Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin, styczeń - czerwiec 2006: Raport o spamie


  • Anna Vlasova
    Szef laboratorium antyspamowego
  • Andrey Kalinin

Raport ten przedstawia analizę ilości i rodzajów spamu wykrywanego w pierwszej połowie 2006 roku oraz nowe techniki wysyłania spamu. Zawiera również prognozy dotyczące ewolucji spamu w drugiej połowie 2006 roku. Tekst przeznaczony jest zarówno dla specjalistów ds. bezpieczeństwa IT, jak i użytkowników zainteresowanych problemem spamu.

  1. Ewolucja złośliwego oprogramowania
  2. Złośliwe programy dla platform innych niż Win32
  3. Ataki internetowe
  4. Złośliwe programy dla urządzeń przenośnych
  5. Raport o spamie

Firma Kaspersky Lab analizuje średnio 300 000 - 500 000 wiadomości spamowych dziennie. Spam pochodzi z kilku źródeł: specjalistycznych pułapek przechwytujących spam, próbek z ruchu pocztowego oraz próbek dostarczanych przez klientów i partnerów. Wszystkie przychodzące wiadomości spamowe są automatycznie klasyfikowane, a część z nich analizowanych jest również ręcznie. Unikatowy system klasyfikacji spamu zawiera dane dotyczące ilości i rodzajów spamu.

Wysyłanie spamu: szczegóły techniczne

W pierwszej połowie 2006 roku technologie wykorzystywane do wysyłania spamu stale ewoluowały. Współcześni spamerzy stosują różne techniki, które obejmują:

  • Wirusy atakujące komputery PC
  • Rozproszone zarządzanie sieciami zombie
  • Systemy umożliwiające zdalne kontrolowanie komputerów PC i serwerów
  • Automatyczne generatory wiadomości e-mail działające w oparciu o szablony

Współzależność tych technik osiągnęła taki poziom, że innowacje w zakresie masowych wysyłek pojawią się prawdopodobnie dopiero za kilka miesięcy. Jednocześnie, metody wykorzystywane obecnie do wysyłania spamu ewoluują.

Do wysyłania spamu nadal wykorzystywane są:

  • Sieci komputerów zombie, tj. botnety.
  • Serwery sieciowe i luki w popularnym oprogramowaniu serwerowym.

Botnety

Większość spamu wysyłana jest poprzez botnety. Liczba botnetów stale zwiększa się, rozrastają się również same sieci. W zeszłym roku policja holenderska aresztowała twórców sieci składającej się z 1,5 miliona komputerów PC - jest to absolutny rekord. Nie oznacza to, że nie istnieją inne duże bonety, a jedynie to, że władzom nie udało się ich dotąd zlokalizować.

Obecnie osoby kontrolujące botnety odchodzą od wykorzystywania protokołu IRC na rzecz protokołu HTTP. Co więcej, scentralizowane sieci (tj. sieci posiadające kilka węzłów kontrolujących, do których mogą podłączyć się inne komputery zombie) coraz częściej posiadają centrum kontroli, które zlokalizowane jest na specjalnie wyznaczonym serwerze "odpornym na spam".

Wzrosła również popularność botnetów zdecentralizowanych, które składają się z komputerów zombie próbujących połączyć się z jak największą liczbą innych komputerów zombie. W obrębie sieci polecenia są przekazywane między jednym komputerem a innym. Sieci takie mogą być zarządzanie poprzez każdy z tworzących je komputerów.

W celu zwalczania spamu dostawcy usług internetowych dla użytkowników końcowych wprowadzili następujące ograniczenia:

  1. Zakaz wysyłania wiadomości e-mail bezpośrednio do przekaźników poczty innych niż te należące do dostawcy. W ten sposób monitorowane są wszystkie wiadomości wychodzące.
  2. Ograniczenie liczby wiadomości wychodzących wysyłanych przez jednego użytkownika w zdefiniowanym okresie czasu. W przypadku przekroczenia tego limitu, użytkownik może otrzymać całkowity zakaz albo mogą zostać zastosowane wobec niego surowe restrykcje.
  3. Filtrowanie zawartości wychodzących wiadomości e-mail za pomocą filtrów wykorzystywanych do analizowania poczty przychodzącej.

Działania te pomagają ograniczyć ilość masowych wysyłek z botnetów, które wysyłają spam bezpośrednio, albo wysyłają go w dużych ilościach z tego samego komputera. W odpowiedzi na takie zabezpieczenia spamerzy zaczęli wykorzystywać do wysyłania spamu duże ilości komputerów zombie, zmniejszając tym samym liczbę wiadomości e-mail wysyłanych z jednego komputera. Inną metodą przeprowadzania masowych wysyłek jest wysyłanie spamu z serwera pocztowego dostawcy, który identyfikowany jest poprzez skanowanie sieci lub analizę ustawień w programie pocztowym użytkownika.


1 Termin "serwer odporny na spam" odnosi się do serwerów wynajmowanych od dostawców, którzy pozwalają na wykorzystanie serwerów do wysyłania spamu i ignorują informacje od niezadowolonych klientów. Serwery takie najczęściej można znaleźć w krajach, w których nie istnieją ustawy antyspamowe.



Serwery sieciowe i luki w popularnym oprogramowaniu dla serwerów

Główny cel wykorzystywania serwerów sieciowych i luk w oprogramowaniu dla serwerów do przeprowadzania masowych wysyłek jest taki sam jak w przypadku wykorzystywania botnetów: szkodliwi użytkownicy muszą przejąć serwer, aby wykonał za nich całą brudną robotę. Jednak wyszukiwanie luk nie odnosi się tylko do komputerów osobistych, ale także do serwerów, najczęściej tych działających pod kontrolą Uniksa. Co więcej, metody wykorzystywane do infekowania i zarządzania tymi serwerami różnią się od tych stosowanych w przypadku komputerów PC, tak samo jak metody stosowane do wykorzystywania wykrytych luk.

Serwery sieciowe mogą zostać zainfekowane w następujący sposób:

  1. Analizowany jest kod źródłowy popularnego oprogramowania w celu znalezienia błędów, które pozwoliłyby na wykonanie poleceń po stronie serwera. Interpretery PHP, popularne silniki forów i blogi są głównym celem poszukiwania luk.
  2. Wyszukiwarki (takie jak Google, Yahoo itd.) mogą być wykorzystywane do szukania stron internetowych, które wykorzystują oprogramowanie zawierające luki.
  3. Luki wykorzystywane są do instalowania na serwerze skryptów, które pozwolą spamerowi na zdalne wykonanie poleceń lub zmodyfikowanie danych, do których dostęp można uzyskać za pomocą serwera sieciowego.

Po znalezieniu sposobu uzyskania dostępu do serwera można go wykorzystać do wysyłania spamu lub przeprowadzenia ataków DDoS.

Administrator systemu prawdopodobnie szybko zauważy, że serwer jest wykorzystywany w opisany wyżej sposób. Będzie mógł wtedy usunąć złośliwy kod i załatać lukę. Inne metody wykorzystywania serwerów są mniej oczywiste i obejmują osadzenie złośliwego kodu w kodzie html strony internetowej. Złośliwy kod zainfekuje następnie przeglądarki użytkowników odwiedzających stronę; oczywiście, im popularniejsze zasoby, tym więcej komputerów zagrożonych jest tym, że zostaną przekształcone w maszyny zombie za pośrednictwem luk w przeglądarce.

Spam na forach dyskusyjnych

W zeszłym roku pisaliśmy o tym, że spamerzy próbują znaleźć inne kanały niż poczta elektroniczna w celu dostarczania swoich informacji - należą do nich komunikatory internetowe (ICQ, MSN) i telefony komórkowe (SMS, MMS). Jednak to nie wszystko. Coraz większa ilość spamu przybiera teraz formę postów na popularnych forach dyskusyjnych i komentarzy w blogach.

Wcześniej ten rodzaj spamu nigdy nie był przeznaczony do czytania, ale do oszukania wyszukiwarek, tj. poprawiania pozycji reklamowanej strony poprzez dużą liczbę prowadzących do niej odnośników. Taki spam występował głównie na wymarłych forach, nad którymi administratorzy nie sprawowali żadnej opieki.

W ciągu ostatnich sześciu miesięcy zwiększyła się ilość spamu zawierającego materiały reklamowe, które mają być czytane przez użytkowników. Wiadomości te naśladują zazwyczaj standardowe posty umieszczane na forum. W przypadku tego rodzaju spamu spamerzy wybierają fora i blogi o największej liczbie odwiedzin oraz takie, których tematy są najbardziej związane z reklamowanym produktem czy usługą.

Spam graficzny

W pierwszej połowie 2006 roku na szczycie rankingów znajdował się spam graficzny. Spam graficzny oznacza masowe wysyłki, w których główna informacja zawarta jest w załączniku do wiadomości e-mail, a nie w samej wiadomości. Ilość tego rodzaju spamu rośnie. W celu tworzenia i wysyłania spamu graficznego spamerzy modyfikują oprogramowanie. Na tym obszarze pojawiły się następujące innowacje:

  1. Obracanie obrazków pod różnymi kątami.
  2. Dzielenie obrazków na fragmenty i rekonstruowanie z nich oryginalnego obrazka przy użyciu HTML-a.
  3. Graficzne reprezentacje poszczególnych liter; litery te będą różnie reprezentowane w poszczególnych mailach stanowiących część tej samej masowej wysyłki.

Nowe sztuczki mają ten sam cel co starsze metody stosowane przez spamerów w celu obejścia filtrów spamowych: uniemożliwienie modułowi filtracji wykorzystania sum kontrolnych do ustalenia, czy graficzne załączniki w pojedynczym ataku spamowym są identyczne.

Każda innowacja wymaga modyfikacji wykorzystywanego przez spamerów oprogramowania - to zaś pochłania czas, pieniądze i zasoby ludzkie. Jeśli spamerzy zaczęli pracować nad określoną technologią czy techniką, oznacza to, że dana technika czy technologia pozwala na skuteczne ominięcie filtrów antyspamowych.

Obecnie spam graficzny występuje w języku angielskim i skierowany jest głównie do użytkowników z Zachodu. Wiadomości takie oferują zazwyczaj lekarstwa, tanie oprogramowanie czy szwajcarskie zegarki.

Dwa lata temu w rosyjskim Internecie miała miejsce fala eksperymentów ze spamem graficznym. Potem jednak rosyjscy spamerzy zaprzestali takich badań, ograniczając się do technologii i metod, które stworzyli w 2004 roku.

Poniżej przedstawiamy kilka przykładów nowych trendów dotyczących spamu graficznego zaobserwowanych w pierwszej połowie 2006 roku.

1. Dwa przykłady ataku spamowego przy użyciu wykrzywionego tekstu.

2. "Zfragmentowane obrazy":
Użytkownik będzie widział następującą wiadomość:

W rzeczywistości obraz składa się z kilku mniejszych obrazków, takich jak ten:

Poniżej ta sama wiadomość, na której widoczne są fragmenty obrazu:

3. Graficzne reprezentacje poszczególnych liter

Ściśle mówiąc, nie jest to nowy trend, a próba reaktywowania starej i sprawdzonej metody. Ten trik nie był stosowany od ponad 1,5 roku, dlatego zdecydowaliśmy się powtórnie zaklasyfikować go do kategorii "nowe trendy" dla pierwszej połowy 2006 roku.

Poniżej przedstawiamy typowy przykład takiej wiadomości:

Poniżej ten sam e-mail, ale z zaznaczonymi fragmentami tekstu graficznego:

Oprócz wymienionych innowacji, w ciągu ostatnich sześciu miesięcy nie wykryto żadnych znaczących nowych technologii spamerskich; zamiast tego rozwijane są te istniejące.

Ilość spamu

Począwszy od marca 2006 roku analitycy Kaspersky Lab zauważyli, że spam stanowi stały, spory udział w ruchu pocztowym - od 75% do 78% wszystkich wiadomości e-mail.


Z danych analityków Kaspersky Lab wynika, że ten wysoki odsetek odnosi się zarówno do rosyjskiego jak i zachodniego segmentu Internetu.

Porównując dane z pierwszej połowy 2006 roku z danymi z okresu 2004-2005, można zauważyć, że dolna granica przedziału procentowego wzrosła z 73% do 75%. Wykres przedstawiający ilość spamu ukazuje równy, stopniowy wzrost, bez gwałtowniejszych wzniesień czy spadków, co jest raczej nietypowe. W latach 2003-2005 w rosyjskim Internecie nastąpiły dwa "okresowe" spadki ilości spamu, które zbiegły się z Nowym Rokiem i świętem majowym. W maju 2006 roku nie odnotowano żadnego spadku. Wygląda na to, że spam osiągnął teraz punkt nasycenia w ruchu pocztowym. Ilość spamu utrzymuje się na stabilnym, stosunkowo wysokim poziomie, który w niewielkim stopniu uzależniony jest od czynników, takich jak lokalne święta.

Kształtowanie się ilości spamu w pierwszej połowie 2006 roku można podsumować w następujący sposób:

  • W styczniu ilość spamu zmniejszyła się do 44% całego ruchu pocztowego (4-5 stycznia);
  • Następnie liczba wiadomości spamowych rosła aż do szczytowego poziomu 86,4% (14-17 lutego);
  • Nastąpiło kilka gwałtownych wahań ilości spamu, od 63,8% do 81,2%;
  • Ostatecznie ilość spamu ustabilizowała się na poziomie 75%-78%.

W ciągu ostatnich czterech miesięcy pierwszej połowy 2006 roku ilość spamu w ruchu pocztowym wahała się nieznacznie, natomiast 13 kwietnia skoczyła do 89,7%. Pod koniec pierwszego półrocza firma Kaspersky Lab odnotowała stopniowy wzrost ilości spamu, który w czerwcu stanowił 82,2%, co również jest nietypowe. Połowa lata to zazwyczaj "martwy sezon" dla spamu. Następne miesiące pokażą, czy ilość spamu powróci do zwykłego poziomu, tj. poniżej 80%.

Tematyka wiadomości spamowych

W pierwszej połowie 2006 roku do trzech głównych kategorii spamu w rosyjskim Internecie należały:

  1. Oszustwa komputerowe2
  2. Spam oferujący lekarstwa i inne produkty oraz usługi medyczne lub pseudomedyczne
  3. Spam "edukacyjny", oferujący specjalne kursy, seminaria i szkolenia


Wzrosła ilość spamu służącego do przeprowadzania oszustw komputerowych; podczas gdy w 2005 roku ten rodzaj spamu stanowił 11%, w pierwszej połowie 2006 roku - już 18,8%. Więcej szczegółów na ten temat zawiera sekcja dotycząca spamu przestępczego.

Niektóre rodzaje spamu służącego do przeprowadzania oszustw komputerowych wyróżniają się niezwykłą żywotnością: takie maile wysyłane są w regularnych odstępach czasu na miliony adresów.

Trzy najpopularniejsze, najdłuższe i najczęściej powtarzane ataki spamu to:

  1. Oferty Viagry i innych środków na zwiększenie witalności;
  2. Spam finansowy - tj. próba wpłynięcia na wartość akcji na giełdzie;
  3. Oferowanie kursów, szkoleń i seminariów dla menedżerów dotyczących zwiększenia motywacji pracowników, jak również zagadnień związanych z księgowością i podatkami.

2 Kategoria ta obejmuje phishing, wiadomości "cztery jeden dziewięć", fałszywe powiadomienia o wygranych na loterii, podrabiane towary i towary z przemytu, zachęcanie do wysyłania wiadomości tekstowych na płatne numery, itd.



Spam przestępczy

O postępującej kryminalizacji spamu świadczą następujące fakty:

  • stały wzrost ilości spamu służącego do przeprowadzania oszustw komputerowych;
  • pojawienie się nowych rodzajów oszustw, do których wykorzystywany jest spam;
  • doskonalenie znanych już rodzajów spamu z tej kategorii.

Z danych liczbowych wynika, że ilość spamu przestępczego wzrasta - w pierwszej połowie 2006 roku 18,8% spamu stanowił spam przestępczy.


Diagram pokazuje, że w pierwszej połowie 2006 roku udział spamu przestępczego w rosyjskim segmencie Internetu wahał się. W okresach, w których osiągał szczytowe wartości - trwających od 1 do 3 dni - spam przestępczy stanowił 25%. W pozostałym okresie do kategorii tej zaliczało się 13-16% całego spamu. Szczegółowe dane dotyczące tej kategorii pokazują, że ataki typu phishing stanowią połowę wszystkich ataków spamu służących do przeprowadzania oszustw komputerowych.

Niektóre rodzaje spamu przestępczego występują na całym świecie. Odnosi się to przede wszystkim do phishingu, spamu "cztery jeden dziewięć", spamu finansowego, oferowania pirackiego oprogramowania itd. Inne rodzaje spamu są specyficzne dla określonych regionów. Na przykład, udział w praniu brudnych pieniędzy (przedstawiany przez spamerów jako legalne działanie) oferowany jest tylko użytkownikom zachodniego segmentu Internetu.

Good day, Sir/Madam!

Let me introduce myself: my name is Sergey Rubinshtein and I am a financial analyst in Moscow. My specialization is analysis of Russian economics and financial markets. I frequently perform consulting projects for US financial firms. My American client's Human Resources Dept manager advised me to find an American resident to serve as an intermediary because it is easier to receive payment this way than filling out all the required paperwork to become a 1099 employee.

That's why I ask you for help in transferring consulting payments received from the US firms and will gladly compensate you with a percentage of my wages which I expect to be about $2,000 - $4,000 per week. This will become a small but recurring source of income for you for very little effort. Please contact me via e-mail if you are interested and would like to know the details.

W pierwszej połowie 2006 roku rosyjscy użytkownicy spotkali się z nowym rodzajem spamu: spam zachęcał ich do wysłania bezpłatnych wiadomości tekstowych na numer płatnej usługi. Istnieją różne rodzaje ofert, jednak cel spamerów jest zawsze taki sam: zarobienie pieniędzy kosztem użytkownika.

Analitycy z firmy Kaspersky Lab wykryli spam proponujący użytkownikowi wykreślenie go z listy mailingowej przez wysłanie wiadomości tekstowej na podany numer. Spamerzy obiecywali, że wykreślenie z bazy spamowej jest nieodpłatne, jednak wysłanie wiadomości tekstowej na wykorzystywany przez spamerów numer w rzeczywistości kosztowało użytkownika od 30 do 50 centów. W rezultacie niczego niepodejrzewający użytkownik stracił trochę pieniędzy i nadal otrzymywał spam.

Część spamu przestępczego tworzona jest w językach europejskich: angielskim, francuskim i niemieckim. Na przykład, fałszywe powiadomienia o wygranych na loterii są zazwyczaj w języku agielskim, podczas gdy spam "cztery jeden dziewięć" pisany jest najczęściej po angielsku i francusku, a podrobione zegarki i markowe torby reklamowane są także po angielsku.

Wynika to częściowo z różnic w stylu życia rosyjskich użytkowników Internetu oraz użytkowników z Zachodu - niektóre oferty nie nadają się dla rosyjskich użytkowników. Na przykład, internetowe systemy finansowe w Rosji są mniej rozwinięte niż na Zachodzie, co wyjaśnia brak rosyjskojęzycznych ofert dotyczących transakcji gotówkowych; co więcej, podrobione i nielegalnie skopiowane towary można kupić w Rosji znacznie taniej niż oferują spamerzy.

W pierwszej połowie 2006 roku pojawiły się próby przetłumaczenia niektórych popularnych wariantów spamu w języku angielskim. Obecnie próby dostosowania typowego anglojęzycznego spamu do rosyjskiego rynku występują sporadycznie. Jeśli okażą się skuteczne - tzn. jeśli spamerzy otrzymają wystarczający odzew na takie wiadomości, aby uzyskać korzyści finansowe - taki spam może regularnie pojawiać się w skrzynkach pocztowych rosyjskich użytkowników.

Wnioski

  1. Ilość spamu nadal utrzymuje się na wysokim poziomie i stanowi 75%-78% całego ruchu pocztowego. Niespodziewany wzrost nastąpił w połowie lata. Pod koniec czerwca aż 82,2% całego ruchu pocztowego stanowił spam.
  2. Najpopularniejszymi rodzajami spamu były: oszustwa komputerowe, środki farmaceutyczne (głównie Viagra i podobne specyfiki) oraz usługi edukacyjne.
  3. W Rosji pojawił się nowy rodzaj spamu-oszustwa polegający na skłanianiu odbiorców do wysyłania określonej wiadomości na numer płatnej usługi. Celem spamerów jest przelanie środków pieniężnych na własne konta osobiste.
  4. Metody wykorzystywane obecnie w celu przeprowadzania masowych wysyłek ewoluują.
  5. Spamerzy wykorzystują fora i blogi.
  6. Techniki pozwalające na wysyłane spamu graficznego są stale rozwijane.

Prognozy

  1. W drugiej połowie 2006 roku odsetek spamu w całym ruchu pocztowym nie zmniejszy się.
  2. Ataki spamu będą obejmowały więcej aspektów kryminalnych, co wynika ze wzrostu ilości spamu przestępczego w Rosji.
  3. W drugiej połowie roku trzy najpopularniejsze kategorie spamu nie zmienią się.
  4. Spamerzy nadal będą badali i wykorzystywali nowe kanały dystrybucji spamu.

Więcej informacji
Analizy
Kaspersky Security Bulletin, styczeń - czerwiec 2006: Ewolucja złośliwego oprogramowania
Kaspersky Security Bulletin, styczeń - czerwiec 2006: Złośliwe oprogramowanie dla platform innych niż Win32
Kaspersky Security Bulletin, styczeń - czerwiec 2006: Ataki internetowe
Kaspersky Security Bulletin, styczeń - czerwiec 2006: Złośliwe programy dla urządzeń przenośnych