Ewolucja spamu: styczeń-czerwiec 2008

Ewolucja spamu: styczeń-czerwiec 2008

Darya Gudkova

Podsumowanie półrocza

  1. W tym roku możemy być świadkami sezonowego spadku ilości spamu.
  2. Spamerzy bardziej koncentrują się na jakości reklam.
  3. Rosyjski rynek spamu rozwija się gwałtownie.
  4. Ilość spamu z kategorii "Podrabiane produkty" znacznie wzrosła.
  5. W celu stworzenia "szumu" w tle w wiadomościach spamerzy wykorzystywali różne właściwości klientów pocztowych.

Odsetek spamu w ruchu pocztowym

W pierwszym kwartale 2008 roku udział spamu w rosyjskim Internecie wynosił średnio 85% całego ruchu pocztowego. Najmniejszy udział spamu odnotowaliśmy 3 maja (64,2%), największy natomiast 1 marca (97,8%).

 

Mimo że ilość spamu w ruchu pocztowym zmieniała się na przestrzeni pierwszych sześciu miesięcy 2008 roku, można wyróżnić kilka wyraźnych trendów. Na przykład spory odsetek spamu w styczniu spowodowany był przedłużonymi feriami zimowymi oraz spadkiem ilości legalnego ruchu pocztowego. Odsetek ten stopniowo spadał, jednak w marcu znów gwałtownie wzrósł.

W maju ilość spamu znów znacznie spadła, a niewielki wzrost odnotowany w czerwcu nie był w stanie zapobiec letniemu zastojowi w ruchu spamowym. Interesujące jest to, że w poprzednich dwóch latach sezonowy spadek spamu nie był tak znaczący: w 2007 roku ilość spamu zmniejszyła się nieznacznie, natomiast w 2006 roku nie wystąpił żaden spadek.

Sezonowe fluktuacje są czymś naturalnym w biznesie spamowym. Latem ludzie zwykle czytają mniej poczty elektronicznej, wyjeżdżają na wakacje, przez co masowe wysyłki mają mniejszy odzew. To oznacza, że w letnich miesiącach spamerzy otrzymują mniej zamówień, a ilość spamu zmniejsza się.

Jednak w ostatnich dwóch latach przemysł spamowy rozwijał się tak szybko, że żaden zauważalny letni spadek nie miał miejsca: nowe przynęty stosowane przez spamerów w celu przyciągnięcia większej liczby klientów były tak "mocne", że ilość spamu nadal rosła, nawet w letnich miesiącach. Sezonowy spadek, jaki nastąpił w tym roku, sugeruje, że rynek spamerów został nasycony i liczba klientów pozostaje na mniej więcej tym samym poziomie. Potwierdza to również spadek autoreklamy spamerów: w 2007 roku udział spamu z kategorii "Usługi reklamy elektronicznej" przekroczył 7%; w 2008 roku wynosił zaledwie 4,3%.

Typ i rozmiar wiadomości spamowych

 
Typy wiadomości spamowych

Jak widać na wykresie, większość wiadomości spamowych jest w formacie czystego tekstu. Mniejszy format oznacza możliwość szybszego rozesłania większych wysyłek. Drugim pod względem popularności formatem wykorzystywanym w spamie jest HTML. Ten typ wiadomości jest większy, jednak format HTML powoduje, że wiadomość jest o wiele bardziej atrakcyjna, oraz umożliwia wykorzystanie dodatkowych metod w celu obejścia filtrowania. Następne w kolejności są wiadomości z załączonymi obrazami (jpeg oraz gif), których łączny udział stanowi 23,9%.

Wiadomości z innymi typami załączników nie stanowiły nawet 1%. W 2007 roku spamerzy aktywnie eksperymentowali z różnymi typami załączników - pdf, fdf, exl, mp3. Eksperymenty te okazały się jednak nieskuteczne i spamerzy powrócili do bardziej konwencjonalnych typów spamu.

 
Wiadomości spamowe według rozmiaru

Nietrudno dostrzec zależność między rozmiarem a typem wiadomości spamowych. Najmniejsze są wiadomości w czystym tekście. Rozmiar wiadomości w HTML-u wynosi zwykle od 1 do 20 KB, co oznacza, że mieszczą się w trzech pierwszych kolumnach na wykresie w zależności od typu wiadomości (np. wiadomości z jednym odsyłaczem w HTML-u lub wiadomości z dużymi kolorowymi obrazami). Większe wiadomości (20 KB lub większe) to w większości wiadomości z załączonymi obrazami.

W porównaniu z końcem zeszłego roku ogólny rozkład rozmiarów znacznie się zmienił - zwiększyła się ilość wiadomości o rozmiarze 1-5 KB oraz wiadomości większych niż 50 KB, zmniejszyła się natomiast ilość wiadomości o rozmiarze 5-10 KB oraz 20-50 KB. Może bo tyć związane z dwoma przeciwstawnymi trendami. Z jednej strony, spamerzy próbują zmniejszać rozmiar wiadomości, tak aby w krótkim czasie można je było wysyłać do możliwie największej liczby użytkowników. Z drugiej strony, robią wszystko, aby ich wiadomości wyglądały dobrze i przyciągnęły potencjalnych klientów.

Szybki rozwój rosyjskiego rynku spamowego

W latach 2004-2005 rosyjscy spamerzy dopiero uczyli się od swoich zachodnich "kolegów", czerpiąc od nich technologie i techniki reklamy. Obecnie działają tak samo profesjonalnie i agresywnie jak oni. Spam w rosyjskim Internecie generowany jest w większości przez rosyjskojęzycznych spamerów, co odzwierciedla przewaga rosyjskojęzycznych wiadomości spamowych oraz wykorzystywanie aktywności botnetu do wysyłania spamu rosyjskim użytkownikom.

Rozkład spamu w rosyjskim Internecie według języka

 

Ilość rosyjskojęzycznego spamu w rosyjskim Internecie wzrasta. Podczas gdy dwa lata temu stanowił 60%, obecnie prawie 80%.

Wydaje się, że rosyjscy spamerzy maczają palce również w pozostałych 21% spamu. Ostatnio rozszerzali swoje bazy adresów e-mail wykorzystywane do rozsyłania spamu. Kilka lat temu rosyjscy spamerzy ograniczali się do wysyłania spamu do różnych miast w Rosji, a czasem do Ukrainy i Kazachstanu. Obecnie regularnie oferują wysyłanie spamu do Europy i Stanów Zjednoczonych. To oznacza, że ich usługi są dostępne zarówno dla rosyjskich biznesmenów, którzy chcą sprzedawać swoje towary i usługi za granicę, jak i zagranicznych klientów. Coraz popularniejsze są również rosyjskie usługi spamowe oferujące dostawy na cały świat. Wysyłki te zawierają również rosyjskie adresy e-mail, co oznacza, że rosyjscy użytkownicy otrzymują angielsko-języczny spam od rosyjskich spamerów. Pośrednio świadczy o tym codzienna aktywność botnetów, które działają według czasu moskiewskiego i bardziej konwencjonalne typy spamu angielsko-języcznego (np. reklamy wiagry) z rosyjskojęzycznymi nagłówkami napisanymi pismem łacińskim.

Źródła spamu w rosyjskim Internecie

 

Geograficzna lokalizacja źródeł dystrybucji spamu w rosyjskim Internecie nie jest żadną niespodzianką. Do liderów należy Rosja, Stany Zjednoczone, a następnie kraje Europy i Ameryki Łacińskiej. Interesujące jest to, że Chiny wciąż tracą pozycję jako źródło spamu - pod koniec pierwszego półrocza państwo to znajdowało się na tym samym poziomie co Ukraina.

Botnety

Poniższy diagram pokazuje rozkład zainfekowanych maszyn w pierwszej połowie 2008 roku według kraju.

 

Warto zauważyć, że w pierwszej piątce rankingu zainfekowanych maszyn nie ma Stanów Zjednoczonych, mimo że jest to drugie pod względem wielkości źródło spamu, Chiny natomiast uplasowały się na czwartym miejscu. Może to wynikać z różnic w prawodawstwie różnych państw lub możliwości wykrywania i neutralizowania botnetów - w Stanach Zjednoczonych o wiele aktywniej zwalcza się spam i spamerów niż w Chinach.

Teoretycznie botnety wysyłające spam mogą być zarządzane z dowolnego kraju na świecie, niezależnie od tego, gdzie są zlokalizowane zainfekowane maszyny. Spam w rosyjskim Internecie rozsyłany za pośrednictwem botnetów jest w większości spamem rosyjskojęzycznym. Aktywność botnetu o różnych porach dnia wskazuje, skąd pochodzi spam.

Aktywność botnetów w ciągu 24 godzin

 

Diagram ten pokazuje zachowanie trzech botnetów badanych przez analityków firmy Kaspersky Lab. Tylko 13% zainfekowanych maszyn jest zlokalizowanych w Rosji, jednak dzienna aktywność botnetów jest powiązana z czasem moskiewskim - wyraźny wzrost aktywności botnetów widoczny jest około godziny 10 rano, spadek natomiast około godziny 17-18. To sugeruje, że osoby zarządzające botnetami pracują w strefie czasu moskiewskiego.

Spam według kategorii

W pierwszej połowie 2008 roku dominowały następujące kategorie spamu:

  • Leki oraz towary i produkty związane ze zdrowiem - 27,45%
  • Edukacja - 13,86%
  • Podrabiane produkty -10,68%
  • Podróże i turystyka - 8,45%
  • Usługi reklamy elektronicznej - 4,33%

 

Dla stałych czytelników raportów spamowych pierwsza piątka będzie wyglądała znajomo, z wyjątkiem kategorii Podrabiane produkty. Reklamy podrabianych produktów (zwykle podrabiane zegarki Rolex i telefony Vertu) pojawiły się jakiś czas temu, jednak w tym roku ich ilość wzrosła do takiego poziomu, że zostały wprowadzone jako oddzielna kategoria.

 

W marcu 2008 roku kategoria ta uplasowała się na trzecim miejscu i utrzymuje się na niej do tej pory. Pojawienie się tej kategorii spowodowane było aktywnością rosyjskojęzycznych spamerów; angielskojęzyczne wiadomości spamowe z tej kategorii rozpowszechniane były już od pewnego czasu, jednak dopiero pojawienie się tego rodzaju spamu w języku rosyjskim przyczyniło się do wzrostu popularności tej kategorii.

Interesujące jest to, że kategoria "Oszustwa komputerowe" - jedna z wiodących w pierwszej połowie 2007 roku - całkowicie wypadła z pierwszej piątki i nic nie wskazuje na to, że odzyska swoją pozycję. W pierwszej połowie roku udział tej kategorii wynosił średnio zaledwie 2,54% i nigdy nie przekroczył 3%. Natomiast w pierwszej połowie 2007 roku wiadomości tego typu stanowiły średnio 6,9% i 8,6%; natomiast w 2006 roku ich udział wynosił 14,3%. Niestety spadek tej kategorii nie oznacza zmniejszenia aktywności przestępczej w Internecie. Istnieje większe prawdopodobieństwo, że ataki spamerów stały się bardziej precyzyjne, przy czym większy nacisk kładzie się na jakość niż na ilość wiadomości.

W pierwszej połowie 2008 roku spamerzy zwracali dużą uwagę na jakość autoreklamy. Odsetek reklam oferujących usługi spamerów spadł do 4,3% w porównaniu z 7,2% w 2007 roku. Jednak jakość takich reklam znacznie wzrosła, a ich repertuar obejmuje imitowanie korespondencji osobistej, nawiązywanie do popularnych zdarzeń na świecie (np. Euro 2008), a nawet wiadomości, które zostały stworzone w taki sposób, aby bardziej zainteresować użytkowników. Chcąc przyciągnąć więcej klientów i poprawić swój wizerunek, spamerzy zaoferowali pomoc w poszukiwaniu zaginionych osób. Wydaje się, że spamerzy uważają swoją działalność za całkowicie legalną, mimo że jest ona zakazana w prawie każdym kraju, łącznie z Rosją.

Metody i sztuczki spamerów

W pierwszej połowie 2008 roku spamerzy podjęli kilka prób w celu ulepszenia niektórych starych metod obchodzenia filtrów spamowych. Główny nacisk położono na zniekształcanie tekstu za pomocą "szumu" w tle. Wykorzystując znaczniki HTML, spamerzy chcieli, aby wiadomości zawierały "zakłócony" tekst, który wciąż byłby czytelny dla odbiorcy.

HTML od dłuższego czasu wykorzystywany jest przez spamerów w celu obejścia filtrów spamowych. Przy pomocy tego kodu można na przykład zmienić kolor pewnych części tekstu, aby uzyskać unikatowe wiadomości, lub zmniejszyć rozmiar wiadomości, aby były mniej widoczne (w tym przypadku, wiadomość może być odczytana przez odbiorcę, ale filtry nie mogą jej wykryć, ponieważ nieustannie zmienia się.) Spamerzy wykorzystywali również "biały tekst", tego samego koloru co tło, mimo że filtry nauczyły się blokować wiadomości z tego typu tekstem. Spamerzy wymyślili obecnie nowe metody wykorzystywania specyficznych cech klientów pocztowych.

W styczniu pojawił się spam z pseudo znacznikami HTML. Wiadomości zawierały losowo wybrane znaki umieszczone pomiędzy mniejszymi i większymi symbolami. Umieszczenie takich znaków jest wykrywane przez klienta pocztowego jako niewłaściwie zapisany znacznik i nie jest wyświetlane podczas otwierania wiadomości.

Wiadomość w formacie HTML Wiadomość widziana przez odbiorcę
чМи<gpn>ни-игруш<x>ки на
uma<eznkyjrayc>xxx.in<aogecvugxp>fo
Мини-игрушки на umaxxx.info

W lutym spamerzy zaczęli umieszczać w tekstach wiadomości znaczniki komentarze. Klient pocztowy nie pokazuje tych znaczników użytkownikowi. Wewnątrz znaczników umieszczany jest losowo wybrany tekst, a filtr spamu traktuje każdą wiadomość w wysyłce jako unikatową.

W przykładzie poniżej, oszuści nie tylko dodali losowo wybrany tekst do znaczników komentarzy, ale również ukryli właściwy odsyłacz (zaznaczony na niebiesko w lewej kolumnie) przed użytkownikami przy pomocy kodu HTML. Odbiorcy widzą odsyłacz do popularnego serwisu kartek okolicznościowych postcard.ru, jednak w rzeczywistości odsyłacz ten prowadzi do całkowicie innej strony - najprawdopodobniej zawierającej szkodliwy program.

Wiadomość w formacie HTML Wiadomość widziana przez odbiorcę

<html>
<!-- этнический тюльпан высказываться грызун -->
<!-- первобытный одновременный негодный -->f

<body>
Вам пришла виртуальная открытка.
<!-- irretrievable wei --><bR>
Для ее получения зайдите на сайт <a href="http://www.postcard.ru/card.php?289723****"><table><tr><td><a href="http://usadba.e-brest.net/card.php?fr=Bishop****&n=a-log@mail.ru">www.postcard.ru/card.php?289723****</td></tr></table></a>
и нажмите на ссылку 'получить открытку'
<!-- shitepoke bordeaux afghanistan --><br>
<!-- narcosis thrash numismatist craven --><br>
Служба рассылки открыток POSTCARD.RU
</html>

Вам пришла виртуальная открытка.
Для ее получения зайдите на сайт

www.postcard.ru/card.php?289723****

и нажмите на ссылку 'получить
открытку'
Служба рассылки открыток
POSTCARD.RU

Tłumaczenie:
Otrzymałeś kartkę elektroniczną.
Aby ją zobaczyć, odwiedź stronę
www.postcard.ru/card.php?289723****
i kliknij 'get my e-card'
serwis POSTCARD.RU

W kwietniu spamerzy zastosowali nowy chwyt polegający na losowym kodowaniu znaków w UTF-8. Klienty pocztowe wyświetlają tekst z tego typu kodowaniem jako normalny, a odbiorca bez problemu odczyta tekst, jednak filtry spamowe traktują każdą wiadomość jako unikatową, a liczniki rejestrujące liczbę takich wiadomości nie będą działały.

Wiadomość w formacie HTML Wiadomość widziana przez odbiorcę
Экслюзивные фут=1;олки от: Наша Р=#x430;ша, Камеди кл&#=430;б и Нинавижу &=x434;ом2 к праздникам на www.mnogoma&=101;k.info Экслюзивные футболки от: Наша Раша,
Камеди клаб и Нинавижу Дом2
к праздникам на www.хххmaek.info

Wniosek

W ostatnim czasie byliśmy świadkami formowania się rosyjskiego rynku spamowego. Na rynku tym, wzorem wszystkich rozwiniętych rynków, oferowane są wyspecjalizowane usługi. Różne osoby odpowiadają za różne zadania, takie jak rozwijanie oprogramowania do rozsyłania spamu, gromadzenie adresów do baz danych spamerów, obsługa klientów składających zamówienia, przygotowywanie reklam spamowych oraz rozsyłanie masowych wysyłek. Czasy, gdy spamerzy działali w pojedynkę, już minęły.

Większość rosyjskich spamerów mieszka w Moskwie i St. Petersburgu. Strefy wpływu zostały już rozdzielone pomiędzy głównych graczy i wygląda na to, że uformował się rynek stałych klientów spamu. Spamerzy próbują przyciągnąć nowych klientów poprzez oferowanie reklam lepszej jakości. Za formaty wiadomości odpowiadają nie tylko programiści, ale również specjaliści od marketingu i projektanci.

Mimo że są to profesjonaliści, zajmują się nielegalną działalnością, ponieważ w Rosji podobnie jak w innych państwach, spamowanie jest niezgodne z prawem. Jednocześnie spamerzy aktywnie współpracują z innymi cyberprzestępcami, takimi jak oszuści internetowi i twórcy wirusów. Tego rodzaju współpraca sprawia, ze spam jest bardziej niebezpieczny.

Czego możemy się spodziewać w drugim półroczu? Istnieje duże prawdopodobieństwo, że spamerzy nadal będą eksperymentowali z kodem HTML, możliwe że będą próbowali wskrzesić niektóre ze swoich starych metod i sztuczek. Nie ma wątpliwości, że jesień przyniesie wzrost ilości spamu w ruchu pocztowym - po sezonowym okresie bezczynności, aktywność spamerów z pewnością wzrośnie.

Źródło:
Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie