Як працюють спамери?

Технологічні ланцюжки

Склалися цілком стійкі технологічні ланцюжки дій спамерів:

  • Збір email-адрес одержувачів. Класифікація адрес за типами.
  • Підготовка точок розсилки – комп'ютерів, через які буде розсилатися спам.
  • Створення програмного забезпечення для розсилки.
  • Пошук клієнтів.
  • Створення рекламних оголошень для конкретної розсилки.
  • Твір розсилки.
  • Кожен окремий крок у цьому ланцюжку може виконуватися незалежно від іншого.

    Збір списків адрес

    Спамери складають список адрес електронної пошти потенційних одержувачів («спам-базу», email database). Адреси в таких списках можуть мати додаткову інформацію:

    • регіон;
    • вид діяльності компанії (або інтереси користувачів);
    • список адрес користувачів конкретної поштової служби (Yandex, AOL, Hotmail і т. п.) або конкретного сервісу (eBay, Paypal).

    Збір адрес здійснюється наступними методами:

    • підбір по словниках імен власних, частих сполучень слів-цифр (наприклад, «jonh @ », «destroyer @ »,« alex-2 @ »);
    • метод аналогій – якщо існує адресу Joe.User @ hotmail.com, то цілком резонно пошукати Joe.User в доменах yahoo.com, aol.com, Paypal;
    • сканування усіх доступних джерел інформації – веб-сайтів, форумів, чатів, дошок оголошень, Usenet, баз даних Whois на поєднання «слово1@слово2.слово3» (при цьому на кінці такого поєднання має бути домен верхнього рівня – com, ru, info і т. д.);
    • злодійство баз даних сервісів, провайдерів та т. п;
    • злодійство персональних даних користувачів за допомогою комп'ютерних вірусів і інших шкідливих програм.

    При скануванні доступних джерел інформації (спосіб 3) можна намагатися визначити та інших користувачів даного джерела, що дає можливість отримати тематичні бази даних. У разі крадіжки даних у провайдерів досить часто є додаткова інформація про користувача, що теж дозволяє провести персоналізацію.

    Крадіжка персональних даних користувачів – як адресних книг поштових клієнтів (більшість адрес в яких – діючі), так і інших персональних даних, – набуло поширення порівняно недавно. На жаль, масові вірусні епідемії останніх років показують, що поширеність антивірусних засобів недостатня, отже, частота використання даного способу збору персональних даних буде рости.

    Потрібно перевірити активні чи отримані адреси, що здійснюється наступними способами:

    • Пробна посилка повідомлення. Як правило, це повідомлення з випадковим текстом, які проходять через спам-фільтри. Аналізуючи відповідь поштового сервера (пошта прийнята або не прийнята), можна з'ясувати, чи діє кожен конкретний адресу у списку.
    • Приміщення в текст спам-повідомлення унікальною посилання на картинку, розташовану на WWW-сервері. При прочитанні листи картинка буде завантажена (у багатьох сучасних поштових програмах ця функція блокована), а власник сайту дізнається про доступність адреси. Цим методом перевіряють сам факт прочитання листа.
    • Посилання «відписатися» в спам-повідомленні. Якщо одержувач натискає на цю гіперпосилання, то ніякої відписки не відбувається, а його адресу позначається як активний.

    Всі три способи перевірки не занадто гарні, відповідно, в базах даних адрес електронної пошти буде досить багато невикористовуваних адрес.

    Підготовка точок розсилки

    На сьогоднішній день професійна розсилка спаму здійснюється трьома основними способами:

    • пряма розсилка з орендованих серверів;
    • використання відкритих реле і відкритих proxy – сервісів, помилково сконфігурованих їх власниками таким чином, що через них можна розсилати спам;
    • прихована установка на користувальницьких комп'ютерах програмного забезпечення, що дозволяє несанкціонований доступ до ресурсів даного комп'ютера (бекдорів).

    Для розсилки спаму з орендованих серверів необхідно мати постійно поповнюваний набір цих серверів. Вони досить швидко потрапляють в чорні списки IP-адрес, отже, розсилати спам таким чином можна тільки на тих одержувачів, поштові сервіси яких не використовують чорні списки.

    Для використання відкритих сервісів необхідно постійно вести пошук таких сервісів – для цього пишуться і використовуються спеціальні програми, які швидко сканують великі ділянки адресного простору інтернету.

    Найбільшу популярність на сьогоднішній день має установка бекдорів на комп'ютерах звичайних користувачів. Це здійснюється одним із таких способів:

    • Включення троянських програм в піратське програмне забезпечення: модифікація розповсюджуваних програм, включення троянської програми в генератори ключів, програми для обману провайдерів і т.п. Досить часто такі програми розповсюджуються через файлообмінні мережі (eDonkey, Kazaa) Або через сайти з warez (А також піратські копії програм).
    • Використання вразливостей в інтернет-браузерах (в першу чергу, Microsoft Internet Explorer) – Ряд версій таких програм містить помилки в перевірці прав доступу, що дозволяє розмістити на веб-сайті компоненти, які будуть непомітно для користувача викачані і виконані на його комп'ютері, після чого на комп'ютер користувача буде відкритий віддалений доступ для зловмисників. Такі програми поширюються в основному через часто відвідувані сайти (насамперед порнографічного змісту). Однак влітку 2004 року була помічена двоступенева схема – масовий злом сайтів, що працюють під управлінням MS IIS і модифікація сторінок на цих сайтах з включенням в них шкідливого коду, що призвело до зараження комп'ютерів користувачів, що відвідували ці сайти (звичайного змісту).
    • Використання комп'ютерних вірусів, розповсюджуваних по каналах електронної пошти і використовують уразливості в мережевих сервісах Microsoft Windows:
      • всі великі вірусні епідемії, що відбулися в 2004 році, були вироблені вірусами, які могли бути використані для віддаленого доступу до призначеного для користувача комп'ютера;
      • інтенсивність спроб використання вразливостей Windows на сьогоднішній день просто жахлива – підключена до інтернету машина під управлінням стандартної Windows XP без включеного міжмережевого екрану і встановлених сервісних паків виявляється зараженою протягом кількох десятків хвилин.

    Сучасні шкідливі програми є достатньо розвиненими в технічному сенсі – їх автори прикладають значні зусилля для утруднення їх виявлення з боку (наприклад, провайдером, клієнти якого розсилають спам непомітно для себе). Троянські компоненти можуть прикидатися інтернет-браузером, звертаючись на веб-сайти за інструкціями, що їм робити – займатися DoS-атакою, розсилати спам і т. п. (більш того, інструкції можуть містити вказівку про час і місце наступного отримання інструкцій). Інший спосіб замаскованого отримання команд полягає у використанні IRC.

    З іншого боку, одне з застосувань заражених машин – це здача їх в оренду (наприклад, для розсилки спаму). Вимога продаваемости списку призводить до того, що шкідливі програми працюють за стандартними протоколами (HTTP або SOCKS proxy) З номерами портів з невеликого списку, що дає можливість їх використання третіми особами і одночасно полегшує пошук заражених машин системними адміністраторами.

    Програмне забезпечення для розсилки спаму

    Середня спам-розсилка має на сьогоднішній день обсяг не менше декількох мільйонів повідомлень. Ці повідомлення потрібно розіслати за невеликий час, щоб встигнути виробити розсилку до переналаштування (або поновлення бази даних) антиспам-фільтрів.

    Швидка розсилка великої кількості email-повідомлень є технологічною проблемою, вирішення якої потребує чималих ресурсів. Як наслідок, на ринку є відносно невелика кількість програм, що задовольняють вимогам спамерів-професіоналів. Ці програми на сьогоднішній день:

    • вміють розсилати як через відкриті сервіси (поштові релеї, proxy), Так і через заражені користувальницькі машини;
    • можуть формувати динамічний текст листа (див. нижче розділ про формування текстів);
    • досить точно підробляють заголовки повідомлень – розпізнавання спаму по заголовках стає складним завданням;
    • можуть відслідковувати статус повідомлення на кожен окремий адресу – і перепосилать його через іншу точку розсилки у випадку використання на приймальній стороні чорних списків.

    Такі програми оформлені або у вигляді сервісу, доступного за передплатою, або як відчужувана (купується) програма.

    Пошук клієнтів

    Судячи з усього, основний спосіб пошуку клієнтів – це власне рекламні розсилання (спам). Такі рекламні оголошення складають істотну частку всього спаму. Таким же чином рекламуються й інші відносно легальні сервіси, наприклад, програми для розсилки і бази даних email-адрес.

    Формування тексту листів

    На сьогоднішній день проста розсилання однакових (або майже однакових) спам-повідомлень не є ефективною. Такі листи будуть виявлені численними фільтрами по частотності (повторюваності однакових повідомлень). Тому спам-повідомлення зараз – індивідуальні, кожне наступне відрізняється від попередніх. Основні технології індивідуалізації повідомлень такі:

    • Внесення випадкових текстів, невидимих текстів. У початок або кінець листи спамер може помістити уривок з класичного тексту або просто випадковий набір слів. В HTML-повідомлення можна внести невидимий текст (дуже дрібним шрифтом або кольором, що збігається з кольором фону). Ці додавання ускладнюють роботу нечітких сигнатур і статистичних методів. В якості міри з'явився пошук цитат, стійкий до доповнень текстів, детальний розбір HTML та інші методи поглибленого аналізу змісту листа. У багатьох випадках можна визначити сам факт використання спамерського методу і отклассіфіціровать повідомлення як спам, не аналізуючи його текст в деталях.
    • Графічні листи. Рекламне повідомлення можна надіслати користувачеві у вигляді графічного файлу – що вкрай утруднить автоматичний аналіз. В якості міри з'являються способи аналізу зображень, що виділяють з них текст.
    • Перефразування текстів. Одне і те ж рекламне повідомлення складається в безлічі варіантів одного і того ж тексту. Кожне окреме лист виглядає як звичайний зв'язний текст, і тільки маючи багато копій повідомлення, можна встановити факт перефразування. Таким чином, ефективно налаштувати фільтри можна тільки після отримання суттєвої частини розсилки.

    Ці методи підтримуються безпосередньо в програмах для розсилки, тому використання конкретного методу індивідуалізації повідомлень залежить від використовуваного програмного забезпечення.

    Поділ праці

    Як видно з вищесказаного, всі основні технологічні складові бізнесу спамерів можуть бути використані незалежно. Як наслідок, в даний час існують окремі виробники вірусів і троянських компонентів, окремі автори програм для розсилки, окремі збирачі адрес. Спамери – а саме ті, хто збирає з клієнтів гроші і виробляє розсилку – можуть просто орендувати необхідні їм сервіси, купувати бази даних, списки розсилають машин і використовувати їх. Таким чином, вхід на цей ринок є відносно дешевим.

    У той же час, очевидно поділ ринку на професіоналів (які, як правило, володіють чимось своїм: базою даних адрес, або програмою для розсилки, або власним вірусом), для яких спам є основним джерелом доходу, і любителів, які намагаються заробити трохи -трохи грошей.

    Перспективи

    Знаючи вартість спам-розсилки (порядку 100 USD за мільйон повідомлень) і кількість розсилаємих в світі повідомлень (десятки мільярдів в день), нескладно оцінити грошовий оборот на цьому ринку: він становить сотні мільйонів доларів в рік. В індустрії з таким оборотом повинні з'являтися компанії повного циклу, що здійснюють весь комплекс послуг на високому професійному рівні. Єдиною проблемою є кримінальність всього бізнесу – поширення троянських програм є кримінальним злочином у всіх країнах, де є мінімальна кількість комп'ютерів. Збір персональних даних без відома користувача теж є караним.

    По всій видимості, якщо подібні вертикальні компанії ще не з'явилися, то поява їх – справа найближчого майбутнього. Потерпілими будуть, природно, рядові одержувачі електронної пошти.

    Джерела інформації:

    • viruslist.com – сучасні технології спамерів
    • rol.ru – як працюють спамери
    • comnews.ru – як працюють компанії – розповсюджувачі спаму

    Додатково від Генон:

    • Vidpo.net – що таке спам
    • Vidpo.net – як захиститися від спаму
    • Vidpo.net – де знайти дані про кількість спаму
    • Vidpo.net – де в інтернеті знайти матеріали про боротьбу зі спамом
    • Vidpo.net – де знайти інформацію по темі антиспаму

    Category: Інтернет

    Comments (Прокоментуй!)

    There are no comments yet. Why not be the first to speak your mind.

    Leave a Reply