Перейти к содержанию
View in the app

A better way to browse. Learn more.

IT2B - Технологии разведки для бизнеса

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Борьба со спамом

Featured Replies

Опубликовано

ссылка в тему

_ttp://subscribe.ru/archive/inet.safety.spamtest/200711/29100708.html

Современные технологии спамеров

 

Наталья Заблоцкая, "Лаборатория Касперского"

 

На сегодняшний день распространение спама приобрело исключительные масштабы: ежесуточно в мире рассылаются десятки миллиардов спам-сообщений (от 60 до 90 процентов всей электронной почты). Очевидно, что такие масштабы требуют существенных вложений в технологии рассылок.

Технологические цепочки

 

Сложились вполне устойчивые технологические цепочки действий спамеров:

 

1. Cбор и верификация email-адресов получателей. Классификация адресов по типам.

2. Подготовка "точек рассылки" - компьютеров, посредством которых будет рассылаться спам.

3. Создание программного обеспечения для рассылки.

4. Поиск клиентов.

5. Создание рекламных объявлений для конкретной рассылки.

6. Проведение рассылки.

 

Каждый отдельный шаг в этой цепочке может выполняться независимо от других.

Сбор и верификация списков адресов

 

Для рассылки спама необходимо иметь список адресов электронной почты потенциальных получателей ("спам-базу", email database). Адреса в таких списках могут классифицироваться по следующим критериям:

 

* регион;

* вид деятельности компании (или интересы пользователей);

* принадлежность адресов пользователей к конкретной почтовой службе (Yandex, AOL, Hotmail и т. п.) или к конкретному сервису (eBay, Paypal).

 

Сбор адресов осуществляется следующими методами:

 

* подбор по словарям имен собственных, "красивых слов", частых сочетаний "слово-цифра" (например, "jonh@", "destroyer@", "alex-2@");

* метод аналогий - если существует адрес Joe.User@hotmail.com, то вполне резонно поискать Joe.User в доменах yahoo.com, aol.com, Paypal;

* сканирование всех доступных источников информации - веб-сайтов, форумов, чатов, досок объявлений, Usenet, баз данных Whois -- на сочетание "слово1@слово2.слово3" (при этом на конце такого сочетания должен быть домен верхнего уровня - com, ru, info и т. д.);

* воровство баз данных сервисов, провайдеров и т. п.;

* воровство персональных данных пользователей при помощи вредоносных программ.

 

При сканировании доступных источников информации спамеры могут пытаться определить "круг интересов" пользователей каждого конкретного источника, что дает возможность получить тематические базы данных. В случае воровства конфиденциальных данных у провайдеров достаточно часто имеется дополнительная информация о пользователях, что тоже позволяет провести персонализацию.

 

Все большее распространение получает воровство персональных данных пользователей, в частности, из адресных книг почтовых клиентов (большинство адресов в которых являются действующими). К сожалению, вектор развития вредоносных программ свидетельствует, что частота их использования в целях похищения конфиденциальной информации будет увеличиваться.

 

Полученные адреса необходимо верифицировать, что осуществляется следующими способами:

 

* Пробная отправка сообщения. Как правило, это сообщения со случайным текстом, которые проходят через спам-фильтры. Анализируя ответ почтового сервера (почта принята или не принята), можно выяснить, действует ли каждый конкретный адрес из списка.

* Помещение в текст спам-сообщения уникальной ссылки на картинку, расположенную на веб-сервере. При прочтении письма картинка загружается автоматически (впрочем, во многих современных почтовых программах эта функция блокирована), а владелец сайта узнает о доступности адреса. Данный метод верифицирует не валидность адреса, а факт прочтения письма.

* Ссылка "отписаться" в спам-сообщении. Если получатель переходит по ней, то никакой отписки не происходит, а его адрес помечается как валидный. Метод верифицирует активность получателя.

 

Все три способа верификации не особо надежны. Соответственно, в базах данных спамеров, пользующихся ими, окажется достаточно много "мертвых" адресов.

Подготовка "точек рассылки"

 

На сегодняшний день профессиональная рассылка спама осуществляется тремя основными способами:

 

* прямая рассылка с арендованных серверов;

* использование "открытых релеев" и "открытых прокси" - сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам;

* скрытая установка на пользовательский компьютер программ (бэкдоров), предоставляющих несанкционированный доступ к его ресурсам.

 

Для рассылки спама с арендованных серверов необходимо иметь постоянно пополняемый набор этих серверов, поскольку их IP-адреса достаточно быстро попадают в "черные списки".

 

Для эксплуатации открытых сервисов необходимо постоянно вести их поиск. Для этого пишутся и используются специальные программы, которые быстро сканируют большие участки адресного пространства Интернета.

 

Наибольшую популярность на сегодняшний день имеет установка бэкдоров на компьютеры обычных пользователей. Осуществляется она одним из следующих способов:

 

* Внедрение троянских программ в пиратское программное обеспечение: модификация распространяемых программ, включение троянской программы в "генераторы ключей", "программы для обмана провайдеров" и т. п. Достаточно часто такие программы распространяются через файлообменные сети (eDonkey, Kazaa) либо через сайты с "варезом" (warez, пиратские копии программ).

* Использование уязвимостей в интернет-браузерах (в первую очередь в Microsoft Internet Explorer) - ряд версий таких программ содержит ошибки в проверке прав доступа, что позволяет злоумышленникам размещать на веб-сайтах компоненты, которые незаметно для пользователей скачиваются на их машины и запускаются на исполнение. Результат - открытие удаленного доступа для злоумышленника. Такие программы распространяются в основном через часто посещаемые сайты (прежде всего порнографического содержания). Летом 2004 года была замечена двухступенчатая схема - массовый взлом сайтов, работающих под управлением MS IIS, с последующей модификацией страниц на этих сайтах с включением в них вредоносного кода. Это привело к заражению компьютеров посетителей данных ресурсов вполне пристойного содержания. В ноябре 2006 года аналогичной атаке подверглись сервера, пользовавшиеся услугами хостинг-провайдера Valuehost.

* Использование вредоносных программ, распространяемых по каналам электронной почты и эксплуатирующих уязвимости в сетевых сервисах Microsoft Windows. Интенсивность попыток использования уязвимостей Windows на сегодняшний день просто чудовищна - подключенная к Интернету машина под управлением стандартной Windows XP без включенного межсетевого экрана и установленных сервисных паков оказывается зараженной в течение нескольких десятков минут.

 

Современные вредоносные программы являются достаточно развитыми в техническом смысле - их авторы прикладывают значительные усилия для затруднения их обнаружения (например, провайдером, клиенты которого невольно рассылают спам). Троянские компоненты могут притворяться интернет-браузерами, обращаясь на веб-сайты за инструкциями, что им делать - заниматься DoS-атакой, рассылать спам и т. п. Инструкции могут содержать указание о времени и "месте" следующего получения инструкций. Другой способ замаскированного получения команд заключается в использовании IRC.

 

Одно из применений ботнетов - сетей зараженных машин - сдача их в аренду (в том числе для рассылки спама). "Продаваемость" обеспечивается работой вредоносных программ по стандартным протоколам (HTTP или SOCKS-proxy) и через небольшое количество портов, что дает возможность использования данной "продукции" третьими лицами и попутно облегчает поиск зараженных машин системным администраторам.

Программное обеспечение для рассылки спама

 

Средняя спам-рассылка на сегодняшний день имеет объем не менее нескольких десятков миллионов сообщений, которые требуется разослать за минимальное время - до перенастройки (или обновления баз данных) спам-фильтров.

 

Быстрая рассылка большого количества электронных писем представляет собой технологическую проблему, решение которой требует солидных ресурсов. Как следствие, сейчас имеется относительно небольшое количество программ, удовлетворяющих требованиям спамеров-профессионалов. Данные программы:

 

* умеют рассылать спам как через "открытые сервисы" (почтовые релеи, прокси), так и через зараженные пользовательские машины;

* могут формировать динамический текст письма (см. ниже раздел о формировании текстов);

* достаточно точно подделывают заголовки сообщений - распознавание спама по заголовкам становится нетривиальной задачей;

* могут отслеживать валидность баз данных email-адресов;

* могут отслеживать статус сообщения для каждого отдельного адреса - и перенаправлять его через другую "точку рассылки" в случае использования на приемной стороне "черных списков".

 

Такие программы оформлены либо в виде сервиса, доступного по подписке, либо как покупаемая программа.

Поиск клиентов

 

Судя по всему, основной способ поиска клиентов - это собственно рекламные рассылки (спам). Рекламные объявления составляют существенную долю всех нелегитимных рассылок. (Таким же образом рекламируются программы для рассылки и базы данных email-адресов.)

Формирование текста писем

 

На сегодняшний день простая рассылка одинаковых (или почти одинаковых) спам-писем не является эффективной. Такие письма будут обнаружены спам-фильтрами по частотности (повторяемости одинаковых сообщений); настройка фильтров по содержанию письма тоже является типичной мерой. Поэтому спам-сообщения сейчас носят индивидуальный характер, каждое последующее отличается от предыдущих. Основные технологии "индивидуализации" спамовых писем таковы:

 

* Внесение случайных текстов, "шума", невидимых текстов. В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести "невидимый" текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования "спамерского трюка" и классифицировать сообщение как спам, не анализируя его текст в деталях.

* Графические письма. Рекламное сообщение можно прислать пользователю в виде графического файла, что затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст.

* "Зашумленные" графические письма. В графическое сообщение можно внести "шум", что затруднит его анализ фильтрами.

* Фрагментирование изображения. Изображение с текстом, которое пользователи видят на экране, может состоять из нескольких фрагментов, хотя рядовой пользователь этого не замечает и на экране видит целостное изображение. Разновидностью способа является использование анимации, когда изображение содержит несколько кадров, которые накладываются друг на друга, в результате чего пользователь видит полный текст спамерского предложения.

* Перефразировка текстов. Рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст, и факт перефразировки можно установить, только имея много копий сообщения. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки.

 

Описанные методы поддерживаются непосредственно в программах для рассылки, поэтому использование конкретного метода "индивидуализации" спам-сообщений зависит от используемого спамерами программного обеспечения.

Спам и психология

 

Быстро отправить сообщение и доставить его, обойдя все фильтры - важная часть процесса рассылки спама, но не единственная. Спамерам важно добиться, чтобы пользователь прочел спам и выполнил требуемые действия (позвонил, перешел по ссылке и т.п.), поэтому они осваивают психологические способы воздействия на получателей сообщений.

 

В частности, чтобы привлечь внимание получателей и спровоцировать чтение писем, спамеры пытаются заставить пользователей поверить, что перед ними не спам, а личные сообщения. В начале 2006 года спамеры пользовались в основном примитивными приемами: добавляли в тему сообщения метки "RE:" или "FW:" как показатель того, что данное сообщение является ответом на предыдущую переписку или отправлено кем-то из известных адресатов. Но уже к середине года такие простые уловки дополнились более изощренной маскировкой - некоторые спамерские тексты стилистически и лексически стали оформляться как личная переписка. С целью создания у пользователя иллюзии, что письмо адресовано именно ему, такой спам часто содержит обращения типа "дружище", "малышка" и т.п. либо не содержит обращений вовсе. Иногда в подделке под частную переписку упоминаются и имена. В любом случае, делается ставка на то, что пользователь может захотеть разобраться, откуда это письмо, не надо ли его куда-то переслать, и, как минимум, прочтет экземпляр спама.

 

Распространенным спамерским трюком является также использование в качестве темы письма заголовков "горячих" новостей (зачастую собственного сочинения).

Разделение труда

 

Как видно из вышесказанного, все основные технологические составляющие бизнеса спамеров могут быть использованы независимо друг от друга. Как следствие, в настоящее время существуют отдельные "производители" вредоносных программ, отдельные авторы программ для рассылки, специалисты по сбору адресов. Спамеры - а именно те, кто собирает с клиентов деньги и производит рассылку - могут просто арендовать необходимые им сервисы, покупать базы данных, списки рассылающих машин и использовать их. Таким образом, вход на данный рынок является делом относительно дешевым.

 

В то же время очевидно разделение игроков спам-рынка на профессионалов, для которых рассылка спама является основным источником дохода и которые, как правило, обладают своим инструментарием (базой данных адресов, программой для рассылки или собственным троянцем), и любителей, пытающихся заработать чуть-чуть денег.

Перспективы

 

Зная стоимость спам-рассылки (порядка 100 USD за миллион сообщений) и количество рассылаемых в мире сообщений (десятки миллиардов в день), несложно оценить денежный оборот на этом рынке - он составляет сотни миллионов долларов в год. В индустрии с таким оборотом не могут не появляться "компании полного цикла", осуществляющие весь комплекс услуг "на высоком профессиональном уровне". Единственной проблемой является криминальный характер всего бизнеса - распространение троянских программ является уголовным преступлением во всех странах, где есть минимальное количество компьютеров. Сбор персональных данных без ведома пользователей также является занятием наказуемым. С другой стороны, интегрированность дает массу неоспоримых технологических преимуществ.

 

По всей видимости, если подобные компании еще не появились, то возникновение их - дело ближайшего будущего. Пострадавшими окажутся, разумеется, рядовые получатели электронной почты.

 

Для публикации сообщений создайте учётную запись или авторизуйтесь

Account

Navigation

Поиск

Поиск

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.