Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2006: Spam

Tagi:

Andrey Kalinin
Anna Vlasova

  1. Ewolucja szkodliwego oprogramowania
  2. Szkodliwe oprogramowanie dla systemów uniksowych
  3. Mobilne szkodliwe oprogramowanie
  4. Ataki internetowe
  5. Spam w 2006 roku

Podsumowanie roku 2006

  1. Udział procentowy spamu w rosyjskim segmencie Internetu waha się w granicach 70 - 80%. Najniższą wartość (44,1%) zanotowaliśmy 4 stycznia 2006 r., natomiast najwyższą (91%) 26 listopada 2006 r.
  2. Większość spamu wysłanego do rosyjskich użytkowników Internetu pochodzi z Rosji, Stanów Zjednoczonych oraz Chin.
  3. Spamerzy intensywnie wykorzystują technologie graficzne.
  4. Spamerzy kontynuują trend ukrywania spamu pod postacią wiadomości wysyłanych bezpośrednio do odbiorców. Ma to skłaniać użytkowników do uważnego czytania całych wiadomości a nawet do podejmowania sugerowanych przez spamerów działań (dzwonienie na podany numer telefonu, klikanie odsyłaczy itp.).
  5. Treść spamu różni się w zależności od języka w jakim jest rozsyłany:
    • Spam w języku rosyjskim zawiera oferty usług edukacyjnych oraz różnego rodzaju dóbr (od popiersia Putina po urządzenia interpretujące szczekanie psów);
    • Spam w języku angielskim zawiera ogłoszenia giełdowe, reklamy Viagry i taniego oprogramowania.
  6. Usługi prawne pojawiają się jako nowa kategoria rosyjskiego spamu.
  7. Udział spamu przestępczego zwiększa się. Spamerzy z rosyjskiego segmentu Internetu wykorzystują usługi komunikacji tekstowej.

Kaspersky Lab codziennie otrzymuje i analizuje około 300 000 - 600 000 wiadomości typu spam. Czasami liczba ta sięga miliona. Spam ten pochodzi z różnych źródeł, łącznie ze specjalnymi pułapkami, partnerami i użytkownikami rozwiązań Kaspersky Lab. Oznacza to, że analitycy spamu mają do czynienia z różnymi typami wiadomości. Cały przychodzący ruch spamowy podlega automatycznej klasyfikacji. Ponadto, niektóre wiadomości są analizowane ręcznie.

Spam: 70 - 80% całego ruchu pocztowego

W ubiegłym roku spamerzy pokazali, że nie mają zamiaru iść na żadne ustępstwa. Analitycy spamu z Kaspersky Lab uznają za spam "masowo wysyłane niechciane wiadomości docierające do użytkowników poprzez elektroniczne kanały wymiany informacji, a przede wszystkim przez pocztę elektroniczną". Biorąc pod uwagę tę definicję można zauważyć, że spam stanowi przynamniej 70% całego ruchu pocztowego.


Wykres przedstawia wartości uśrednione. Udział spamu w darmowych usługach e-mail - ulubionym celu spamerów - jest często znacznie wyższy, podczas gdy w korporacyjnych systemach pocztowych obserwuje się znacznie mniej niechcianych wiadomości. Jednak, średnia objętość spamu w 2006 roku nigdy nie spadła poniżej 50%.

Najniższą wartość (44,1%) zanotowaliśmy 4 stycznia 2006 r., natomiast najwyższą (91%) 26 listopada 2006 r. Dane z poszczególnych miesięcy widoczne na wykresie są znacznie bardziej zrównoważone niż w przypadku statystyk z lat 2003 - 2005, które charakteryzowały się dużymi skokami w górę i w dół. W 2006 roku jedyny wyraźny spadek możemy zaobserwować w okolicy stycznia.

Statystyki:

  • W styczniu udział spamu w ruchu pocztowym osiągnął rekordowo niską wartość 44% (4-5 stycznia);
  • Bardzo szybko nastąpił gwałtowny wzrost objętości spamu do 86,4% (14-17 lutego);
  • W kolejnych dniach lutego objętość spamu wahała się między 63,8% a 81,2%;
  • W okresie marzec - połowa listopada objętość spamu ustabilizowała się na poziomie 70 - 80%;
  • Niewielki wzrost objętości spamu zanotowaliśmy w czerwcu;
  • Od połowy listopada do końca 2006 roku udział spamu utrzymywał się na poziomie 80%, a 26 listopada zanotowaliśmy jest wartość szczytową: 91%.

Rozmiar wiadomości zawierających spam

Podobnie jak w przypadku wszystkich wiadomości e-mail, rozmiary spamu różnią się:


Około 35% spamu oraz legalnych wiadomości e-mail posiada rozmiar z przedziału 1 - 5 KB. Druga wyraźna kategoria obejmuje 28,4% spamu, którego rozmiar waha się od 10 do 20 KB. Zjawisko to nie ma odzwierciedlenia w legalnych wiadomościach e-mail. Powodem występowania dużej liczby wiadomości spamowych o rozmiarze 10-20 KB jest wykorzystywanie przez spamerów technik graficznych (więcej informacji na ten temat znajduje się w dalszej części raportu).

Rozmiar większości spamu (95,6%) zawiera się w przedziale od 5 do 40 KB. W spamie występuje znacznie mniej małych wiadomości niż w przypadku legalnej korespondencji elektronicznej. Mała wiadomość posiada rozmiar mniejszy niż 1 KB (1% spamu, 13,7% legalnych wiadomości). Rozmiar dużej wiadomości to 80 KB i więcej (3,4% spamu, 16,3% legalnych wiadomości).

Skąd pochodzi spam?


Spam docierający do rosyjskiego segmentu Internetu pochodzi głównie z trzech krajów: Rosji (22%), Stanów Zjednoczonych (20%) oraz Chin (11%). Warto wspomnieć, że Stany Zjednoczone i Chiny należą do światowej czołówki dostawców spamu.

Technologie wykorzystywane przez spamerów w 2006 roku

Większość technologii służących do generowania i wysyłania spamu nie uległa dużym zmianom w 2006 roku:

  • Do masowego wysyłania spamu wykorzystywane są przede wszystkim botnety - sieci zainfekowanych komputerów (tzw. maszyn zombie). Większość maszyn zombie to komputery domowe.
  • Triki wykorzystywane przez spamerów w celu oszukania oprogramowania antyspamowego w dalszym ciągu obejmują automatyczne generowanie tekstu w oparciu o predefiniowane szablony, używanie formatu HTML do ukrywania treści, załączanie plików zawierających treść spamu w postaci graficznej.

Poniższy wykres prezentuje rozkład maszyn zombie ze względu na kraje, w których się znajdują:


Pod względem liczby maszyn zombie dostarczających spam do użytkowników rosyjskiego segmentu Internetu Rosja znalazła się na 3 miejscu, za Stanami Zjednoczonymi i Chinami. Powodem może być to, że w Rosji szerokopasmowym dostępem do Internetu dysponują wyłącznie mieszkańcy dużych miast. Spamerzy nie mają dużego pożytku z komputerów domowych, które nie są wyposażone w szybkie łącze internetowe. Maszyny takie nie mogą być dobrą platformą do wysyłania spamu.

2006: Rok spamu graficznego

Mimo że w 2006 roku nie zaobserwowaliśmy żadnych poważnych zmian w technologiach wykorzystywanych przez spamerów, pojawiło się kilka innowacji: spamerzy znacznie udoskonalili metody masowego wysyłania załączników graficznych. Pomysł umieszczania spamu w grafice, zamiast w postaci tekstu, nie jest nowy. Pierwsze próby wykorzystywania tej techniki zarejestrowano w latach 2003-2004. Nie była ona jednak popularna ze względu na duże zasoby wymagane do tworzenia różnych obrazków. Spamerzy zwrócili się w kierunku formatu HTML.

W 2005 roku głównym celem spamerów było omijanie filtrów antyspamowych poprzez zwiększenie częstotliwości masowych wysyłek wiadomości. Jednak, już w 2006 roku większość rozwiązań antyspamowych reagowało na spam znacznie szybciej niż rok wcześniej. Spamerzy postanowili powrócić do starych metod i udoskonalić je tak, aby każda generowana wiadomość była unikatowa.

W 2006 roku spamerzy ponownie zaczęli wykorzystywać mechanizmy graficzne, jednak tym razem na skalę pozwalającą nazwać ten rok "rokiem spamu graficznego".

Spamerom udało się pomyślnie wprowadzić w życie dwie technologie:

  • modyfikacja graficznych załączników w obrębie jednej masowej wysyłki spamu (parametry załącznika zawierającego graficzną treść spamu były modyfikowane indywidualnie dla każdej z wiadomości e-mail);
  • spam animowany.

Poza udoskonalaniem technik masowych wysyłek, w 2006 roku spamerzy pracowali nad zredukowaniem czasu potrzebnego do wysyłania spamu. Najnowsze mechanizmy pozwalają spamerom na wysyłanie setek tysięcy wiadomości w ciągu niecałej godziny. Spamerzy dopracowali także metody psycholingwistyczne pozwalające na manipulowanie odbiorcami spamu. Podsumowując, spamerzy dalej używają tekstu i bardzo umiejętnie ukrywają spam pod postacią prywatnej korespondencji.

Załączniki graficzne: eksperymenty z kolorem i tekstem

Od początku roku spamerzy podjęli kilka prób udoskonalenia technik tworzenia spamu graficznego. Mieliśmy do czynienia z wykorzystywaniem obrazków reprezentujących kolejne litery treści spamu, stosowaniem niestandardowych czcionek (takich jak gotyk) w obrazkach zawierających tekst, a także z delikatnym przekrzywianiem liter. Ostatecznie, spamerzy powrócili do technik opracowanych w 2003 roku. Wygląda na to, że metody, które próbowali rozwijać w ciągu ubiegłego roku okazały się nieskuteczne - żadna z nich nie została zastosowana na szerszą skalę.

Pod koniec 2006 roku spamerzy dysponowali już mniej lub bardziej doskonałymi metodami generowania polimorficznych (zmieniających się) obrazków z całym wachlarzem teł, tekstów i innych elementów składowych. Głównym celem tych eksperymentów było zapewnienie, że filtry antyspamowe: (a) nie będą mogły rozpoznawać tej samej treści w poszczególnych wiadomościach z danej wysyłki spamu; (b) nie będą mogły zidentyfikować słów kluczowych i fraz typowych dla spamu (co znacznie utrudniłoby stosowanie technologii rozpoznawania tekstu - OCR). W celu zrealizowania tych założeń załączniki graficzne, zawierające tę samą spamową treść, były modyfikowane poprzez podmianę koloru tła, czcionek, rozmiaru tekstu a nawet stosowanie różnych sposobów zawijania wierszy. Pod koniec roku spamerzy tak bardzo zagalopowali się w swoich próbach oszukania filtrów, że wiadomości spamowe były trudne do odczytania nawet dla adresatów. Po raz kolejny spam graficzny znalazł się w sytuacji bez wyjścia.

Poniższe obrazki przedstawiają różne wiadomości e-mail z tej samej wysyłki spamu. Doskonale ilustrują one techniki, które rozwinęli spamerzy:


Filtrowanie takiego spamu jest bardzo skomplikowanym procesem ze względu na strukturę i projekt wiadomości:

  • Nagłówki wiadomości są sfałszowane tak, aby wyglądały na wygenerowane przez jedną z najpopularniejszych wersji programu MS Outlook.
  • Obrazek wygląda na osadzony w wiadomości przy użyciu tej samej popularnej wersji programu MS Outlook.
  • Poza obrazkami z treścią spamu, wiadomości zawierają rożne teksty pobierane automatycznie z wielu popularnych stron WWW.

Producenci rozwiązań antyspamowych oraz dostawcy usług pocztowych zareagowali błyskawicznie i stworzyli metody walki z tym rodzajem spamu. Istnieją pewne cechy, które pozwalają na odróżnienie tych obrazków od grafiki umieszczanej przez użytkowników w legalnych wiadomościach e-mail: duża ilość tekstu, użycie małej liczby kolorów, nietypowy dobór kolorów itp.

Można stwierdzić, że innowacje w walce ze spamem graficznym wprowadzone w 2006 roku były wyłącznie rozwinięciem metod stworzonych po 2003 roku.

Załączniki graficzne: animacja

W sierpniu 2006 r. spamerzy po raz pierwszy zastosowali animowany spam. Pierwsze masowe wysyłki takiego spamu zostały wykryte przez analityków z Kaspersky Lab pod koniec sierpnia, a szczyt jego aktywności obserwowaliśmy w okresie sierpień - październik. Od końca listopada do końca 2006 roku ilość animowanego spamu znacznie zmniejszyła się.

Spamerzy postanowili wykorzystać animowane pliki GIF, ponieważ format ten jest automatycznie rozpoznawany i wyświetlany przez wszystkie popularne przeglądarki internetowe i programy pocztowe. Załączniki zawierają od trzech do kilkudziesięciu klatek animacji. Najważniejsza część animacji, czyli treść spamu, to zaledwie kilka klatek (czasem nawet jedna). Reszta klatek służy do wygenerowania "szumu" w tle - nie zawierają one żadnej sensownej treści, a jedynie geometryczne kształty, linie, "zakłócenia" itp.

Klatki zawierające treść spamu widnieją na ekranie od kilku sekund aż po 10 minut. Tło wyświetlane jest przez czas krótszy niż jedna sekunda i ludzkie oko praktycznie go nie zauważa. Następnie obrazek jest obracany. Trzy przykładowe klatki takiego animowanego obrazka GIF można obejrzeć poniżej:

Do września 2006 roku spamerzy dopracowali tę metodę. Treść spamu była podzielona między klatkami - każda z nich zawierała 1-2 linie tekstu. Klatki były następnie nakładane na siebie tworząc kompletną treść. Początkowe i końcowe klatki animacji tworzyły szum w tle.

Najprawdopodobniej, głównym celem wykorzystywania przez spamerów animowanych załączników było omijanie mechanizmów rozpoznawania tekstu stosowanych przez filtry antyspamowe.

Animowany spam dał twórcom rozwiązań antyspamowych nieco do myślenia, chociaż z technicznego punktu widzenia problem analizy takich wiadomości nie jest specjalnie skomplikowany. Obecnie, spam graficzny (niezależnie od jego postaci) nie stanowi problemu dla filtrów antyspamowych.

Spam i psychologia

Szybkie wysyłanie wiadomości i omijanie filtrów jest ważnym elementem procesu spamowania, jednak to nie wszystko. Spamerzy muszą zadbać także o to, aby rozsyłane treści zostały przeczytane i wywołały zamierzony efekt (na przykład, zadzwonienie przez odbiorcę spamu na podany numer telefonu, kliknięcie odsyłacza itp.).

W 2006 roku spamerzy w dalszym ciągu doskonalili metody psychologiczne wykorzystywane do manipulowania odbiorcami spamu. W szczególności, w celu skłaniania użytkowników do czytania spamu, spamerzy ukrywali go pod postacią prywatnej korespondencji. Na początku roku spamerzy używali głównie prymitywnych metod, takich jak dodanie przedrostka RE lub FW do tematu wiadomości w celu upodobnienia ich do odpowiedzi na legalne e-maile lub do wiadomości wysłanych ze znanych adresów. W połowie roku spamerzy zaczęli wykorzystywać znacznie bardziej subtelne metody.

Spamerzy skupili się na samej treści swoich wiadomości. Obecnie, niektóre wiadomości spamowe są tak opracowane stylistycznie i leksykalnie, aby wyglądały na profesjonalną korespondencję. Na pierwszy rzut oka na niektóre z nich mogą się nabrać nawet eksperci, nie wspominając nawet o mniej zaawansowanych użytkownikach. Spamerzy dokładają wszelkich starań, aby odbiorca uwierzył, że wiadomość została wysłana wyłącznie do niego. Często wykorzystywane są fałszywe imiona, co ma jeszcze bardziej upodobnić spam do osobistej korespondencji.

Podział spamu ze względu na kategorie: 2006

Kategorie spamu definiują grupę docelową jego odbiorców. Na przykład, kategoria "edukacja" obejmuje spam zawierający informacje o seminariach, szkoleniach, specjalnych ofertach zakupu różnych książek itp. Poniżej można zapoznać się z najpopularniejszymi kategoriami spamu w 2006 roku:


Kategoria Główne podgrupy Udział procentowy
1 Lekarstwa oraz produkty i usługi związane ze zdrowiem Viagra, Cialis i inne 16,0
2 Oszustwa komputerowe Phishing, wiadomości 419, fałszywe powiadomienia o zwycięstwie w loterii itp. 14,3
3 Edukacja Seminaria i szkolenia 13,2
4 Finanse Akcje przedsiębiorstw po niewiarygodnie niskich cenach 8,6
5 Komputery i Internet Tanie oprogramowanie, kartridże do drukarek 8,3
Najpopularniejsze kategorie spamu w 2006 roku

Większość spamu z najpopularniejszych kategorii to wiadomości w języku angielskim. Jedynym wyjątkiem jest kategoria "edukacja" - tutaj dominuje język rosyjski.

Analitycy z Kaspersky Lab uważają, że grupą docelową spamu rozsyłanego w języku angielskim nie są rosyjscy użytkownicy Internetu. Pojawianie się angielskiego spamu w rosyjskich skrzynkach pocztowych świadczy o ogromnej skali ataków spamerów. Wysyłki spamu nie są wykonywane z myślą o konkretnych odbiorcach. Spamerzy osiągają swój cel dzięki bardzo dużej liczbie wysyłanych wiadomości. Ofiary jednego ataku spamerów liczy się w milionach: jedna z krążących w Internecie reklam usług spamerów gwarantuje potencjalnemu klientowi, że jego reklama zostanie wysłana pod 3 - 5 milionów adresów e-mail.

Najliczniejszą kategorią na powyższym wykresie jest "inne dobra i usługi". Obejmuje ona przede wszystkim reklamy dóbr oferowanych przez małych rosyjskich producentów i dostawców: podgrzewanie foteli samochodowych, malachitowe popielniczki, popiersia Putina i jego portrety wykonane z kawałków bursztynu, wieczne latarki, długopisy ze znikającym tuszem, preparaty na porost włosów oraz urządzenia interpretujące szczekanie psów w pięciu językach.

Przez długi czas kategoria ta była tak różnorodna, że trudno było wydzielić jakiekolwiek konkretne podgrupy, jednak pod koniec 2006 roku ujawniło się kilka podkategorii. Przez ostatnie trzy miesiące 2006 roku liczba spamu z tych podgrup znacznie wzrosła:

Kategoria Październik Listopad Grudzień Średnia z 3 miesięcy
Porady prawne i usługi audytowe 8,0% 2,1% 2,1% 4,0%
Nieruchomości 5,0% 2,5% 2,3% 3,3%
Drukowanie i grafika 2,0% 2,0% 2,3% 2,1%

Najpopularniejsze kategorie w rosyjskim spamie:

  1. Edukacja
  2. Wakacje i podróże
  3. Sprzęt elektroniczny i związane z nim usługi
  4. Porady prawne i usługi audytowe (podgrupa kategorii "inne dobra i usługi")
  5. Nieruchomości (podgrupa kategorii "inne dobra i usługi")

Ciąg dalszy kryminalizacji spamu

Od powstania spamu niechciana korespondencja elektroniczna wykorzystywana była do celów przestępczych. Przestępcze masowe wysyłki były możliwe dzięki anonimowości oraz brakowi efektywnych przepisów.

Oznaki postępującej kryminalizacji spamu w 2006 roku:

  • wzrost liczebności spamu należącego do kategorii "oszustwa komputerowe", która obejmuje phishing, wiadomości 419, fałszywe powiadomienia o zwycięstwie w loteriach i inne wiadomości wysyłane przez spamerów w celu zdobycia pieniędzy oraz danych osobowych;
  • pojawienie się nowych rodzajów spamu związanego z oszustwami;
  • pojawienie się oznak kryminalizacji w innych kategoriach spamu (w szczególności w kategorii "osobiste finanse");
  • wykorzystywanie do wysyłania spamu metod naruszających prawo w różnych krajach (na przykład, korzystanie z botnetów);
  • wykorzystywanie spamu do rozsyłania szkodliwych programów;
  • wykorzystywanie spamu do kradzieży osobistych danych (phishing);
  • demonstrowane przez spamerów łączenie sił w celu walki ze wspólnym wrogiem - twórcami rozwiązań antyspamowych; na przykład, antyspamowy serwis Blue Frog był atakowany tak często, że musiał zostać zamknięty.

Niektóre z tych aspektów zostaną omówione w dalszej części raportu.

Spam finansowy

Ilość spamu z kategorii "osobiste finanse" gwałtownie wzrosła w sierpniu 2006 r. i tendencja ta była kontynuowana do końca roku. Poniższy wykres demonstruje zmiany w ilości spamu z tej kategorii w całym roku 2006:


Większość spamu z kategorii "osobiste finanse" składa się z wiadomości nakłaniających odbiorców do inwestowania w akcje giełdowe (spam akcyjny). Wzrost w tej podgrupie stał się katalizatorem zwiększenia udziału całej kategorii "osobiste finanse". We wrześniu (początek boomu akcyjnego) spam akcyjny stanowił 66% "spamu finansowego" oraz 9% całego spamu.

Spamerzy zachęcali odbiorców niechcianych wiadomości do inwestowania w akcje mało znanych firm. Mimo że analitycy wstępnie klasyfikowali ten spam jako należący do kategorii "osobiste finanse", okazuje on wyraźne oznaki przestępczości. Wiadomości te często zawierają fałszywe informacje i mają na celu stymulowanie sztucznego wzrostu wartości akcji:

Jedna ze szczególnie popularnych w rosyjskim segmencie Internetu wiadomości spamowych nakłaniała do wykorzystania nieistniejących luk w systemach płatności elektronicznej, takich jak WebMoney czy Yandex-money. Spamerzy utrzymywali, że "luki" te pozwolą odbiorcom spamu na zwiększenie ilości pieniędzy na własnych kontach. Użytkownik musiał jedynie dokonać wpłaty na konto podane w wiadomości spamowej i cierpliwie czekać na korzyści finansowe.

Tylko bardzo niedoświadczeni odbiorcy dadzą się nabrać na takie oszustwo, jednak liczba rosyjskich użytkowników Internetu stale rośnie i wielu z nich to ludzie młodzi i łatwowierni.

W 2006 roku rosyjscy spamerzy wymyślili nowe rodzaje oszustw opierające się na typowo rosyjskim zjawisku.

Jesienią "magiczne konta płatności elektronicznych" zostały zastąpione "magicznymi wiadomościami tekstowymi". Podstawowy schemat oszustwa był taki sam: spamer wysyła różne wiadomości nakłaniające użytkownika do przelania pieniędzy na podane konto. Jednak, w tym przypadku działania spamera nie opierają się na systemach płatności on-line, lecz na specjalnych usługach wysyłania wiadomości tekstowych, które służą do wykonywania przelewów z konta telefonu komórkowego na dowolne inne konto.

W celu dokonania przelewu przy użyciu usługi wysyłania komunikatów tekstowych użytkownik musi wpisać w telefonie specjalną wiadomość i wysłać ją pod określony numer. W celu skłonienia użytkownika do wykonania tej czynności spamer musi użyć przekonującego argumentu. Na przykład, mieliśmy do czynienia ze spamem informującym użytkownika o wygraniu nagrody w loterii. Aby odebrać swoją nagrodę, każdy uczestnik rzekomej loterii musiał wysłać wiadomość SMS pod podany numer. Efektem było oczywiście nieświadome wykonanie przelewu na konto spamera.

Nie tylko technologia

Niniejszy raport poświęcony jest głównie aspektom technicznym związanym z wysyłaniem spamu i jego zawartością. Jednak, spam to nie tylko technologia. Mimo że niemożliwe jest podanie w tym raporcie szczegółowych informacji o wszystkich zagadnieniach związanych ze spamem - w szczególności prawnych i społecznych - w 2006 roku byliśmy świadkami pewnych wydarzeń, o których musimy wspomnieć.

Rosyjskie prawo przeciwko spamowi: pierwszy krok

1 lipca 2006 r. w życie weszły nowe poprawki do rosyjskiej ustawy dotyczącej działań reklamowych. Zmiany obejmują sekcję związaną z reklamami "dystrybuowanymi poprzez elektroniczne sieci komunikacyjne". Oznacza to, że działalność spamerów podlega teraz częściowo odpowiedzialności prawnej.

Dotyczy to jednak tylko pewnych rodzajów spamu, ponieważ ustawa o działaniach reklamowych definiuje takie działania i usługi. Nie każdy spam może zostać w myśl ustawy sklasyfikowany jako reklama. Przykładami mogą być: "spam polityczny", wiadomości testowe mające na celu uaktualnianie baz adresowych wykorzystywanych przez spamerów, oszustwa i inne rodzaje niechcianej korespondencji.

Spamerzy zareagowali na zmiany w ustawie znacznie szybciej i aktywniej niż inni użytkownicy Internetu. W maju 2006 r. obserwowaliśmy w rosyjskim segmencie Internetu masowe wysyłki wiadomości zawierających reklamy usług spamerów. Powód jest oczywisty - spamerzy chcieli zdobyć jak najwięcej klientów przed wejściem nowej ustawy w życie. Spamerzy pisali: "Zamów masową wysyłkę swoich wiadomości zanim nowa ustawa o działaniach reklamowych wejdzie w życie. Działaj zgodnie z prawem ...". Udział takich wiadomości w ruchu pocztowym rósł aż do początku lipca i wygląda na to, że propaganda spamerów wywarła duży wpływ na wzrost liczby osób zamawiających masowe wysyłki w czerwcu i lipcu.

Jednak, od połowy lipca udział spamu w całym ruchu pocztowym zaczął się zmniejszać. Możliwe, że klienci spamerów postanowili wstrzymać się i obserwować, co się stanie po wejściu w życie nowej ustawy. A może po prostu zabrakło im pieniędzy na zamawianie kolejnych masowych wysyłek. Faktem jednak jest, że pod koniec lata 2006 r. ilość spamu znacznie spadła, w szczególności w kategorii reklam różnych produktów i usług.

Można również założyć, że spamerzy w obawie o swoją przyszłość zaczęli aktywnie walczyć o nowych klientów. Ilustruje to poniższy wykres dynamiki w kategorii "elektroniczne usługi reklamowe" w lecie 2006 r.:


Tym razem spamerzy również odwołali się do prawa, jednak w innym sensie. Spamerzy opisali szczegółowo swoje plany, łącznie z metodami przeprowadzania masowych wysyłek, udowadniając, że w ich działaniach wszystko jest zgodne z prawem. Podstawą tych planów było zdefiniowanie przez spamerów swoich działań jako tworzenie usług informacyjnych (a nie reklam), które nie podlegają ustawie dotyczącej działań reklamowych.

Udział spamu w całym ruchu pocztowym utrzymywał się na obniżonym poziomie jeszcze we wrześniu 2006 r., jednak pod koniec listopada ponownie wynosił 80% i więcej.

Można odnieść wrażenie, że nowa ustawa okazała się nieskutecznym narzędziem w walce ze spamem. Nie wiadomo kto miałby dostarczać użytkownikom komputerów informacje o masowych wysyłkach, ani też jak informacje te powinny zostać przedstawione w celu uzyskania udokumentowanego dowodu i okazania go władzom. Póki co, jedynymi skutecznymi metodami pozwalającymi na zmniejszenie ilości spamu w skrzynkach pocztowych użytkowników Internetu pozostają rozwiązania antyspamowe i filtry.

Spamerzy się łączą i ... wygrywają?

W maju 2006 r. zamknięto projekt Blue Frog. Było to rozwiązanie antyspamowe bazujące na pomyśle tworzenia list użytkowników Internetu, którzy nie chcą otrzymywać spamu. Sam pomysł nie był niczym nowym, jednak twórcy Blue Frog implementowali swój projekt wyjątkowo agresywnie. Jeżeli klient spamerów, który zamówił masową wysyłkę wiadomości odmówił usunięcia z puli odbiorców spamu danego adresu e-mail (znajdującego się na liście projektu Blue Frog), jego strona WWW była bombardowana tysiącami żądań pochodzących z komputerów użytkowników zaangażowanych w Blue Frog. W pewnym sensie był to atak DDoS mający na celu całkowite załamanie serwera należącego do klienta spamerów. Jednak, w przeciwieństwie do hakerów, twórcy projektu Blue Frog nie ukrywali swojej tożsamości i otwarcie mówili o swoich intencjach. Etyka takiego podejścia do walki ze spamem jest dyskusyjna, jednak sukces projektu Blue Frog i ogromna liczba przyłączających się do niego użytkowników Internetu sprawiły, że spamerzy poczuli presję i zdecydowali się na podjęcie pewnych działań.

Projekt Blue Frog został zamknięty ze względu na zmasowane ataki przeprowadzone przez spamerów na jego główny serwer. Twórcy projektu doszli do wniosku, że osoby, które przyłączyły się do walki ze spamem i dodały swoje adresy e-mail do bazy Blue Frog, mogą być nękane przez spamerów.

Incydent z projektem Blue Frog dowodzi tego, że spamerzy mogą łączyć siły w celu walki ze wspólnym wrogiem, czyli twórcami rozwiązań antyspamowych. Było to ostrzeżenie: rzekomy brak związku miedzy spamerami (jak i grupami hakerów oraz cyberprzestępców) okazał się być tylko grą pozorów. W rzeczywistości, spamerzy są ze sobą w stałym kontakcie - w przeciwnym wypadku nie byliby w stanie tak szybko zorganizować wspólnego ataku na Blue Frog, który wymagał działania jako zespół.

Możliwość łączenia sił i działania przez spamerów we wspólnym celu może stanowić nowe zagrożenie dla bezpieczeństwa komunikacji elektronicznej.

Prognozy dotyczące spamu

Rok 2006 udowodnił, że z technicznego punktu widzenia twórcy rozwiązań antyspamowych mogą dostarczyć skuteczne mechanizmy chroniące przed spamem. Jednak, ilość spamu nie zmniejsza się i jest zdecydowanie za wcześnie, aby mówić o rozwiązaniu tego problemu. Dalszy rozwój obecnej sytuacji wydaje się być oczywisty:

  1. Nie należy się spodziewać tego, że spam przestanie docierać do naszych skrzynek pocztowych, ani nawet, że jego ilość ulegnie zmniejszeniu. Spamerzy będą szukać nowych sposobów na omijanie zabezpieczeń, a eksperci z branży antyspamowej będą w dalszym ciągu odpierać ich ataki.
  2. W 2007 roku najprawdopodobniej nie doczekamy się żadnych nowych technologii spamowych, jednak z pewnością będziemy obserwować rozwój wszystkich metod stosowanych obecnie przez spamerów.
  3. Spamerzy będą pracować nad rozwojem metod tworzenia spamu graficznego, jednak taktyka ta nie jest zbyt obiecująca. Najlepsi twórcy rozwiązań antyspamowych będą w stanie położyć kres tej technice.
  4. Spamerzy będą doskonalić metody wykorzystywane do automatycznego generowania dużych ilości tekstów przy użyciu szablonów. Prawdopodobnie zamiast obecnie stosowanego mechanizmu losowego doboru słów i fraz użyte zostaną algorytmy lingwistyczne.
  5. Kryminalizacja spamu będzie postępować: anglojęzyczne wiadomości będą adoptowane na potrzeby innych języków. Z pewnością pojawią się także nowe rodzaje oszustw.
Źródło:
Kaspersky Lab