Современные технологии спамеров

На сегодняшний день распространение спама приобрело исключительные масштабы: ежесуточно в мире рассылаются десятки миллиардов спам-сообщений (от 60 до 90 процентов всей электронной почты). Очевидно, что такие масштабы требуют существенных вложений в технологии рассылок.

Технологические цепочки

Сложились вполне устойчивые технологические цепочки действий спамеров:

1. Cбор и верификация email-адресов получателей. Классификация адресов по типам.
2. Подготовка “точек рассылки” – компьютеров, посредством которых будет рассылаться спам.
3. Создание программного обеспечения для рассылки.
4. Поиск клиентов.
5. Создание рекламных объявлений для конкретной рассылки.
6. Проведение рассылки.

Каждый отдельный шаг в этой цепочке может выполняться независимо от других.

Сбор и верификация списков адресов

Для рассылки спама необходимо иметь список адресов электронной почты потенциальных получателей (“спам-базу”, email database). Адреса в таких списках могут классифицироваться по следующим критериям:

• регион;
• вид деятельности компании (или интересы пользователей);
• принадлежность адресов пользователей к конкретной почтовой службе (Yandex, AOL, Hotmail и т. п.) или к конкретному сервису (eBay, Paypal).

Сбор адресов осуществляется следующими методами:

• подбор по словарям имен собственных, “красивых слов”, частых сочетаний “слово-цифра” (например, “jonh@”, “destroyer@”, “alex-2@”);
• метод аналогий – если существует адрес [email protected], то вполне резонно поискать Joe.User в доменах yahoo.com, aol.com, Paypal;
• сканирование всех доступных источников информации – веб-сайтов, форумов, чатов, досок объявлений, Usenet, баз данных Whois — на сочетание “слово1@слово2.слово3” (при этом на конце такого сочетания должен быть домен верхнего уровня – com, ru, info и т. д.);
• воровство баз данных сервисов, провайдеров и т. п.;
• воровство персональных данных пользователей при помощи вредоносных программ.

При сканировании доступных источников информации спамеры могут пытаться определить “круг интересов” пользователей каждого конкретного источника, что дает возможность получить тематические базы данных. В случае воровства конфиденциальных данных у провайдеров достаточно часто имеется дополнительная информация о пользователях, что тоже позволяет провести персонализацию.

Все большее распространение получает воровство персональных данных пользователей, в частности, из адресных книг почтовых клиентов (большинство адресов в которых являются действующими). К сожалению, вектор развития вредоносных программ свидетельствует, что частота их использования в целях похищения конфиденциальной информации будет увеличиваться.

Полученные адреса необходимо верифицировать, что осуществляется следующими способами:

• Пробная отправка сообщения. Как правило, это сообщения со случайным текстом, которые проходят через спам-фильтры. Анализируя ответ почтового сервера (почта принята или не принята), можно выяснить, действует ли каждый конкретный адрес из списка.
• Помещение в текст спам-сообщения уникальной ссылки на картинку, расположенную на веб-сервере. При прочтении письма картинка загружается автоматически (впрочем, во многих современных почтовых программах эта функция блокирована), а владелец сайта узнает о доступности адреса. Данный метод верифицирует не валидность адреса, а факт прочтения письма.
• Ссылка “отписаться” в спам-сообщении. Если получатель переходит по ней, то никакой отписки не происходит, а его адрес помечается как валидный. Метод верифицирует активность получателя.

Все три способа верификации не особо надежны. Соответственно, в базах данных спамеров, пользующихся ими, окажется достаточно много “мертвых” адресов.

Подготовка “точек рассылки”

На сегодняшний день профессиональная рассылка спама осуществляется тремя основными способами:

• прямая рассылка с арендованных серверов;
• использование “открытых релеев” и “открытых прокси” – сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам;
• скрытая установка на пользовательский компьютер программ (бэкдоров), предоставляющих несанкционированный доступ к его ресурсам.

Для рассылки спама с арендованных серверов необходимо иметь постоянно пополняемый набор этих серверов, поскольку их IP-адреса достаточно быстро попадают в “черные списки”.

Для эксплуатации открытых сервисов необходимо постоянно вести их поиск. Для этого пишутся и используются специальные программы, которые быстро сканируют большие участки адресного пространства Интернета.

Наибольшую популярность на сегодняшний день имеет установка бэкдоров на компьютеры обычных пользователей. Осуществляется она одним из следующих способов:

• Внедрение троянских программ в пиратское программное обеспечение: модификация распространяемых программ, включение троянской программы в “генераторы ключей”, “программы для обмана провайдеров” и т. п. Достаточно часто такие программы распространяются через файлообменные сети (eDonkey, Kazaa) либо через сайты с “варезом” (warez, пиратские копии программ).
• Использование уязвимостей в интернет-браузерах (в первую очередь в Microsoft Internet Explorer) – ряд версий таких программ содержит ошибки в проверке прав доступа, что позволяет злоумышленникам размещать на веб-сайтах компоненты, которые незаметно для пользователей скачиваются на их машины и запускаются на исполнение. Результат – открытие удаленного доступа для злоумышленника. Такие программы распространяются в основном через часто посещаемые сайты (прежде всего порнографического содержания). Летом 2004 года была замечена двухступенчатая схема – массовый взлом сайтов, работающих под управлением MS IIS, с последующей модификацией страниц на этих сайтах с включением в них вредоносного кода. Это привело к заражению компьютеров посетителей данных ресурсов вполне пристойного содержания. В ноябре 2006 года аналогичной атаке подверглись сервера, пользовавшиеся услугами хостинг-провайдера Valuehost.
• Использование вредоносных программ, распространяемых по каналам электронной почты и эксплуатирующих уязвимости в сетевых сервисах Microsoft Windows. Интенсивность попыток использования уязвимостей Windows на сегодняшний день просто чудовищна – подключенная к Интернету машина под управлением стандартной Windows XP без включенного межсетевого экрана и установленных сервисных паков оказывается зараженной в течение нескольких десятков минут.

Современные вредоносные программы являются достаточно развитыми в техническом смысле – их авторы прикладывают значительные усилия для затруднения их обнаружения (например, провайдером, клиенты которого невольно рассылают спам). Троянские компоненты могут притворяться интернет-браузерами, обращаясь на веб-сайты за инструкциями, что им делать – заниматься DoS-атакой, рассылать спам и т. п. Инструкции могут содержать указание о времени и “месте” следующего получения инструкций. Другой способ замаскированного получения команд заключается в использовании IRC.

Одно из применений ботнетов – сетей зараженных машин – сдача их в аренду (в том числе для рассылки спама). “Продаваемость” обеспечивается работой вредоносных программ по стандартным протоколам (HTTP или SOCKS-proxy) и через небольшое количество портов, что дает возможность использования данной “продукции” третьими лицами и попутно облегчает поиск зараженных машин системным администраторам.

Программное обеспечение для рассылки спама

Средняя спам-рассылка на сегодняшний день имеет объем не менее нескольких десятков миллионов сообщений, которые требуется разослать за минимальное время – до перенастройки (или обновления баз данных) спам-фильтров.

Быстрая рассылка большого количества электронных писем представляет собой технологическую проблему, решение которой требует солидных ресурсов. Как следствие, сейчас имеется относительно небольшое количество программ, удовлетворяющих требованиям спамеров-профессионалов. Данные программы:

• умеют рассылать спам как через “открытые сервисы” (почтовые релеи, прокси), так и через зараженные пользовательские машины;
• могут формировать динамический текст письма (см. ниже раздел о формировании текстов);
• достаточно точно подделывают заголовки сообщений – распознавание спама по заголовкам становится нетривиальной задачей;
• могут отслеживать валидность баз данных email-адресов;
• могут отслеживать статус сообщения для каждого отдельного адреса – и перенаправлять его через другую “точку рассылки” в случае использования на приемной стороне “черных списков”.

Такие программы оформлены либо в виде сервиса, доступного по подписке, либо как покупаемая программа.

Поиск клиентов

Судя по всему, основной способ поиска клиентов – это собственно рекламные рассылки (спам). Рекламные объявления составляют существенную долю всех нелегитимных рассылок. (Таким же образом рекламируются программы для рассылки и базы данных email-адресов.)

Формирование текста писем

На сегодняшний день простая рассылка одинаковых (или почти одинаковых) спам-писем не является эффективной. Такие письма будут обнаружены спам-фильтрами по частотности (повторяемости одинаковых сообщений); настройка фильтров по содержанию письма тоже является типичной мерой. Поэтому спам-сообщения сейчас носят индивидуальный характер, каждое последующее отличается от предыдущих. Основные технологии “индивидуализации” спамовых писем таковы:

• Внесение случайных текстов, “шума”, невидимых текстов. В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести “невидимый” текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования “спамерского трюка” и классифицировать сообщение как спам, не анализируя его текст в деталях.
• Графические письма. Рекламное сообщение можно прислать пользователю в виде графического файла, что затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст.
• “Зашумленные” графические письма. В графическое сообщение можно внести “шум”, что затруднит его анализ фильтрами.
• Фрагментирование изображения. Изображение с текстом, которое пользователи видят на экране, может состоять из нескольких фрагментов, хотя рядовой пользователь этого не замечает и на экране видит целостное изображение. Разновидностью способа является использование анимации, когда изображение содержит несколько кадров, которые накладываются друг на друга, в результате чего пользователь видит полный текст спамерского предложения.
• Перефразировка текстов. Рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст, и факт перефразировки можно установить, только имея много копий сообщения. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки.

Описанные методы поддерживаются непосредственно в программах для рассылки, поэтому использование конкретного метода “индивидуализации” спам-сообщений зависит от используемого спамерами программного обеспечения.

Спам и психология

Быстро отправить сообщение и доставить его, обойдя все фильтры – важная часть процесса рассылки спама, но не единственная. Спамерам важно добиться, чтобы пользователь прочел спам и выполнил требуемые действия (позвонил, перешел по ссылке и т.п.), поэтому они осваивают психологические способы воздействия на получателей сообщений.

В частности, чтобы привлечь внимание получателей и спровоцировать чтение писем, спамеры пытаются заставить пользователей поверить, что перед ними не спам, а личные сообщения. В начале 2006 года спамеры пользовались в основном примитивными приемами: добавляли в тему сообщения метки “RE:” или “FW:” как показатель того, что данное сообщение является ответом на предыдущую переписку или отправлено кем-то из известных адресатов. Но уже к середине года такие простые уловки дополнились более изощренной маскировкой – некоторые спамерские тексты стилистически и лексически стали оформляться как личная переписка. С целью создания у пользователя иллюзии, что письмо адресовано именно ему, такой спам часто содержит обращения типа “дружище”, “малышка” и т.п. либо не содержит обращений вовсе. Иногда в подделке под частную переписку упоминаются и имена. В любом случае, делается ставка на то, что пользователь может захотеть разобраться, откуда это письмо, не надо ли его куда-то переслать, и, как минимум, прочтет экземпляр спама.

Распространенным спамерским трюком является также использование в качестве темы письма заголовков “горячих” новостей (зачастую собственного сочинения).

Разделение труда

Как видно из вышесказанного, все основные технологические составляющие бизнеса спамеров могут быть использованы независимо друг от друга. Как следствие, в настоящее время существуют отдельные “производители” вредоносных программ, отдельные авторы программ для рассылки, специалисты по сбору адресов. Спамеры – а именно те, кто собирает с клиентов деньги и производит рассылку – могут просто арендовать необходимые им сервисы, покупать базы данных, списки рассылающих машин и использовать их. Таким образом, вход на данный рынок является делом относительно дешевым.

В то же время очевидно разделение игроков спам-рынка на профессионалов, для которых рассылка спама является основным источником дохода и которые, как правило, обладают своим инструментарием (базой данных адресов, программой для рассылки или собственным троянцем), и любителей, пытающихся заработать чуть-чуть денег.

Перспективы

Зная стоимость спам-рассылки (порядка 100 USD за миллион сообщений) и количество рассылаемых в мире сообщений (десятки миллиардов в день), несложно оценить денежный оборот на этом рынке – он составляет сотни миллионов долларов в год. В индустрии с таким оборотом не могут не появляться “компании полного цикла”, осуществляющие весь комплекс услуг “на высоком профессиональном уровне”. Единственной проблемой является криминальный характер всего бизнеса – распространение троянских программ является уголовным преступлением во всех странах, где есть минимальное количество компьютеров. Сбор персональных данных без ведома пользователей также является занятием наказуемым. С другой стороны, интегрированность дает массу неоспоримых технологических преимуществ.

По всей видимости, если подобные компании еще не появились, то возникновение их – дело ближайшего будущего. Пострадавшими окажутся, разумеется, рядовые получатели электронной почты.