Обзор основных антиспам средств

2.2 Эволюция содержания писем

Появление средств обнаружения  спама, основанных на анализе содержания письма (контентный анализ), привело  к эволюции содержания спамерских писем  — их готовят таким образом, чтобы  автоматический анализ был затруднен. Как и в случае изменения методов  рассылки, спамеры вынуждены бороться с антиспам-средствами.

  Простые текстовые и HTML-письма

Первые спам-сообщения были одинаковыми  — всем получателям рассылался один и тот же текст. Такие сообщения  тривиально фильтруются (например, по частоте повторения одинаковых писем).

  Персонализированные сообщения

Следующим шагом было добавление персонализации (например, «Hello, joe!» — в начале письма на адрес joe@user.com), что сделало  все сообщения разными. Теперь для их фильтрации нужно было выискивать неизменяющуюся строчку и заносить ее в список правил фильтра. В качестве метода борьбы были предложены нечеткие сигнатуры — устойчивые к небольшим изменениям текста и статистические обучаемые методы фильтрации (Байесовская фильтрация и т. п.).

  Внесение случайных текстов, «шума», невидимых текстов

В начало или конец письма спамер может поместить отрывок из классического  текста или просто случайный набор  слов. В HTML-сообщение можно внести «невидимый» текст (очень мелким шрифтом или цветом, совпадающим  с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям  текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно  определить сам факт использования  «спамерского трюка» и отклассифицировать сообщение как спам, не анализируя его текст в деталях.

  «Графические» письма

Рекламное сообщение можно прислать пользователю в виде графического файла  — что крайне затруднит автоматический анализ. В качестве ответной меры появились  способы анализа изображений, выделяющие из них текст.

Графический спам представляет собой  самые разнообразные рассылки. Некоторая  часть такого спама — это простые  картинки, которые можно детектировать  спам-фильтрами. Однако спамеры все  больше прибегают к усложненным  видам графических писем: используют картинки с зашумленным фоном, прыгающими буквами и строчками (т.е. буквы  расположены неровно относительно строки), заменяют отдельные буквы  на изображения, разворачивают изображение на несколько градусов, используют на картинках редкие шрифты или шрифты разного размера, пытаясь таким образом обойти спам-фильтры. При этом текст на спамерской картинке часто становится практически нечитаем, в результате получатель с трудом может оценить спамерское предложение, и основная цель рассылки не достигается (реклама не работает).

Еще один технический прием спамеров — использование анимации. Это  спам, рассылаемый не в виде обычных  статических «картинок» (графических  вложений), а в виде анимированной  графики. Спамеры используют GIF-анимацию, т.к. она распознается и автоматически  воспроизводится всеми популярными  браузерами. Обычно анимированный спам содержит от 2 до 4 кадров, из которых  только один кадр является значимым, т.е. содержит информационную составляющую.

Спамеры регулярно предпринимают  попытки обновить технологии генерации  графических вложений в спаме. В  первом полугодии 2007 года появилось  несколько новых способов доставки и демонстрации пользователю спамерской «картинки»:

1. Размещение графических файлов на страницах бесплатного хостинга изображений (например, imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com и т.п.). В теле спамерского сообщения указывалась ссылка на URL с «картинкой». Когда получатель открывал сообщение, в большинстве популярных мейлеров изображение подгружалось с указанного URL.
2. Использование спамерской «картинки» в виде фонового изображения. Графический файл не вкладывался в сообщение, а, опять-таки, публиковался на том или ином сайте. В теле сообщений был указан только URL сайта, помещенный в тэг 'body', атрибут 'background'. В результате изображение могло автоматически подгружаться в некоторых мейлерах, а также в веб-интерфейсах части почтовых служб.
3. Спам с вложениями формата PDF. Этот вид вложений не открывается и не подгружается автоматически. Чтобы увидеть спамерский контент, пользователь должен самостоятельно открыть вложение.
4. Спам с вложением формата FDF. В некотором смысле это аналог PDF-вложений, тем более, что открыть и увидеть вложение можно с использованием все того же Adobe Acrobat Reader.

Все эти новинки оказались достаточно эффективными в момент появления, но уже спустя несколько месяцев, а  иногда и недель, спам-фильтры подстроились под новые спамерские приемы.

Перефразировка  текстов

Одно и то же рекламное сообщение  составляется во множестве вариантов  одного и того же текста. Каждое отдельное  письмо выглядит как обычный связный  текст, и только имея много копий  сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить  фильтры можно только после получения  существенной части рассылки.

На сегодняшний день широко используются три последних метода — далеко не все антиспам-средства могут с  ними нормально бороться, что дает возможность доставлять спам тем  пользователям, которые используют недостаточно продвинутые средства фильтрации. [2]

2.3 Основные виды  спама

В настоящее время существует множество  видов спама, отправляемого злоумышленниками с различными целями. Стоит отметить, что с каждым годом их количество только увеличивается, мы же выделим некоторые наиболее распространенные виды и опишем их.

Реклама

Некоторые компании, занимающиеся легальным  бизнесом, рекламируют свои товары или услуги с помощью спама. Привлекательность такой рекламы — низкая стоимость и (предположительно) большой охват потенциальных клиентов. Впрочем, такая реклама может иметь и обратный эффект, вызывая настороженность у получателей.

Реклама незаконной продукции

С помощью спама рекламируют  продукцию, о которой нельзя сообщить другими способами — например, порнографию, контрафактные товары (подделки, конфискат), лекарственные средства с ограничениями по обороту, незаконно полученную закрытую информацию (базы данных), контрафактное программное обеспечение.

Сюда же относится и реклама  самих услуг рассылки спама (Законодательно в России спам запрещён, но борьба со спамерами законными методами крайне затруднена).

Антиреклама

Запрещенная законодательством о  рекламе информация — например, порочащая конкурентов и их продукцию, — также может распространяться с помощью спама.

«Нигерийские письма»

Иногда спам используется мошенниками, чтобы выманить деньги у получателя письма. Наиболее распространённый способ получил название «нигерийские письма», потому что большое количество таких  писем приходило из Нигерии. Такое письмо содержит сообщение о том, что получатель письма может получить каким-либо образом большую сумму денег, а отправитель может ему в этом помочь. Затем отправитель письма просит перевести ему немного денег под предлогом, например, оформления документов или открытия счета. Выманивание этой суммы и является целью мошенников.

Фишинг

«Фишинг» (англ. phishing от password — пароль и fishing — рыбалка) — ещё один способ мошенничества. Он представляет собой попытку спамеров выманить у получателя письма номера его кредитных карточек или пароли доступа к системам онлайновых платежей. Такое письмо обычно маскируется под официальное сообщение от администрации банка. В нём говорится, что получатель должен подтвердить сведения о себе, иначе его счёт будет заблокирован, и приводится адрес сайта (принадлежащего спамерам) с формой, которую надо заполнить. Среди данных, которые требуется сообщить, присутствуют и те, которые нужны мошенникам. Для того, чтобы жертва не догадалась об обмане, оформление этого сайта также имитирует оформление официального сайта банка.

Другие виды спама

• Письма счастья
• Пропаганда.
• DoS и DDoS-атаки.
• Массовая рассылка от имени другого лица, для того чтобы вызвать к нему негативное отношение.
• Массовая рассылка писем, содержащих компьютерные вирусы (для их начального распространения).
• Рассылка писем, содержащих душещипательную историю (как правило, о больном, либо пострадавшем в результате несчастного случая ребёнке) с информацией о том, что за каждую пересылку письма некий интернет-провайдер якобы выплатит семье пострадавшего определённую сумму денег «на лечение». Целью такой рассылки является сбор e-mail адресов: после многочисленных пересылок «всем знакомым» в тексте такого письма часто содержатся e-mail адреса всех, кому оно было переслано ранее. А в числе очередных адресатов вполне может оказаться и инициировавший её спамер. [3]

 

3. Вред, наносимый  спамом

 

В мире отчетливо прослеживается тенденция  к увеличению процентного содержания спама. Так, если в 2001 году спам занимал  всего лишь 8% всего трафика электронной  почты и обошелся пользователям  Интернета во всем мире в 10 млрд. евро, то в 2002 году — впервые за всю  историю электронной почты —доля  спама в общем трафике сообщений  превысила 40

Чем вреден спам? Это использование  чужих (компьютерных, сетевых, материальных, трудовых) ресурсов, несоответствие национальному  законодательству (изготовление ненадлежащей/недобросовестной рекламы), нарушение неприкосновенности частной жизни, моральный ущерб, блокирование получения нужной корреспонденции, распространение вредоносных программ (вирусов) и информации антиобщественного  характера и т.д. Таким образом, учитывая всеобъемлющий характер вреда, наносимого спамом, можно уверенно утверждать, что спам превратился  в настоящую проблему не только для  отдельных граждан, компаний и государственных  организаций, но и для всего общества в целом.

Спам — это антиобщественное явление, характеризующееся следующими особенностями:

1. Противоправность
1. нарушение правил ведения предпринимательской (рекламной) деятельности; дискредитация добросовестных предпринимателей;
2. уклонение от уплаты налогов (в том числе налогов на рекламу); развитие «серой», теневой экономики; финансирование противоправной деятельности;
3. нарушение правил распространения информации (включая массовую информацию, предвыборную агитацию и т.п.).

 

2. Общественный вред
1. огромные совокупные потери (материальные, временные, трудовые);
2. дезориентация добросовестных пользователей современных информационных технологий.

 

3. Опасность для безопасности государства
1. распространение вредоносных компьютерных программ, содействие совершению «компьютерных» преступлений;
2. распространение информации агитационного и аналогичного характера в антиобщественных целях.

 

Ущерб, наносимый спамом, складывается из трех составляющих:

1. Трафик. Трафик входящей почты обычно оплачивает получатель спамерских писем. Это особенно актуально в случае подключения к Интернету по телефонной линии. Но и для компаний, оплачивающих трафик при соединении по выделенной линии, финансовый ущерб из-за большого объема пересылаемой почты и соответственно большого объема спама может оказаться очень существенным.
2. Потери рабочего времени. Средний офисный работник тратит на просмотр и удаление спама от 10 до 20 минут рабочего времени в день. Умножив это время на количество сотрудников в крупной компании, можно получить весьма ощутимые цифры.
3. Дыра в системе безопасности. Однако ущерб от спама определяется не только затратами рабочего времени и оплатой лишнего трафика. Спамерские письма систематически становятся переносчиками вредоносных программ, поскольку довольно часто рассылаются с приложениями в виде программ, документов Word или Excel, в которых могут содержаться вирусы. Кроме того, уже предпринимались попытки организации спамерских рассылок через бреши в защите почтовых серверов, то есть атаки спамеров могут происходить в связке с хакерскими атаками на узлы Интернета. При успешной реализации такой атаки, во-первых, возникнет существенная нагрузка на соответствующие узлы сети, как минимум замедляющая, а при особо неудачном стечении обстоятельств — блокирующая их работу, а во-вторых, большой ущерб может быть нанесен репутации компании, которой принадлежит использованный для рассылки сервер.

 Вред пользователям

Обычный пользователь практически  не защищен от спама, поскольку в  его распоряжении пока еще нет  простых и надежных средств, не требующих  тщательного изучения этой проблемы и утомительной настройки программного обеспечения.