Лаборатория «Спамтест» понимает под спамом незапрошенные коммерческие рекламные рассылки, отвечающие требованиям массовости и анонимности. Но рядовые пользователи склонны расширять границы этого понятия, приравнивая к спаму все виды неинформативных и нежелательных сообщений — автоответы почтовых роботов, письма с вирусами и т.п., тем более что для проведения некоторых видов подобных рассылок (например, для рассылки вирусов) все чаще используется специализированное спамерское программное обеспечение.
Тенденция объединения спамерских и хакерских технологий наметилась еще в 2003 году, когда спамерское ПО впервые было применено для массированной вирусной атаки. Эта тенденция наблюдается и в нынешнем году: в первом полугодии было зафиксировано несколько вирусных атак, во время которых вирусы рассылались по электронной почте.
Эпидемии вирусов приводят к росту спамерского трафика. Они провоцируют появление большого количества не только содержащих вирусы писем, но и других видов нежелательной почты, например безобидных писем, от которых вирус был «отрезан» каким-либо антивирусом, или многочисленных автоматических отказов в доставке, информирующих пользователя о наличии вируса в корреспонденции с его машины.
Тематика коммерческих рассылок меняется в зависимости от многих факторов, например от сезона: летом спамеры предлагают кондиционеры и отдых в Турции.
Основные темы спама представлены в таблице.
По данным лаборатории «Спамтест», в первом полугодии 2004 года в спамерских потоках Рунета были отмечены несколько новых разновидностей спама. Многие из них одновременно являются неприкрытым мошенничеством (в англоязычной части Сети такие письма называются scam) — это новые разновидности «нигерийских» писем, попытки украсть логины/пароли от известных банковских систем или от почтовых ящиков и т.п.
«Нигерийские» письма — это сообщения, написанные от имени граждан стран с нестабильной экономикой. Автор такого письма обычно утверждает, что он располагает миллионами долларов, которые хранятся в обход закона, и по этой причине не может разместить деньги в банке. Ему срочно требуется счет, куда можно перечислить «грязные» деньги. В качестве вознаграждения за помощь он предлагает от 10 до 30% от заявленной в письме суммы. После того как доверчивый пользователь предоставляет автору письма доступ к своему счету, деньги с него, естественно, исчезают.
До сих пор подобные письма писались исключительно на английском языке, а в первом полугодии этого года появились аналогичные письма на русском языке. А на английском теперь эксплуатируют ситуацию, сложившуюся в российской экономике, в частности арест Михаила Ходорковского и нестабильное положение компании «Юкос». Например, в одном из писем на ломаном английском написано следующее: «... в связи с арестом г. Ходорковского мне необходимо перевести конфиденциально 10 000 000 долларов...».
Относительно новая разновидность спама — это предложения и советы по инвестированию. В большинстве случаев письмо содержит описание «биржевого лидера недели», то есть информацию о компании, которая якобы находится на подъеме стоимости акций. Фактически это попытка повлиять на предпочтения инвесторов и курс акций (очевидно, заказанная игроком фондового рынка).
В международной классификации спама подобные письма относят к мошенничеству (scam), хотя и не запрещенному юридически. Можно предположить, что большинство таких рассылок оплачены держателями акций мелких компаний, желающими, например, поднять стоимость акций до максимума и оперативно продать их, пока они снова не упали в цене.
Еще одна тематическая новинка этого года — предложения антиспамерского ПО.
Строго говоря, первые сообщения такого рода были зафиксированы почти год назад, но тогда они были единичными на фоне общего почтового трафика Рунета. Сейчас их количество стало заметным, хотя и не превышает 1% от общего объема спама.
Спамерскими эти предложения являются как по способу организации рассылки (массовая, анонимная, незапрошенная), так и по сути предложений: большинство ссылок на сайты, где пользователь должен искать антиспамерское ПО, уже недоступны к моменту получения письма или, что гораздо хуже, содержат вирусы.
Открытки «с секретом» — еще один пример тесной консолидации спамеров и создателей вирусов. В первом полугодии 2004 года было зафиксировано как минимум две рассылки с использованием спамерских технологий и спамерского ПО, маскирующихся под сообщения о доставке открытки. Если пользователь совершал переход по ссылке, указанной в сообщении, то есть хотел получить открытку, то на странице такой псевдооткрытки его ждал вирус, который пытался загрузиться на пользовательскую машину3.
Основные технологии, используемые спамерами при рассылках, остаются прежними:
· использование троянского ПО, установленного незаметно для пользователя на его компьютере;
· применение настроенных по умолчанию (то есть без пароля или с известным паролем) клиентских устройств доступа — ADSL-модемов, клиентских роутеров, WiFi-устройств, которые позволяют сразу (или после перенастройки злоумышленником) использовать пользовательские мощности для рассылки;
· использование старых добрых средств — открытых релеев, CGI-скриптов на сайтах и др., не изменившихся за последние шесть-восемь лет;
· NDR-attack (Non Delivery Report) — посылка письма с поддельным отправителем на несуществующий адрес. Отчет о недоставке, содержащий спам-сообщение, будет отправлен поддельному отправителю.
Следует, однако, отметить, что за этот период количественное соотношение описанных методов сильно изменилось. Если в прошлом году и ранее для доставки использовались в первую очередь файлообменные сети (Kazaa и подобные), то сегодня распространение происходит массово — через почтовые вирусы (Bagle, Lovgate) и через дыры в Web-браузерах.
Большинство крупных вирусных и browser-атак в последнее время носят уже явно коммерческий характер: их целью является установка на пользовательской машине троянских компонентов с последующим ее использованием в недобросовестных целях (рассылка спама, кардинг, DoS-атаки). Эти троянские компоненты, в свою очередь, принимают меры для собственной маскировки и для маскировки центра управления. Для управления могут использоваться, в частности, IRC-каналы или же просто сканирование всех поступающих на машину данных — в этом случае команды могут передаваться, например, в потоке спама.
В результате объем мощностей, доступных спамерам, резко увеличился. Сейчас наиболее мощные спамеры могут осуществлять рассылку в несколько миллионов писем в течение всего двух-трех часов, чтобы успеть до того, как среагируют компании, занимающиеся обновлением антиспам-фильтров. Компании — производители фильтров, в свою очередь, увеличивают частоту обновления баз данных.
Из прочих особенностей методов рассылки спама можно отметить пробные рассылки на публичные почтовые адреса, во время которых идет отладка доставки сквозь фильтры в режиме реального времени, и организацию фальшивых, то есть бессодержательных рассылок, которые используются для замусоривания почтового трафика и затруднения работы антиспамерского ПО.
Интересен случай с программой Darkmailer. Как выяснилось, многие спамеры использовали пиратскую версию данной программы для рассылок. А когда в начале марта эта версия перестала работать, то это привело к резкому сокращению количества спама на довольно продолжительный период7.
2.2. ОБРАТНАЯ СТОРОНА ПРОБЛЕМЫ
Миллионы пользователей, получающих ненужную им рекламу. Это явление их весьма раздражает, но, как правило, нет средств и желания судиться со спамерами - проще удалить письмо.
Тысячи предприятий, у которых просмотр ненужных писем и фильтрация спама забирает огромное количество рабочего времени сотрудников, понижая тем самым доход.
Организации, владеющих каналами связи и почтовыми серверами - рассылки спама составляют значительную долю траффика в условиях перегруженного канала, приводят к снижению числа пользователей сервисов, что негативно сказывается на бизнесе.
Отдельные крупные корпорации, занимающиеся разработкой программного обеспечения - для них разработка антиспамерского ПО является выгодным бизнесом.
Группы программистов-энтузиастов, которых спам как явление просто достал.
Представители первой группы не теряют ничего, кроме нервов, предпочитая методы пассивной защиты, которые были описаны выше. Остальные настроены перейти к активной защите:
Ужесточение правил регистрации на бесплатных почтовых серверах, откуда, по статистике, приходит основная часть спама.
Увеличение себестоимости массовых рассылок электронных сообщений, например, введением "электронных сертефикатов" или увеличением времени доставки писем пропорционально вероятности, с которым письмо может считаться спамом.
Принятие законодательных актов, направленных против спама.
Формирование общественного мнения через организацию сайтов, посвященных проблеме спама, распространение среди пользователей сведений о методах защиты от спама.
Создание спамерам психологического дискомфорта, например, подписыванием их на рассылку рекламы в бумажном виде, созданием негативного имиджа предприятиям, использующим такого рода рекламу.
Наиболее обозленные хакеры устраивают атаки на почтовые сервера и личные интернет-страницы спамеров, но это уже незаконно.
Законодательство и правоприменение
Для эффективной борьбы со спамом, безусловно, требуется правовая база — иными словами, нужны законы, регулирующие правомерность распространения информации по электронной почте и предусматривающие ответственность за незапрошенные рассылки1.