Борьба со спамом

[Vinni]

ссылка в тему

_ttp://subscribe.ru/archive/inet.safety.spamtest/200711/29100708.html

Современные технологии спамеров

 

Наталья Заблоцкая, "Лаборатория Касперского"

 

На сегодняшний день распространение спама приобрело исключительные масштабы: ежесуточно в мире рассылаются десятки миллиардов спам-сообщений (от 60 до 90 процентов всей электронной почты). Очевидно, что такие масштабы требуют существенных вложений в технологии рассылок.

Технологические цепочки

 

Сложились вполне устойчивые технологические цепочки действий спамеров:

 

1. Cбор и верификация email-адресов получателей. Классификация адресов по типам.

2. Подготовка "точек рассылки" - компьютеров, посредством которых будет рассылаться спам.

3. Создание программного обеспечения для рассылки.

4. Поиск клиентов.

5. Создание рекламных объявлений для конкретной рассылки.

6. Проведение рассылки.

 

Каждый отдельный шаг в этой цепочке может выполняться независимо от других.

Сбор и верификация списков адресов

 

Для рассылки спама необходимо иметь список адресов электронной почты потенциальных получателей ("спам-базу", email database). Адреса в таких списках могут классифицироваться по следующим критериям:

 

* регион;

* вид деятельности компании (или интересы пользователей);

* принадлежность адресов пользователей к конкретной почтовой службе (Yandex, AOL, Hotmail и т. п.) или к конкретному сервису (eBay, Paypal).

 

Сбор адресов осуществляется следующими методами:

 

* подбор по словарям имен собственных, "красивых слов", частых сочетаний "слово-цифра" (например, "jonh@", "destroyer@", "alex-2@");

* метод аналогий - если существует адрес Joe.User@hotmail.com, то вполне резонно поискать Joe.User в доменах yahoo.com, aol.com, Paypal;

* сканирование всех доступных источников информации - веб-сайтов, форумов, чатов, досок объявлений, Usenet, баз данных Whois -- на сочетание "слово1@слово2.слово3" (при этом на конце такого сочетания должен быть домен верхнего уровня - com, ru, info и т. д.);

* воровство баз данных сервисов, провайдеров и т. п.;

* воровство персональных данных пользователей при помощи вредоносных программ.

 

При сканировании доступных источников информации спамеры могут пытаться определить "круг интересов" пользователей каждого конкретного источника, что дает возможность получить тематические базы данных. В случае воровства конфиденциальных данных у провайдеров достаточно часто имеется дополнительная информация о пользователях, что тоже позволяет провести персонализацию.

 

Все большее распространение получает воровство персональных данных пользователей, в частности, из адресных книг почтовых клиентов (большинство адресов в которых являются действующими). К сожалению, вектор развития вредоносных программ свидетельствует, что частота их использования в целях похищения конфиденциальной информации будет увеличиваться.

 

Полученные адреса необходимо верифицировать, что осуществляется следующими способами:

 

* Пробная отправка сообщения. Как правило, это сообщения со случайным текстом, которые проходят через спам-фильтры. Анализируя ответ почтового сервера (почта принята или не принята), можно выяснить, действует ли каждый конкретный адрес из списка.

* Помещение в текст спам-сообщения уникальной ссылки на картинку, расположенную на веб-сервере. При прочтении письма картинка загружается автоматически (впрочем, во многих современных почтовых программах эта функция блокирована), а владелец сайта узнает о доступности адреса. Данный метод верифицирует не валидность адреса, а факт прочтения письма.

* Ссылка "отписаться" в спам-сообщении. Если получатель переходит по ней, то никакой отписки не происходит, а его адрес помечается как валидный. Метод верифицирует активность получателя.

 

Все три способа верификации не особо надежны. Соответственно, в базах данных спамеров, пользующихся ими, окажется достаточно много "мертвых" адресов.

Подготовка "точек рассылки"

 

На сегодняшний день профессиональная рассылка спама осуществляется тремя основными способами:

 

* прямая рассылка с арендованных серверов;

* использование "открытых релеев" и "открытых прокси" - сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам;

* скрытая установка на пользовательский компьютер программ (бэкдоров), предоставляющих несанкционированный доступ к его ресурсам.

 

Для рассылки спама с арендованных серверов необходимо иметь постоянно пополняемый набор этих серверов, поскольку их IP-адреса достаточно быстро попадают в "черные списки".

 

Для эксплуатации открытых сервисов необходимо постоянно вести их поиск. Для этого пишутся и используются специальные программы, которые быстро сканируют большие участки адресного пространства Интернета.

 

Наибольшую популярность на сегодняшний день имеет установка бэкдоров на компьютеры обычных пользователей. Осуществляется она одним из следующих способов:

 

* Внедрение троянских программ в пиратское программное обеспечение: модификация распространяемых программ, включение троянской программы в "генераторы ключей", "программы для обмана провайдеров" и т. п. Достаточно часто такие программы распространяются через файлообменные сети (eDonkey, Kazaa) либо через сайты с "варезом" (warez, пиратские копии программ).

* Использование уязвимостей в интернет-браузерах (в первую очередь в Microsoft Internet Explorer) - ряд версий таких программ содержит ошибки в проверке прав доступа, что позволяет злоумышленникам размещать на веб-сайтах компоненты, которые незаметно для пользователей скачиваются на их машины и запускаются на исполнение. Результат - открытие удаленного доступа для злоумышленника. Такие программы распространяются в основном через часто посещаемые сайты (прежде всего порнографического содержания). Летом 2004 года была замечена двухступенчатая схема - массовый взлом сайтов, работающих под управлением MS IIS, с последующей модификацией страниц на этих сайтах с включением в них вредоносного кода. Это привело к заражению компьютеров посетителей данных ресурсов вполне пристойного содержания. В ноябре 2006 года аналогичной атаке подверглись сервера, пользовавшиеся услугами хостинг-провайдера Valuehost.

* Использование вредоносных программ, распространяемых по каналам электронной почты и эксплуатирующих уязвимости в сетевых сервисах Microsoft Windows. Интенсивность попыток использования уязвимостей Windows на сегодняшний день просто чудовищна - подключенная к Интернету машина под управлением стандартной Windows XP без включенного межсетевого экрана и установленных сервисных паков оказывается зараженной в течение нескольких десятков минут.

 

Современные вредоносные программы являются достаточно развитыми в техническом смысле - их авторы прикладывают значительные усилия для затруднения их обнаружения (например, провайдером, клиенты которого невольно рассылают спам). Троянские компоненты могут притворяться интернет-браузерами, обращаясь на веб-сайты за инструкциями, что им делать - заниматься DoS-атакой, рассылать спам и т. п. Инструкции могут содержать указание о времени и "месте" следующего получения инструкций. Другой способ замаскированного получения команд заключается в использовании IRC.

 

Одно из применений ботнетов - сетей зараженных машин - сдача их в аренду (в том числе для рассылки спама). "Продаваемость" обеспечивается работой вредоносных программ по стандартным протоколам (HTTP или SOCKS-proxy) и через небольшое количество портов, что дает возможность использования данной "продукции" третьими лицами и попутно облегчает поиск зараженных машин системным администраторам.

Программное обеспечение для рассылки спама

 

Средняя спам-рассылка на сегодняшний день имеет объем не менее нескольких десятков миллионов сообщений, которые требуется разослать за минимальное время - до перенастройки (или обновления баз данных) спам-фильтров.

 

Быстрая рассылка большого количества электронных писем представляет собой технологическую проблему, решение которой требует солидных ресурсов. Как следствие, сейчас имеется относительно небольшое количество программ, удовлетворяющих требованиям спамеров-профессионалов. Данные программы:

 

* умеют рассылать спам как через "открытые сервисы" (почтовые релеи, прокси), так и через зараженные пользовательские машины;

* могут формировать динамический текст письма (см. ниже раздел о формировании текстов);

* достаточно точно подделывают заголовки сообщений - распознавание спама по заголовкам становится нетривиальной задачей;

* могут отслеживать валидность баз данных email-адресов;

* могут отслеживать статус сообщения для каждого отдельного адреса - и перенаправлять его через другую "точку рассылки" в случае использования на приемной стороне "черных списков".

 

Такие программы оформлены либо в виде сервиса, доступного по подписке, либо как покупаемая программа.

Поиск клиентов

 

Судя по всему, основной способ поиска клиентов - это собственно рекламные рассылки (спам). Рекламные объявления составляют существенную долю всех нелегитимных рассылок. (Таким же образом рекламируются программы для рассылки и базы данных email-адресов.)

Формирование текста писем

 

На сегодняшний день простая рассылка одинаковых (или почти одинаковых) спам-писем не является эффективной. Такие письма будут обнаружены спам-фильтрами по частотности (повторяемости одинаковых сообщений); настройка фильтров по содержанию письма тоже является типичной мерой. Поэтому спам-сообщения сейчас носят индивидуальный характер, каждое последующее отличается от предыдущих. Основные технологии "индивидуализации" спамовых писем таковы:

 

* Внесение случайных текстов, "шума", невидимых текстов. В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести "невидимый" текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования "спамерского трюка" и классифицировать сообщение как спам, не анализируя его текст в деталях.

* Графические письма. Рекламное сообщение можно прислать пользователю в виде графического файла, что затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст.

* "Зашумленные" графические письма. В графическое сообщение можно внести "шум", что затруднит его анализ фильтрами.

* Фрагментирование изображения. Изображение с текстом, которое пользователи видят на экране, может состоять из нескольких фрагментов, хотя рядовой пользователь этого не замечает и на экране видит целостное изображение. Разновидностью способа является использование анимации, когда изображение содержит несколько кадров, которые накладываются друг на друга, в результате чего пользователь видит полный текст спамерского предложения.

* Перефразировка текстов. Рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст, и факт перефразировки можно установить, только имея много копий сообщения. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки.

 

Описанные методы поддерживаются непосредственно в программах для рассылки, поэтому использование конкретного метода "индивидуализации" спам-сообщений зависит от используемого спамерами программного обеспечения.

Спам и психология

 

Быстро отправить сообщение и доставить его, обойдя все фильтры - важная часть процесса рассылки спама, но не единственная. Спамерам важно добиться, чтобы пользователь прочел спам и выполнил требуемые действия (позвонил, перешел по ссылке и т.п.), поэтому они осваивают психологические способы воздействия на получателей сообщений.

 

В частности, чтобы привлечь внимание получателей и спровоцировать чтение писем, спамеры пытаются заставить пользователей поверить, что перед ними не спам, а личные сообщения. В начале 2006 года спамеры пользовались в основном примитивными приемами: добавляли в тему сообщения метки "RE:" или "FW:" как показатель того, что данное сообщение является ответом на предыдущую переписку или отправлено кем-то из известных адресатов. Но уже к середине года такие простые уловки дополнились более изощренной маскировкой - некоторые спамерские тексты стилистически и лексически стали оформляться как личная переписка. С целью создания у пользователя иллюзии, что письмо адресовано именно ему, такой спам часто содержит обращения типа "дружище", "малышка" и т.п. либо не содержит обращений вовсе. Иногда в подделке под частную переписку упоминаются и имена. В любом случае, делается ставка на то, что пользователь может захотеть разобраться, откуда это письмо, не надо ли его куда-то переслать, и, как минимум, прочтет экземпляр спама.

 

Распространенным спамерским трюком является также использование в качестве темы письма заголовков "горячих" новостей (зачастую собственного сочинения).

Разделение труда

 

Как видно из вышесказанного, все основные технологические составляющие бизнеса спамеров могут быть использованы независимо друг от друга. Как следствие, в настоящее время существуют отдельные "производители" вредоносных программ, отдельные авторы программ для рассылки, специалисты по сбору адресов. Спамеры - а именно те, кто собирает с клиентов деньги и производит рассылку - могут просто арендовать необходимые им сервисы, покупать базы данных, списки рассылающих машин и использовать их. Таким образом, вход на данный рынок является делом относительно дешевым.

 

В то же время очевидно разделение игроков спам-рынка на профессионалов, для которых рассылка спама является основным источником дохода и которые, как правило, обладают своим инструментарием (базой данных адресов, программой для рассылки или собственным троянцем), и любителей, пытающихся заработать чуть-чуть денег.

Перспективы

 

Зная стоимость спам-рассылки (порядка 100 USD за миллион сообщений) и количество рассылаемых в мире сообщений (десятки миллиардов в день), несложно оценить денежный оборот на этом рынке - он составляет сотни миллионов долларов в год. В индустрии с таким оборотом не могут не появляться "компании полного цикла", осуществляющие весь комплекс услуг "на высоком профессиональном уровне". Единственной проблемой является криминальный характер всего бизнеса - распространение троянских программ является уголовным преступлением во всех странах, где есть минимальное количество компьютеров. Сбор персональных данных без ведома пользователей также является занятием наказуемым. С другой стороны, интегрированность дает массу неоспоримых технологических преимуществ.

 

По всей видимости, если подобные компании еще не появились, то возникновение их - дело ближайшего будущего. Пострадавшими окажутся, разумеется, рядовые получатели электронной почты.