Вирусные итоги 2006 года


Цифры и факты от «Лаборатории Касперского»

Часть II — СПАМ

Появившись более 10 лет назад, спам очень прочно обосновался в почтовом трафике и сдавать свои позиции не собирается. Постоянно оттачивая свое мастерство, спамеры изобретают всё новые методы обхода спам-фильтров и увеличивают масштабность рассылок. А всё потому, что спам — это бизнес, и пока кто-то реагирует на спам-рекламу, он будет прибыльным. Это очевидно.

Доходы спамеров считать мы не будем, лучше познакомимся с анализом их активности, проведенным специалистами «Лаборатории Касперского». Может не так страшен спам, как его малюют?

Анна Власова, руководитель группы спам-аналитиков «Лаборатории Касперского», представившая обзор основных тенденций развития спам-индустрии в 2006 году, отметила: «Проблема спама решена для конечного пользователя. Развитие антиспам-продуктов привело к тому, что конечный пользователь, если его почтовый ящик защищен, практически не видит спам». Это, конечно, не означает, что исчезла сама проблема спама, она осталась, просто в 2006 году благодаря усилиям антиспам-вендоров она переместилась на уровень выше: с уровня конечных пользователей на уровень почтовых администраторов.



На графике количественного распределения спама в Рунете в 2006 году хорошо видно, что его доля в общем почтовом трафике в течение года составляла 70-80%. Минимальное значение доли спама в Рунете — 44,1% — было зафиксировано 4 января 2006 года, а максимум составил 91% и был зафиксирован 26 ноября 2006 года. В целом график долевого распределения спама в 2006 году оказался более «сглаженным», чем в 2003-2005 гг.: он практически не содержит ярко выраженных подъемов и спадов продолжительностью более 1-2 дней. Единственный заметный спад на графике — это новогодние праздники.


Доля спама в почте Рунета


Безусловно, это усредненные данные, собранные «Лабораторией Касперского». На серверах бесплатных почтовых служб доля спама может доходить и до 90%, а на небольших корпоративных серверах, наоборот, быть довольно незначительной. Но общая картина такова — доля спама в Рунете уже не опускается ниже 50%. Это высокий процент, и характерно, что, как отмечают спам-аналитики компании, аналогичная картина наблюдается как в Рунете, так и в западном сегменте интернета.

География источников спама

Если посмотреть на географию источников спама, то среди атакующих Рунет стран-«спамеров» пальма первенства принадлежит России (22%), 20% спамовых писем рассылаются из США, 11% — из Китая (эти две страны возглавляют и мировые рейтинги стран-спамеров).


Откуда приходит спам


Тематическое распределение спама

При этом, по словам Анны Власовой, с точки зрения тематического состава принципиальных изменений на наблюдается. Основная масса спама в 2006 году в Рунете по-прежнему приходится на предложения виагры и других таблеток, а также мошенничество и рекламу тренингов.


Лидирующие тематические группы 2006 года

N Тематическая группа Спам, составляющий «ядро» этой группы %%
1 «Медикаменты; товары/услуги для здоровья» Реклама виагры, сиалиса и прочих таблеток 16%
2 «Компьютерное мошенничество» Фишинг, «нигерийские» письма, поддельные уведомления о выигрыше в лотерею и т.п. 14,3%
3 «Образование» Реклама семинаров и тренингов 13,2%
4 «Личные финансы» Предложения купить акции баснословно дешевой цене 8,6%
5 «Компьютеры и интернет» Реклама дешевого софта и картриджей для принтеров 8,3%

Все тематические категории, попавшие в список лидеров, — это по большей части англоязычный спам (за исключением группы «Образование», которая, напротив, изобилует русскоязычными предложениями). Пользователи Рунета не являются целевой аудиторией этих видов спама, и попадание таких сообщений к российским пользователям объясняется лишь тем, что спамеры, обещая заказчикам масштабные рассылки, добирают необходимые миллионы адресов по всему интернету, без учета целевых потребительских групп.


Распределение тематик спама в Рунете в 2006 году


Как вы, наверное, уже заметили, самый большой сегмент на диаграмме представлен тематической группой с расплывчатым названием «Другие товары и услуги». Именно в ней и сгруппированы предложения, типичные для Рунета и ориентированные на Рунет. В основном это товарная реклама мелких производителей и продавцов: подогреватели для автомобильных сидений, малахитовые пепельницы, бюсты Путина и его же портреты из янтарной крошки, вечные фонарики, ручки с исчезающими чернилами, приборы перевода собачьего лая на 5 языков и многое другое.

Именно этот спам и являлся своеобразной товарной спецификой Рунета в 2006 году. Долгое время он был слишком разнороден и разнообразен, чтобы выделить в нем четко очерченные тематические подгруппы, но в последнее время существенно выросло количество предложений юридических, риелторских и полиграфических услуг по отношению ко всему объему спама. Их доли, если рассматривать усредненные данные за последние три месяца 2006 года, распределились следующим образом: юридические услуги и аудит — 4%, недвижимость — 3,3%, полиграфия — 2,1%.

Размер спам-писем

Что касается размера спамовых писем, то, как и в легитимном почтовом трафике, больше всего писем — около 35% — это сообщения размером от 1 до 5 Кб. Помимо этого, популярен также спам, размер которого попадает в интервал от 10 до 20 Кб. Данное явление можно связать с рассылками «графического» спама.


Распределение размеров спамовых и легитимных писем


Технологии

«Графический» спам можно смело назвать технологическим лидером 2006 года. На его долю пришлось до 50% от всего спама. При этом сама по себе идея размещать текст спамерского послания на «картинке», а не в виде собственно текста, не нова. Еще в 2004 году появление графического «зашумленного» спама пробило серьезную брешь в антиспам-защите различных производителей, но спамеры торжествовали недолго. Компании-разработчики антиспамового программного обеспечения довольно быстро нашли способ решить эту проблему.

В 2006 году спамеры снова сделали ставку на графику. С начала года было сделано несколько попыток совершенствования технологий, использующих элементы графического представления спама. Это были замены отдельных букв в тексте их изображениями, использование на «картинках с текстом» редких шрифтов, наклон «картинки» в спамерском сообщении на несколько градусов и многое другое. Однако, как отметила Анна Власова, все эти усилия особого успеха не достигли. Пытаясь добиться обхода спам-фильтров путем экспериментов с цветом фона, шрифтами, дроблением текста на строки и т.п., к концу года спамеры зашли так далеко, что текст в некоторых письмах стал практически нечитаемым.



Более успешной находкой спамеров оказался анимированный спам, являющийся развитием «графического». Первые рассылки, использующие GIF-анимацию, были зафиксированы аналитиками «Лаборатории Касперского» в конце августа 2006 года, а пик популярности анимированного спама пришелся на сентябрь-октябрь, с ноября и до конца года количество и доля анимации резко уменьшились. За это время было отмечено несколько видов спамерских рассылок, использующих анимацию. Это и рассылки из 2-4 кадров, где только один является значимым, а остальные не несут смысловой нагрузки, и анимированные GIF-ы с 20 наслаивающимися кадрами и более, где текст рекламы разделен по разным кадрам.


Пример: три кадра из анимированного файла GIF


В настоящий момент анимированный спам создает реальные проблемы системам фильтрации. Однако поводов для пессимизма, по словам Анны Власовой, нет — с технической точки зрения, проблема не так страшна и сложна, как кажется на первый взгляд. Что же, хочется в это верить.

Помимо совершенствования формата спам-рассылок, спамеры в течение года вели также работу над уменьшением времени отдельной спам-рассылки (новейшие спамерские технологии позволяют разослать сотни тысяч сообщений всего за несколько десятков минут), а также продолжили работать с текстом, маскируя спам под личные сообщения.

В начале года спамеры пользовались в основном примитивными приемами: добавляли в тему сообщения метки RE или FW как показатель того, что данное сообщение является ответом на предыдущую переписку или отправлено кем-то из известных адресатов. Но уже к середине года эти приемы были дополнены более изощренной маскировкой.

Спамеры обратились непосредственно к тексту сообщений. Теперь некоторые спамерские тексты стилистически и лексически оформляются как личная переписка. «Часто такой спам не содержит обращений или содержит обращения вида «подруга», «малышка» и т.п., чтобы создать у пользователя иллюзию, что письмо было адресовано именно ему, — подчеркнула Анна Власова, — Иногда в подделке под личную переписку упоминаются и имена. В любом случае, пользователь может захотеть разобраться, что это за сообщение, откуда, не надо ли его куда-то переслать, и, как минимум, прочтет экземпляр спама».


Пример: подделка под личное письмо


Криминализация спама продолжается

В своем докладе Анна Власова также затронула тему продолжающейся криминализации «мусорной» почты. За прошедший год доля криминализированного спама выросла в 1,5 раза. Данная тенденция, названная экспертами еще в 2000-м году, связана с общей тенденцией криминализации интернета и такими чертами спама, как анонимность и отсутствие эффективных средств законодательного контроля.

Стоит особо отметить, что в 2006 году в Рунете появился специфический «русский» спам, который составил достойную компанию своим «английским» собратьям в тематической группе «Компьютерное мошенничество».

С завидной регулярностью предпринимаются попытки перевода «нигерийских» писем на русский язык. Пока они, правда, не являются серьезной угрозой пользователям Рунета. Все дело в использовании программ машинного перевода: несмотря на то, что все слова в письме русские, понять текст письма, а тем более отреагировать на него так, как нужно спамерам, практически нереально.



Скорее всего, по ожиданиям аналитиков «Лаборатории Касперского», спамеры продолжат попытки перевода англоязычных мошеннических писем на русский язык и даже наймут русскоговорящих «писателей», если это будет им выгодно. Но это дело будущего, а сейчас отечественные спамеры используют другие виды мошенничества, причем некоторые из них эксплуатируют исключительно российские реалии.

Так, например, российские спамеры взялись за разработку мифической идеи о существовании уязвимостей в платежных системах (WebMoney, Яндекс.Деньги и т.п.), которые позволяют переводить на счета «левые» суммы денег. Неизвестно, каково происхождение этого мифа, но сказки о «волшебных кошельках», в которые верят неопытные пользователи, похоже, принесли спамерам немалую финансовую выгоду.



Еще одна модификация идеи о «волшебных кошельках» — это «магические» SMS. Спамеры, например, предлагали отправить SMS по указанному номеру и обещали за это пополнить его счет. При отправке SMS со счета пользователя снималась определенная сумма денег, часть которой попадала на счет спамеру, а другая часть шла оператору связи за предоставленную услугу перевода. От этой операции, очевидно, счет отправившего SMS пополниться никак не мог.

Эксплуатируя SMS-сервисы, предназначенные для перевода денег со счета мобильного телефона на другой счет, спамеры изобретают и другие способы обмана доверчивых читателей рассылок. Спам-письма сообщают о псевдовыигрышах в лотереях, обещают отписать электронный ящик от спама и т.п. Для большей убедительности в рассылках иногда даже используется предупреждение, что услуга платная. Забавно? А ведь это не шутка. И пока хоть кто-то будет участвовать в погоне за легкими деньгами, потеряв бдительность в надежде получить бесплатный сыр, спамеры будут рассылать всё новые мошеннические письма.



Возвращаясь к тенденциям рынка, следует заметить также, что неожиданным для аналитиков в 2006 году стал взрывной рост «финансового» спама, призывающий покупать акции малоизвестных компаний. Причем несмотря на то, что эксперты предварительно отнесли этот спам к тематической группе «Личные финансы», этот вид рассылок явно тяготеет к криминализированному. Письма содержат недостоверную информацию и умышленно завышенную оценку потенциально возможного роста стоимости акций.



Российское законодательство делает первый шаг против спама

Жесткие временные рамки пресс-конференции оставили многие стороны проблемы спама за кадром, однако Анна Власова не могла не поднять вопрос о таком значимом событии прошедшего года, как вступление в силу с 1 июля новой редакции закона «О рекламе» РФ. Ведь в этой редакции появился раздел, регулирующий рекламу, «распространяемую по сетям электросвязи». Это значит, что спам впервые частично подпадает под действие российского законодательства.

Речь идет именно о части спама, т.к. закон «О рекламе» предназначен для регулирования отношений в сфере рекламного бизнеса и рекламных услуг. Не весь спам является рекламой (т.е. не весь соответствует определению понятия «реклама», как оно дано в тексте закона). Среди разновидностей спама есть и так называемый «политический спам», проверочные рассылки для валидации спамерских баз адресов, мошенничество и некоторые другие виды незапрошенной почты.

Спамеры отреагировали на изменения в законодательстве быстрее и активнее всех прочих пользователей Интернета. Начиная с мая 2006 года по Рунету активно распространялись спам-рассылки с рекламой собственно спамерских услуг. Основным доводом в пользу того, что необходимо заказать рассылку спама как можно быстрее, стало грядущее обновление законодательства. «Спешите заказать рассылку до вступления в силу нового закона о рекламе. Работайте в рамках законодательства», — писали спамеры. Доля рекламы собственно спамерских услуг плавно росла до начала июля, и, судя по всему, эта агитационная волна сыграла не последнюю роль в росте заказов спама в июне и июле.

Но уже к концу июля и дальше количество спама в почте уменьшилось. Возможно, заказчики спама пребывали в нерешительности и выжидали первых результатов вступления в силу поправок к закону, а возможно, они просто исчерпали рекламный бюджет на этот период. Истинную причину определить трудно даже экспертам «Лаборатории Касперского», но факт остается фактом: к концу лета 2006 года спама стало меньше, и наиболее ощутимым это уменьшение оказалось в сегменте товарной рекламы.

Вновь взявшись за активный поиск новых заказчиков, спамеры продолжили апеллировать к новому законодательству, но уже в другом ключе. Спамеры практически описывали схему работы, при которой спам-рассылка будет произведена, а законодательство не будет нарушено. В основе этой схемы, как рассказала Анна Власова, лежит формальное заключение договора на предоставление информационных услуг (а не рекламных), которые не подпадают под действие закона «О рекламе».

В сентябре 2006 года понижение доли спама в почтовом трафике остановилось, а к концу ноября доля спама выросла до 80% и более. Таким образом, закон никак не повлиял на ситуацию со спамом в России.

По словам руководителя группы спам-аналитиков «Лаборатории Касперского», причина неэффективности закона коренится в отсутствии в обновленном законодательстве реальных инструментов для его исполнения. Также нет ясности, кто и как должен предоставлять пользователю оперативную информацию по той или иной спам-рассылке, чтобы у него были документальные доказательства для обращения к судебным органам.

Проблема еще и в том, что, в отличие от западных стран, спам-реклама в России многими рекламодателями до сих пор не воспринимается как маргинальный вид рекламы. «Рекламодатели, которые обращаются к услугам спамеров, должны отдавать себе отчет в том, что они используют противозаконные средства рекламы», — подчеркнула Анна Власова.

Еще один важный момент — эффективные законы против спама — необходимая составляющая борьбы со спамом, но проблема спама носит международный характер, и наличие в одной стране даже совершенных антиспамовых законов не решит ее.

Прогнозы

Прогнозы очевидны — спам никуда не исчезнет, и его не станет существенно меньше. Как показал прошедший 2006 год, в технологическом плане антиспам-разработчики уже сейчас сумели противопоставить спамерам надежную защиту, но объем и доля спама не сокращаются. Война спамеров и антиспамеров продолжается. Последние, причем, не ждут появления принципиально новых спамерских технологий в 2007 году.

«Судя по всему, спамеры продолжат разрабатывать «графическое» направление. Но особо перспективным для спама его назвать нельзя. Крупные разработчики антиспама вполне способны закрыть это направление для спамеров», — отметила Анна Власова. Кроме того, по ее мнению, спамеры по-прежнему будут развивать технологию автоматического создания по шаблону большого количества вариантов связного текста для одной рассылки, возможно, с привлечением лингвистических алгоритмов, а не по наитию, как это делалось раньше.

Криминализация спама усилится, как в плане адаптации «англоязычных» спам-рассылок к российской действительности, так и в плане появления других специфических для Рунета видов компьютерного мошенничества.

Стоит заметить также, что спамеры все чаще будут выходить на новые «поля сражений». Наивно было бы предполагать, что растущая популярность блогов, систем мгновенного обмена сообщениями (Instant Messaging) и форумов останется незамеченной ими.







Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.