Спам. История появления. Средства борьбы

Тенденция объединения спамерских и хакерских технологий наметилась еще в 2003 году, когда спамерское ПО впервые было применено для массированной вирусной атаки. Эпидемии вирусов приводят к росту спамерского трафика. Они провоцируют появление большого количества не только содержащих вирусы писем, но и других видов нежелательной почты, например безобидных писем, от которых вирус был «отрезан» каким-либо антивирусом, или многочисленных автоматических отказов в доставке, информирующих пользователя о наличии вируса в корреспонденции с его машины.

Тематика коммерческих рассылок меняется в зависимости от многих факторов, например от сезона: летом  спамеры предлагают кондиционеры и отдых в Турции.

 По данным «Лаборатории  Касперского», по итогам 2010 года  лидирующая тематическая категория  русскоязычного спама «Образование»  и основная рубрика англоязычного  спама «Медикаменты; товары/услуги  для здоровья» оказались в  нашем рейтинге на как никогда  ранее близких позициях: «Образование»  обошло своего конкурента лишь  на 0,2%.

По сравнению с 2009 годом  заметно уменьшилась доля рубрик «Реклама спамерских услуг» (-6,1%) и спама «для взрослых» (-4,6%). Количество сообщений, содержащих признаки компьютерного мошенничества, увеличилось почти вдвое (+3,8%).

В десятке лидирующих тематик  в 2010 году появился «новичок» — рубрика  «Коллекции фильмов на DVD». Это сообщения, в подавляющем большинстве случаев  русскоязычные, с рекламой коллекций  фильмов и мультфильмов на DVD, а  также обучающих дисков. Такие  сообщения приходили в почтовые ящики пользователей и раньше, но в 2010 году их количество стало столь  заметным, что мы выделили их в отдельную  рубрику. Отметим, что распространяется такая продукция с помощью партнерских программ и, как правило, является пиратской.

В течение года неоднократно менялась тематическая структура спама. Особо отметим резкий взлет и  высокие позиции спама, объединенного  в тематическую рубрику «Медикаменты», произошедший в августе. А также  довольно большую его долю в мусорном трафике в сентябре-октябре —  прямо перед закрытием партнерской  программы SpamIt, специализировавшейся на рассылке рекламы фармацевтической продукции. Возможно, часть спамеров была в курсе надвигающейся угрозы закрытия этой программы и пыталась под конец получить на SpamIt максимальную прибыль.

В прошлом году наиболее интересные трюки использовались, в  основном, распространителями вредоносных  программ. Чтобы заставить пользователя пройти по вредоносной ссылке, они  рассылали спамовые письма, очень умело подделанные под уведомления известных ресурсов: банков, магазинов, почтовых провайдеров, социальных сетей, популярных хостингови многих других (подробно об этом спаме здесь). Подделаны были даже технические заголовки в письмах, не видимые пользователю, но важные для работы антиспам-фильтра.

Обычно фишинговые послания построены таким образом, чтобы запугать пользователя и, сыграв на его опасениях, вынудить его ввести логин и пароль на фишерской странице. Хотя распространители вредоносных программ, как и фишеры, рассылали подделки под письма от легальных ресурсов, они не использовали приёмы запугивания. Часть сообщений просто копировала стандартные уведомления, рассылаемые пользователям/клиентам с легитимных ресурсов.

Если говорить о рассылке вредоносного кода, то июнь стал одним  из самых заметных месяцев 2010 года. В первый летний месяц интернет наводнили спамовые письма, содержащие html-вложения с прописанными в них скриптовыми зловредами (в том числе Trojan-Downloader.JS.Pegel.g, который по итогам года занял второе место в рейтинге вредоносного ПО, распространяемого в почте). Письма были подделаны под уведомления от различных легитимных сервисов, в том числе онлайн-магазинов и социальных сетей. Злоумышленниками была использована довольно сложная схема распространения зловредов с помощью такого спама и подключения компьютеров пользователей к зомби-сети. Подробнее про эту схему можно прочитать здесь.

В августе и сентябре доля рассылок с вредоносными вложениями достигла своих пиковых значений (6,29% и 4,33% соответственно). Столь высокий  процент вредоносных сообщений  в почте был обусловлен несколькими  мощными краткосрочными вбросами вредоносного кода в почтовый трафик. Всего таких вбросов было шесть — по три в августе и в сентябре. В эти дни злоумышленники принимались активно рассылать новые модификации различных зловредов, в том числе и нашумевшего Zbot.

Одним из следствий массированных  вредоносных рассылок августа и  сентября стало резкое увеличение количества сообщений с zip-вложениями. Обычно такой  спам составляет не более половины процента от общего объема нелегитимной почты. Однако в третьем квартале доля сообщений с zip-вложениями достигла рекордных 2,6% от всего спама. В четвертом  квартале количество сообщений с zip-вложениями сократилось до более привычных  значений (порядка 0,3% от всего спама). Тем не менее, пользователям необходимо помнить важное правило сетевой  безопасности — никогда не открывать  непонятные архивы в подозрительных письмах.

2.2 ОБРАТНАЯ СТОРОНА ПРОБЛЕМЫ

Миллионы пользователей, получающих ненужную им рекламу. Это  явление их весьма раздражает, но, как  правило, нет средств и желания  судиться со спамерами - проще удалить письмо.

Тысячи предприятий, у  которых просмотр ненужных писем  и фильтрация спама забирает огромное количество рабочего времени сотрудников, понижая тем самым доход.

Организации, владеющих каналами связи и почтовыми серверами - рассылки спама составляют значительную долю траффика в условиях перегруженного канала, приводят к снижению числа пользователей сервисов, что негативно сказывается на бизнесе. Отдельные крупные корпорации, занимающиеся разработкой программного обеспечения - для них разработка антиспамерского ПО является выгодным бизнесом. Группы программистов-энтузиастов, которых спам как явление просто достал.

Представители первой группы не теряют ничего, кроме нервов, предпочитая  методы пассивной защиты, которые  были описаны выше. Остальные настроены перейти к активной защите:

• Ужесточение правил регистрации на бесплатных почтовых серверах, откуда, по статистике, приходит основная часть спама.
• Увеличение себестоимости массовых рассылок электронных сообщений, например, введением "электронных сертификатов" или увеличением времени доставки писем пропорционально вероятности, с которым письмо может считаться спамом.
• Принятие законодательных актов, направленных против спама.
• Формирование общественного мнения через организацию сайтов, посвященных проблеме спама, распространение среди пользователей сведений о методах защиты от спама.
• Создание спамерам психологического дискомфорта, например, подписыванием их на рассылку рекламы в бумажном виде, созданием негативного имиджа предприятиям, использующим такого рода рекламу.

Наиболее обозленные хакеры устраивают атаки на почтовые сервера  и личные интернет-страницы спамеров, но это уже незаконно.

2.3 ЗАКОНОДАТЕЛЬСТВО

В России спам запрещён «Законом о рекламе» (ст.18, п.1)

Распространение рекламы  по сетям электросвязи, в том числе  посредством использования телефонной, факсимильной, подвижной радиотелефонной  связи, допускается только при условии  предварительного согласия абонента или  адресата на получение рекламы. При  этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено.

В официальных комментариях Федеральной антимонопольной службы, уполномоченной осуществлять функции  контроля за соблюдением этого закона, указывалось на применимость данной нормы к интернет-рассылкам. За нарушение статьи 18 рекламораспространитель несёт ответственность в соответствии с законодательством об административных правонарушениях. Однако ФАС не имеет полномочий для проведения оперативно-розыскных мероприятий по установлению лица, ответственного за спам, а уполномоченные на это органы не могут их проводить в связи с отсутствием в российском административном и уголовном законодательстве ответственности за рассылку спама. Поэтому, несмотря на периодические публикации материалов о привлечении нарушителей к ответственности, в настоящее время данная законодательная норма малоэффективна.

 

 

ЗАКЛЮЧЕНИЕ

  «Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, представляет очередной отчет по спам-активности за март 2011 г.

Доля спама в почтовом трафике в марте в среднем  составила 79,6%. Самый низкий показатель был отмечен 25 марта – 74,5%, больше всего спама было зафиксировано 13 числа – 86,9%.

В марте увеличился процент  спамовых писем с вредоносными вложениями. Вредоносные файлы содержались в 3,23% всех писем

Пятерка лидирующих спам-тематик. В марте в Рунете значительно возросла доля русскоязычного спама. Такой спам большей частью представлен рассылками, рекламирующими товары и услуги компаний малого и среднего бизнеса. Четыре из пяти лидирующих в марте тематических категорий являются русскоязычными и представляют собой рекламные объявления небольших компаний. В пятерку лидеров вошли «Образование» (42,1%), «Медикаменты; товары и услуги для здоровья» (4,9%), сезонная тема «Отдых и путешествия» (7,2%), «Транспорт» (7%) и «Интерьер» (5,7%).

Трагедия в Японии привлекла  внимание спамеров. Разрушительные землетрясения, цунами и последовавшая за ними катастрофа на атомной электростанции привлекли тревожное внимание всех. Люди во многих странах мира стремились помочь жителям Японии любыми доступными методами — будь то продовольствие, медикаменты и предметы первой необходимости или денежные средства для различных гуманитарных организаций. В интернете появилось множество сайтов с информацией о том, как и куда можно перечислить средства в помощь пострадавшим.

Спамеры, конечно, сразу попытались «вписаться в тему» благотворительных инициатив. В спаме моментально появились мошеннические сообщения, предлагающие перевести деньги якобы на счет Красного Креста и других гуманитарных организаций. Разумеется, пользователи, отправлявшие деньги на счета, указанные в подобного рода письмах, не помогали никому, кроме спамеров.

Активно эксплуатировалась  тема событий в Японии и в спамовых письмах, используемых для распространения вредоносного кода. Человеческое любопытство, как обычно, работало на злоумышленников: пользователям предлагалось ознакомиться с различными шокирующими подробностями или посмотреть видео с места действия.

Ситуация в Ливии также  активно обсуждается всеми. И  спамеры стали использовать тему вооруженного конфликта в мошеннических сообщениях. В спаме все чаще встречаются «нигерийские» письма якобы от членов правительства Ливии, стремящихся перевести свои миллионы из банков бунтующей страны, и сообщения, в которых, как и в случае с катастрофой в Японии, предлагается перечислить пожертвования для пострадавших.

Не пропустили возможности  воспользоваться интересом пользователей  к драматическим событиям в Ливии  и спамеры, распространяющие зловреды. Используя уже наработанные схемы, они рассылали письма с вредоносными ссылками якобы на «горячие» ливийские новости.

Самыми интересными, с  нашей точки зрения, являются появившиеся  в марте политически мотивированные спамовые сообщения, касающиеся ситуации в Ливии.

В таких письмах обычно цитируются посты из различных блогов или статьи из прессы. Отметим, что написаны они на английском языке, а стало быть, рассылки нацелены не на ливиийцев. Такой спам пытается привлечь внимание к конфликту в Ливии пользователей за пределами воюющей страны — в США и странах Европы — и может рассылаться как сторонниками существующего в Ливии режима, так и его противниками.

Некоторые события в России также нашли свое отражение в  спамерских сообщениях. В марте мы зафиксировали несколько рассылок, темой которых стал нашумевший в последнее время проект rospil.

Письма в таких рассылках  могли быть откровенно провокационного  содержания, а могли просто копировать информацию с сайта проекта.

 

 

 

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ