Технологии спамеров

На сегодняшний день рассылка спама приобрела исключительные масштабы — ежесуточно в мире рассылаются десятки миллиардов спам-сообщений (от 60 до 90 процентов всей электронной почты). Такие масштабы требуют существенных вложений в технологию рассылок.

Технологические цепочки

Сложились вполне устойчивые технологические цепочки действий спамеров:

1. Cбор и верификация email-адресов получателей. Классификация адресов по типам.
2. Подготовка «точек рассылки» — компьютеров, через которые будет рассылаться спам.
3. Создание программного обеспечения для рассылки.
4. Поиск клиентов.
5. Создание рекламных объявлений для конкретной рассылки.
6. Произведение рассылки.

Каждый отдельный шаг в этой цепочке может выполняться независимо от другого.

Сбор и верификация списков адресов

Для рассылки спама необходимо иметь список адресов электронной почты потенциальных получателей («спам-базу», email database). Адреса в таких списках могут иметь дополнительную информацию:

• регион;
• вид деятельности компании (или интересы пользователей);
• список адресов пользователей конкретной почтовой службы (Yandex, AOL, Hotmail и т. п.) или конкретного сервиса (eBay, Paypal).

Сбор адресов осуществляется следующими методами:

• подбор по словарям имен собственных, «красивых слов», частых сочетаний «слово-цифра» (например, «jonh@», «destroyer@», «alex-2@»);
• метод аналогий — если существует адрес Joe.User@hotmail.com, то вполне резонно поискать Joe.User в доменах yahoo.com, aol.com, Paypal;
• сканирование всех доступных источников информации — веб-сайтов, форумов, чатов, досок объявлений, Usenet, баз данных Whois на сочетание «слово1@слово2.слово3» (при этом на конце такого сочетания должен быть домен верхнего уровня — com, ru, info и т. д.);
• воровство баз данных сервисов, провайдеров и т. п;
• воровство персональных данных пользователей при помощи компьютерных вирусов и прочих вредоносных программ.

При сканировании доступных источников информации (способ 3) можно пытаться определить «круг интересов» пользователей данного источника, что дает возможность получить тематические базы данных. В случае воровства данных у провайдеров достаточно часто имеется дополнительная информация о пользователе, что тоже позволяет провести персонализацию.

Все большее распространение получает воровство персональных данных пользователей — как адресных книг почтовых клиентов (большинство адресов в которых — действующие), так и других персональных данных. К сожалению, массовые вирусные эпидемии последних лет показывают, что распространенность антивирусных средств недостаточна, следовательно, частота использования данного способа сбора персональных данных будет расти.

Полученные адреса нужно верифицировать, что осуществляется следующими способами:

• Пробная посылка сообщения. Как правило, это сообщения со случайным текстом, которые проходят через спам-фильтры. Анализируя ответ почтового сервера (почта принята или не принята), можно выяснить, действует ли каждый конкретный адрес из списка.
• Помещение в текст спам-сообщения уникальной ссылки на картинку, расположенную на WWW-сервере. При прочтении письма картинка будет загружена (во многих современных почтовых программах эта функция блокирована), а владелец сайта узнает о доступности адреса. Метод верифицирует не валидность адреса, а факт прочтения письма.
• Ссылка «отписаться» в спам-сообщении. Если получатель нажимает на эту гиперссылку, то никакой отписки не происходит, а его адрес помечается как валидный. Метод верифицирует активность получателя.

Все три способа верификации не слишком хороши, соответственно, в базах данных адресов электронной почты будет достаточно много «мертвых» адресов.

Подготовка «точек рассылки»

На сегодняшний день профессиональная рассылка спама осуществляется тремя основными способами:

• прямая рассылка с арендованных серверов;
• использование «открытых релеев» и «открытых прокси» — сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам;
• скрытая установка на пользовательских компьютерах программного обеспечения, позволяющего несанкционированный доступ к ресурсам данного компьютера (бэкдоров).

Для рассылки спама с арендованных серверов необходимо иметь постоянно пополняемый набор этих серверов. Они достаточно быстро попадают в черные списки IP-адресов, следовательно, рассылать спам таким образом можно только на тех получателей, почтовые сервисы которых не используют черные списки.

Для использования открытых сервисов необходимо постоянно вести поиск таких сервисов — для этого пишутся и используются специальные программы, которые быстро сканируют большие участки адресного пространства интернета.

Наибольшую популярность на сегодняшний день имеет установка бэкдоров на компьютерах обычных пользователей. Это осуществляется одним из следующих способов:

• Включение троянских программ в пиратское программное обеспечение: модификация распространяемых программ, включение троянской программы в «генераторы ключей», «программы для обмана провайдеров» и т. п. Достаточно часто такие программы распространяются через файлообменные сети (eDonkey, Kazaa) либо через сайты с «варезом» (warez, пиратские копии программ).
• Использование уязвимостей в интернет-браузерах (в первую очередь, Microsoft Internet Explorer) — ряд версий таких программ содержит ошибки в проверке прав доступа, что позволяет разместить на веб-сайте компоненты, которые будут незаметно для пользователя скачаны и выполнены на его компьютере, после чего на компьютер пользователя будет открыт удаленный доступ для злоумышленников. Такие программы распространяются в основном через часто посещаемые сайты (прежде всего порнографического содержания). Однако летом 2004 года была замечена двухступенчатая схема — массовый взлом сайтов, работающих под управлением MS IIS и модификация страниц на этих сайтах с включением в них вредоносного кода, что привело к заражению компьютеров пользователей, посещавших эти сайты (обычного содержания). В ноябре 2006 года аналогичной атаке подверглись сервера, пользовавшиеся услугами хостинг-провайдера Valuehost.
• Использование компьютерных вирусов, распространяемых по каналам электронной почты и использующих уязвимости в сетевых сервисах Microsoft Windows: интенсивность попыток использования уязвимостей Windows на сегодняшний день просто чудовищна — подключенная к Интернету машина под управлением стандартной Windows XP без включенного межсетевого экрана и установленных сервисных паков оказывается зараженной в течение нескольких десятков минут.

Современные вредоносные программы являются достаточно развитыми в техническом смысле — их авторы прикладывают значительные усилия для затруднения их обнаружения со стороны (например, провайдером, клиенты которого рассылают спам незаметно для себя). Троянские компоненты могут притворяться интернет-браузером, обращаясь на веб-сайты за инструкциями, что им делать — заниматься DoS-атакой, рассылать спам и т. п. (более того, инструкции могут содержать указание о времени и «месте» следующего получения инструкций). Другой способ замаскированного получения команд заключается в использовании IRC.

С другой стороны, одно из применений зараженных машин — это сдача их в аренду (например, для рассылки спама). Требование «продаваемости» списка приводит к тому, что вредоносные программы работают по стандартным протоколам (HTTP или SOCKS proxy) с номерами портов из небольшого списка, что дает возможность их использования третьими лицами и одновременно облегчает поиск зараженных машин системными администраторами.

Программное обеспечение для рассылки спама

Средняя спам-рассылка имеет на сегодняшний день объем не менее нескольких десятков миллионов сообщений. Эти сообщения требуется разослать за небольшое время, чтобы успеть произвести рассылку до перенастройки (или обновления базы данных) антиспам-фильтров.

Быстрая рассылка большого количества email-сообщений является технологической проблемой, решение которой требует достаточно больших ресурсов. Как следствие, на рынке имеется относительно небольшое количество программ, удовлетворяющих требованиям спамеров-профессионалов. Эти программы на сегодняшний день:

• умеют рассылать как через «открытые сервисы» (почтовые релеи, proxy), так и через зараженные пользовательские машины;
• могут формировать динамический текст письма (см. ниже раздел о формировании текстов);
• достаточно точно подделывают заголовки сообщений — распознавание спама по заголовкам становится нетривиальной задачей;
• могут отслеживать валидность баз данных email-адресов;
• могут отслеживать статус сообщения на каждый отдельный адрес — и перепосылать его через другую «точку рассылки» в случае использования на приемной стороне черных списков.

Такие программы оформлены либо в виде сервиса, доступного по подписке, либо как отчуждаемая (покупаемая) программа.

Поиск клиентов

Судя по всему, основной способ поиска клиентов — это собственно рекламные рассылки (спам). Такие рекламные объявления составляют существенную долю всего спама. Таким же образом рекламируются и другие относительно легальные сервисы, например, программы для рассылки и базы данных email-адресов.

Формирование текста писем

На сегодняшний день простая рассылка одинаковых (или почти одинаковых) спам-сообщений не является эффективной. Такие письма будут обнаружены многочисленными фильтрами по частотности (повторяемости одинаковых сообщений) — настройка фильтров по содержанию письма тоже является тривиальной. Поэтому спам-сообщения сейчас — индивидуальны, каждое следующее отличается от предыдущих. Основные технологии «индивидуализации» сообщений таковы:

• Внесение случайных текстов, «шума», невидимых текстов. В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести «невидимый» текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования «спамерского трюка» и отклассифицировать сообщение как спам, не анализируя его текст в деталях.
• Графические письма. Рекламное сообщение можно прислать пользователю в виде графического файла — что крайне затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст.

• Изменяющиеся графические письма. В графическое сообщение можно внести «шум», что затруднит его анализ фильтром.

• Фрагментирование изображения. Изображение с текстом, которое пользователи видят на экране, может состоять из нескольких фрагментов, хотя рядовой пользователь этого не замечает и на экране видит целостное изображение. Разновидностью является использование анимации, когда изображение содержит несколько кадров, которые накладываются друг на друга и в итоге пользователь видит полный текст спамерского предложения.
• Перефразировка текстов. Одно и то же рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст, и только имея много копий сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки.

Эти методы поддерживаются непосредственно в программах для рассылки, поэтому использование конкретного метода индивидуализации сообщений зависит от используемого программного обеспечения.

Спам и психология

Однако быстро отправить сообщение и доставить его, обойдя все фильтры, — важная часть процесса рассылки спама, но не единственная. Спамерам важно добиться, чтобы пользователь прочел спам и выполнил требуемые действия (позвонил, перешел по ссылке и т.п.), поэтому они осваивают психологические способы воздействия на получателей сообщений. В частности, чтобы привлечь их внимание и спровоцировать чтение писем, спамеры пытаются заставить получателей поверить, что перед ними не спам, а личные сообщения. В начале 2006 года спамеры пользовались в основном примитивными приемами: добавляли в тему сообщения метки RE или FW как показатель того, что данное сообщение является ответом на предыдущую переписку или отправлено кем-то из известных адресатов. Но уже к середине года такие «простые» приемы дополняются более изощренной маскировкой — некоторые спамерские тексты стилистически и лексически оформляются, как личная переписка. Часто такой спам не содержит обращений или содержит обращения вида «подруга», «малышка» и т.п., чтобы создать у пользователя иллюзию, что письмо было адресовано именно ему. Иногда в подделке под личную переписку упоминаются и имена. В любом случае, пользователь может захотеть разобраться, что это за сообщение, откуда, не надо ли его куда-то переслать, и, как минимум, прочтет экземпляр спама.

Другим приемом социального инжиниринга является использование для темы спамерских писем «горячих» новостей (зачастую собственного сочинения).

Разделение труда

Как видно из вышесказанного, все основные технологические составляющие бизнеса спамеров могут быть использованы независимо. Как следствие, в настоящее время существуют отдельные «производители» вирусов и троянских компонент, отдельные авторы программ для рассылки, отдельные сборщики адресов. Спамеры — а именно те, кто собирает с клиентов деньги и производит рассылку — могут просто арендовать необходимые им сервисы, покупать базы данных, списки рассылающих машин и использовать их. Таким образом, вход на данный рынок является относительно дешевым.

В то же время, очевидно разделение рынка на профессионалов (которые, как правило, обладают чем-то своим: базой данных адресов, или программой для рассылки, или собственным вирусом), для которых спам является основным источником дохода, и любителей, пытающихся заработать чуть-чуть денег.

Перспективы

Зная стоимость спам-рассылки (порядка 100 USD за миллион сообщений) и количество рассылаемых в мире сообщений (десятки миллиардов в день), несложно оценить денежный оборот на этом рынке: он составляет сотни миллионов долларов в год. В индустрии с таким оборотом должны появляться «компании полного цикла», осуществляющие весь комплекс услуг «на высоком профессиональном уровне». Единственной проблемой является криминальность всего бизнеса — распространение троянских программ является уголовным преступлением во всех странах, где есть минимальное количество компьютеров. Сбор персональных данных без ведома пользователя тоже является наказуемым.

По всей видимости, если подобные вертикальные компании еще не появились, то появление их — дело ближайшего будущего.