Новости

Еволюція спаму і антиспаму

  1. Що ж таке спам?
  2. Тенденції розвитку спам-бізнесу
  3. політизація спаму
  4. криміналізація спаму
  5. Кількісна характеристика спаму
  6. Тематична характеристика спаму
  7. Зміни в розсилці спаму в порівнянні з 2004 роком

Олександр Прохоров

Що ж таке спам?

Тенденції розвитку спам-бізнесу

Стабілізація спам-бізнесу

політизація спаму

криміналізація спаму

Кількісна характеристика спаму

Тематична характеристика спаму

Зміни в розсилці спаму в порівнянні з 2004 роком

Що ж таке спам?

цієї публікації ми наводимо останні дані про масштаби поширення спаму в Рунеті, але, перш ніж говорити про цифри, хотілося б окреслити рамки поняття «спам» цієї публікації ми наводимо останні дані про масштаби поширення спаму в Рунеті, але, перш ніж говорити про цифри, хотілося б окреслити рамки поняття «спам». Здавалося б, все знають, що таке спам і хто такі спамери. Однак якщо спробувати знайти чітке тлумачення цього терміна, то виявиться, що визначення в різних джерелах різняться досить помітно.

Спочатку звернемося до мережевих словників - в деяких виданнях спам визначається як явище, пов'язане з електронною поштою, а в інших трактується більш широко. Наприклад, «Вікіпедія» ( ru.wikipedia.org/wiki/Spam ) Визначає спам як «масово розсилають кореспонденцію рекламного чи іншого характеру, що відправляється людям, що не виразили бажання її отримувати». Тут же наводиться класифікація спаму за «місцем проживання»: електронна пошта, Usenet (особливо немодеровані), миттєві повідомлення, такі як ICQ, AIM, Web-сайти, які можна вільно редагувати (блоги і вікі), SMS-повідомлення. У «Словнику хостингових термінів» ( www.xoster.ru/hosting/hosting_glossary.php ) Дано більш вузьке визначення: «Відправлення незапитуваної електронної пошти будь-якого обсягу і змісту в будь-якому розмірі будь-яким особам, у тому числі тим, які невідомі відправнику». У «Глосарії мережевих термінів» ( www.lek.ru/top/top_ask_gloss.phtml ) Пояснюється: «Розсилка безлічі листів однакового змісту різним абонентам без їхньої на те згоди». «Словник web-термінів» ( 2yd.ru/uslugi/slovar/S ) Дає інше визначення: «Розсилка будь-якого повідомлення (найчастіше - рекламного або комерційного змісту) безлічі адресатів, для яких дане повідомлення небажано, або в безліч списків і груп новин, тематика яких не відповідає змісту повідомлення». «Словник комп'ютерних термінів» ( www.rndavia.ru/gloss.shtml ) Теж трактує цей термін по-своєму: «Повідомлення, яке примусово посилається передплатникам телеконференцій з метою нагадати тематику дискусійних списків. Тотальна розсилка повідомлень незацікавленим користувачам ». Таким чином, скільки джерел - стільки й думок.

Може бути, слід пошукати юридичне тлумачення цього терміна? Для цього корисно звернутися до доповіді «Еволюція юридичного визначення терміна" спам ": 1999-2004», прочитаного на VI міжнародній конференції «Право та Інтернет» Євгеном Альтовского, координатором робочої групи проекту «Антиспам» ( http://www.ifap.ru/as/index.htm ). Згідно даній роботі, датою початку законодавчої боротьби зі спамом в Росії можна вважати 1 березня 1999 року коли були опубліковані «Норми користування Мережею» в редакції ОФІСП-005, розроблені Відкритим форумом Інтернет-сервіс-провайдерів. В якості характерних ознак спаму тут були названі: масовість розсилки, незапрошенной її одержувачем, рекламний, комерційний, образливий або агітаційний характер повідомлення. Крім того, в цьому документі мова йде не тільки про електронну пошту, а й про ICQ та інших подібних засобах особистого обміну інформацією. При цьому Євген Альтовскій зазначає, що «в ОФІСП-005 не дано чіткого юридичного визначення терміна" спам ", як це робиться в законодавчих актах».

В такій редакції «Норм користування мережею» (ОФІСП-008) від 20 вересня 2002 роки ( http://www.ifap.ru/as/ofisp008.htm ) Автори кілька переробили текст і додали заборону на діяльність, супутню поширення спаму, - це збір адрес і поширення програмного забезпечення для розсилки спаму.

Однак дані документи так і не увійшли в структуру законодавства Росії. Більш того, за словами автора згаданого доповіді, в Росії «до цих пір не існує модельного справи з розслідування випадків розсилки спаму. ... Наявні вироки винесені нема за саму розсилку спаму, а за супутнє діяння - створення шкідливої ​​програми ».

Як випливає з доповіді пана Альтовского, робоча група проекту «Антиспам» виступає за те, щоб дати юридичне визначення терміна «спам», і пропонує два варіанти формулювання:

  1. Формування, передача і доставка повідомлень електрозв'язку або поштових відправлень на адресу невизначеного кола користувачів послугами зв'язку способом, що виключає можливість запобігти доставку таких повідомлень, не допускається.
  2. Формування, передача і доставка повідомлень електрозв'язку або поштових відправлень на адресу невизначеного кола користувачів послугами зв'язку допускається тільки за їх ініціативою.

А поки вітчизняні юристи визначають, кого слід вважати спамерами і як залучити їх до відповідальності, з'являються все нові рішення в технічній сфері - програми по фільтрації спаму. По всій видимості, саме той, хто фільтрує спам, як раз і повинен знати визначення терміна.

Згідно з трактуванням зі статті «Спам - що це таке?» ( http://www.viruslist.com/ru/spam/info?chapter=156614548 ), Підготовленої компанією «Ашманов і партнери» (В минулому році «Лабораторія Касперського» придбала «Спамтест» - російський проект
по боротьбі зі спамом, розроблений компанією «Ашманов і партнери»): «Спам - це анонімна масова незапрошенной розсилка». Далі автори пишуть: «Не існує спамерів, які не приховували б своєї адреси, і ... тільки масові розсилки є бізнесом для спамерів і представляють проблему для користувачів. Ми не вважаємо спамом непрохане рекламний лист, наприклад запрошення на семінар, надіслане особисто директору фірми ... Ми вважаємо, що робити це відмінність необхідно - і теоретично, і практично ». Згідно з цим тлумаченням спаму, «небажана пошта» - це не завжди спам, оскільки сюди можуть входити:

  • пошта, послана помилково (технічними службами або людьми);
  • технічна кореспонденція (повідомлення про недоставку листа і інших помилках);
  • автоматичні повідомлення від антивірусних програм про віруси в відправленому з вашої адреси листі;
  • повідомлення від адміністраторів сервісів;
  • ділові пропозиції - від приватних осіб або фірм приватним особам або фірмам (наприклад, лист менеджеру корпорації від рекрутингового агентства - це не спам, хоча адреса зазвичай отримано неофіційно;
  • особисті листи від тих, з ким одержувач раніше ніколи не листувався, - від знайомих, друзів, колег і т.п.

На підставі описаного підходу можна виділити спам, який має всі ознаки анонімної масової розсилки, - це цільові комерційні пропозиції і небажана пошта.

На минулій недавно прес-конференції, присвяченій підсумкам боротьби зі спамом в 2005 році, автор цієї статті поставив питання Ганні Власової, керівнику групи спам-аналітиків «Лабораторії Касперського», про тлумачення терміна «спам». Відповідь була такою: «Поки в Росії не існує юридичного визначення спаму, ми під спамом розуміємо анонімну масову незапрошенной розсилку по електронній пошті». А оскільки в даній статті ми базувалися переважно на даних «Лабораторії Касперського», то це визначення ми і приймемо як робоче.

Тенденції розвитку спам-бізнесу

Стабілізація спам-бізнесу

Минулий рік продемонстрував подальший, хоча й невелике зростання частки спаму в електронній пошті. В абсолютних значеннях до кінця 2005 року кількість спаму зросла в 1,5-2 рази в порівнянні з аналогічним періодом 2004 року, проте з урахуванням загального зростання пошти співвідношення спаму і «нормальної» пошти змінилося незначно.

Правда, за минулий рік не було виявлено жодного принципово нового спамерського прийому - в основному спамери йдуть по шляху нарощування потужностей і розвитку зомбі-мереж. Відповідно і ринок антиспамерського ПО посилює вже наявні засоби захисту. Проте ринок спам-індустрії Рунета продемонстрував і деякі новинки в технічному плані - у спамерів з'явилися можливості для організації швидких розсилок, а швидкість розсилки зросла в три-чотири рази.

Стабілізація спам-бізнесу виражається у сталості кількісного розподілу спаму по календарним місяцям, в закріпленні списку тематичних категорій спамерських повідомлень, у визначенні етапів організації спам-розсилок.

політизація спаму

Вибори до Московської міської думи, що пройшли в грудні 2005 року, показали, що навіть локальні вибори можуть супроводжуватися масованими спам-атаками. Доходило навіть до курйозів: заклики голосувати за одного з кандидатів, адресовані в принципі тільки столичним жителям, були розіслані мільйонам російськомовних користувачів не тільки в Росії, але і в Білорусії і на Україні.

У 2005 році в Рунеті був зафіксований сплеск специфічних інформаційних спам-кампаній, спрямованих на формування громадської думки з питань внутрішньої політики держави. Прикладом може служити спам з посиланнями на відомий сайт «Кавказ-центр», який російські спецслужби нерідко називають рупором міжнародного тероризму.

Якщо подібна тенденція продовжиться, то це може мати найнесподіваніші наслідки як для розвитку електронної пошти, так і для всього мережевого співтовариства. Збільшення частки політичного спаму до серйозних величин негайно спровокує новий виток законодавчих ініціатив, спрямованих проти спамерськой діяльності.

Будучи відмінним інформаційним інструментом для будь-якого роду акцій по формуванню громадської думки, спам по ефективності впливу цілком порівнянний з телевізійною рекламою. Крім того, спам використовується як засіб дискредитації конкурентів і зниження іміджу організації або конкретної особи. Так, в минулому році спам-аналітики «Лабораторії Касперського» зафіксували в спам Рунета близько 20 «чорних» PR-кампаній. Зазвичай об'єктами нападок ставали вендори антиспамерського, антивірусного та антіхакерского ПО.

криміналізація спаму

На думку спам-аналітиків «Лабораторії Касперського», під визначення криміналізованих спам-атак підпадають:

  • фішинг і фармінг;
  • «Нігерійський» спам і пропозиції за комісійні перевести в готівку / перевести велику суму грошей;
  • фальшиві повідомлення про виграш в лотерею;
  • жебрацтво;
  • різні спроби комп'ютерного шахрайства.

Стрімке зростання електронних розсилок кримінального характеру спостерігався з кінця 2003-го до кінця 2004 року, а до кінця цього періоду частка криміналізованих спам-атак досягла 8-10% і протягом усього 2005 року залишалася на тому ж рівні, відчуваючи лише незначні коливання (рис . 1).

1)

Мал. 1. криміналізувати спам-атаки в 2005 р,% (джерело: «Лабораторія Касперського»; штрихи - 1-я і 2-я половини місяця відповідно)

Основними ознаками криміналізації спаму в минулому році були:

  • висока сумарна частка криміналізованих спам-атак (6-11%);
  • зростання кількості атак, метою яких є крадіжка фінансової інформації (фішинг-атаки);
  • поява в спам тематик кримінального бізнесу (пропозиція наркотиків, пристроїв для обману ігрових автоматів і т.п.);
  • зростання частки контрафактних і / або контрабандних товарів в спамерськой товарної рекламі;
  • використання спам-розсилок для поширення компромату і наклепу;
  • використання мереж заражених персональних комп'ютерів (зомбі-мереж) для розсилки спаму;
  • оренда серверів за вкраденими номерами кредитних карток, тобто використання кримінальних методів організації спам-атак.

Більшість криміналізованих спам-атак має на меті одержання фінансової інформації або доступу до банківського рахунку. Об'єктами атаки найчастіше є окремі користувачі. Як приклад організацій, які постійно піддаються фішинг-атак, можна назвати німецький Deutschebank, американський і російський Citibank, платіжну систему PayPal і електронну торгову систему E-bay.

У 2004-2005 роках спостерігалося стійке зростання кількості фішингових сайтів (рис. 2). Однак, коментуючи проблему фішингу, 25 січня цього року в своїй доповіді на прес-конференції, присвяченій підсумкам боротьби з електронними погрозами, Євген Касперський охарактеризував проблему фішингу як загасаючу, оскільки «більшість з тих, кого можна надути, вже надули». Іншими словами, і наївних людей стає все менше, і банки з деяких пір пояснюють своїм клієнтам способи обману. Хоча, за словами пана Касперського, іноді спрацьовують досить примітивні виверти шахраїв, тобто невелика зміна схеми фішинг-атаки приносить свої результати. Так, в одному з фішинг-листів пропонували роздрукувати прикладений бланк, заповнити його від руки, поставити підпис і відправити за вказаною факсу. До паперовому бланку і факсом у людей довіри виявилося куди більше, і їх можна зрозуміти, бо про таку форму фішингу їх ще не попереджали.

Мал. 2. Нові фішингові сайти з жовтня 2004-го по серпень 2005 р (джерело: Anti-Phishing Working Group)

Фішинг не носить масового характеру ще й тому, що такі атаки вимагають ретельної підготовки, реєстрації та оформлення підроблених сайтів, написання викликає довіри повідомлення - коротше кажучи, ця діяльність вимагає фінансових і ресурсних витрат.

Новинкою року в комп'ютерному шахрайстві можна назвати фарминг - підміну URL-сторінки (найчастіше на персональній машині користувача), в результаті якої користувач, маючи намір зайти на відомий ресурс, насправді виявляється на шахрайському сайті, який зазвичай повністю копіює зовнішній вигляд оригінальної сторінки легітимного сайту. Якщо на спамерських сайті є форми, куди потрібно вводити персональні дані, з'являється можливість крадіжки користувальницьких паролів і логінів.

Крім того, викликає занепокоєння поява в спам сфер діяльності, характерних для звичайного кримінального бізнесу, зокрема пропозицій з продажу наркотиків, електронних пристроїв, що імітують надходження грошей в ігровий автомат (пристроїв для обману ігрових автоматів), і т.п. Поки, правда, таких пропозицій небагато, але, в будь-якому випадку, кримінальний спам вийшов на новий рівень. Якщо раніше комп'ютерне шахрайство завжди маскувався під легітимну діяльність, то тепер спамери безпосередньо порушують закон і пропонують товари і послуги для протиправних діянь.

Кількісна характеристика спаму

Частка спаму в Росії становила в 2005 році від 60% (в трафіку невеликих організацій) до 85% і вище (на серверах поштових служб). Приблизно такі ж дані наводять і аналітики, які оцінюють ступінь присутності спамових листів в глобальному масштабі (рис. 3).

3)

Мал. 3. Крива розвитку спаму в світі з урахуванням впливу законодавчих заходів в 2003-2005 рр.,% (Джерело: Messagelabs)

У Росії спам-індустрія вийшла на високий кількісний рівень спам-розсилок ще в кінці 2004-го і зберегла його протягом наступного року, продемонструвавши при цьому такі тенденції, як стабілізація кількісного розподілу спаму протягом року (тобто «сплески» і «провали »в графіку спам-розсилок стають прогнозованими) і стабілізація частки спаму в поштовому трафіку (досягнуто кількісне насичення цього ринку). Кількість замовлень залежить від споживчої активності користувачів - спаму стає менше в періоди масових свят і відпусток (рис. 4).

4)

Мал. 4. Кількісний розподіл спаму в Рунеті в 2005 р,% (джерело: «Лабораторія Касперського»; штрихи - 1-я і 2-я половини місяця відповідно)

Тематична характеристика спаму

У 2005 році спостерігалася і стабілізація списку тематичних лідерів спаму: список основних категорій сформований і не змінюється протягом уже двох років. Утвердилася різниця товарних спамерських тематик в Рунеті і в західній частині Мережі, тобто російською та англійською мовами спамери рекламують різні групи товарів і послуг.

На даний момент тематичними особливостями спаму в Рунеті можна назвати наступні:

  • просування за допомогою спаму товарів і послуг, що вимагають солідних фінансових вкладень (наприклад, нерухомість і послуги з її оформлення, юридична та фінансовий супровід бізнесу, дорогі автомобілі, антикваріат тощо);
  • реклама заборонених законом товарів і послуг, що підпадає під дію кримінального кодексу (наприклад, реклама наркотиків);
  • різка активізація політичної реклами і PR-спаму.

У число товарів і послуг, типових для Рунета, входять:

  • пропозиції освітніх послуг (семінари і тренінги);
  • дрібна поліграфічна продукція (календарики, написи на сувенірах і т.п.) і послуги з її дизайну;
  • юридичні послуги;
  • нерухомість і послуги з її оформлення;
  • послуги з організації переїздів;
  • послуги з ремонту (в основному квартир).

Тематичні лідери спаму в Рунеті практично не змінилися з 2004 року. Єдине нововведення - в трійці лідерів міцно влаштувалася категорія «Комп'ютерне шахрайство», витіснивши звідти «Лікарські препарати; товари для здоров'я ». На рис. 5 представлено розподіл основних спамерських тематик в 2005 році, а на рис. 6 - розшифровка тематичної категорії «Інші товари і послуги».

6 - розшифровка тематичної категорії «Інші товари і послуги»

Мал. 5. спамерських тематика в Рунеті в 2005 р,% (джерело: «Лабораторія Касперського»)

спамерських тематика в Рунеті в 2005 р,% (джерело: «Лабораторія Касперського»)

Мал. 6. Тематичне розподіл спаму категорії «Інші товари і послуги»,% (джерело: «Лабораторія Касперського»)

Західний спам володіє особливо спеціфікою. Так, якщо в англомовній частині Інтернету дуже популярний спам з пропозиціями дешевого програмного забезпечення, то в Росії контрафактне ПЗ широко поширене і коштує дешевше, ніж у спамерів, а тому споживчого попиту в Рунеті ці пропозиції не знаходять.

На різницю в пропозиціях товарів впливає цілий ряд причин. Наприклад, важливу роль відіграє відмінність в законодавстві різних країн. За російським законодавством сьогодні спамер не несе відповідальності за розсилку спаму, а всі російські закони про рекламу стосуються змісту рекламних розсилок, але не способу доставки реклами споживачеві. Зокрема, обманювати споживача в рекламі (недобросовісна реклама), тобто розповідати про властивості товару / послуги, якими цей товар / послуга не має, не можна, але ось розсилати рекламу в мільйонах екземплярів - можна. Тому в Росії представники малого бізнесу часто не бачать відмінностей спаму від інших видів реклами. До того ж використання спаму не дуже шкодить іміджу невеликої організації і в той же час приносить солідний прибуток.

Західне ж законодавство набагато жорсткіше підходить до цього питання, тому добропорядні підприємці в США і країнах Європи намагаються обійтися без спаму, щоб не зашкодити розвитку бізнесу. В результаті в західному спам істотну частку займає реклама контрафактних товарів, а також дешевих товарів, що продаються за завищеними цінами, тобто продавці навмисно і свідомо порушують закон. Об'єктом спамерськой реклами, націленої на західний сегмент Інтернету, дуже рідко стає товар, що вимагає великого грошового вкладення, наприклад нерухомість, автомобілі тощо В спам Рунета, навпаки, частка пропозицій нерухомості в деякі тижні минулого року піднімалася до 1%, а частка пропозицій юридичних послуг становила до 2% від загального обсягу спаму. Слід зазначити, що ціни на розсилку спаму в Росії значно нижче, ніж, наприклад, в США (табл. 1).

1)

Таблиця 1. Ціни на різні види реклами в США і Росії, дол.

Зміни в розсилці спаму в порівнянні з 2004 роком

Найперший спосіб поширення спаму - це розсилка безпосередньо, тобто від власного імені і з власних поштових серверів. І як тільки подібні розсилки стали блокуватися, професійні спамери почали підробляти адреси відправників. Потім з'явилися розсилки через відкриті релеї (Mail Transfer Agent, МTА) - поштові сервери, які дозволяли безпідставного користувачеві відправити довільне електронного листа на довільну адресу. МТА передавали пошту без всяких обмежень, які з'являються, як правило, через допущені системним адміністратором сервера помилок в налаштуванні.

В середині 90-х років все поштові сервери були відкриті релеї, тому з часом в цілях боротьби зі спамом довелося змінювати програмне забезпечення на всіх поштових серверах світу. А оскільки не всі адміністратори швидко впоралися з цим завданням, то з'явилися сервіси пошуку відкритих реле, а потім і їх списки. Сьогодні цей метод розсилки все ще застосовується, адже відкриті релеї досі існують. За даними «Лабораторії Касперського», в кінці минулого року в світі налічувалося близько 225 тис. Відкритих реле, а в Росії - приблизно 2,5 тис. Список відкритих реле можна знайти за адресою ordb.org. Крім того, на цьому сайті можна прочитати наступне звернення власників ресурсу (наводимо його переклад): «ORDB.org є базою даних за відкритими реле». Сайт зберігає IP-адреси перевірених відкритих SMTP-реле, які можуть використовуватися як засіб для відправки спаму. А системні адміністратори, звернувшись до даного списку, можуть прийняти рішення про те, чи дозволити або заборонити обмін з даними серверами ».

За підсумками минулого року можна стверджувати, що, незважаючи на значну кількість відкритих реле, їх використання спамерами для організації своїх розсилок практично припинилося, що пов'язано перш за все з великою ефективністю використання мереж зомбі-комп'ютерів.

У міру того як відкриті релеї втратили ефективність, спамери почали застосовувати розсилку з dial-up-підключень. В якості заходів у провайдери стали вводити ліміти на кількість листів, надісланих від одного користувача; з'явилися списки dial-up-адрес, стала здійснюватися блокування прийому пошти з чужих модемних пулів.

На початку 2000-х років у зв'язку з поширенням високошвидкісних підключень (ADSL, Cable) спамери почали використовувати уразливості в клієнтському обладнанні. Багато ADSL-модеми мали вбудований SOCKS-сервер або HTTP proxy (програмне забезпечення, що дозволяє здійснювати поділ Інтернет-каналу між багатьма комп'ютерами). Доступ проводився без паролів і без контролю доступу, що дозволяло вести розсилку спаму з IP-адреси ADSL-користувача.

Виділений сервер - це послуга, що надається хостинг-провайдерами, що дозволяє за невелику орендну плату отримати в повне управління сервер, що належить провайдеру і вже встановлений на технологічному майданчику. Часто такі сервери можуть бути оплачені за допомогою кредитної карти і надані клієнту через 10-15 хв після оплати. Використовуючи крадені номери кредитних карт, спамери можуть орендувати такий сервер і розсилати через нього спам доти, поки власник кредитної картки не відкличе платіж або провайдер НЕ закриє доступ до сервера через скарг, що надходять на спамерських активність.

Застосування виділених серверів для розсилки спаму в минулому році також зменшилася через велику ефективність використання мереж зомбі-комп'ютерів (botnets - ботнети). Ботнет являє собою деяку кількість комп'ютерів, заражених спеціальним трояном (ботом), що об'єднує їх в єдину мережу, якою управляє господар. Модифікацій шкідливих програм, які перетворюють комп'ютери в одну з ланок зомбі-мережі, існує величезна безліч (табл. 2).

2)

Таблиця 2. Модифікації ботів (джерело: Martin Overtoil. IBM Global Sei vices)

Господар мережі зомбі-комп'ютерів може використовувати її в наступних цілях:

  • для збору інформації (номера кредитних карток, логіни і паролі для доступу до різних ресурсів, адресна книга, персональна інформація);
  • для організації DDoS-атак на сервери в Інтернеті;
  • для розсилки спаму.

Зараження персонального комп'ютера може відбуватися:

  • через уразливості в програмному забезпеченні (операційна система, браузер, поштовий клієнт);
  • за допомогою методів соціальної інженерії, за допомогою яких власника комп'ютера провокують запустити будь-яку програму без контролю її походження.

Вірус, що виробляє зараження, не завжди містить в собі всю функціональність троянської програми - він може бути всього лише початковим завантажувачем. В такому випадку відразу ж після зараження він викачує і встановлює на ПК троянську програму, що дозволяє виконувати віддалене адміністрування зараженого комп'ютера.

В організації мереж зомбі-комп'ютерів важливу роль відіграє швидке, зручне та стабільне управління, а сам канал управління повинен бути анонімним, щоб при його виявленні не можна було обчислити власника і організатора мережі. З цією метою спамери використовують різні публічні сервіси, що надають послуги без ідентифікації користувача (можливо, за невелику плату). Для забезпечення управління мережею зомбі-комп'ютерів можуть бути використані публічні IRC-сервери (Internet Relay Chat - сервери для організації чатів), на яких власник мережі створює приватний канал ( «приватну кімнату») з жорсткими параметрами доступу: її не видно іншим користувачам IRC- сервера, для входу в неї потрібно заздалегідь відомий пароль і т.п. (Рис. 7).

Мал. 7. Схема створення ботнетів (джерело: «Лабораторія Касперського»)

Після того як троянська програма встановлена ​​на ПК, вона відкриває з'єднання з IRC-сервером, на якому власник мережі створив свій приватний канал. Власник мережі може оцінити кількість заражених комп'ютерів по числу користувачів, що приєдналися до його каналу. Управління зомбі-комп'ютерами здійснюється за допомогою команд, що посилаються в приватний канал IRC-сервера власником мережі або іншою особою, якій власник мережі надав обмежений доступ до свого каналу.

Розміри зомбі-мереж коливаються від десятків до сотень тисяч заражених комп'ютерів. У жовтні минулого року голландська поліція заарештувала творців мережі, що містить 1,5 млн. Зомбі-комп'ютерів і створеної за допомогою троянської програми віддаленого адміністрування Backdoor.Win32.Codbot (або W32.Toxbot). Поки ця мережа є рекордсменом за кількістю комп'ютерів, керованих зловмисниками.

Серед спамерських розсилок, що доставили найбільше проблем в 2005 році, можна виділити два основних типи: швидкі розсилки і розсилки з використанням зворотного зв'язку. Вони розрізняються способом боротьби з регулярними оновленнями популярних антиспамерського поштових фільтрів.

Швидкі розсилки виробляються з розрахунком обігнати регулярні оновлення для популярного антиспамерського програмного забезпечення і доставити спамерські повідомлення до того моменту, коли в фільтри будуть додані сигнатури або евристики, здатні їх відловити. У 2004 році вже відзначався швидкісний стрибок в розсилках: доставка спамерських повідомлень однієї розсилки по кільком мільйонам поштових адрес стала займати кілька годин замість декількох діб. Через рік швидкість розсилок зросла ще в кілька разів, і тепер спамери здатні розіслати листи по кільком мільйонам адрес за 10-15 хв. Вийти на такі швидкості спамерам дозволило використання мереж зомбі-комп'ютерів.

Для боротьби з швидкими розсилками в минулому році стали активно використовуватися статистичні засоби визначення масових розсилок (DCC, Pyzor), доступні великим провайдерам і постачальникам популярного антиспамерського ПО. Ці кошти є досить ефективними, так як спамерські повідомлення в швидких розсилках поки або взагалі не відрізняються один від одного, або відрізняються мінімально. Отже, їх легко ідентифікувати як одну розсилку і блокувати за ознакою масовості. Але оскільки не кожна масова розсилка однакових повідомлень є спамерськой, то в найближчому майбутньому необхідно скласти білі списки джерел легальних розсилок і налагодити механізм їх поповнення і спільного використання.

Спосіб розсилки за допомогою зворотного зв'язку базується на можливостях по модифікації тексту або зовнішнього вигляду повідомлень. Спамери стежать за популярними поштовими фільтрами і за доставкою повідомлень в поштові скриньки одержувачів. А коли в якийсь момент фільтри стають здатними успішно визначати спамерських розсилку, то листи в розсилці піддаються модифікаціям.

У розсилках даного виду використовується весь спектр можливостей по генерації індивідуальних повідомлень для кожного одержувача - це і шаблони листів, і варіативні частини, і невидимий текст в HTML-частинах, і зашумлення, і словники синонімів і т.д. и т.п.

Оскільки, на відміну від швидких розсилок, швидкість тут не дуже важлива, розсилки даного виду можуть тривати до декількох днів. Поява розсилок з використанням зворотного зв'язку фактично означає, що спамери почали організовувати служби, аналогічні цілодобовим лабораторіям з аналізу спаму великих виробників антиспамерського програмного забезпечення.

Складність використовуваного спамерами програмного забезпечення рік у рік зростає. Наприклад, управління сотнями тисяч зомбі-комп'ютерів таким чином, щоб вони синхронно розсилали індивідуальні копії одного повідомлення кожному одержувачу списку розсилки, - вельми складна інженерна задача.

У 2005 році спеціалізація професіоналів по розсилці спаму стала ще більш очевидною, і тут можна виділити наступні «спеціальності»:

  • підготовка баз адрес (сюди входить як автоматична генерація адрес з подальшою перевіркою, так і збір адрес з веб-сайтів);
  • написання програмного забезпечення для розсилки спаму, створення троянських програм;
  • розробка нових технологій розсилки спаму;
  • продаж спамерських послуг;
  • підготовка рекламних оголошень (в минулому році значно збільшилася кількість професійно підготовлених рекламних повідомлень;
  • безпосередня розсилка спаму;
  • підготовка мереж зомбі-комп'ютерів.

Сьогодні практично не існує спамерів, які виконували б усі перераховані вище функції в поодинці, так як спеціалізація дозволяє, з одного боку, більш якісно виконати роботу, а з іншого - скоротити часові витрати.

У статті використані матеріали ЗАТ «Лабораторія Касперського» під назвою «Спам 2005: Додати аналітичний звіт» ( http://www.spamtest.ru/document.html?pubid= 178371715 & context = 9562 ).

КомпьютерПресс 2'2006


Що ж таке спам?
Може бути, слід пошукати юридичне тлумачення цього терміна?
Згідно з трактуванням зі статті «Спам - що це таке?
Com/ru/spam/info?
Html?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация:

Все права защищены © 2013 Производственная компания El.Od
Промышленное производство рыбной продукции