Як працюють спамери?

Технологічні ланцюжки

Склалися цілком стійкі технологічні ланцюжки дій спамерів:

Кожен окремий крок у цьому ланцюжку може виконуватися незалежно від іншого.

Збір списків адрес

Спамери складають список адрес електронної пошти потенційних одержувачів («спам-базу», email database). Адреси в таких списках можуть мати додаткову інформацію:

• регіон;
• вид діяльності компанії (чи інтереси користувачів);
• список адрес користувачів конкретної поштової служби (Yandex, AOL, Hotmail і т. п.) або конкретного сервісу (eBay, Paypal).

Збір адрес здійснюється наступними методами:

• підбір за словниками власних назв, частих поєднань слів-цифр (наприклад, «jonh [ @ ] », «destroyer [ @ ] »,« alex-2 [ @ ] ») -
• метод аналогій - якщо існує адреса Joe.User [ @ ] hotmail.com, то цілком резонно пошукати Joe.User в доменах yahoo.com, aol.com, Paypal-
• сканування всіх доступних джерел інформації - веб-сайтів, форумів, чатів, дощок оголошень, Usenet, баз даних Whois на поєднання «слово1 [ @ ] слово2.слово3» (при цьому на кінці такого поєднання має бути домен верхнього рівня - com, ru, info і т. д.);
• злодійство баз даних сервісів, провайдерів і т. п;
• злодійство персональних даних користувачів за допомогою комп'ютерних вірусів і інших шкідливих програм.

При скануванні доступних джерел інформації (спосіб 3) можна намагатися визначити та інших користувачів даного джерела, що дає можливість отримати тематичні бази даних. У разі крадіжки даних у провайдерів досить часто є додаткова інформація про користувача, що теж дозволяє провести персоналізацію.

Крадіжка персональних даних користувачів - як адресних книг поштових клієнтів (більшість адрес в яких - діючі), так і інших персональних даних, - набуло поширення порівняно недавно. На жаль, масові вірусні епідемії останніх років показують, що поширеність антивірусних засобів недостатня, отже, частота використання даного способу збору персональних даних буде рости.

Потрібно перевірити активні чи отримані адреси, що здійснюється наступними способами:

• Пробна посилка повідомлення. Як правило, це повідомлення з випадковим текстом, які проходять через спам-фільтри. Аналізуючи відповідь поштового сервера (пошта прийнята або не прийнята), можна з'ясувати, чи діє кожен конкретний адресу зі списку.
• Приміщення в текст спам-повідомлення унікальною посилання на картинку, розташовану на WWW-сервері. При прочитанні листи картинка буде завантажена (у багатьох сучасних поштових програмах ця функція блокована), а власник сайту дізнається про доступність адреси. Цим методом перевіряють сам факт прочитання листа.
• Посилання «відписатися» в спам-повідомленні. Якщо одержувач натискає на цю гіперпосилання, то ніякої відписки не відбувається, а його адресу позначається як активний.

Всі три способи перевірки не занадто гарні, відповідно, в базах даних адрес електронної пошти буде досить багато невикористовуваних адрес.

Підготовка точок розсилки

На сьогоднішній день професійна розсилка спаму здійснюється трьома основними способами:

• пряма розсилка з орендованих серверів;
• використання відкритих реле і відкритих proxy - сервісів, помилково сконфігурованих їх власниками таким чином, що через них можна розсилати спам;
• приховане встановлення на комп'ютерах користувачів програмного забезпечення, що дозволяє несанкціонований доступ до ресурсів даного комп'ютера (бекдорів).

Для розсилки спаму з орендованих серверів необхідно мати постійно поповнюваний набір цих серверів. Вони досить швидко потрапляють в чорні списки IP-адрес, отже, розсилати спам таким чином можна тільки на тих одержувачів, поштові сервіси яких не використовують чорні списки.

Для використання відкритих сервісів необхідно постійно вести пошук таких сервісів - для цього пишуться і використовуються спеціальні програми, які швидко сканують великі ділянки адресного простору інтернету.

Найбільшу популярність на сьогоднішній день має установка бекдор на комп'ютерах звичайних користувачів. Це здійснюється одним із таких способів:

• Включення троянських програм в піратське програмне забезпечення: модифікація розповсюджуваних програм, включення троянської програми в генератори ключів, програми для обману провайдерів і т. п. Досить часто такі програми поширюються через файлообмінні мережі (eDonkey, Kazaa) Або через сайти з warez (А також піратські копії програм).
• Використання вразливостей в інтернет-браузерах (В першу чергу, Microsoft Internet Explorer) - Ряд версій таких програм містить помилки в перевірці прав доступу, що дозволяє розмістити на веб-сайті компоненти, які будуть непомітно для користувача викачані і виконані на його комп'ютері, після чого на комп'ютер користувача буде відкритий віддалений доступ для зловмисників. Такі програми поширюються в основному через часто відвідувані сайти (насамперед порнографічного змісту). Однак влітку 2004 року була помічена двоступенева схема - масовий злом сайтів, що працюють під управлінням MS IIS і модифікація сторінок на цих сайтах з включенням в них шкідливого коду, що призвело до зараження комп'ютерів користувачів, що відвідували ці сайти (звичайного змісту).
• Використання комп'ютерних вірусів, розповсюджуваних по каналах електронної пошти і використовують уразливості в мережевих сервісах Microsoft Windows:

• всі великі вірусні епідемії, що відбулися в 2004 році, були зроблені вірусами, які могли бути використані для віддаленого доступу до призначеного для користувача комп'ютера;
• інтенсивність спроб використання вразливостей Windows на сьогоднішній день просто жахлива - підключена до інтернету машина під управлінням стандартної Windows XP без включеного брандмауера і встановлених сервісних паків виявляється зараженої протягом декількох десятків хвилин.

Сучасні шкідливі програми є досить розвиненими в технічному сенсі - їх автори прикладають значні зусилля для утруднення їх виявлення з боку (наприклад, провайдером, клієнти якого розсилають спам непомітно для себе). Троянські компоненти можуть прикидатися інтернет-браузером, звертаючись на веб-сайти за інструкціями, що їм робити - займатися DoS-атакою, розсилати спам і т. п. (більше того, інструкції можуть містити вказівку про час і місце наступного отримання інструкцій). Інший спосіб замаскованого отримання команд полягає у використанні IRC.

З іншого боку, одне із застосувань заражених машин - це здача їх в оренду (наприклад, для розсилки спаму). Вимога продаваемости списку призводить до того, що шкідливі програми працюють по стандартних протоколах (HTTP або SOCKS proxy) З номерами портів з невеликого списку, що дає можливість їх використання третіми особами і одночасно полегшує пошук заражених машин системними адміністраторами.

Програмне забезпечення для розсилки спаму

Середня спам-розсилка має на сьогоднішній день об'єм не менше кількох мільйонів повідомлень. Ці повідомлення потрібно розіслати за невеликий час, щоб встигнути провести розсилку до переналаштування (або поновлення бази даних) антиспам-фільтрів.

Швидка розсилка великої кількості email-повідомлень є технологічною проблемою, вирішення якої потребує чималих ресурсів. Як наслідок, на ринку є відносно невелика кількість програм, що задовольняють вимогам спамерів-професіоналів. Ці програми на сьогоднішній день:

• вміють розсилати як через відкриті сервіси (поштові релеї, proxy), Так і через заражені користувальницькі машини;
• можуть формувати динамічний текст листа (див. нижче розділ про формування текстів);
• досить точно підробляють заголовки повідомлень - розпізнавання спаму по заголовкам стає складною задачей-
• можуть відслідковувати статус повідомлення на кожен окремий адреса - і перепосилать його через іншу точку розсилки в разі використання на приймальній стороні чорних списків.

Такі програми оформлені або у вигляді сервісу, доступного за передплатою, або як отчуждаемая (купується) програма.

Пошук клієнтів

Судячи з усього, основний спосіб пошуку клієнтів - це власне рекламні розсилки (спам). Такі рекламні оголошення складають істотну частку всього спаму. Таким же чином рекламуються і інші відносно легальні сервіси, наприклад, програми для розсилки і бази даних email-адрес.

Формування тексту листів

На сьогоднішній день проста розсилка однакових (або майже однакових) спам-повідомлень не є ефективною. Такі листи будуть виявлені численними фільтрами по частотності (повторюваності однакових повідомлень). Тому спам-повідомлення зараз - індивідуальні, кожне наступне відрізняється від попередніх. Основні технології індивідуалізації повідомлень такі:

• Внесення випадкових текстів, невидимих текстів. У початок або кінець листи спамер може помістити уривок з класичного тексту або просто випадковий набір слів. В HTML-повідомлення можна внести невидимий текст (дуже дрібним шрифтом або кольором, що збігається з кольором фону). Ці додавання ускладнюють роботу нечітких сигнатур і статистичних методів. В якості відповіді з'явився пошук цитат, стійкий до доповнень текстів, детальний розбір HTML та інші методи поглибленого аналізу змісту листа. У багатьох випадках можна визначити сам факт використання спамерського методу і отклассіфіціровать повідомлення як спам, не аналізуючи його текст в деталях.
• Графічні листи. Рекламне повідомлення можна надіслати користувачеві у вигляді графічного файлу - що вкрай ускладнить автоматичний аналіз. В якості відповіді з'являються способи аналізу зображень, що виділяють з них текст.
• Перефразування текстів. Одне і те ж рекламне повідомлення складається в безлічі варіантів одного і того ж тексту. Кожне окреме лист виглядає як звичайний зв'язний текст, і тільки маючи багато копій повідомлення, можна встановити факт перефразування. Таким чином, ефективно налаштувати фільтри можна тільки після отримання суттєвої частини розсилки.

Ці методи підтримуються безпосередньо в програмах для розсилки, тому використання конкретного методу індивідуалізації повідомлень залежить від використовуваного програмного забезпечення.

Розподіл праці

Як видно з вищесказаного, всі основні технологічні складові бізнесу спамерів можуть бути використані незалежно. Як наслідок, в даний час існують окремі виробники вірусів і троянських компонентів, окремі автори програм для розсилки, окремі збирачі адрес. Спамери - а саме ті, хто збирає з клієнтів гроші і виробляє розсилку - можуть просто орендувати необхідні їм сервіси, купувати бази даних, списки розсилають машин і використовувати їх. Таким чином, вхід на даний ринок є відносно дешевим.

У той же час, очевидно поділ ринку на професіоналів (які, як правило, володіють чимось своїм: базою даних адрес, або програмою для розсилки, або власним вірусом), для яких спам є основним джерелом доходу, і аматорів, що намагаються заробити трохи -ледве грошей.

Перспективи

Знаючи вартість спам-розсилки (порядку 100 USD за мільйон повідомлень) і кількість розсилаються в світі повідомлень (десятки мільярдів в день), нескладно оцінити грошовий оборот на цьому ринку: він становить сотні мільйонів доларів на рік. В індустрії з таким оборотом повинні з'являтися компанії повного циклу, що здійснюють весь комплекс послуг на високому професійному рівні. Єдиною проблемою є кримінальність всього бізнесу - поширення троянських програм є кримінальним злочином у всіх країнах, де є мінімальна кількість комп'ютерів. Збір персональних даних без відома користувача теж є карним.

По всій видимості, якщо подібні вертикальні компанії ще не з'явилися, то поява їх - справа найближчого майбутнього. Постраждалими будуть, природно, рядові одержувачі електронної пошти.