reforef.ru 1 2 ... 10 11


СПАМ И ФИШИНГ

ЧТО ТАКОЕ СПАМ

Слово «спам» знает сегодня любой пользователь интернета. Причем не только знает, но и частенько видит его в своем электронном ящике. Но далеко не каждый знает, что само слово «спам» когда-то никак не ассоциировалось ни с интернетом, ни с электронными письмами.

«Спам» — это акроним, сложносокращенное слово. Образовалось оно от усеченного «spiced ham» — «ветчина со специями», «колбаса с перчиком», «перчёная ветчина». Поэтому прямым переводом английского «spam» можно считать нечто вроде «спетчина» — «специи» плюс «ветчина».

История этой «ветчины» такова: в 1937 году американская фирма «Hormel Foods» выпустила колбасный фарш из скопившегося на фабрике «неликвидного» мяса третьей свежести. Малоаппетитный продукт американцы не стали покупать, поэтому хозяин корпорации мистер Хормель развернул масштабную маркетинговую кампанию, широко разрекламировал свой продукт и начал поставлять свои консервы в военные ведомства и флот.

В 1937 году «Hormel Foods» накормила американские и союзнические войска своей продукцией. Даже в послевоенной Англии, среди экономического кризиса, спам был основным продуктом питания англичан. «Розовые кусочки мяса», описываемые Оруэллом в «1984» — это и был спам 1948 года. Так слово приобрело значение чего-то отвратительного, но неизбежного.

В декабре 1970 года в 25-ом выпуске скетча театральной группы Monty Python's Flying Circus, посетители попадают в ресторан, где в каждом блюде содержится ветчина — «спам». Официантка расписывает преимущества спама. Хор, переодетый в викингов, на заднем плане ревет «Спам, спам, спам!», полностью заглушая разговоры посетителей. Так термин «спам» начал ассоциироваться с нежелательной, надоедливой, избыточной информацией, которая «глушит» даже полезные сообщения.

Термин «спам» в новом значении (навязчивой электронной рассылки, почтового мусора) появился в 1993 году.


Термин «спам» в новом значении (навязчивой электронной рассылки, почтового мусора) появился в 1993 году. Администратор компьютерной сети Usenet Ричард Депью написал программу, ошибка которой 31 марта 1993 года спровоцировала отправку двух сотен идентичных сообщений в одну из конференций. Его недовольные собеседники быстро нашли подходящее название для навязчивых сообщений — «спам».

Можно также отметить одну из самых ранних массовых «спам-рассылок»: в апреле 1994 года юридическая контора Canter&Siegel наняла программиста, написавшего нехитрую программку, и раместила рекламу сомнительных услуг конторы на всей конференции все той же сети Usenet.

Сегодня термин «спам» (так же как и различные его производные — «спамить», «спамер» и проч.) полностью переориентировался на электронную почту и вошел в широкое употребление, несмотря на то, что колбасные изделия Хормеля с этим названием выпускаются в США до сих пор.

UCE и UBE

Прежде, чем давать наше определение термина «спам», следует сказать несколько слов о спаме вообще и о том, как именно его понимают в других странах.

Cпам (незапрошенная пользователем информация) в зависимости от целей и задач отправителя (спамера) может содержать коммерческую информацию или не иметь к ней никакого отношения. Таким образом, по содержанию сообщения различают «коммерческий» спам — «unsolicited commercial e-mail» (общепринятая аббревиатура — UCE) и «некоммерческий» — «unsolicited bulk e-mail» (UBE).

В США закон каждого штата зачастую по-разному определяет понятие незапрашиваемой (коммерческой) почтовой рассылки, и в каждом штате юридический статус явления спама имеет свои нюансы. Законы большинства штатов ограничивают рассылку только незапрошенных электронных писем, связанных с рассылкой коммерческой информации — UCE (незапрошенное коммерческое письмо). Вместе с тем, в ряде штатов (например, Коннектикут, Делавэр, Айдахо, Айова, Луизиана) ограничения были введены как для UCE, так и для UBE, т.е. для массовых рассылок любых незапрошенных электронных сообщений, независимо от их характера.


С позиции организации текста электронного письма спам может содержать в поле «Subject» информацию о том, что представляет из себя данное сообщение (например, что оно содержит рекламную информацию), а в теле письма — указание, в связи с чем отправитель обращается к получателю без предварительного на то согласия, а также сведения о том, какие действия должен предпринять получатель, чтобы в дальнейшем не получать сообщений от отправителя, т.е., содержать информацию об электронном адресе, ресурсе в сети Интернет или телефоне (обычно это toll-free phone number), которые предназначены для отписки (прекращения подписки) от незапрашиваемой информации (функция «opt-out»).

Эти признаки (указание в поле Subject и наличие механизма отписки) свидетельствуют о том, что отправитель понимает, что предлагаемая им информация навязывается получателям, и что он добросовестно пытается снизить возможное негативное воздействие на них. Но очень часто спамер не только не испытывает желания снизить дискомфорт от спама, но и отказывается от ответственности за свои действия путем фальсификация адреса отправителя, использования адреса третьего лица и фальсификации заголовков сообщения. Делается все это для того, чтобы максимально затруднить возможность установления личности отправителя и принятия против него соответствующих мер.

ОПРЕДЕЛЕНИЕ СПАМА

Согласно определению «Лаборатории Касперского», спам — это анонимная массовая непрошенная рассылка.

В этом определении важно каждое включенное в него слово.

Анонимная: все страдают, в основном, именно от автоматических рассылок со скрытым или фальсифицированным обратным адресом.

Массовая: эти рассылки именно массовые, и только они являются настоящим бизнесом для спаммеров и настоящей проблемой для пользователей.

Непрошенная: очевидно, подписные рассылки и конференции не должны подпадать под наше определение (хотя условие анонимности и так в значительной мере это гарантирует).


В определение спама часто включают слова «рекламная» или «коммерческое предложение». Это не совсем верно.

В определение спама часто включают слова «рекламная» или «коммерческое предложение». Это не совсем верно — значительная часть спама не преследует рекламных или коммерческих целей. Есть рассылки политического спама, есть «благотворительные» спамерские письма, есть мошеннические («нигерийские», фишинговые), «цепочечные письма» — письма с просьбой переслать знакомым (страшилки, «письма счастья»), вирусные и прочие, не являющиеся коммерческим предприятием.

Таким образом, все незапрошенные предложения, попавшие в ящик, мы делим на:


  1. спам, имеющий все признаки анонимной массовой рассылки,

  2. целевые коммерческие предложения.

Первые нужно фильтровать и иногда сразу удалять — согласно политике компании. Вторые также возможно фильтровать, но с ними нужно обращаться более осторожно.

ЧТО ТАКОЕ «ФИШИНГ»

Фишинг
(англ. phishing, от fishing — рыбная ловля, выуживание и password — пароль) — вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.

Фишинг представляет собой пришедшие на почту поддельные уведомления от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать / обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и прочее.

Атаки фишеров становятся все более продуманными, применяются методы социальной инженерии. Но в любом случае клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован»). Забавно, но часто в качестве причины, по которой пользователь якобы должен выдать конфиденциальную информацию, фишеры называют необходимость улучшить антифишинговые системы («если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свой логин и пароль»).


http://www.securelist.com/ru/images/slpedia/phish_01.png
Рис. 1. Пример фишингового письма с требованием (ради обеспечения дополнительной безопасности)
пройти по ссылке и обновить свои данные в системе Federal Credit Union.

Фишинговые сайты, как правило, живут недолго (в среднем — 5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их остается неизменен — он совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники.

Зайдя на поддельный сайт, пользователь вводит в соответствующие строки свой логин и пароль, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, в худшем — к электронному счету. Но не все фишеры сами обналичивают счета жертв. Дело в том, что обналичивание счетов сложно осуществить практически, к тому же человека, который занимается обналичиванием, легче засечь и привлечь мошенников к ответственности. Поэтому, добыв персональные данные, некоторые фишеры продают их другим мошенникам, у которых, в свою очередь, есть отработанные схемы снятия денег со счетов.

Наиболее частые жертвы фишинга — банки, электронные платежные системы, аукционы.

Наиболее частые жертвы фишинга — банки, электронные платежные системы, аукционы. То есть мошенников интересуют те персональные данные, которые дают доступ к деньгам. Но не только. Также популярна кража личных данных от электронной почты — эти данные могут пригодиться тем, кто рассылает вирусы или создает зомби-сети.

Характерной особенностью фишинговых писем является очень высокое качество подделки. Адресат получает письмо с логотипами банка / сайта / провайдера, выглядящее в точности так же, как настоящее. Ничего не подозревающий пользователь переходит по ссыке «Перейти на сайт и залогиниться», но попадает на самом деле не на официальный сайт, а на фишерский его аналог, выполненный с высочайшей точностью.


Еще одной хитростью фишеров являются ссылки, очень похожие на URL оригинальных сайтов. Ведь достаточно наблюдательный пользователь может обратить внимание на то, что в командной строке браузера высвечивается ссылка, совершенно отличная от легитимного сайта. Такие «левые» ссылки тоже встречаются, но рассчитаны они на менее искушенного пользователя. Часто они начинаются с IP-адреса, хотя известно, что настоящие солидные компании давно не используют подобные ссылки.

Поэтому фишинговые URL часто похожи на настоящие. Они могут включать в себя название настоящего URL, дополненное другими словами (например, вместо www.examplebank.com стоит www.login-examplebank.com). Также в последнее время популярный фишинговый прием — ссылка с точками вместо слешей, внешне очень похожая на настоящую (вместо www.examplebank.com/personal/login стоит www.examplebank.com.personal.login). Можно привести еще такой фишерский вариант: www.examplebank.com-personal.login.

Также в самом теле письма может высвечиваться ссылка на легитимный сайт, но реальный URL, на который она ссылается, будет другим. Бдительность пользователя притупляется еще тем, что в письме может быть несколько второстепенных ссылок, ведущих на официальный сайт, но основная ссылка, по которой пользователю надо пройти и залогиниться, ведет на сайт мошенников.

http://www.securelist.com/ru/images/slpedia/phish_02.png
Рис. 2. Пример фишингового письма (подделка под уведомление интернет-аукциона Ebay)
Иногда личные данные предлагается ввести прямо в письме. Надо помнить, что никакой банк (либо другая организация, запрашивающая конфиденциальную информацию) не будет этого делать подобным образом.


Технологии фишеров совершенствуются. Так, появилось сопряженное с фишингом понятие — фарминг.

Технологии фишеров совершенствуются. Так, появилось сопряженное с фишингом понятие — фарминг. Это тоже мошенничество, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опасней, так как заметить подделку практически невозможно.


Наиболее популярные фишерские мишени — аукцион Ebay и платежная система PayPal. Также страдают различные банки по всему миру. Атаки фишеров бывают случайными и целевыми. В первом случае атака производится «наобум». Атакуются наиболее крупные и популярные объекты — такие как аукцион Ebay — так как вероятность того, что случайный получатель имеет там учетную запись, довольно высока. Во втором случае мошенники узнают, каким именно банком, платежной системой, провайдером, сайтом пользуется адресат. Этот способ более сложен и затратен для фишеров, зато больше шансов, что жертва купится на провокацию.

http://www.securelist.com/ru/images/slpedia/phish_04.png
Рис. 4. Пример фишингового письма — фрагмент поддельного уведомления
популярной платежной системы PayPal.


Воровство конфиденциальных данных — не единственная опасность, поджидающая пользователя при нажатии на фишерскую ссылку. Зачастую, следуя по ней, можно получить программу-шпиона, кейлоггер или троян. Так что если даже у вас нет счета, которым мошенники могли бы воспользоваться, нельзя чувствовать себя в полной безопасности.

Согласно данным Gartner, в США в 2006 году ущерб, нанесенный одной жертве фишинга, в среднем составил 1244 долларов США. В 2005 году эта сумма не превышала 257 долларов, что свидетельствует о невероятном успехе фишеров. В России ситуация несколько иная. Из-за того, что у нас электронные платежные системы пока не столь распространены, как на Западе, ущерб от фишинга не столь велик. Но с распространением в России электронных платежных систем доля фишинга в общем почтовом потоке возрастет, и, соответственно, возрастет и ущерб от него. Так что, хотя данная проблема в России не стоит еще столь остро, готовиться к ней надо уже сейчас.

Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. И хотя на многих сайтах, требующих конфиденциальной информации, опубликованы специальные предупреждения о том, что они никогда не просят сообщать свои конфиденциальные данные в письмах, пользователи продолжают слать свои пароли мошенникам. Поэтому несколько лет назад была создана Anti-Phishing Working Group (APWG) — группа по борьбе с фишингом, в которую входят как компании-«мишени» фишеров, так и компании, разрабатывающие анти-фишинговый/анти-спамерский софт. В рамках деятельности APWG проводятся ознакомительные мероприятия для пользователей, также члены APWG информируют друг друга о новых фишерских сайтах и угрозах. Сейчас APWG насчитывает более 2500 участников, среди которых есть крупнейшие мировые банки и ведущие IT-компании. Так что, по оптимистическим прогнозам, через некоторое время пользователи научатся остерегаться фишерских сайтов, как в свое время научились с опаской относиться к письмам с вложениями от неизвестных адресатов. Пока же основной защитой от фишинга остаются спам-фильтры.



ИНФРАСТРУКТУРА СПАМ-РЫНКА


На сегодняшний день рынок спама окончательно сложился, и роли на нем четко распределены. Сбор адресов пользователей, поиск клиентов и собственно рассылка производятся разными структурами, обслуживающими друг друга.

Рынок профессиональных спамерских услуг можно поделить на следующие части:

  • поставщики ПО, баз данных (электронных адресов), IP-адресов;

  • вирусописатели;

  • сами спамеры (рассыльщики);

  • рекламодатели.

Производители ПО


Это те, кто производит программное обеспечение для спамеров — программы для сбора адресов с сайтов и форумов (сетевые пауки), программы для быстрой массовой рассылки, программы для проверки существования и работоспособности адресов и т. д.

Программное обеспечение для спам-рассылки можно как купить (для установки на свой или арендованный сервер), так и арендовать. Найти в Сети предложения по покупке и аренде спамерского ПО совсем нетрудно — его авторы обычно не скрываются.

Собиратели баз адресов


Этот вид игроков обслуживает нужды спамеров и собирает для них почтовые адреса, которые объединяет в базы адресов. Для этого используется разнообразное программное обеспечение, которое ищет адреса в интернете, проверяет их работоспособность и помещает в базу. Применяются разнообразные методы — от кражи адресов у провайдера с помощью завербованных агентов до подбора адресов «на кончике пера» с помощью различных эвристических алгоритмов и так называемых словарных атак. Например, перебираются все простые имена типа anna@somedomain.com, bob@somedomain.com. Или, если известен адрес olga1981@any.com, можно проверить и olga1981@other.com.

ВИРУСОПИСАТЕЛИ


Вирусописатели создают вредоносные программы с целью превращения компьютеров пользователей в машины для рассылки спама — так называемых зомби.

Важной частью спам-индустрии являются вирусописатели. Они создают вредоносные программы с целью превращения компьютеров пользователей в машины для рассылки спама — так называемых зомби. Пользователи при этом могут даже не догадываться, что их машины используются спамерами. Уже в 2004 году основная масса спама рассылалось не напрямую с почтовых серверов, а посредством зараженных пользовательских компьютеров, объединённых в зомби-сети.

СПАМЕРЫ


Собственно спамеры — это те, кто рассылает спам. Если делить спамеров по степени подготовленности, можно выделить следующие уровни:

  • десятки крупных спамерских фирм;

  • сотни мелких фирм и отдельных профессионалов;

  • тысячи непрофессионалов (студентов, безработных).

Портрет типичного спамера — это технически грамотный, активный, беспринципный молодой человек.

Профессиональные службы рассылок


Это группы весьма квалифицированных людей, вооруженных совершенным программным обеспечением, которое умеет рассылать письма с огромной скоростью и использовать последние достижения спамерской мысли.

Самодеятельные спамеры


Здесь есть две категории — начинающие спамеры и нечаянные спамеры («добросовестные»).

Начинающие спамеры. Такой спамер пытается организовать свой бизнес рассылки «на коленке», пользуясь технически негодными средствами — покупается карточка провайдера, рассылка часто идет через модем или домашнюю выделенную линию. С рассылкой писем таким способом связано слишком много проблем (скорость рассылки очень низкая, база адресов устарела, провайдер может заметить и закрыть аккаунт...). Поэтому такие письма не составляют большой доли в спаме.

«Добросовестные спамеры». Это чаще всего маркетинговые сотрудники обычных компаний, которые вдруг открыли для себя фантастические возможности рекламы электронной почты: пиши, кому хочешь, и рассылка практически ничего не стоит! Обычно адреса они берут просто с сайтов, честно указывают все свои координаты, настоящий обратный адрес и так далее.

Клиенты: кто платит спамерам?

Спам противоречит законодательству многих стран. Поэтому, прежде всего, он привлекает к себе предпринимателей, занимающихся преступной деятельностью. Огромным спросом электронный мусор пользуется у торговцев порнографией, поддельными лекарствами, нелегальным софтом. Охотно прибегают к спаму «строители» финансовых пирамид и другие мошенники. Безусловно, массовые рассылки — один из основных инструментов фишеров.


В последние годы становится все более активным спам, который предлагает обратить внимание на акции некоторых компании. За счет массовости рассылок спам-реклама может привести к росту курса акций. Очевидно, заказчиками такого спама являются те, кто играет на краткосрочных курсовых изменениях.

Ситуация в России несколько отличается от мировой. Здесь клиентами спамеров часто являются представители малого бизнеса (электроника, комплектующие, автомобили, юридические услуги, туризм, медицина, и т. п.).

ВРЕД ОТ СПАМА

Почему со спамом нужно бороться? Начав с относительно скромных по масштабам рекламных рассылок, спам постепенно вырос в серьезную техническую, экономическую и даже социальную угрозу:


  1. Нагрузка на коммуникации. Спам замусоривает каналы связи, создает трафик, оплачивать который приходится либо провайдеру, либо пользователю (самому или работодателю, если речь идет о рабочем почтовом ящике). Еще три года назад президент Ассоциации документальной электросвязи Александр Иванов оценил ущерб от спама операторов сети Интернет в 55 млн. долларов США. И это только затраты на трафик. А ведь есть еще физические мощности — почтовые серверы, принимающие и обрабатывающие этот мусор. Есть специалисты, которые эти серверы обслуживают. Эта инфраструктура тоже стоит денег.

  2. Потеря времени. Если спам добрался до конечного почтового ящика, то его владелец будет вынужден вручную вычищать мусорную почту. Сотрудник, читающий в день 10-20 писем по работе, вместе с ними может получить 160-180 спамерских сообщений. Время, потраченное на удаление спама — а это 5-6 часов в месяц, — будет потеряно из рабочего процесса, и оно же будет оплачено из кармана работодателя.

  3. Раздражение и недовольство. Удаляя спам, пользователь по сути работает уборщицей, только «электронной» — выгребает мусор. Это не может его не раздражать, вот и еще один негативный фактор — эмоциональный.
  4. Случайная потеря нужного письма в пачке спама. Комментарии в данном случае излишни — кто хоть раз сталкивался с такой ситуацией, все поймет.


  5. Криминализация спама.

С каждым годом спам все больше теряет свою рекламную составляющую, и все больше криминализируется. Предпосылкой этого процесса служит анонимность спам-рассылки, что создает иллюзию полной безнаказанности.

Широко известны такие виды криминализированной почты, как нигерийские письма и фишинг. Спамеры проявляют редкую активность в изобретении новых объектов атак и «приманок» для пользователя. Российские спамеры ведут настоящую охоту за логинами-паролями к ящикам бесплатных почтовых служб — Яндекс. Почта и Mail.ru.

Кроме того, услугами спамеров охотно пользуются вирусописатели, которые с помощью спамовых писем распространяют свои творения либо ссылки на зараженные сайты, куда пользователей заманивают под тем или иным предлогом. Результат получения такого спама один: риск заражения компьютера пользователя вредоносной программой.

Эксперты оценивают суммарные убытки от спама в несколько десятков миллиардов долларов ежегодно. В результате защита от спама оказалась не просто желательной, а остро необходимой. Если не ограничить спам и спамеров, то пользование электронной почтой зайдет в тупик. Мы просто не сможем применять ее по прямому назначению, все будет завалено спамом.

В современном мире защита от спама — такая же необходимая составляющая общей системы IT-безопасности, как и антивирусная защита.



следующая страница >>