Thread-topic: Электронный журнал "Спамтест". Все о бор ьбе со спамом
> ________________________________
>
>
> Лаборатория Касперского <>
> Subscribe.ru <>
> Электронный журнал "Спамтест" No. 132
>
> Спам 2005: аналитический отчет
>
>
> Девиз года: СТАБИЛИЗАЦИЯ спам-индустрии
>
>
> Данные этого отчета можно без ограничений цитировать и
> использовать в публикациях, при условии указания его названия
> и ссылки на ЗАО "Лаборатория Касперского"
> <> .
>
> ________________________________
>
>
> 2005: стабилизация спам-индустрии
>
>
> Прошедший 2005 год продемонстрировал дальнейшее развитие
> тенденций, наметившихся в 2003 и 2004 годах. Наблюдался
> небольшой, хотя и уверенный рост доли спама в электронной
> почте (см. разделы "Количественная характеристика спама:
> стабилизация доли спама в почтовом трафике" и "Тематическая
> характеристика спама в 2005 году"). Речь идет именно о
> соотношении долей - в абсолютных значениях к концу 2005 года
> количество спама возросло в 1,5-2 раза по сравнению с
> аналогичным периодом 2004 года, но растет и количество
> нормальной почты, поэтому соотношение спам/нормальная почта
> остается практически неизменным.
>
> Продолжилась криминализация и "политизация" спама (подробнее
> см. разделы Криминализация спама и "Политизация" спама и
> превращение его в инструмент информационных войн).
>
> В 2005 году не было выявлено ни одного принципиально нового
> спамерского приема или методики рассылки. В основном спамеры
> идут по пути наращивания мощностей и развития зомби-сетей.
> Соответственно, рынок антиспамерского ПО также усиливает уже
> имеющиеся средства защиты, практически не предлагая
> принципиально новых решений.
>
> В целом это означает, что спам как бизнес определился со
> своей экономической нишей на рынке и уверенно занял ее.
> Основных игроков этого бизнеса ситуация экономически
> устраивает, даже при том условии, что им приходится смещать
> фокус деятельности с хорошо защищенных крупных корпоративных
> серверов на более мелкие и слабозащищенные.
>
> В количественном и содержательном плане тенденция к
> стабилизации также находит выражение:
>
> * в фиксации объемов спама в почтовых потоках на уровне
> от 60% (в трафике небольших организаций) до 85% и даже выше
> (на серверах почтовых служб);
> * в стабилизации количественного распределения спама по
> календарным месяцам, связанной с сезонными колебаниями этого рынка;
> * в закреплении списка тематических (содержательных)
> категорий спамерских сообщений: состав лидирующих категорий
> не меняется в течение последних трех лет;
> * в фиксации схемы "типовой спам-машины";
> * в определении этапов организации спам-рассылок
> (например, сбора и верификации баз электронных адресов для
> проведения рассылок) и превращении обслуживания и поддержки
> этих этапов в самостоятельный бизнес.
>
> Тем не менее, рынок спам-индустрии Рунета продемонстрировал и
> некоторые новинки. В содержательном плане это превращение
> эпизодических "политических" и информационных спамерских
> рассылок в инструмент пролонгированных и профессионально
> подготовленных политических и PR-кампаний. Политики и
> имидж-мейкеры осваивают спам как средство формирования
> общественного мнения. Пока это только тенденция, а не
> характерная черта современного спама, но тенденция яркая и
> способная к быстрому развитию (подробнее см. раздел
> "Политизация" спама и превращение его в инструмент
> информационных войн).
>
> В техническом плане в 2005 году у спамеров появились
> возможности для организации "быстрых" рассылок, то есть
> скорость отдельно взятой рассылки возросла в 3-4 раза по
> сравнению с прошлыми годами (подробнее см. раздел "Технологии
> рассылки спама в 2005 году").
>
> ________________________________
>
>
> "Политизация" спама и превращение его в инструмент информационных войн
>
>
> Политпропаганда средствами спама
>
>
> Уже не первый год спам активно используется как инструмент
> воздействия на общественное сознание и формирования
> общественного мнения. Во многих странах предвыборные кампании
> сопровождаются волнами агитационных спамерских рассылок.
> Такое "спам-сопровождение" выборов было зафиксировано,
> например, в Германии и на Украине.
>
> Даже локальные выборы могут сопровождаться массированными
> спам-атаками, что наглядно продемонстрировали выборы в
> Московскую городскую Думу, прошедшие в декабре 2005 года
> (Москва, Россия). Несколько агитационных рассылок в последние
> две недели перед выборами практически "замусорили" все
> почтовое пространство Рунета. Призывы голосовать за одного из
> кандидатов, актуальные только для жителей Москвы, так как
> только они участвуют в выборах своей городской думы, были
> разосланы миллионам русскоговорящих пользователей не только в
> России, но и в Белоруссии, на Украине.
>
> С одной стороны, этот пример демонстрирует тот факт, что
> спамеры не умеют или не хотят сужать аудиторию, на которую
> направлены рассылки, с целью повысить эффективность рекламы
> (в том числе - и политической рекламы). С другой стороны,
> этот же пример свидетельствует о том, что в 2005 году в
> Рунете "политический" спам вышел на качественно новый
> уровень. Из эпизодических рассылок, в основном носящих
> огульно-ругательный характер, он превратился в настоящие
> многоступенчатые PR-кампании, отличительными особенностями
> которых являются:
>
> * пролонгированность (то есть это кампании, состоящие из
> нескольких тематически связанных между собой атак);
> * направленность на создание "положительного" имиджа
> людей, партий и/или событий (в прошлые годы спам по
> преимуществу использовался для "черного PR").
>
> В 2005 году в Рунете был зафиксирован всплеск "политических"
> информационных спам-кампаний. Речь идет не о предвыборной
> агитации, а о спамерских кампаниях, направленных на
> формирование общественного мнения по вопросам внутренней
> политики государства. По сравнению с предыдущими попытками
> новые спам-атаки отличаются продолжительностью,
> настойчивостью и хорошим планированием.
>
> Примером такой информационной кампании может служить спам со
> ссылками на небезызвестный сайт "Кавказ-центр", который
> российские спецслужбы нередко называют рупором международного
> терроризма.
>
> Эта информационная кампания прошла в октябре 2005 года: за
> две недели было зафиксировано несколько тематически связанных
> спам-рассылок, целью которых было привлечение внимания к
> событиям в Нальчике и сайту "Кавказ-центр" как
> информационному источнику. Первые две атаки представляли
> собой анонс новостных материалов на сайте "Кавказ-центр".
> Следующая атака была оформлена как реакция администрации
> "Кавказ-центра" на спам-рассылку от имени сайта. Тем не
> менее, в этой рассылке также содержались анонсы новостей о
> событиях в Нальчике с предложениями "узнать об этом всю
> правду". В нескольких последующих рассылках спамеры
> отказались от тактики анонсирования новостей и маскировали
> атаки либо под автоматические уведомления технических служб,
> либо под личные сообщения разной стилистики (от поздравления
> до призывов "изменить свою жизнь"). Но во всех случаях при
> переходе по ссылке в теле сообщения пользователь путем
> нескольких редиректов попадал на английскую версию сайта
> "Кавказ-центр". Судя по языку рассылок и открывающейся
> страницы сайта, в данном случае целью спамерских атак являлся
> не Рунет, а западные пользователи. Ниже приведен образец2
> одной из рассылок этой информационной кампании:
>
> Putin and Bosh - TWO LOSERS!
>
> If you want to change your life,
> If you want to live in freedom,
> If you want to take off money from rich guys
> And give it out to poor people,
> It's time to big war!
> Join to us!
> {LINK}
>
> Для проведения рассылки спамеры использовали то же
> программное обеспечение, которое обычно применяется для
> распространения вредоносных программ - вирусов и троянцев.
> Это ПО подставляет в сообщение фальшивые заголовки и
> генерирует текст письма с учетом доменного имени, на который
> идет рассылка.
>
> Как всегда, нет возможности однозначно определить инициатора
> информационно-политической рассылки. Наличие в заголовке FROM
> значения kavkaz.uk.com не является ни доказательством, ни
> свидетельством того, что рассылка была организована
> администрацией сайта или кем-то, кто имеет отношение к этому
> информационному ресурсу.
>
> Если политизация спама продолжится, то это может иметь самые
> неожиданные последствия как для развития электронной почты,
> так и для всего Сетевого сообщества. Увеличение доли
> "политического" спама до серьезных величин незамедлительно
> спровоцирует новый виток законодательных инициатив,
> направленных против спамерской деятельности. При
> гарантированной поддержке пользователей - а отношение к
> "политическому" и PR-спаму у большинства пользователей резко
> отрицательное - могут быть приняты достаточно жесткие законы
> против спама и его заказчиков.
>
> Спам как инструмент "черного PR"
>
>
> Поводом для PR-спама служат не только выборы, а
> информационные войны разворачиваются не только во время
> предвыборных и прочих агитационных кампаний. Спам - это
> отличный информационный инструмент для большинства кампаний,
> целью которых является формирование общественного мнения. По
> эффективности воздействия спам вполне сравним с телевизионной
> рекламой - и по частоте повторений (если атака спамеров
> "пробила" спам-фильтры), и по численности аудитории, которая
> становится объектом рассылок.
>
> Несмотря на попытки придать спаму положительную эмоциональную
> окраску в некоторых предвыборных агитационных рассылках, он
> по-прежнему активно используется как средство дискредитации
> конкурентов и снижения имиджа организации или конкретного лица.
>
> В 2005 году спам-аналитики "Лаборатории Касперского"
> зафиксировали в спаме Рунета около 20 "черных" PR-кампаний.
> Правда, часть этих кампаний была направлена на одни и те же
> организации. Традиционно объектами "черного PR" являются
> вендоры антиспамерского, антивирусного и антихакерского ПО.
> Например, две поддельные рассылки от имени Антиспамерской
> коалиции и компании "Ашманов и Партнеры" были зафиксированы в
> июне 2005 года. Рассылки были оформлены как предложения услуг
> по борьбе со спамом и вызвали вполне понятное возмущение
> пользователей электронной почты: создавалось ложное
> впечатление, что разработчики спам-фильтров предлагают свои
> услуги... с помощью спама.
>
> Скандал, развернувшийся вокруг компании DepotWPF и портала
> Sostav.ru и продолжавшийся с перерывами с весны по осень 2005
> года, в котором компании и руководству портала
> инкриминировались нечестные методы конкурентной борьбы и
> нарушение форумной этики3, также был инициирован спамерскими
> рассылками и поддерживался ими же. Один из образцов такой
> рассылки приведен ниже (текст сообщения публикуется частично):
>
> Обращаюсь к Вам с Открытым письмом
>
> Уважаемые господа,
>
> Я, вебмастер компании DepotWPF и администратор портала
> Sostav.ru обращаюсь к Вам с Открытым письмом.
>
> По моей инициативе компании DepotWPF нанесен серьезный
> репутационный ущерб. По этой причине я вынужден покинуть
> компанию по личной просьбе Алексея Андреева - Президента
> компании DepotWPF.
>
> Я готов принести публичные извинения компаниям, которые в
> результате моей недальновидности подверглись клеветнической
> атаке летом и осенью этого года.
>
> Я хочу публично сказать, что лично Алексей Андреев -
> Президент компании DepotWPF - высказывал серьезные сомнения в
> целесообразности такой акции, однако я настоял на ее осуществлении.
>
> Строго говоря, цель подобных скандальных рассылок не совсем
> ясна, и инициатор их обычно тоже неизвестен. Можно строить
> различные предположения, кому это выгодно - то ли конкурентам
> компании, то ли, наоборот, ей самой как PR-повод. Но это
> специфика спама: сама техника спамерских рассылок
> подразумевает их анонимность и не позволяет однозначно
> идентифицировать отправителя/организатора спама.
>
> Опасность подобных рассылок кроется в простоте их
> организации, дешевизне (особенно если сравнить стоимость
> рассылок со стоимостью заказных рекламных публикаций в
> печатных СМИ или рекламы на ТВ) и анонимности (то есть в
> отсутствии наказания за клевету и моральный ущерб).
> Появляется соблазн ответить на "черный PR" теми же методами.
> Наличие и постоянное развитие антиспамерского ПО - это,
> пожалуй, единственный фактор, сдерживающий начало настоящих
> PR-войн в электронной почте.
>
> 2 Здесь и ниже во всех примерах спамерских сообщений удалена
> информация о получателе спама и контактная информация спамеров. >>
>
> 3 См. например, обращение Сетевого сообщества к руководству
> портала >>
>
> ________________________________
>
>
> Криминализация спама
>
>
> Криминализация спама - это процесс, развивающийся практически
> с момента становления спамерской индустрии. Предпосылками
> криминализации является как сама идеология спамерских
> рассылок (точнее, такие их черты, как анонимность и
> отсутствие законодательного контроля), так и общие тенденции
> развития Сетевого сообщества, а наиболее заметная из этих
> тенденций - криминализация Интернета в целом. Об этом
> свидетельствуют многочисленные отчеты и обзоры за прошлые
> годы от ведущих вендоров антивирусного, антихакерского и
> антиспамерского ПО. "Лаборатория Касперского" неоднократно
> освещала эту тенденцию в своих публикациях4.
>
> Стремительный рост электронных рассылок криминального
> характера произошел с конца 2003 года до конца 2004 года. К
> концу 2004 года доля криминализированных спам-атак достигла
> 8-10% и в течение всего 2005 года оставалась на этом уровне,
> демонстрируя лишь незначительные колебания вокруг этих значений.
>
> Основными признаками криминализации спама в 2005 году являются:
>
> * стабильно высокая суммарная доля криминализированных
> спам-атак (6-11%);
> * постепенный, но уверенный, рост количества атак, целью
> которых является кража финансовой информации (фишинг-атаки);
> * появление в спаме тематик криминального бизнеса, не
> связанных с компьютерными технологиями (предложения
> наркотиков, устройств для "обмана" игровых автоматов и т.п.);
> * рост доли контрафактных и/или контрабандных товаров в
> спамерской товарной рекламе;
> * использование спам-рассылок для распространения
> компромата и клеветы (подробнее см. раздел Спам как
> инструмент "черного PR");
> * использование сетей зараженных персональных компьютеров
> (зомби-сетей) для рассылки спама или аренда серверов по
> украденным номерам кредитных карточек, то есть использование
> криминальных способов организации спам-атак.
>
>
> Доля криминализированного спама: 6-12%
>
>
> На графике ниже отражено количественное распределение
> криминализированных спам-атак5 в общем объеме спама в Рунете
> в 2005 году.
>
> Доля криминализированных атак в спаме в 2005 году"
>
> Как видно по графику, уровень криминализации спама остается
> стабильно высоким в течение всего года. Наметившееся в конце
> лета - начале осени снижение доли мошеннических атак
> оказалось непродолжительным, и конец года (ноябрь и декабрь)
> снова демонстрирует рост криминальной активности.
>
> Основная цель мошенников - это деньги или доступ к финансовой
> информации
>
>
> Большинство криминализированных спам-атак имеет целью
> получение финансовой информации или доступа к банковскому
> счету. Объектами атаки чаще всего являются отдельные
> пользователи, то есть мошенников интересует личная
> конфиденциальная информация (чаще всего - финансовая) или
> возможность вымогательства денег у отдельного физического
> лица. Тем не менее, многие организации, предоставляющие своим
> пользователям доступ к финансовой информации в режиме
> on-line, расценивают фишинг как более масштабную угрозу.
> Банки и платежные системы, которые чаще других подвергаются
> атакам фишеров, разъясняют своим пользователям, как отличить
> поддельные уведомления фишеров от настоящих, а также
> вывешивают на своих сайтах предупреждения об атаках и
> описания основных признаков фишинга. В качестве примера
> организаций, которые постоянно подвергаются фишинг-атакам,
> можно назвать немецкий "Дойчебанк", американский и российский
> "Ситибанк", платежную систему "PayPal" и электронную торговую
> систему "E-bay".
>
> "Новинкой года" в компьютерном мошенничестве можно назвать
> фарминг - подмену URL страницы (чаще - на персональной машине
> пользователя), в результате которой пользователь, намереваясь
> зайти на известный сайт, на самом деле, оказывается на
> мошенническом сайте. Обычно спамерский сайт полностью
> копирует внешний вид оригинальной страницы легитимного
> сайта-мишени. Таким образом, можно воровать пароли и логины
> (если на сайте есть формы, куда нужно вводить свои личные
> данные), а можно, например, зарабатывать деньги на баннерной
> рекламе. Однако масштабный бизнес на баннерах возможен только
> в тех случаях, когда "фармеры" сумели напрямую атаковать
> DNS-сервер и подменить данные сайта на DNS-сервере.
>
> Атаки фишеров требуют тщательной подготовки, регистрации и
> оформления поддельных сайтов, написания текста поддельного
> сообщения так, чтобы оно было похоже на настоящее, то есть
> это деятельность, требующая финансовых и ресурсных затрат. Но
> спамеры не брезгуют и более примитивными атаками, такими как
> банальное попрошайничество и грубые фальсификации. Ниже
> приведен образец попрошайничества с помощью спама.
>
> Помогите бедному студенту.
>
> кошелек в Яндекс деньги: {NUM}
>
> имя:Сергей
> Email:{MAILTO}
>
> --- Отправлено ПРОБНОЙ ВЕРСИЕЙ ePochta Mailer
>
> Следующий пример - это фальсификация уведомления от
> администрации почтовой службы. Цель атаки - сбор логинов и
> паролей от почтовых ящиков пользователей Национальной
> почтовой службы Mail.ru. Спамеры-мошенники не потрудились ни
> имитировать легитимные извещения почтовой службы, ни
> скопировать оформление и логотипы почтовой службы. Они просто
> сфабриковали грубую подделку. В итоге получился интересный
> образчик "фишинга по-русски":
>
> Администрация M@xxxxx
>
> Добрый день.
>
> В связи с проблемами, возникшими на нашем сервере, DNS сервер
> перезагрузился, чем вызвал сбой в работе MYSQL базы данных.
> Возникла проблема с отправкой и получением писем через Web
> интерфейс. Просим вас выслать на наш резервный адрес:
> {MAILTO} пароль вашей почты для восстановления нормальной
> работы прокси клиента.
>
> Надеемся на ваше понимание администрация M@xxxxx
>
> Контрабанда и контрафакт как признак криминализации спама
>
>
> Еще одна тенденция 2005 года - это уменьшение доли
> предложений легитимных товаров и услуг. Огромное количество
> рекламируемых товаров - от виагры до дешевых "Ролексов" и
> сигарет "Мальборо" - контрафактный или контрабандный товар.
> Эта тенденция характерна для "западного" спама, то есть для
> спам-атак, объектом которых являются жители Европы и США. В
> русскоязычном спаме данная тенденция пока не прослеживается.
>
> "Реальный" криминальный бизнес демонстрирует интерес к спаму
>
>
> Настораживает появление в спаме тематик, характерных для
> "традиционного" криминального бизнеса, в частности
> предложений по продаже наркотиков, электронных устройств,
> имитирующих поступление денег в игровой автомат (так
> называемые "устройства для обмана игровых автоматов") и т.п.
> Пока таких предложений не много, но если их количество
> увеличится, это будет означать приток серьезного
> криминального бизнеса в Интернет.
>
> Конечно, надо учитывать, что аналитики "Лаборатории
> Касперского" не имеют возможности проверить, что реально
> стоит за такими предложениями - действительно продажа
> наркотиков, или же это просто способ "сбора денег" с тех, кто
> рискнет перевести деньги на анонимный кошелек web-money,
> рассчитывая на честность продавцов (в которой, впрочем, есть
> все основания сомневаться).
>
> В любом случае, криминальный спам вышел на новый уровень.
> Если раньше компьютерное мошенничество всегда маскировалось
> под легитимную деятельность, неважно, идет ли речь о фишинге
> (маскируется под реальные сообщения банковских систем) или о
> "нигерийских" письмах (всегда подчеркивается легальность
> перевода денег), то теперь спамеры напрямую декларируют
> нарушение закона и предлагают товары/услуги для незаконной
> деятельности. Ниже приведен образчик этого типа спама:
>
> Re:Устройство для обмана игровых аппаратов
>
> Предлагается устройство для обмана игровых аппаратов.
> Аналогов в интернете ещё не было !!!!!!!
> а он дает игры.
>
> Принцип работы :
> Устройство эмитирует поступление денег в аппарат ,
> Обычно за 15-20 минут игры, 1 500 - 4 000 тысячи набирается.
>
> я работаю более 4-х лет на крупнейшем заводе-изготовителе игровых
> аппаратов , могу Вас полностью уверить в том , что все устройства
> которые нам предлагают в Интернете ПОЛНЫЙ БРЕД
>
> В письме не будет предложено много описаний о прелестях этого
> устройства. Я обещаю Вам только одно, это устройство есть, и
> оно работает.
>
> Стоимость устройства с доставкой в любой город
> России - 4 000 рублей (оплата при получении)
>
> Стоимость схемы устройства 2000 руб.
> оплата WebMoney (www.webmoney.ru)
>
> Задать вопрос и сделать заказ можно написав смс
> со своим емэйлом на номер {PHONE NUM}
> или
>
> сообщение на WMID {NUM} ((www.webmoney.ru)
>
> 4 См., например, Развитие вредоносных программ в 2004 году
> <> >>
>
> 5 По мнению спам-аналитиков "Лаборатории Касперского", под
> определение криминализированных спам-атак подпадают:
> - фишинг и фарминг,
> - "нигерийский" спам или предложения за комиссионные
> обналичить/перевести крупную сумму денег,
> - фальшивые уведомления о выигрыше в лотерею,
> - попрошайничество,
> - любые другие попытки компьютерного мошенничества. >>
>
> ________________________________
> (C) "Лаборатория Касперского" <> , 1997 - 2005
>
