Эволюция спама

Рассылки спама (нежелательной рекламы) появились в середине 90-х годов прошлого века — как только количество интернет-пользователей достигло такой величины, что рекламодатели стали заинтересованы в таких рассылках. К 1997 году начали говорить уже о «проблеме спама», в том же году появился первый черный список IP-адресов спам-машин.

Эволюция методов рассылки спама

Эволюция способов рассылки спама определялась эволюцией средств фильтрации. Как только один из методов рассылки начинает преобладать, находятся эффективные средства борьбы с ним, и спамерам приходится менять технологию. При этом, чем большей проблемой является спам, тем активнее ищутся пути противодействия, и тем быстрее меняются технологии спамеров — их бизнес растет и позволяет вкладывать больше средств в разработку.

Прямые рассылки

Спам начинался с прямых рассылок — спамеры рассылали сообщения от собственного имени с собственных почтовых серверов. Такой спам блокируется достаточно просто (по адресу почтового сервера или адресу отправителя). Как только такие блокировки стали распространенными, спамеры были вынуждены начать подделывать адреса отправителей и другую техническую информацию.

Рассылки через «открытые релеи»

Открытый релей (open relay) — это почтовый сервер, который позволяет произвольному пользователю отправить произвольное электронное письмо на произвольный адрес. В середине 90-х годов все почтовые серверы представляли собой открытые релеи, поэтому понадобилось изменять и перенастраивать программное обеспечение на всех почтовых серверах мира. Не все администраторы почтовых систем делали это достаточно быстро, поэтому появились сервисы поиска «открытых релеев», а затем и их списки (в том числе основанные на технологии DNS списки реального времени — RBL, realtime blackhole list) и блокировка приема почты с таких машин. На сегодняшний день этот метод рассылки все еще применяется, т. к. открытые релеи до сих пор существуют.

Рассылки с модемных пулов

Как только рассылки через открытые релеи перестали быть эффективными, спамеры стали применять рассылку с dialup-подключений, используя следующие возможности:

• как правило, почтовый сервер провайдера принимает почту от своих клиентов и пересылает ее дальше;
• dialup-подключение получает динамический (меняющийся после каждого нового соединения) IP-адрес, таким образом, спамер может рассылать почту со множества IP-адресов.

В качестве ответной меры провайдеры стали вводить лимиты на число писем, посланных от одного пользователя, появились черные списки dialup-адресов и блокировка приема почты с «чужих» модемных пулов.

Рассылки с proxy-серверов

В начале 2000-х годов одновременно с распространением высокоскоростных подключений (ADSL, Cable) спамеры стали использовать уязвимости в клиентском оборудовании. Многие ADSL-модемы имели встроенный SOCKS-сервер или HTTP proxy (программное обеспечение, позволяющее осуществлять разделение интернет-канала между многими компьютерами), причем доступ к ним дозволялся со всего мира без паролей и контроля доступа (для упрощения настройки конечным пользователем). Таким образом, можно было произвести любое действие (в том числе и рассылку спама) с IP-адреса ADSL-пользователя. Так как таких пользователей по всему миру — миллионы, то проблема была частично решена только усилиями производителей оборудования — открытые всему миру «посредники» последние годы в состав оборудования не входят.

Взлом пользовательских машин

В настоящее время основная масса рассылок производится с пользовательских компьютеров, на которые тем или иным способом установлено «троянское» программное обеспечение, позволяющее спамерам (и прочим недобросовестным людям) осуществлять доступ к пользовательским машинам без ведома и контроля пользователя. Для взлома пользовательских машин используются следующие методы:

• троянские программы, распространяемые вместе с пиратским ПО по файлообменным сетям (Kazaa, eDonkey и пр.);

• использование уязвимостей в различных версиях Windows и широко распространенного ПО (в первую очередь MSIE и MS Outlook) для установки бэкдоров на пользовательских компьютерах;

• email-черви последних поколений, также используемые для установки бэкдоров.

По самым скромным оценкам троянские программы установлены на нескольких миллионах машин по всему миру. На сегодняшний день эти программы достаточно хитроумны — они могут обновлять свои версии, получать инструкции с заранее подготовленных сайтов или каналов IRC, рассылать спам, осуществлять DDoS-атаки и т. п. По данным компании Return Path, 96,7% компьютеров, с которых рассылается электронная почта, контролируются спамерами, т.е. входят в так называемые зомби-сети.

Эволюция содержания писем

Появление средств обнаружения спама, основанных на анализе содержания письма (контентный анализ), привело к эволюции содержания спамерских писем — их готовят таким образом, чтобы автоматический анализ был затруднен. Как и в случае изменения методов рассылки, спамеры вынуждены бороться с антиспам-средствами.

Простые текстовые и HTML-письма

Первые спам-сообщения были одинаковыми — всем получателям рассылался один и тот же текст. Такие сообщения тривиально фильтруются (например, по частоте повторения одинаковых писем).

Персонализированные сообщения

Следующим шагом было добавление персонализации (например, «Hello, joe!» — в начале письма на адрес joe@user.com), что сделало все сообщения разными. Теперь для их фильтрации нужно было выискивать неизменяющуюся строчку и заносить ее в список правил фильтра. В качестве метода борьбы были предложены нечеткие сигнатуры — устойчивые к небольшим изменениям текста и статистические обучаемые методы фильтрации (Байесовская фильтрация и т. п.).

Внесение случайных текстов, «шума», невидимых текстов

В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести «невидимый» текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования «спамерского трюка» и отклассифицировать сообщение как спам, не анализируя его текст в деталях.

«Графические» письма

Рекламное сообщение можно прислать пользователю в виде графического файла — что крайне затруднит автоматический анализ. В качестве ответной меры появились способы анализа изображений, выделяющие из них текст.

Графический спам представляет собой самые разнообразные рассылки. Некоторая часть такого спама — это простые картинки, которые можно детектировать спам-фильтрами. Однако спамеры все больше прибегают к усложненным видам графических писем: используют картинки с зашумленным фоном, прыгающими буквами и строчками (т.е. буквы расположены неровно относительно строки), заменяют отдельные буквы на изображения, разворачивают изображение на несколько градусов, используют на картинках редкие шрифты или шрифты разного размера, пытаясь таким образом обойти спам-фильтры. При этом текст на спамерской картинке часто становится практически нечитаем, в результате получатель с трудом может оценить спамерское предложение, и основная цель рассылки не достигается (реклама не работает).

Еще один технический прием спамеров — использование анимации. Это спам, рассылаемый не в виде обычных статических «картинок» (графических вложений), а в виде анимированной графики. Спамеры используют GIF-анимацию, т.к. она распознается и автоматически воспроизводится всеми популярными браузерами. Обычно анимированный спам содержит от 2 до 4 кадров, из которых только один кадр является значимым, т.е. содержит информационную составляющую.

Спамеры регулярно предпринимают попытки обновить технологии генерации графических вложений в спаме. В первом полугодии 2007 года появилось несколько новых способов доставки и демонстрации пользователю спамерской «картинки»:

1. Размещение графических файлов на страницах бесплатного хостинга изображений (например, imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com и т.п.). В теле спамерского сообщения указывалась ссылка на URL с «картинкой». Когда получатель открывал сообщение, в большинстве популярных мейлеров изображение подгружалось с указанного URL.
2. Использование спамерской «картинки» в виде фонового изображения. Графический файл не вкладывался в сообщение, а, опять-таки, публиковался на том или ином сайте. В теле сообщений был указан только URL сайта, помещенный в тэг 'body', атрибут 'background'. В результате изображение могло автоматически подгружаться в некоторых мейлерах, а также в веб-интерфейсах части почтовых служб.
3. Спам с вложениями формата PDF. Этот вид вложений не открывается и не подгружается автоматически. Чтобы увидеть спамерский контент, пользователь должен самостоятельно открыть вложение.
4. Спам с вложением формата FDF. В некотором смысле это аналог PDF-вложений, тем более, что открыть и увидеть вложение можно с использованием все того же Adobe Acrobat Reader.

Все эти новинки оказались достаточно эффективными в момент появления, но уже спустя несколько месяцев, а иногда и недель, спам-фильтры подстроились под новые спамерские приемы.

Перефразировка текстов

Одно и то же рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст, и только имея много копий сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки.

На сегодняшний день широко используются три последних метода — далеко не все антиспам-средства могут с ними нормально бороться, что дает возможность доставлять спам тем пользователям, которые используют недостаточно продвинутые средства фильтрации.