма велико. Да и перенос сервера на другую площадку не составлял большой трудности. После чего можно было снова заниматься рассылкой. Однако ужесточение политики предоставления хостинга провайдерами, а так же использование всё тех же rbl-листов привело к плавному уходу от такого способа рассылки спама.
Использование ворованных арендованых серверов оказалось гораздо более выгодным средством для спамеров. Добытые различными средствами (нелегальными, как правило, например, методами социального инжиниринга) учётные записи владельцев легальных ресурсов давали возможность весьма продолжительного по времени использования их сервера для чёрных замыслом спамеров. Количество времени, которое требовалось для «прикрывания лавочки», могло исчисляться днями или годами. Это зависело исключительно от методов использования данного сервера — однократные рассылки с большими перерывами между ними, или многократные отправки из рассчёта максимум сейчас, а потом — смена хоста. В первом случае хозяин ресурса мог очень долго находиться в неведении, да и провайдер не всегда реагирует на первую же появившуюся претензию.
Логичным продолжением использования «ворованных» серверов стали сети «зомби-компьютеров». Бурное развитие вирусных технологий и их сращивание с технологиями спамеров породило обширнейшие возможности. Компьютер пользователя инфицируется, после чего устанавливает соединение с irc-сервом и входит в специальную «комнату» (невидимую в общих списках и защищённую паролем), созданную программным обеспечением автора вируса. Таким образом «владелец» компьютеров-зомби мог видеть количество инфицированных машин и, соответственно, управлять ими, отдавая команды. В том числе на обновление вирусного кода. В среде спамеров даже есть место конкуренции – когда один вирус находит своего «коллегу», он пытается его блокировать и перевести управление компьютером на себя. Компьютеры пользователей превратились в театры военных действий за ресурсы незащищённых систем. Интересно, что для организации канала общения вирусов используются общедоступные ресурсы. Владельцы Irc-серверов по мере возможности (читай, обнаружения) пытаются удалить эти «комнаты», однако, миграция на другой сервер в новую комнату не занимает большого количества времени. Более того, в некоторых случаях Irc сервер может быть создан даже на отдельно взятой инфицированной машине. Решением такой проблемы может стать обычный персональный файрвол, установленный на машине пользователя, блокирующий любые несанкционированные соединения с внешним миром. Однако, всем нам известно, что до картины полного «файрволинга» всех компьютеров, находящихся в всемирной сети, ещё очень далеко. Ситуация усугубляется активным внедрением высокоскоростного доступа и постоянного соединения с всемирной сетью, что, в свою очередь, играет на руку злоумышленникам.
Последним, на что хотелось бы обратить внимание, является социальный инжиниринг. Сюда входят всевозможные «письма счастья» и прочая корреспонденция, автор которой сможет убедить получателя переслать данное письмо другим. Их отличительная особенность – небольшой размер первоначальной рассылки. Массовость достигается посредством усилий самих получаетелей, которые «покупаются» на предложение отправить письмо по всей адресной книге (или, как вариант, по всему контакт листу IM-пейджера). Ярким примером может служить поиск родителей нашедшегося в Тайланде мальчика в январе этого года. Бороться с этим видом спама техническими средствами практически невозможно. Кто из нас не получал письма с различными вложениями от знакомых? Да и жалуются на спам от знакомых пользователи гораздо менее охотно.
Содержимое спама.
Помимо развития среды передачи, менялось и само содержимое сообщений. Эту мутацию естественным образом породили технологии борьбы со спамом. В то время, как фильтры обучались распознавать всё больше видов спам-сообщений, спамеры придумывали всё больше новых ухищрений, для того, чтобы эти фильтры обойти.
Менялось содержимое письма:
• Включения адреса получателя в текст сообщения.
• Случайные последовательности. (Помните сообщения в виде «Hhiiii dduuuddee. Do y.ou ne.e.d sommmmeeeething?»)
• Фрагменты литературных произведений, анекдоты. Включение части стихотворения после прайса или рекламы сбивает фильтры с толку.
• Вариативность частей письма (содержимое «полезной» части письма и мусора, для одурачивания фильтров, могло меняться многократно).
• Изменения текста письма по ходу рассылки, обратная связь. Перед началом рассылки спама он проверялся на популярных системах. Если системы принимали письмо как нормальное, начиналась рассылка. Если нет – производилась модификация тела сообщения, пока сервера не принимали его.
Некоторые изменения в текстах сообщений привели даже к тому, что появилась некая новая форма языка (как в пункте два), которую многие даже понимают. Почему я делаю такой вывод? Ну обращаются же люди в компании, которые рекламируют таким образом.
Не стоит забывать и спам, возникающий из-за неидеальных почтовых серверов. Имеются в виду различные отчёты. Как пример можно привести настоящий бум отчётов от антивирусов о найденном в теле письма вирусе. Разумеется, речь идёт о тех случаях, когда поле отправителя является поддельным и пользователь получает отчёты о письмах, которые в действительности не отправлял. Сюда же относятся многочисленные автоматически генерируемые отчёты о невозможности доставки сообщения получателю. Ситуация та же – поле отправителя подделано. К этому можно относиться, как к необходимой отладочной информации, если вы работаете системным администратором или являетесь продвинутым пользователем. Или же как к неизбежному, но от того не менее надоедливому «техническому» спаму, если вы руководитель или менеджер, почта которого «пестрит» отчётами о письмах, которых он не отправлял.
Менялось и оформление спам-письма:
• Близкие по начертанию, но разные символы. Например, буква «А» в русской и английской раскладке.
• Невидимый текст в HTML.
• Картинки, зашумление картинок. Если сначала фильтры научились по подсчитанной сумме выявлять одинаковые сообщения, то внесение невидимых глазу незначительных изменений избавляет от этой «проблемы».
• Подделка технической части письма. Думаю, каждый хоть раз в жизни видел отчёт от spamassassin'а в виде «forged outlook header».
Противостояние спамеров и антиспамерских технологий порождает всё больше новых ухищрений со стороны первых. Однако, судя по информации от спам-аналитиков лаборатории Касперского и других источников, 2005 год не дал новаторских технологий спамерам. По-видимому, их вполне устраивает имеющийся на данный момент результат.
Фишинг.
Говоря о спаме, невозможно пройти мимо такого явления, как фишинг. Фишинг – это мошеннические рассылки («нигерийские письма», поддельные извещения о выигрыше и т.д.). Дословно фишинг можно перевести как «ловля на удочку». Как правило, такие письма призывают совершить какое-то действие (например, пройти по ссылке или просто заплатить деньги), но не за нечто реальное, как в случае рекламного спама, а за нечто несуществующее.
Целью фишинг-рассылок являются персональные данные пользователя (логины, пароли, пин-коды, номера кредитных карт и тому подобное). В дальнейшем, как не сложно догадаться, эти данные используются злоумышленниками для получения возможной наживы. Как правило, фишинговые письма весьма талантливо иммитируют настоящие сообщения реально существующих организаций. Наиболее часто они пародируют различные платёжные системы (ebay, paypal). В таких письмах содержится ссылка, пройдя по которой, потенциальная жертва попадает на поддельную страницу, специально изготовленную мошенником. Страница выглядит как реально существующая на сайте компании, от имени которой было отправлено письмо. На фальшивом сайте под тем или иным предлогом жертве предлагается ввести свои личные данные для авторизации. Как итог – личная информация посетителя попадает в базы мошенников.
Если верить статистике из разных источников, фишинг пока что не является чрезмерно опасным явлением. На данный момент даже «писем счастья» пользователям приходит значительно больше, чем фишинговых сообщений. Однако, наиболее вероятно, что такое положение дел временное. Индустрия фишинга в России ещё не доросла до таких «поставленных на рельсы» механизмов, как реальный спам. Сейчас энтузиасты только обкатывают новые технологии на рунетовских пользователях. Но, по прогнозам mail.ru, уже к 2006-2007 году доля такого спама окажется на уровне, соизмеримом с уровнем рекламного спама. Не стоит забывать и о том, что каждое фишинговое письмо потенциально способно причинить в сотни раз больший ущерб (в случае успешного «облапошивания» получателя), чем тысячи сообщений обычного рекламного спама. Если потери от чтения рекламы можно свести к трафику и затратам времени на его отсеивание, то потери от фишинга могут быть поистине фатальными для финансового положения «попавшегося» пользователя. К сожалению, есть достаточно много факторов, затрудняющих борьбу с фишингом, то есть при одинаковом допустимом проценте ложных срабатываний любая современная антиспам-система пропустит меньше рекламных сообщений, чем фишинговых.
Историю фишинга, скорее всего, следует начинать с середины 90-ых годов. Тогда в компании AOL были сильно распространены сообщения, подписанные якобы администрацией. В этих сообщениях предлагали (объясняя это разными причинами) прислать пароль от своего аккаунта, который, в противном случае, угрожали закрыть.
Разумеется, со временем до пользователей довели информацию, что пароли в письмах не запрашиваются и не отсылаются, поэтому эффективность этого метода стала стремиться к нулю. Однако, новая уловка мошенников не заставила себя долго ждать. Немного изменив содержимое писем, они стали сообщать о каком-либо событии на сервере (например, PayPal), требующем от пользователя некой реакции. В теле сообщения была ссылка, которая, как уже было сказано выше, вела на поддельную страницу легального сайта. Где ничего не подозревающие пользователи и оставляли свои персональные данные, так как мало кто привык смотреть в адресную строку браузера. (Я лично несколько раз наблюдал, что у некоторых пользователей адресная строка вообще скрыта. На мой вопрос, как они работают был дан гениальный ответ – я сам(а) ничего не набираю, только ссылки открываю.) На этом возможные злоключения пользователей могли не закончиться, потому что на поддельной странице мог оказаться троян, который в последствии «высасывал» из компьютера все пароли и учётные записи. Последствия представить не составляет труда.
Однако, время шло, пользователи стали больше внимания уделять тому, на чьём сайте они находятся и вводят персональные данные. Тогда злоумышленники проделали путь от бесплатного хостинга (вида paypal.narod.ru) до ухищрений с адресной строкой. Например, url вида www.paypal.com@somesite.com. На руку злодеям играли и уязвимости наиболее популярного браузера (Internet Explorer). Так, например, одна из его версий позволяла скрыть весь адрес после «собаки». Догадаться о подмене в таком случае становилось значительно сложнее и, зачастую, слишком поздно. В наше время такая адресация запрещена в IE и вызывает специальное предупреждение в Mozilla Firefox.
К сожалению, даже в наше время в России работают старые уловки 90-х годов. Например, зарегестрировав почтовый адрес mail.ru.admin@mail.ru и разослав пару сотен сообщений с предложением «активации почтового ящика», всё ещё можно получить несколько ответов с персональными данными пользователей. А ведь контроль над почтой даёт весьма обширные возможности по извлечению с его помощью и других учётных записей (например, через различные службы напоминания забытых паролей). Разумеется, это сработает только если украдена учётная информация основного ящика пользователя.
Возможные варианты фишинга ограничиваются только фантазией злоумышленника и невнимательностью пользователей. Простор огромный, а уровень компьютерной грамотности всё ещё оставляет желать лучшего.
Одной из популярных схем мощенничества были так называемые «нигерийские письма». Своё название они получили по первому зарегестрированному случаю в Нигерии. Суть их сводится к тому, что якобы некий высокопоставленный чиновник (видный деятель, актёр, криминальный деятель) сумел сделать себе немалое состояние, но теперь стоит перед проблемой вывоза капитала из страны. Для отмывания денег (разумеется, за большие комиссионные) ему нужен банковский счёт какого-нибудь «лопуха». Как вы можете догадаться, если «лопух» выдавал учётную запись «богачу», то свои средства с этого счёта он уже больше никогда не видел.
В России в роли «нигирейских чиновников» выступают члены правления ЮКОСа, Ходорковский и прочие не менее популярные (и богатые) личности. К сожалению, как показывает практика, доверчивые и жадные до халявы находятся.
Последним писком моды у спамеров являются мошеннические «письма счастья». Самым ярким примером такого спама была недавняя эпидемия Golden Stream. Наверное, все видели письмо, которое начиналось со слов «Это НЕ спам, а действительно выгодное предложение...». В последующем тексте объяснялась простейшая пирамидальная схема – вам предлагалось заплатить 100 рублей автору письма, а потом переслать это письмо дальше, получив от каждого получателя по 100 рублей. Как итог, обещалось полное счастье и всеобщее обогащение. Особенностью рассылки является прямое вымогание денег и эффективность пробивания фильтров «письмами счастья». К слову сказать, рассылка «писем счастья» не избежала и систем мгновенного обмена сообщениями типа icq. Часто можно встретить сообщения вида «Привет. UIN такой-то рассылает вирусы! Не добавляй его в контакт лист и сообщи всем своим знакомым!!!» Как показывает практика, остаётся добавить в тело сообщения ссылку с текстом вроде «На всякий случай, лекарство от вируса находится здесь URL.» и пожалуйста – готова почва для весьма обширного инфицирования. Разумеется, не все откликнутся на такие сообщения, но учитывая широкие контакт-листы современного пользователя интернета – и 10% отреагировавших хватит для начала эпидемии.
Развитие антиспамерских технологий.
Разумеется, в то время, когда спамеры придумывали всё новые и новые возможности обмануть пользователей и программные фильтры почтовых систем, антиспамеры так же не сидели без дела. Был пройден значительный путь от банального ограничения бесконтрольной пересылки почты через любой сервер до установки хитрых систем анализа и фильтрации контента сообщений.
Современные системы борьбы со спамом используют комплексные инструменты для отсева спама без ущерба для нормальной почты. Это и занесение в чёрные списки сетей, в которых, как заведомо известно, не могут находиться легальные почтовые сервера (например, dial-up и dsl диапазоны ip адресов провайдеров), и bayes-технологии, и белые списки, работающие по принципу повтора почтовых адресов. Считается, что если письмо приходит с адреса, находящегося в адресной книге получателя или адреса, на который получатель сам отправил несколько писем – оно не может быть спамом. И прочие новые технологии, появляющиеся, если и не каждый месяц, то каждые полгода-год точно. Во всяком случае, их преподносят как новые.
Но не на все ухищрения можно найти технологическую управу. Если те же «нигерийские письма» можно фильтровать известными средствами с весьма большим успехом (применяя весь арсенал – от чёрных списков, лингвистического анализа до сравнения с известными образцами), получая на выходе хороший процент отсева. То с «письмами счастья» всё далеко не так просто. Те же самые белые списки, о которых говорится выше, начинают играть «против» антиспамовых систем. Причины, думаю, понятны. Проблемы возникают от сугубо технических до морально-этических. Например, нельзя поместить в чёрный список адрес отправителя, переславшего письмо счастья только на этом основании, ведь он и нормальную корреспонденцию пишет. В таких случаях помогает только активное проведение ликбеза, но кто же будет этим заниматься? В пределах одной организации это может быть и реально, а в пределах mail.ru, yandex.ru, gmail.com?
У разных антиспам-систем разный подход и свои технические решения, но их описание заняло был ещё несколько полос и выходит за рамки статьи.
Состояние спама на 2005 год.
По информации спам-аналитиков лаборатории Касперского 2005 год принёс стабилизацию спама по части объёмов рассылок и доходов, получаемых от спам-рекламы. Однако, наращивание темпа всё же составляет 5-6% в год. Стабилизация объёмов спама обусловлена близостью к границе, за которой целесообразность использования электронной почты как средства коммуникации находится под сомнением. Всё чаще отправителю сообщения приходится уведомлять получателя о факте отправки или же контролировать процесс доставки сообщения, так как выкинуть нужное письмо, затерявшееся в полусотне спам-сообщений, не составляет труда.
Экономическая эффективность электронной почты снижается, поскольку спам наносит существенный ущерб пользователям почты. Легко представить работника, получающего почту без предварительной её фильтрации и тратящего на её просмотр половину рабочего дня. А это означает снижение производительности сотрудника и убытки для работодателя. Не говоря уже о том, что, учитывая стоимость трафика в регионах, некоторые компании вынуждены терпеть большие финансовые потери из-за бесполезного по сути трафика, генерируемого спам-сообщениями.
На конференции «Проблема спама и её решения» основными тенденциями спама за 2005 год были названы:
• Стабилизация количества и тематик спама.
• Тематическое и техническое разделение спама на разные геозоны интернета. (рунет и «западный» интернет).
• Криминализация спама.
• Использование спама как инструмента информационных и политических войн.
Лидерами спамерских рассылок в этом году стали:
• Приглашения на семинары и курсы (14%).
• Предложения «для взрослых» (12%).
• Компьютерное мошенничество (11%).
• Предложение лекарственных препаратов (9%).
• Дешёвый софт (7%).
В 2005 году наметилось явное разграничение спама для западных получателей и русскоязычных. Спам для русских эволюционировал от прямого подражания западным «коллегам» и приспособился к рунету. Спамеры начали активно предлагать услуги по недвижимости, полиграфическую продукцию и услуги, крупную бытовую технику, различные другие услуги (например, услуги грузчиков). В западном спаме таких предложений практически нет, так как они не находят отклика у аудитории.
Настораживает явная криминализация спама. Всё больше и больше мошеннических предложений попадает в ящики пользователей. Наиболее известные и обсуждаемые сейчас виды – фишинг и фарминг. (Суть фарминга сводится к автоматическому перенаправлению пользователей на фальшивые сайты. В отличие от фишинга новый метод хищения данных почти не требует участия потенциальной жертвы.) Очевидно, что спам как бизнес криминализируется. Об этом говорит и слияние спамерских и хакерских технологий. Современное программное обеспечение спамера включает в себя специальные модули, позволяющие производить рассылки через инфицированные троянами машины пользователей, то есть изначально рассчитано на взаимодействие с троянской частью.
За последние два года мы имели возможноть убедиться, что спам превращается в мощное оружие политических игр и инструмент влияния на общественное сознание. По «зоне покрытия» и эффективности спам вполне сопоставим с телевизионной рекламой, однако, значительно дешевле обходится. Разумеется, при условии, что подобный спам обошёл анти-спам фильтры. Агитационные листовки больше не ограничены своими бумажными носителями и мигрировали в мир цифровой.
В 2005 году лабораторией Касперского был зафиксирован новый тип «политического» спама. Речь идёт о спамерских кампаниях, направленных на формирование необходимого общественного мнения по вопросам внутренней политики государства. Эти спам-атаки отличает хорошая спланированность. Примером такой информационной кампании может служить спам с ссылками на небезызсвестный сайт «Кавказ-центр», который российские спец-службы нередко называют рупором мирового терроризма.
Прогнозы на будущее.
В 2006 году ожидается, в первую очередь, последующее увеличение количества спама. Спамеры, скорее всего, станут умнее. Так как сейчас происходит повсеместный отказ почтовых серверов от принятия почты с DSL-пулов провайдеров, то и использование зомби-машин для отсылки сообщений напрямую на сервера станет неэффективным. Вместо этого, наиболее вероятно, начнут использоваться smtp провадейров, настроенных пользователями инфицированных машин.
Ожидается и увеличение доли «ручного» спама за счёт растущей популярности фишинга и за счёт использования тех же технологий «писем счастья» в рекламном спаме. «Ручной» спам получил своё название от способа его отправки «вручную» без использования специализированного спамерского программного обеспечения.
Технология отказа от сообщений с DSL-блоков станет повсеместной. По прогнозам, эпоха такого спама закончится в 2006-2007 году.
Использование вирусами smtp провайдеров, настроенных пользователями, скорее всего, приведёт, в свою очередь, к ужесточению политики провайдеров на отправку сообщений пользователями. Возможно, провайдеры примут решение на установку контентной фильтрации, так как в случае бездействия они рискуют оказаться в чёрных списках большинства систем, что вряд ли обрадует пользователей.
Дальнейшее развитие спам-бизнеса может закончиться как угодно. Вплоть до того, что в какой-то момент будет принято решение об оплате каждого электронного сообщения (на манер марок бумажной почты) или введения ценза на почтовую переписку с тотальным её контролем. Вполне возможно, что это окажется закатом электронной почты, как основного средства коммуникации в интернете. Есть ещё и другие факторы, такие как криминализация и политизация спам-индустрии и перевешивание криминальной части спама по сравнению с его рекламной составляющей.
При подготовке статьи использованы материалы с конференции «Проблемы спама и её решения».
akeeperКоршунов Алексей.
Впервые опубликовано в журнале «Системный администратор».
Hint: Сразу хочу оговориться, что статья не «вчерашняя», так что, пожалуйста, делайте скидку на прошедшее время. :)
Если допустить лёгкий налёт романтики, то можно смело утверждать – борьба со спамом давно приобрела характер известного противостояния «меча и щита». По одну сторону баррикад находятся спамеры, занимающиеся постоянным сбором почтовых адресов пользователей интернета, изобретением и модификацией технологий отправки спама, а так же обхода средств его блокирования. По другую сторону находятся все остальные пользователи электронной почты:
• Это простые пользователи, которые ежедневно удаляют из своих ящиков от единиц до сотен спам-сообщений, а более тесно «дружащие» с программным обеспечением обучают персональные почтовые программы по возможности распознавать и удалять сообщения (как вариант, маркировать специальным образом или изолировать в специально отведённом месте), содержащие мусор.
• Это системные администраторы компаний, устанавливающие и обучающие специальные антиспам-фильтры для уменьшения потока нежелательной корреспонденции.
• Это компании и корпорации, тратящие немалые средства на покупку, внедрение и модификацию антиспам-технологий.
• Это компании — разработчики различного программного обеспечения, позволяющего в какой-то мере сократить миллионы ежедневных сообщений, которые попадают в почтовые ящики пользователей.
История развития спамерских технологий.
Родоначальницей спама можно считать рассылку 2 мая 1978 года, когда было разослано 600 спам сообщений для приглашения на презентацию DEC. С этого дня можно начинать отсчёт века спам-сообщений. 12 апреля 1994 года Лоренс Кантер и Марта Сигель впервые использовали специальное программное обеспечение для рассылки спама в конференциях USENET. Первый спамер (по крайней мере, известный) из наших соотечественников — это Михаил Армалинский.
В наше время, по информации спам-аналитиков лаборатории Касперского на 2005 год, спам составляет 70-80% от общего объёма почтового трафика (речь идёт о «поштучном» исчислении) спамерских, а это значит, что на каждые 2-3 обычных письма приходится 7-8. Точной цифры по ежедневному количеству рассылаемого спама, по понятным причинам, быть не может. Но цифры, озвучиваемые различными источниками, внушают опасение за будущее электронной корреспондеции, так как любая крупная компания, работающая с почтой, находится под угрозой быть просто погребённой под невообразимым количеством почтового мусора.
История развития спамерских технологий.
Среда передачи.
Технологии рассылки спам-сообщений развивались достаточно бурно. Началось всё с обычной прямой отправки респондентам, указанным в поле CC и BCC. Однако этот метод быстро ушёл в историю в виду своей неэффектичности.
Следующим шагом стало использование модемных пулов провайдеров. Каждому пользователю интернета известна система – по бесплатному гостевому доступу на сайт провайдера зарегестрировал учетную запись, оплатил его и пожалуйста — можно приступать к отправке сколь угодно большого количества спама. Разумеется, среда передачи данных сильно ограничивала возможности такого метода, однако на тот период времени этого уже было более чем достаточно для заметного всплеска нежелательной корреспонденции в ящиках пользователей. Количество времени, требуемое на написание жалобы и рассмотрение её провайдером, было достаточно велико. А ведь далеко не каждый, получивший спам, станет озадачиваться выявлением источника спама и обращением к службе технической поддержки провайдера, «прикормившего» мерзавца. Таким образом, у спамера было предостаточно времени для осуществления своих намерений. Да и реакция со стороны провайдера в виде блокирования аккаунта не являлась проблемой. Ведь никто не мешал заново пройти всю цепочку, описанную выше, для повторного получения доступа через этого же провайдера или, на крайний случай, другого. Эта проблема была, отчасти, решена службами провайдеров с помощью установки АОН (автоматических определителей номеров) на оборудовании, обслуживающем абонентов. А отчасти, с помощью введения некоторых ограничений на отправку сообщений пользователями.
Большой проблемой на тот период времени являлось наличие огромного количества открытых для бесконтрольной пересылки почтовых серверов (так называемых open relay), позволяющих любому желающему отправлять через себя сколь угодно много корреспонденции по абсолютно любым адресам. Эта проблема возникла из-за того, что изначально, до 90-х годов, практически все сервера были «открытыми». Они позволяли передавать почтовые сообщения на другие сервера без ограничений на отправителя. Эта проблема была решена модификацией программного обеспечения почтовых серверов интернета. Однако, как показывает сухая статистика, даже в наше время количество Open Relay серверов исчисляется тысячами. Причин для этого множество – некорректные настройки, а так же несовершенство используемого программного обеспечения. Да-да, как это ни удивительно, некоторые почтовые сервера по сей день используют сервисы, просто не обученные средствам предотвращения использования их, как дойных коров. Поэтому основным средством борьбы, в итоге, стало использование rbl-списков (Realtime Blackhole List ), содержащих перечень выявленых уязвимых серверов. Некоторым спискам, которые призваны вести учёт таких серверов, известно более 225 тысяч уязвимых систем (из них более 2500 находятся в России). Но в наше время такая цифра уже не считается огромной и составляет всего лишь 0.65% хостов-отправителей спама (по информации mail.ru).
В недалёком прошлом при использовании общеизвестных и доступных rbl-списков (некоторые из наиболее популярных указаны на сайте rbls.org) возникали проблемы с хождением почты. Сейчас крупнейшие почтовые системы (такие как mail.ru) используют собственные rbl списки, что даёт им возможность больше не оглядываться на держателей какого-нибудь сервиса. Разумеется, есть и те, кто по сей день предпочитают общедоступные ресурсы, ведь можно выбрать тот, который наиболее вам подходит (например, только список содержащий пространства модемных пулов провайдеров). Проблемы прохождения почты были обусловлены тем, что разные почтовые системы могли использовать не идентичные списки «чёрных адресов», хотя для возможного отказа в доставке, разумеется, хватало примения этого метода только на системе-получателе. Другими словами, две почтовые системы могли оказаться в роли своеобразных пейджеров, когда почта от пользователей системы А доходит до системы Б, а вот в обратную сторону уже нет. Так как система Б находится в каком-нибудь чёрном списке, по которому проверяет отправителей система А. Причем причин, по которым система Б могла оказаться в сколь угодно большом количестве чёрных списков, было не мало. Начиная от жалобы одного из пользователей сервиса rbl, заканчивая проверкой самим сервисом на Open Relay серверов, попадающих в сканируемый диапазон ip адресов. То есть примерно по тому же принципу, как сканируют сеть поисковые системы. В некоторых случаях на исключение легальной системы из чёрного списка могло уйти от нескольких дней до месяцев. Известны так же случаи, когда администрацией какого-либо сервиса rbl заносились в базу «чёрных» вполне легальные сервера, а за исключение просили некоторую плату.
После всех мытарств и приключений с rbl-сервисами, очень многие администраторы почтовых системы были вынуждены отключить использование rbl в своих системах. Пользователи были сильно недовольны «гаданием», дошла ли их корреспонденция до получателей или нет, так как далеко не все способны понять ответ сервера-получателя об отказе доставки. Да и что таить, мало кто вообще на отчёты серверов обращал внимания. Зачастую такие письма удалялись без предварительного прочтения, а уже спустя продолжительное время, когда становилось известно, что получатель письма не получил – начинались «разборы полётов». В результате чего и выяснялось, что пользователь получил некий отчёт, но не обратил на него внимания. После этого системные администраторы уже начинали выяснять причину и связываться с администраторами нужной почтовой системы для урегулирование вопроса прохождения почты. Полагаю, системные администраторы отказывались от этого (ставшего уже популярным) метода фильтрации с лёгким сердцем, так как это значительно проще, чем каждый раз вести переговоры с другими сисадминами о проблемах прохождения почты через их системы. К слову сказать, именно в тот период времени, как мне кажется, в головах многих руководителей осело неверное представление о борьбе со спамом. Среди многих известных мне руководителей популярно мнение, что фильтрация спама ведёт к потере важной корреспонденции. К примеру, в одной из компаний, где я когда-то работал, мне так и не удалось уговорить начальство использовать фильтрацию спама (всего лишь маркируя поле темы сообщения меткой «SPAM») несмотря на то, что количество ежедневной нежелательной корреспонденции, получаемой сотрудниками, превышало средне-месячный трафик легальной почты (трафик был установлен посредством анализа лог-файла почтовой системы). А в другой компании мне пришлось сразу же после трудоустройства выключить систему фильтрации, так как менеджеры буквально объявили забастовку из-за постоянной потери почты, в которой они обвиняли спам-оборону компании (реальная причина потерь оказалась значительно прозаичнее и не имела никакого отношения к фильтрам).
Когда вышеназванные средства стали не столь эффективны, как того хотелось бы спамерам, они нашли новое средство. Использование собственных серверов. Они покупали сервера, размещали их на площадке провайдера и занимались рассылками, используя немалую мощь оборудования телекоммуникационных компаний. Количество времени, которое отводилось спамерам для их деятельности, исчислялось лишь тем, сколько согласны были закрывать глаза на деятельность своих хостеров службы провайдера. Всё упиралось в те же жалобы от пользователей, пострадавших от действий спамеров. Но и количество спама, который был отправлен – весьма и весьма велико. Да и перенос сервера на другую площадку не составлял большой трудности. После чего можно было снова заниматься рассылкой. Однако ужесточение политики предоставления хостинга провайдерами, а так же использование всё тех же rbl-листов привело к плавному уходу от такого способа рассылки спама.
Использование ворованных арендованых серверов оказалось гораздо более выгодным средством для спамеров. Добытые различными средствами (нелегальными, как правило, например, методами социального инжиниринга) учётные записи владельцев легальных ресурсов давали возможность весьма продолжительного по времени использования их сервера для чёрных замыслом спамеров. Количество времени, которое требовалось для «прикрывания лавочки», могло исчисляться днями или годами. Это зависело исключительно от методов использования данного сервера — однократные рассылки с большими перерывами между ними, или многократные отправки из рассчёта максимум сейчас, а потом — смена хоста. В первом случае хозяин ресурса мог очень долго находиться в неведении, да и провайдер не всегда реагирует на первую же появившуюся претензию.
Логичным продолжением использования «ворованных» серверов стали сети «зомби-компьютеров». Бурное развитие вирусных технологий и их сращивание с технологиями спамеров породило обширнейшие возможности. Компьютер пользователя инфицируется, после чего устанавливает соединение с irc-сервом и входит в специальную «комнату» (невидимую в общих списках и защищённую паролем), созданную программным обеспечением автора вируса. Таким образом «владелец» компьютеров-зомби мог видеть количество инфицированных машин и, соответственно, управлять ими, отдавая команды. В том числе на обновление вирусного кода. В среде спамеров даже есть место конкуренции – когда один вирус находит своего «коллегу», он пытается его блокировать и перевести управление компьютером на себя. Компьютеры пользователей превратились в театры военных действий за ресурсы незащищённых систем. Интересно, что для организации канала общения вирусов используются общедоступные ресурсы. Владельцы Irc-серверов по мере возможности (читай, обнаружения) пытаются удалить эти «комнаты», однако, миграция на другой сервер в новую комнату не занимает большого количества времени. Более того, в некоторых случаях Irc сервер может быть создан даже на отдельно взятой инфицированной машине. Решением такой проблемы может стать обычный персональный файрвол, установленный на машине пользователя, блокирующий любые несанкционированные соединения с внешним миром. Однако, всем нам известно, что до картины полного «файрволинга» всех компьютеров, находящихся в всемирной сети, ещё очень далеко. Ситуация усугубляется активным внедрением высокоскоростного доступа и постоянного соединения с всемирной сетью, что, в свою очередь, играет на руку злоумышленникам.
Последним, на что хотелось бы обратить внимание, является социальный инжиниринг. Сюда входят всевозможные «письма счастья» и прочая корреспонденция, автор которой сможет убедить получателя переслать данное письмо другим. Их отличительная особенность – небольшой размер первоначальной рассылки. Массовость достигается посредством усилий самих получаетелей, которые «покупаются» на предложение отправить письмо по всей адресной книге (или, как вариант, по всему контакт листу IM-пейджера). Ярким примером может служить поиск родителей нашедшегося в Тайланде мальчика в январе этого года. Бороться с этим видом спама техническими средствами практически невозможно. Кто из нас не получал письма с различными вложениями от знакомых? Да и жалуются на спам от знакомых пользователи гораздо менее охотно.
Содержимое спама.
Помимо развития среды передачи, менялось и само содержимое сообщений. Эту мутацию естественным образом породили технологии борьбы со спамом. В то время, как фильтры обучались распознавать всё больше видов спам-сообщений, спамеры придумывали всё больше новых ухищрений, для того, чтобы эти фильтры обойти.
Менялось содержимое письма:
• Включения адреса получателя в текст сообщения.
• Случайные последовательности. (Помните сообщения в виде «Hhiiii dduuuddee. Do y.ou ne.e.d sommmmeeeething?»)
• Фрагменты литературных произведений, анекдоты. Включение части стихотворения после прайса или рекламы сбивает фильтры с толку.
• Вариативность частей письма (содержимое «полезной» части письма и мусора, для одурачивания фильтров, могло меняться многократно).
• Изменения текста письма по ходу рассылки, обратная связь. Перед началом рассылки спама он проверялся на популярных системах. Если системы принимали письмо как нормальное, начиналась рассылка. Если нет – производилась модификация тела сообщения, пока сервера не принимали его.
Некоторые изменения в текстах сообщений привели даже к тому, что появилась некая новая форма языка (как в пункте два), которую многие даже понимают. Почему я делаю такой вывод? Ну обращаются же люди в компании, которые рекламируют таким образом.
Не стоит забывать и спам, возникающий из-за неидеальных почтовых серверов. Имеются в виду различные отчёты. Как пример можно привести настоящий бум отчётов от антивирусов о найденном в теле письма вирусе. Разумеется, речь идёт о тех случаях, когда поле отправителя является поддельным и пользователь получает отчёты о письмах, которые в действительности не отправлял. Сюда же относятся многочисленные автоматически генерируемые отчёты о невозможности доставки сообщения получателю. Ситуация та же – поле отправителя подделано. К этому можно относиться, как к необходимой отладочной информации, если вы работаете системным администратором или являетесь продвинутым пользователем. Или же как к неизбежному, но от того не менее надоедливому «техническому» спаму, если вы руководитель или менеджер, почта которого «пестрит» отчётами о письмах, которых он не отправлял.
Менялось и оформление спам-письма:
• Близкие по начертанию, но разные символы. Например, буква «А» в русской и английской раскладке.
• Невидимый текст в HTML.
• Картинки, зашумление картинок. Если сначала фильтры научились по подсчитанной сумме выявлять одинаковые сообщения, то внесение невидимых глазу незначительных изменений избавляет от этой «проблемы».
• Подделка технической части письма. Думаю, каждый хоть раз в жизни видел отчёт от spamassassin'а в виде «forged outlook header».
Противостояние спамеров и антиспамерских технологий порождает всё больше новых ухищрений со стороны первых. Однако, судя по информации от спам-аналитиков лаборатории Касперского и других источников, 2005 год не дал новаторских технологий спамерам. По-видимому, их вполне устраивает имеющийся на данный момент результат.
Фишинг.
Говоря о спаме, невозможно пройти мимо такого явления, как фишинг. Фишинг – это мошеннические рассылки («нигерийские письма», поддельные извещения о выигрыше и т.д.). Дословно фишинг можно перевести как «ловля на удочку». Как правило, такие письма призывают совершить какое-то действие (например, пройти по ссылке или просто заплатить деньги), но не за нечто реальное, как в случае рекламного спама, а за нечто несуществующее.
Целью фишинг-рассылок являются персональные данные пользователя (логины, пароли, пин-коды, номера кредитных карт и тому подобное). В дальнейшем, как не сложно догадаться, эти данные используются злоумышленниками для получения возможной наживы. Как правило, фишинговые письма весьма талантливо иммитируют настоящие сообщения реально существующих организаций. Наиболее часто они пародируют различные платёжные системы (ebay, paypal). В таких письмах содержится ссылка, пройдя по которой, потенциальная жертва попадает на поддельную страницу, специально изготовленную мошенником. Страница выглядит как реально существующая на сайте компании, от имени которой было отправлено письмо. На фальшивом сайте под тем или иным предлогом жертве предлагается ввести свои личные данные для авторизации. Как итог – личная информация посетителя попадает в базы мошенников.
Если верить статистике из разных источников, фишинг пока что не является чрезмерно опасным явлением. На данный момент даже «писем счастья» пользователям приходит значительно больше, чем фишинговых сообщений. Однако, наиболее вероятно, что такое положение дел временное. Индустрия фишинга в России ещё не доросла до таких «поставленных на рельсы» механизмов, как реальный спам. Сейчас энтузиасты только обкатывают новые технологии на рунетовских пользователях. Но, по прогнозам mail.ru, уже к 2006-2007 году доля такого спама окажется на уровне, соизмеримом с уровнем рекламного спама. Не стоит забывать и о том, что каждое фишинговое письмо потенциально способно причинить в сотни раз больший ущерб (в случае успешного «облапошивания» получателя), чем тысячи сообщений обычного рекламного спама. Если потери от чтения рекламы можно свести к трафику и затратам времени на его отсеивание, то потери от фишинга могут быть поистине фатальными для финансового положения «попавшегося» пользователя. К сожалению, есть достаточно много факторов, затрудняющих борьбу с фишингом, то есть при одинаковом допустимом проценте ложных срабатываний любая современная антиспам-система пропустит меньше рекламных сообщений, чем фишинговых.
Историю фишинга, скорее всего, следует начинать с середины 90-ых годов. Тогда в компании AOL были сильно распространены сообщения, подписанные якобы администрацией. В этих сообщениях предлагали (объясняя это разными причинами) прислать пароль от своего аккаунта, который, в противном случае, угрожали закрыть.
Разумеется, со временем до пользователей довели информацию, что пароли в письмах не запрашиваются и не отсылаются, поэтому эффективность этого метода стала стремиться к нулю. Однако, новая уловка мошенников не заставила себя долго ждать. Немного изменив содержимое писем, они стали сообщать о каком-либо событии на сервере (например, PayPal), требующем от пользователя некой реакции. В теле сообщения была ссылка, которая, как уже было сказано выше, вела на поддельную страницу легального сайта. Где ничего не подозревающие пользователи и оставляли свои персональные данные, так как мало кто привык смотреть в адресную строку браузера. (Я лично несколько раз наблюдал, что у некоторых пользователей адресная строка вообще скрыта. На мой вопрос, как они работают был дан гениальный ответ – я сам(а) ничего не набираю, только ссылки открываю.) На этом возможные злоключения пользователей могли не закончиться, потому что на поддельной странице мог оказаться троян, который в последствии «высасывал» из компьютера все пароли и учётные записи. Последствия представить не составляет труда.
Однако, время шло, пользователи стали больше внимания уделять тому, на чьём сайте они находятся и вводят персональные данные. Тогда злоумышленники проделали путь от бесплатного хостинга (вида paypal.narod.ru) до ухищрений с адресной строкой. Например, url вида www.paypal.com@somesite.com. На руку злодеям играли и уязвимости наиболее популярного браузера (Internet Explorer). Так, например, одна из его версий позволяла скрыть весь адрес после «собаки». Догадаться о подмене в таком случае становилось значительно сложнее и, зачастую, слишком поздно. В наше время такая адресация запрещена в IE и вызывает специальное предупреждение в Mozilla Firefox.
К сожалению, даже в наше время в России работают старые уловки 90-х годов. Например, зарегестрировав почтовый адрес mail.ru.admin@mail.ru и разослав пару сотен сообщений с предложением «активации почтового ящика», всё ещё можно получить несколько ответов с персональными данными пользователей. А ведь контроль над почтой даёт весьма обширные возможности по извлечению с его помощью и других учётных записей (например, через различные службы напоминания забытых паролей). Разумеется, это сработает только если украдена учётная информация основного ящика пользователя.
Возможные варианты фишинга ограничиваются только фантазией злоумышленника и невнимательностью пользователей. Простор огромный, а уровень компьютерной грамотности всё ещё оставляет желать лучшего.
Одной из популярных схем мощенничества были так называемые «нигерийские письма». Своё название они получили по первому зарегестрированному случаю в Нигерии. Суть их сводится к тому, что якобы некий высокопоставленный чиновник (видный деятель, актёр, криминальный деятель) сумел сделать себе немалое состояние, но теперь стоит перед проблемой вывоза капитала из страны. Для отмывания денег (разумеется, за большие комиссионные) ему нужен банковский счёт какого-нибудь «лопуха». Как вы можете догадаться, если «лопух» выдавал учётную запись «богачу», то свои средства с этого счёта он уже больше никогда не видел.
В России в роли «нигирейских чиновников» выступают члены правления ЮКОСа, Ходорковский и прочие не менее популярные (и богатые) личности. К сожалению, как показывает практика, доверчивые и жадные до халявы находятся.
Последним писком моды у спамеров являются мошеннические «письма счастья». Самым ярким примером такого спама была недавняя эпидемия Golden Stream. Наверное, все видели письмо, которое начиналось со слов «Это НЕ спам, а действительно выгодное предложение...». В последующем тексте объяснялась простейшая пирамидальная схема – вам предлагалось заплатить 100 рублей автору письма, а потом переслать это письмо дальше, получив от каждого получателя по 100 рублей. Как итог, обещалось полное счастье и всеобщее обогащение. Особенностью рассылки является прямое вымогание денег и эффективность пробивания фильтров «письмами счастья». К слову сказать, рассылка «писем счастья» не избежала и систем мгновенного обмена сообщениями типа icq. Часто можно встретить сообщения вида «Привет. UIN такой-то рассылает вирусы! Не добавляй его в контакт лист и сообщи всем своим знакомым!!!» Как показывает практика, остаётся добавить в тело сообщения ссылку с текстом вроде «На всякий случай, лекарство от вируса находится здесь URL.» и пожалуйста – готова почва для весьма обширного инфицирования. Разумеется, не все откликнутся на такие сообщения, но учитывая широкие контакт-листы современного пользователя интернета – и 10% отреагировавших хватит для начала эпидемии.
Развитие антиспамерских технологий.
Разумеется, в то время, когда спамеры придумывали всё новые и новые возможности обмануть пользователей и программные фильтры почтовых систем, антиспамеры так же не сидели без дела. Был пройден значительный путь от банального ограничения бесконтрольной пересылки почты через любой сервер до установки хитрых систем анализа и фильтрации контента сообщений.
Современные системы борьбы со спамом используют комплексные инструменты для отсева спама без ущерба для нормальной почты. Это и занесение в чёрные списки сетей, в которых, как заведомо известно, не могут находиться легальные почтовые сервера (например, dial-up и dsl диапазоны ip адресов провайдеров), и bayes-технологии, и белые списки, работающие по принципу повтора почтовых адресов. Считается, что если письмо приходит с адреса, находящегося в адресной книге получателя или адреса, на который получатель сам отправил несколько писем – оно не может быть спамом. И прочие новые технологии, появляющиеся, если и не каждый месяц, то каждые полгода-год точно. Во всяком случае, их преподносят как новые.
Но не на все ухищрения можно найти технологическую управу. Если те же «нигерийские письма» можно фильтровать известными средствами с весьма большим успехом (применяя весь арсенал – от чёрных списков, лингвистического анализа до сравнения с известными образцами), получая на выходе хороший процент отсева. То с «письмами счастья» всё далеко не так просто. Те же самые белые списки, о которых говорится выше, начинают играть «против» антиспамовых систем. Причины, думаю, понятны. Проблемы возникают от сугубо технических до морально-этических. Например, нельзя поместить в чёрный список адрес отправителя, переславшего письмо счастья только на этом основании, ведь он и нормальную корреспонденцию пишет. В таких случаях помогает только активное проведение ликбеза, но кто же будет этим заниматься? В пределах одной организации это может быть и реально, а в пределах mail.ru, yandex.ru, gmail.com?
У разных антиспам-систем разный подход и свои технические решения, но их описание заняло был ещё несколько полос и выходит за рамки статьи.
Состояние спама на 2005 год.
По информации спам-аналитиков лаборатории Касперского 2005 год принёс стабилизацию спама по части объёмов рассылок и доходов, получаемых от спам-рекламы. Однако, наращивание темпа всё же составляет 5-6% в год. Стабилизация объёмов спама обусловлена близостью к границе, за которой целесообразность использования электронной почты как средства коммуникации находится под сомнением. Всё чаще отправителю сообщения приходится уведомлять получателя о факте отправки или же контролировать процесс доставки сообщения, так как выкинуть нужное письмо, затерявшееся в полусотне спам-сообщений, не составляет труда.
Экономическая эффективность электронной почты снижается, поскольку спам наносит существенный ущерб пользователям почты. Легко представить работника, получающего почту без предварительной её фильтрации и тратящего на её просмотр половину рабочего дня. А это означает снижение производительности сотрудника и убытки для работодателя. Не говоря уже о том, что, учитывая стоимость трафика в регионах, некоторые компании вынуждены терпеть большие финансовые потери из-за бесполезного по сути трафика, генерируемого спам-сообщениями.
На конференции «Проблема спама и её решения» основными тенденциями спама за 2005 год были названы:
• Стабилизация количества и тематик спама.
• Тематическое и техническое разделение спама на разные геозоны интернета. (рунет и «западный» интернет).
• Криминализация спама.
• Использование спама как инструмента информационных и политических войн.
Лидерами спамерских рассылок в этом году стали:
• Приглашения на семинары и курсы (14%).
• Предложения «для взрослых» (12%).
• Компьютерное мошенничество (11%).
• Предложение лекарственных препаратов (9%).
• Дешёвый софт (7%).
В 2005 году наметилось явное разграничение спама для западных получателей и русскоязычных. Спам для русских эволюционировал от прямого подражания западным «коллегам» и приспособился к рунету. Спамеры начали активно предлагать услуги по недвижимости, полиграфическую продукцию и услуги, крупную бытовую технику, различные другие услуги (например, услуги грузчиков). В западном спаме таких предложений практически нет, так как они не находят отклика у аудитории.
Настораживает явная криминализация спама. Всё больше и больше мошеннических предложений попадает в ящики пользователей. Наиболее известные и обсуждаемые сейчас виды – фишинг и фарминг. (Суть фарминга сводится к автоматическому перенаправлению пользователей на фальшивые сайты. В отличие от фишинга новый метод хищения данных почти не требует участия потенциальной жертвы.) Очевидно, что спам как бизнес криминализируется. Об этом говорит и слияние спамерских и хакерских технологий. Современное программное обеспечение спамера включает в себя специальные модули, позволяющие производить рассылки через инфицированные троянами машины пользователей, то есть изначально рассчитано на взаимодействие с троянской частью.
За последние два года мы имели возможноть убедиться, что спам превращается в мощное оружие политических игр и инструмент влияния на общественное сознание. По «зоне покрытия» и эффективности спам вполне сопоставим с телевизионной рекламой, однако, значительно дешевле обходится. Разумеется, при условии, что подобный спам обошёл анти-спам фильтры. Агитационные листовки больше не ограничены своими бумажными носителями и мигрировали в мир цифровой.
В 2005 году лабораторией Касперского был зафиксирован новый тип «политического» спама. Речь идёт о спамерских кампаниях, направленных на формирование необходимого общественного мнения по вопросам внутренней политики государства. Эти спам-атаки отличает хорошая спланированность. Примером такой информационной кампании может служить спам с ссылками на небезызсвестный сайт «Кавказ-центр», который российские спец-службы нередко называют рупором мирового терроризма.
Прогнозы на будущее.
В 2006 году ожидается, в первую очередь, последующее увеличение количества спама. Спамеры, скорее всего, станут умнее. Так как сейчас происходит повсеместный отказ почтовых серверов от принятия почты с DSL-пулов провайдеров, то и использование зомби-машин для отсылки сообщений напрямую на сервера станет неэффективным. Вместо этого, наиболее вероятно, начнут использоваться smtp провадейров, настроенных пользователями инфицированных машин.
Ожидается и увеличение доли «ручного» спама за счёт растущей популярности фишинга и за счёт использования тех же технологий «писем счастья» в рекламном спаме. «Ручной» спам получил своё название от способа его отправки «вручную» без использования специализированного спамерского программного обеспечения.
Технология отказа от сообщений с DSL-блоков станет повсеместной. По прогнозам, эпоха такого спама закончится в 2006-2007 году.
Использование вирусами smtp провайдеров, настроенных пользователями, скорее всего, приведёт, в свою очередь, к ужесточению политики провайдеров на отправку сообщений пользователями. Возможно, провайдеры примут решение на установку контентной фильтрации, так как в случае бездействия они рискуют оказаться в чёрных списках большинства систем, что вряд ли обрадует пользователей.
Дальнейшее развитие спам-бизнеса может закончиться как угодно. Вплоть до того, что в какой-то момент будет принято решение об оплате каждого электронного сообщения (на манер марок бумажной почты) или введения ценза на почтовую переписку с тотальным её контролем. Вполне возможно, что это окажется закатом электронной почты, как основного средства коммуникации в интернете. Есть ещё и другие факторы, такие как криминализация и политизация спам-индустрии и перевешивание криминальной части спама по сравнению с его рекламной составляющей.
При подготовке статьи использованы материалы с конференции «Проблемы спама и её решения».
akeeperКоршунов Алексей.
Впервые опубликовано в журнале «Системный администратор».
