Ewolucja spamu: stycze艅 - czerwiec, 2007

Anna Vlasova
Szef analityk贸w spamu, Kaspersky Lab


Taktyki techniczne

W pierwszej po艂owie 2007 r. spamerzy po raz kolejny pr贸bowali zmodernizowa膰 technologi臋 wykorzystywan膮 w celu tworzenia graficznych za艂膮cznik贸w w wiadomo艣ciach spamowych ("spam obrazkowy"). W lutym na przyk艂ad ponowili pr贸by wykorzystywania animowanej grafiki, z kt贸rej zrezygnowali pod koniec listopada 2006 r. Ten nowy typ animacji r贸偶ni si臋 od poprzedniego tym, 偶e obraz 藕r贸d艂owy rozbity jest na fragmenty, z kt贸rych ka偶dy znajduje si臋 pod innym k膮tem. W rezultacie u偶ytkownik widzi nast臋puj膮cy tekst:

Poni偶ej znajduj膮 si臋 dwa oddzielne animowane fragmenty z tej samej wysy艂ki spamu:


Spamerzy wypr贸bowywali r贸wnie偶 inne podej艣cia, takie jak wykorzystywanie r贸偶nych rzadkich czcionek:

Jednak metody te nie by艂y szczeg贸lnie skuteczne i udzia艂 spamu z graficznymi za艂膮cznikami (.gif, .jpeg itd.) zacz膮艂 spada膰. W styczniu udzia艂 spamu graficznego wynosi艂 33 proc. wszystkich wiadomo艣ci spamowych, jednak w marcu spad艂 do 25,7 proc. Spadek mia艂 miejsce r贸wnie偶 w kolejnych miesi膮cach - w czerwcu ten rodzaj spamu stanowi艂 zaledwie 18,8 proc.

G艂贸wnym powodem spadku ilo艣ci spamu graficznego jest jego coraz mniejsza skuteczno艣膰. Wiele producent贸w oferuje teraz filtry spamu, kt贸re do艣膰 dobrze wykrywaj膮 graficzne za艂膮czniki i blokuj膮 spam graficzny. Mimo to spamerzy nie zamierzaj膮 ca艂kowicie zrezygnowa膰 z tego rodzaju spamu. Dlatego te偶 poszukuj膮 nowych sposob贸w - opr贸cz format贸w .gif oraz .jpeg - dostarczania graficznych plik贸w u偶ytkownikom ko艅cowym. W pierwszej po艂owie 2007 r. pojawi艂o si臋 kilka nowych metod dostarczania i pokazywania u偶ytkownikom ko艅cowym grafiki spamowej:

  1. Umieszczanie plik贸w graficznych na darmowych stronach hostingowych (takich jak imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com itd.). Tekst takich wiadomo艣ci spamowych zawiera odsy艂acz do adresu, pod kt贸rym znajduje si臋 obraz. Po otwarciu przez u偶ytkownika emaila najpopularniejsze klienty pocztowe automatycznie pobior膮 obraz z tego adresu.
  2. Wykorzystywanie grafiki jako obrazu w tle. Pliki graficzne nie s膮 zawarte w mailu, ale publikowane na oddzielnej stronie internetowej. Tekst wiadomo艣ci zawiera jedynie adres URL wewn膮trz znacznika "body" z atrybutem "background". W rezultacie obraz mo偶e zosta膰 pobrany automatycznie przez niekt贸re klienty pocztowe, jak r贸wnie偶 przez interfejs sieciowy niekt贸rych serwis贸w pocztowych.
  3. Spam w za艂膮cznikach PDF. Ten rodzaj za艂膮cznika nie otwiera si臋 automatycznie. Aby zobaczy膰 zawarto艣膰 spamu, u偶ytkownik musi otworzy膰 za艂膮cznik r臋cznie.
  4. Spam w za艂膮cznikach FDF (inny format wykorzystywany w dokumentach Adobe). Metoda ta jest podobna do wykorzystywania za艂膮cznik贸w PDF, zw艂aszcza 偶e u偶ytkownicy mog膮 otworzy膰 i przejrze膰 za艂膮cznik wy艂膮cznie przy u偶yciu programu Adobe Acrobat Reader.

W pierwszych dw贸ch przypadkach spamerzy staraj膮 si臋, aby obraz spamowy nie by艂 widoczny w tre艣ci wiadomo艣ci. Zastosowanie takich podej艣膰 powoduje, 偶e filtry spamowe nie maj膮 czego filtrowa膰.

W trzecim przypadku obraz jest za艂膮czony, jednak wiele system贸w filtrowania ignoruje zastosowany format za艂膮cznika. W rezultacie pe艂na analiza zawarto艣ci spamu nie jest przeprowadzana.

Metody te s膮 do艣膰 skuteczne, gdy s膮 stosowane po raz pierwszy. Jednak po kilku miesi膮cach (czasami zaledwie tygodniach) filtry spamowe zostan膮 przekonfigurowane, tak aby mog艂y zwalcza膰 nowe taktyki spamer贸w. Jednak nawet nowe triki spamer贸w nie stanowi膮 zazwyczaj problemu dla bardziej zaawansowanych filtr贸w. Przyk艂adowo Kaspersky Anti-Spam potrafi wykrywa膰 spam w za艂膮cznikach PDF i FDF oraz zwalcza膰 nowe rodzaje spamu bez konieczno艣ci zmieniania oprogramowania.

Poni偶ej przedstawiamy przyk艂ad spamu w formacie PDF:

Oto spamowa wiadomo艣膰 email (wiadomo艣膰 jest pusta i nie zawiera 偶adnego tekstu) …

…, kt贸ra zawiera nast臋puj膮cy za艂膮cznik:

Spam wed艂ug kategorii

W pierwszej po艂owie 2007 r. spam utrzymywa艂 si臋 na zwyk艂ym poziomie 70 - 80 proc. ca艂ego ruchu pocztowego. Przyczyn膮 tej du偶ej stabilno艣ci jest zmieniaj膮cy si臋 charakter spamu. Nast臋puje coraz wi臋ksza kryminalizacja spamu, kt贸ry coraz bardziej odchodzi od tradycyjnej reklamy. "Przest臋pczy" spam nie podlega prawom rz膮dz膮cym rynkiem reklamy i nie jest podatny na zmiany zwi膮zane z okresow膮 poda偶膮 i popytem.

Najmniejsz膮 ilo艣膰 spamu (62,9 proc.) w pierwszej po艂owie 2007 r. firma Kaspersky Lab odnotowa艂a 27 kwietnia, najwi臋ksz膮 11 lutego oraz 28 maja (86 proc.).

W pierwszej po艂owie 2007 najwi臋kszy udzia艂 mia艂y nast臋puj膮ce kategorie spamu:

  1. Leki: produkty i us艂ugi zwi膮zane ze zdrowiem (17,3 proc. spamu).
  2. Edukacja (13,8 proc.)
  3. Komputery i Internet (9,2 proc.)
  4. Oszustwa komputerowe (8,9 proc.)
  5. Us艂ugi reklamy elektronicznej (8,3 proc.)

Na pierwszym miejscu pozostaje kategoria Leki: produkty i us艂ugi zwi膮zane ze zdrowiem. Kategoria ta obejmuje w wi臋kszo艣ci angielskoj臋zyczne reklamy niedrogich specyfik贸w medycznych (Viagra, Cialis itd.). Opr贸cz typowych ofert Viagry i antydepresant贸w w j臋zyku angielskim, obecnie do tego typu spamu mo偶na zaliczy膰 rosyjskoj臋zyczne oferty produkt贸w i us艂ug zwi膮zanych ze zdrowiem, takich jak okulary masuj膮ce czy ksi膮偶ki pomagaj膮ce rzuci膰 palenie.

Kategoria ta odnotowuje sta艂y wzrost od pocz膮tku roku. W ci膮gu pierwszej po艂owy 2007 r. ilo艣膰 tego rodzaju spamu wzros艂a prawie dwukrotnie, z 11,5 proc. w styczniu do 21,4 proc. w czerwcu:

Na drugim miejscu znalaz艂a si臋 kategoria Edukacja. Tego rodzaju spam stanowi膮 w g艂贸wnej mierze rosyjskoj臋zyczne oferty szkole艅 i seminari贸w, jak r贸wnie偶 angielskoj臋zyczne wiadomo艣ci oferuj膮ce szereg r贸偶nych stopni akademickich. Kategoria ta stanowi 13,8 proc. ca艂ego spamu.

Na trzecim miejscu znalaz艂a si臋 kategoria Komputery i Internet. Obejmuje ona w wi臋kszo艣ci angielskoj臋zyczne oferty nielicencjonowanego oprogramowania.

Na kolejnym miejscu znajduj膮 si臋 dwie kategorie: Oszustwa komputerowe (8,6 proc.) oraz Us艂ugi reklamy elektronicznej (8,3 proc.). Jak zwykle kategoria Us艂ugi reklamy elektronicznej stanowi艂a stosunkowo spory udzia艂 we wszystkich wiadomo艣ci spamowych, co 艣wiadczy o tym, 偶e spamerzy nadal poszukuj膮 nowych klient贸w.

W pierwszej po艂owie 2007 roku kategoria Osobiste finanse odnotowywa艂a sta艂y spadek. W styczniu spam finansowy znalaz艂 si臋 na pierwszym miejscu, stanowi膮c 13,3 proc. wszystkich wiadomo艣ci spamowych, w lutym jednak zosta艂 wyprzedzony przez kategori臋 Leki.

W czerwcu odsetek spamu z kategorii osobiste finanse spad艂 do 3,7 proc. Najni偶sza ilo艣膰 spamu z tej kategorii zosta艂a odnotowana w ci膮gu pierwszych dziesi臋ciu dni czerwca (1,1 proc.).

Spadek ten spowodowany by艂 kilkoma czynnikami:

  • sko艅czy艂o si臋 zapotrzebowanie - nawet naiwni internauci stracili zainteresowanie tego typu spamem i przestali na niego odpowiada膰;
  • filtry spamowe zosta艂y przekonfigurowane, tak aby mog艂y rozpoznawa膰 spam finansowy;
  • w pierwszym kwartale 2007 r. ameryka艅skie i kanadyjskie w艂adze wyrazi艂y zaniepokojenie odno艣nie spamu finansowego i obieca艂y chroni膰 inwestor贸w przed tym zagro偶eniem; bez w膮tpienia wywrze to pewn膮 presj臋 na spamer贸w.

Czy phisherzy przeprowadzaj膮 rozpoznanie rosyjskiego Internetu?

W pierwszej po艂owie 2007 roku mia艂o miejsce kilka atak贸w phishingowych na serwisy przeznaczone g艂贸wnie dla u偶ytkownik贸w rosyjskiego Internetu.

W pierwszym kwartale tego roku przeprowadzono atak phishingowy na rosyjski bank. Jest to do艣膰 rzadki incydent, poniewa偶 cel phisher贸w stanowi膮 zwykle zachodnie banki posiadaj膮ce rozwini臋te systemy bankowo艣ci online oraz spor膮 liczb臋 korzystaj膮cych z nich klient贸w. Atak ten mia艂 miejsce 20 lutego 2007 r., a jego celem by艂 Alfa Bank. Phisherzy zastosowali klasyczn膮 taktyk臋: wys艂any spam wygl膮da艂 jakby pochodzi艂 od administrator贸w banku i zawiera艂 odsy艂acz do strony phishingowej, kt贸ra rzekomo mia艂a by膰 oficjaln膮 stron膮 internetow膮 tej instytucji. Fa艂szywa strona posiada艂a ten sam styl co prawdziwa strona internetowa Alfa Bank, zawiera艂a informacje dotycz膮ce banku oraz inne charakterystyczne cechy. Na fa艂szywej stronie u偶ytkownicy proszeni byli o wprowadzenie do formularza loginu i has艂a do ich konta. Nast臋pnie dane te wysy艂ane by艂y phisherom.

W maju wykryto seri臋 atak贸w na elektroniczny system p艂atno艣ci Yandex.Dengi. By艂y to typowe ataki: w celu uzyskania dost臋pu do kont w systemie p艂atno艣ci spamerzy pr贸bowali nak艂oni膰 u偶ytkownik贸w, aby wprowadzili swoje dane osobowe na stronie phishingowej.

W obu przypadkach u偶ytkownicy, kt贸rzy nie zauwa偶yli niczego podejrzanego, narazili swoje oszcz臋dno艣ci na powa偶ne niebezpiecze艅stwo, a nawet stracili cz臋艣膰 z nich.

Pr贸by atakowania rosyjskich firm nadal wyst臋puj膮 do艣膰 rzadko. Prawdopodobnie mieli艣my tu do czynienia z pewnego rodzaju rekonesansem, tj. phisherzy pr贸bowali sprawdzi膰, czy u偶ytkownicy rosyjskiego Internetu byliby 艂atwymi ofiarami oraz jak popularne s膮 internetowe systemy p艂atno艣ci. Atak贸w tych nie kontynuowano, prawdopodobnie dlatego 偶e phisherzy nie byli zadowoleni ze swojego po艂owu. Nie mo偶na jednak powiedzie膰, 偶e ataki phishingowe na rosyjskie serwisy internetowe nie b臋d膮 ju偶 nigdy przeprowadzane. Gdy up艂ynie troch臋 czasu, phisherzy prawdopodobnie zn贸w zarzuc膮 sieci.

Spodziewamy si臋, 偶e w drugiej po艂owie 2007 r. spamerzy b臋d膮 w wi臋kszym stopniu eksperymentowali z technologiami graficznymi. Naturalnie testuj膮 r贸wnie偶 inne technologie. By膰 mo偶e b臋dziemy 艣wiadkami powrotu do "starych dobrych czas贸w" oraz pr贸b tchni臋cia nowego 偶ycia w stare taktyki i technologie.

Nie ma powodu obawia膰 si臋 powa偶nego zagro偶enia ze strony spamu z za艂膮cznikami PDF czy FDF, poniewa偶 ju偶 teraz obserwujemy spadek liczby tego typu wiadomo艣ci, kt贸ry prawdopodobnie b臋dzie wyst臋powa艂 r贸wnie偶 w przysz艂o艣ci.

Spamerzy znale藕li ju偶 sposoby wysy艂ania masowych wysy艂ek do okre艣lonych odbiorc贸w. W szczeg贸lno艣ci odnosi si臋 to do wszystkich rodzaj贸w atak贸w phishingowych (takich jak atak na Alfa Bank, kt贸rego ofiar膮 padli u偶ytkownicy rosyjskiego Internetu) oraz oszustw komputerowych. Niekt贸re wysy艂ki spamu mog膮 zmieni膰 si臋 w sprecyzowane ataki (tj. wysy艂ki, kt贸rych celem jest okre艣lona grupa spo艂eczna, geograficzna, wiekowa lub j臋zykowa). Jednak ten etap ewolucji spamu wymaga czasu.

W ci膮gu nast臋pnych sze艣ciu miesi臋cy udzia艂 spamu w ca艂ym ruchu pocztowym nie zmieni si臋 radykalnie. Wyszczeg贸lnione wy偶ej kategorie spamu prawdopodobnie utrzymaj膮 si臋 w pierwszej pi膮tce.

Podsumowanie

  1. Nowe taktyki stosowane w celu wysy艂ania spamu: spam wysy艂any jako obraz w tle w wiadomo艣ciach e-mail oraz spam wykorzystuj膮cy pliki PDF oraz FDF jako za艂膮czniki.
  2. Najmniejsza ilo艣膰 spamu w pierwszej po艂owie 2007 r. zosta艂a odnotowana 27 kwietnia (62 proc.), najwi臋ksza natomiast 11 lutego i 28 maja (86 proc.).
  3. Wi臋kszo艣膰 spamu zawiera reklamy Viagry oraz innych medykament贸w (17,3 proc. wszystkich wiadomo艣ci spamowych).
  4. Phisherzy wykazuj膮 zainteresowanie rosyjskim Internetem (ataki na Alfa Bank oraz Yandex.Dengi).