Спам и антиспам

Спамеры написали простенький PHP-скрипт, который предназначен для автоматического сбора адресов электронной почты, упомянутых в твиттере. Особенность метода в том, что он работает практически в реальном времени (берёт результаты из поиска Twitter по мере его обновления). Как только юзер указал в твиттере свой адрес — уже через минуту к нему приходит свеженький спам.

Как показывает практика, каждую минуту вполне реально собирать несколько десятков новых адресов.

Целью данного тестирования было оценить эффективность работы различных антиспам систем. Для тестирования были выбраны следующие продукты:
• Apache Spamassassin — SA(свободный)
• Yandex Spamooborona 2.3 — SO(коммерческий)
• Kaspersky Antispam 3.0 — KAS(коммерческий)
• FastBL 0.7.0 (свободный)
• dnsbl списки:
bl.spamcop.net
cbl.abuseat.org
dnsbl.sorbs.net
dul.nsbl.sorbs.net
dul.ru
sbl-xbl.spamhaus.org
zen.spamhaus.org

Во второй половине марта, по статистике Google/Postini, спамеры полностью восстановили объёмы мусорных рассылок и вернулись к тому уровню, какой был до закрытия McColo в ноябре 2008 года. Эту компанию называли главным спамерским хостингом мира, через сервера на нём управлялось до 75% всех зомби-ПК в интернете. Когда 13 ноября его блокировали, то количество мусора в Сети резко снизилось примерно в два-три раза. Впрочем, подавить спамеров не так легко. Уже через две недели они восстановили контроль над ботнетами (через другие хостинги). А сейчас, как показывает статистика, полностью восстановили утраченные позиции.

Доля мусора в мировом почтовом трафике вернулась на ноябрьский уровень 94%. Абсолютное количество спама сейчас растёт в среднем на 1,2% в день.

Как сообщается в отчёте, новые спамерские ботнеты стали более устойчивыми к потере контроля, а спамерские атаки становятся всё изощрённее. Например, набирает популярность «географический» спам, когда жертву отправляют на сайт, а там проверяют её IP-адрес и соответствующим образом модифицируют контент сайта (например, сообщают о катастрофе или бедствии возле города жертвы).

На диаграмме показано среднее количество заблокированных спамерских сообщений на одного юзера Gmail, в сутки.

На днях получил занятное сообщение по каналам известной социальной сети В Контакет:

«Борис привет, слушай, надоело от тебя спам получать! вот vkontakte.defenceofspam.ru пройди антиспам проверку»

Как вы догадались, vkontakte.defenceofspam.ru — это классическая фишинг-ссылка, цель которой стырять ваши логин с паролем.



А само сообщение построено неплохо, согласитесь. Сразу становится даже обидно на такое обвинение: я — спамер?!!! Эх… Эту бы креативность да на что-нибудь благое.

Вообще, спам потихоньку начинает сам в себе утопать. На пример, существенная часть вредоносных сообщений В Контакте направлена на то, чтобы завладеть твоим аккаунтом, то есть сделать его орудием спамера, а не на рекламу какого-либо товара или сервиса.

И это нормально. Использование спама в качестве рекламного инструмента особенно сейчас очень сложно понять. Есть огромная масса сервисов недорогой контекстной рекламы, к которой намного больше доверия, чем к непонятному письму, свалившемуся в папку «сомнительные». Да и таргетинг на порядки выше. Или например сео-оптимизация.

Единственной незабвенной для спамеров нишей остается, конечно, порнография. Чтож, незоконную вещь можно явно рекламировать только незаконным способом. Туда им и дорога :)

Сейчас в аську пришло сообщение от пользователя с именем «1» _{ничего не напоминает?} (именем, а не UIN`ом, конечно)

Уважаемый пользователь, в связи со сменой протоколов, Вам требуется подтвердить ваш UIN посредством его активации по SMS.
В противном случае Ваша учетная запись будет заблокирована в течении 48 часов.
Для активации номера отправьте текст сообщения «WAP ICQ2009» (без кавычек) на номер 8055 Если Вы из России или 5012 если вы из Украины. Сообщение не тарифицируется.
С уважением, Служба поддержки AOL (ICQ inc)

Находчивые мошенники уловили трэнды последнего времени. Будте осторожны, а главное (т.к. вряд ли Вы сами в это поверите) — предупредите друзей, которые могут в это поверить.

В наше время вредоносное ПО распространяется не только электронными методами. Довольно интересную двухуровневую атаку на днях задокументировали специалисты SANS.

На одной из парковок в Северной Дакоте на ветровые стёкла автомобилей прикреплялись листочки с уведомлением о некоем нарушении, а за более подробной информацией нужно было идти по URL, указанному в тексте. По этому адресу пользователю показывают несколько снимков и предлагают скачать «программу для просмотра фотографий автомобиля в момент нарушения». Под видом этой программы на ПК устанавливается malware.

Эксперты комментируют, что злоумышленникам удаётся находить всё более креативные способы распространения вредоносных программ. Смешивание реального и вирутального миров — один из вариантов.

Одновременно с этим злоумышленники становятся более уязвимыми, так как их легче обнаружить: можно буквально поймать за руку на улице.

via Exploits and Attacks

Ещё до Нового года на некоторые из моих почтовых ящиков начал приходить спам с заголовками вида «Orgiya na katere», «Glubokie rotiki», «Сексапильная сладкоежка отсасывает», «Горячая брюнеточка ищет приключений» и т.д. Хоть отправитель, тема, да и другие заголовки сообщений каждый раз разные, видно, что отсылает один и тот же бот. Тело сообщения содержит одно предложение такого же вида как тема и ссылку на *.narod.ru. Ссылка каждый раз новая. При переходе по ссылке происходит редирект на порнушный сайт. Сайт, вроде бы, один и тот же, а писем таких получаю уже по 20 штук в день. И, похоже, количество их растёт.

Удаляю пока вручную. Создать фильтр, который отсеивал бы автоматически такие письма по заголовкам без загрузки тела сообщения не получается. Загружать полностью весь мусор к себе тоже не хочется.

Написал в службу поддержки Яндекса. Описал ситуацию, указал ссылки. Ничего не ответили, но ссылки заблокировали. Ссылки из новых писем прекрасно работают. Быть санитаром леса и каждый день отсылать порцию ссылок я не хочу. Пишу сюда в надежде, что всё-таки кого-то на Народе заставят поднять зад и убрать хотя бы возможность вставлять в код страницы подобные вещи:



UPD: Всем спасибо. Понял, что с редиректами у Народа бороться не получится и ушёл настраивать фильтр на собственном почтовом сервере. even верно заметил, код для перенаправления можно легко сгененировать на лету с помощью JS. От себя добавлю, что java-скрипт может даже каждый раз выглядеть по разному, если его генерировать на другом сервере и потом уже подгружать на Народ. Отфильтровать такое будет невозможно.

Спамерские ботнеты живут своей жизнью, и это не аллегория. Они действительно похожи на организм животного. По крайней мере, если посмотреть на компьютерную модель, которую сгенерировали финские программисты из компании Clarified Networks. На видео запечатлена активность ботнетов за несколько часов.

Они взяли за основу сырые данные, собранные F-Secure в IRC-каналах ботнетов. Парсинг и обработка выполнены средствами Python и PyQt. Затем они сделали привязку IP-адресов к физическим адресам посредством GeoIP-базы Maximind, после чего наложили их на карту Visible Earth от НАСА. После этого понадобилось немного поиграть с цветами и яркостью, чтобы карта смотрелась более зрелищно. Результат превзошёл все ожидания.

В этой заметке есть две части:
1. Как странно иногда бывает (подробности блокирования блога из-за неправильного срабатывания антиспам скриптов на гугловом blogger.com),
2. Как спасти свой блог, если ничего не помогает (если чистый блок долгое время не разблокируют).

Итак, в чём проблема?
Обратившись к поисковым системам с вопросом «Если вы не запросите пересмотр, блог будет удален в течение 20 дней», можно убедиться, что очень многие когда-либо получали такое сообщение от системы автоматической блокировки подозрительных блогов. Смысл этого действия вполне понятен: большое количество плохих блогов блокируется, а маленькое количество хороших, которые случайно пострадали, будут в ручном режиме «отбелены». Если операторы работают быстро, то сложностей ни у кого не возникнет.

В декабре 2003 года Конгресс США после консультаций с технологическими компаниями принял закон CAN-SPAM, который должен быть положить конец такому отвратительному явлению как спам. Прошло пять лет. За это время объём спама вырос в десять раз, последний рекорд был поставлен в августе — 164 млрд сообщений. Мусор составляет 97% всего почтового трафика в интернете и наносит только американским провайдерам и компаниям ущерб в $42 млрд ежегодно.

По прошествии пяти лет кажется, что пресловутый закон, о котором нам уши прожужжали пять лет назад, не принёс практически никакой пользы. Мы не видим эффекта, кроме нескольких громких дел, когда спамеров удалось привлечь к криминальной ответственности.

Однако эксперты склоняются к мнению, что он принятие CAN-SPAM имело определённый смысл. Во-первых, на законодательном уровне было определено понятие спама. Во-вторых закон некоторые базовые стандарты нормального маркетинга и заставил маркетологов улучшить способы ведения бизнеса. Пять лет назад основную часть спама составляли коммерческие предложения, а сейчас их доля сократилась до скромных 17%, а весь остальной объём потребляют явные криминалы, рассылающие вредоносные ПО и ссылки на заразные сайты.

Мне сегодня пришло письмо с рекламой услуги от МТС. При том, что я пользуюсь другим оператором, такое явление насторожило. Найденный в заголовках IP отправителя принадлежал Чехии. Соответственно, было предупреждение о том, что отправитель не в SPF.
При ближайшем рассмотрении оказалось, что все ссылки в письме ведут не совсем туда, куда надо.

Хотел бы поделиться с тобой, дорогой хабрачитатель, небольшой историей. Начну издалека — с корней. Есть форум, форум достаточно посещаемый, причем не только целевой аудиторией, но и псевдосеошниками спамерами. Этот форум я администрирую и при просмотре новых тем потихонечку вычищаю его от спама и непременно баню авторов данных тем, так как надо наказывать хоть как то их. Не далее как вчера вечером стучится ко мне в ICQ якобы несправедливо забаненный пользователь. Из грозного послания в ICQ следовало:

1. Они поломают нафиг форум;
2. Приедут ко мне домой и даже, может быть, будут бить, причем ногами;
3. Они не спамеры, и писали нормальные посты, а мильён ссылок в одном пробеле — это вышло как-то случайно;
4. 30 топиков в минуту — это не результат деятельности бота, просто контора выходит в интернет из под NAT`а;

Еще было много смешных угроз. Все и не упомню, лишний раз жалею, что так и не сделал синхронизацию истории месседжеров на работе и дома.

После моего спокойного ответа и объяснения причин бана спамеры самоликидировались… и через 20 минут началась DDoS-атака, но это уже совсем другая история.

UPD: Вывод данной заметки: от говноспамера до уголовника — один шаг.
Спасибо хабрапользователям Novikov и fog

Всего две недели потребовалось владельцам спамерских ботнетов, чтобы восстановить контроль после закрытия хостинга McColo две недели назад. Эту компанию называли главным спамерским хостингом мира, через который управлялось до 75% мирового спама. Когда 13 ноября McColo закрыли, количество мусора в Сети резко снизилось примерно в два-три раза, даже в Рунете (о чём сообщала «Лаборатория Касперского»).

Однако, на сегодняшний день спамерам удалось полностью восстановить деятельность. Во вторник возобновил активность ботнет Srizbi. Как сообщается, злоумышленникам удалось перенести серверы для управления ботнетом на другой хостинг, теперь уже в Эстонии. Название фирмы-хостера пока не сообщается.

Дело в том, что спамеры были готовы к такому развитию событий. Специалисты, которые осуществили обратный инжиниринг троянов Srizbi, говорят, что в коде программы зашит алгоритм генерации новых доменных имён каждые три дня. Алгоритм нужен для тех случаев, если клиентская программа не может связаться с центром управления. Спамеры, разумеется, знают этот алгоритм и пытаются сразу зарегистрировать необходимые домены, через которые восстанавливают контакт с потерянными ботами.

Пришел давеча спам на почту, примерно следующего содержания (оригинал дома, доберусь — поменяю):

Соберем для Вас по сети интернет базу данных потенциальных клиентов для Вашего Бизнеса
......
С Уважением к Вам и Вашему Бизнесу
"Базы данных потенциальных клиентов для Вашего Бизнеса"
Телефон +79133913837
ICQ 62-888-62
WWW. 88862 .ru
SKYPE: prodawez
Email: 6288862@mail.ru

Из врожденной вредности написал им на мыло и в аську, с просьбой уточнить предложение. На мыло — тишина (что странно), в асе состоялся примерно такой разговор:

Приоткрою некоторые планы. Думаю сделать такую вещь, как дополнительные сервера у людей, которым блоггер доверяет. Чтобы можно было обмениваться белыми и черными списками.

Скажем, доверяю я блоггерам Васе и Пете. У нас общие интересы. Скажем, маркетинг. И я доверяю их выбору. Соответственно, я могу связаться с ними и узнать адреса, куда они экспортируют свои списки.

Несмотря сверхнизкую эффективность мусорных писем, спамерам удаётся как-то зарабатывать миллионы долларов. Изучением этого странного феномена занялись исследователи из Университета Калифорнии. Чтобы исследовать всю подноготную спамерского бизнеса, они запустили собственную спамерскую компанию и в течение месяца рассылали спам. Эксперимент показал, что из 12,5 млн разосланных спамерских писем только одно находит отклик у адресата.

В работе исследователи использовали часть крупнейшией сети ботнетов Storm, которая насчитывает более миллиона зомби-ПК (в основном, это заражённые домашние компьютеры пользователей). Учёные создали сеть прокси-ботов, через которые собирали информацию о рассылках. Реально в деле было задействовано 75 869 зомби-ПК.

Всего было запущено две рассылки. В рамках первой эмулировался типичный способ распространения вирусов через спам, а в другой пользователей приглашали зайти на поддельный сайт по продаже медицинских препаратов, повышающих либидо. Сайт был точной копией такого же, который реально рекламируется через ботнеты Storm, только через него ничего нельзя было реально купить: кнопка заказа возвращала сообщение об ошибке.

В общей сложности было разослано 469 млн спамерских сообщений.

Решил поведать историю, которая приключилась со мной и моим сайтом на этой неделе. Начну из далека — что бы было все понятно. В виду своей деятельности помимо основной работы и посильного наполнения контентом своего сайта, я еще администрирую неофициальный сайт поддержки одной CMS и его форум (какие писать не буду — хватит рекламы и так уже), и довольно часто случается так, что приходится банить пользователей за те или иные нарушения. Естественно недовольных очень много, этого следовало ожидать.

Ребята мстили по разному — угрозы, ddos- атаки и т.п… Но вчера в списке переходов на мой сайт появилось аномально большое количество переходов с форумов. Дабы выяснить причину, я решил посетить несколько из них. Оказалось все эти форумы были проспамлены… «рекламой» моего сайта. Текст опубликованных топиков я приводить не буду — здесь есть дети, не будем их травмировать. Если отбросить в сторону все амбиции, то что тут плохого скажете Вы? Однако как раз тут только вред — нецелевой трафик это самое безобидное что мне грозит, а как «высшая» мера наказания, на которую видимо и расчитывали спамеры — это море жалоб на спам в Яндекс, Гугл и т.п., и как следствие попадание в BL и выпадание из выдачи. Для моего сайта с посещаемостью чуть больше 300 уников в сутки это означало бы неминуемую гибель.

Пришлось срочно писать письма в службы поддержки Яндакса, Гугла и разъяснять сложившуюся ситуацию, списываться с Администраторами форумов, дабы удалить сообщения, и само собой на главной у себя большое объявление — Вас обманули!

P.S.: Вчера же пришло на почту письмо, его содержание говорило о том, что это и есть организатор этих спам- рассылок на форумы. После долгой переписки с употреблением таких слов о которых я и не знал раньше — пришли к следующему, цитирую:

Проблема защиты от спама емейлов, выложенных на сайте, уже наболевшая и давно затертая до дыр. Но я случайно нашел еще один способ борьбы.

Мне действительно нужно много спама!

Нет, я не сошел с ума. И сейчас вы все поймете.
Количество спама в нашей конторе, как и в большинстве других уже перевалило за грань разумного и руководство приказало бороться!
Антиспамов предлагают много и разных. Какой из них хороший, и какой будет работать как положено, как раз и предстоит выбрать.
Одна из особенностей внедрения в том, что работать антиспам будет на Exchange 2007. А это значит, что простого фильтра для SMTP-шлюза (как работает множество антиспамов) будет недостаточно. Почему? Оказалось, что Exchange 2007 игнорирует теги X-Spam-Status. Это показало внедрение Спамообороны-1024, единственного достойного антиспама, по моему мнению.

Сейчас довольно активно «раскручивается» сайт data-smerti.ru, всеми возможными и невозможными способами: начиная со спама на форумах и в аське, заканчивая скупкой копеечного трафика в сетях контекстной рекламы. На этом сайте (и его клонах на других доменах) предлагают пройти тест, в результате которого вы сможете узнать, сколько лет вам отведено на этом свете. Вы вдумчиво отвечаете на немалый список вполне адекватных вопросов (например, о вредных привычках и образе жизни), после чего вам предлагают отправить СМС на платный номер, чтобы узнать результат теста. Стоимость указана очень мелким текстом в середине длинного соглашения об использовании и составляет около 10$. Расчет идет на то, что, затратив минут 10 на прохождение теста, человек не захочет уходить без ответа и, потеряв бдительность, все-таки отошлет недешевую СМСку.