Лаборатория "Спамтест", принадлежащая компании "Ашманов и партнеры" подвела итоги исследования активности спамеров в российской части интернета в первой половине 2004 года. В опубликованном лабораторией отчете выделены три основных направления: объемы спама, качественный состав спамерских сообщений, а также обзор технических приемов, принятых на вооружение авторами рассылок. В отчете "Спамтеста" отмечается, что к концу первого полугодия 2004 года уровень спама достиг 70-80% от общего объема почтового трафика Рунета. Это несколько меньше значения, которое прогнозировали в конце 2003 года эксперты многих отечественных интернет-компаний: тогда высказывались предположения, что к концу первого полугодия 2004 года уровень спама может приблизиться к отметке 90% от всей почты Рунета. В то же время, по данным лаборатории "Спамтест", в конце 2003 года доля спама составляла 65-70% от общего объема почтового трафика. Отмечают российские борцы со спамом и развитие тенденции использования спамерских программ для распространения вирусов. В первом полугодии было зафиксировано несколько подобных вирусных атак. Именно таким образом развивались эпидемии сетевых червей Novarg, Bagle и NetSky. При этом рассылки вирусов провоцируют не только появление большого количества зараженных писем, но и "безобидных" писем, от которых вирус был "отрезан" каким-либо антивирусом, или многочисленных автоматических отказов в доставке, информирующих пользователя о наличии вируса в корреспонденции, отправленной с его машины. Все эти внешне безобидные сообщения забивают каналы связи и почтовые ящики, так что разработчикам противоспамовых фильтров приходится принимать меры и вносить образы "вирусных" писем в свои базы. Безусловным лидером спамерских тематик является тематика "Для взрослых", объединяющая предложения купить виагру и прочие средства для усиления потенции, посетить порносайты или получить к ним пароли и т.п. Этот вид спама преимущественно англоязычный, а его доля в общем объеме спама достигает 25%. На втором месте идут послания медицинской тематики, также преимущественно англоязычные. Доля подобных посланий достигает 15%. Третье место в спамерских потоках Рунета занимает тематика "Образование" (до 13%), представленная предложениями участвовать в тренингах и семинарах, пройти те или иные курсы, получить дополнительное образование. Эта самая распространенная категория русскоязычного спама. Особо в "Спамтесте" отмечают появление "нигерийских" писем "с российским акцентом", в частности на послания от подчиненных и родственников Михаила Ходорковского. О таких рассылках "Компьюлента" в свое время подробно рассказывала. Среди технических аспектов спамерских рассылок эксперты "Спамтеста" отмечают все более активное использование для проведения рассылок компьютеров, пораженных троянскими программами. Сами пользователями, как правило, даже не подозревают, что являются инструментами в руках злоумышленников. Активно используется спамерами и настроенное по умолчанию, то есть без пароля или с известным паролем клиентское сетевое оборудование: ADSL-модемы, клиентские маршрутизаторы, WiFi-устройства. Популярным остается и использование для рассылок открытых почтовых серверов и CGI-скриптов на сайтах. Наконец, спамеры часто используют так называемые NDR-атаки, когда адреса получателей спама указываются в качестве адреса отправителя, а послания направляются на несуществующие адреса. В этом случае отчет о недоставке сообщения, содержащий спамерское сообщение, попадает в ящик "отправителя", указанного организаторами рассылки. Для обхода фильтров все чаще используются письма с вложенными графическими файлами, содержащими рекламные объявления. Особое внимание обращается на так называемые мутирующие картинки, в которые при рассылке вносятся незаметные изменения. В результате каждая картинка несколькими битами отличается от любой другой в рассылке, но на взгляд никаких отличий не заметно. Такой прием активно используется спамерами для обхода фильтров, применяющих при фильтрации "жесткие" графические сигнатуры. Одновременно применяется и так называемая "испорченная графика". В каждом графическом изображении последовательно искажается несколько сегментов. Пользователь воспринимает такие изображения как "испорченные", так как фрагмент такой картинки оказывается нечитаемым, но основная рекламная информация до пользователя все же доносится. Тестовые изменения постепенно теряют популярность, так как адаптивные фильтры являются весьма эффективными при борьбе с ними. Тем не менее, модификация текста сообщения с добавлением цитат и случайных последовательностей символов и разнообразные HTML-трюки (невидимый текст и и т.п.) очень активно эксплуатируются спамерами.
Объем спама в российском почтовом трафике достигает 80%
Лаборатория "Спамтест" подвела итоги исследования активности спамеров в российской части интернета в первой половине 2004 года.
Начать дискуссию