W pierwszej połowie 2006 roku technologie wykorzystywane do wysyłania spamu stale ewoluowały. Współcześni spamerzy stosują różne techniki, które obejmują:

• Wirusy atakujÄ…ce komputery PC
• Rozproszone zarzÄ…dzanie sieciami zombie
• Systemy umożliwiajÄ…ce zdalne kontrolowanie komputerów PC i serwerów
• Automatyczne generatory wiadomoÅ›ci e-mail dziaÅ‚ajÄ…ce w oparciu o szablony

Współzależność tych technik osiągnęła taki poziom, że innowacje w zakresie masowych wysyłek pojawią się prawdopodobnie dopiero za kilka miesięcy. Jednocześnie, metody wykorzystywane obecnie do wysyłania spamu ewoluują.

Do wysyłania spamu nadal wykorzystywane są:

• Sieci komputerów zombie, tj. botnety.
• Serwery sieciowe i luki w popularnym oprogramowaniu serwerowym.

Botnety

Większość spamu wysyłana jest poprzez botnety. Liczba botnetów stale zwiększa się, rozrastają się również same sieci. W zeszłym roku policja holenderska aresztowała twórców sieci składającej się z 1,5 miliona komputerów PC - jest to absolutny rekord. Nie oznacza to, że nie istnieją inne duże bonety, a jedynie to, że władzom nie udało się ich dotąd zlokalizować.

Obecnie osoby kontrolujące botnety odchodzą od wykorzystywania protokołu IRC na rzecz protokołu HTTP. Co więcej, scentralizowane sieci (tj. sieci posiadające kilka węzłów kontrolujących, do których mogą podłączyć się inne komputery zombie) coraz częściej posiadają centrum kontroli, które zlokalizowane jest na specjalnie wyznaczonym serwerze "odpornym na spam".

Wzrosła również popularność botnetów zdecentralizowanych, które składają się z komputerów zombie próbujących połączyć się z jak największą liczbą innych komputerów zombie. W obrębie sieci polecenia są przekazywane między jednym komputerem a innym. Sieci takie mogą być zarządzanie poprzez każdy z tworzących je komputerów.

W celu zwalczania spamu dostawcy usług internetowych dla użytkowników końcowych wprowadzili następujące ograniczenia:

1. Zakaz wysyłania wiadomości e-mail bezpośrednio do przekaźników poczty innych niż te należące do dostawcy. W ten sposób monitorowane są wszystkie wiadomości wychodzące.
2. Ograniczenie liczby wiadomości wychodzących wysyłanych przez jednego użytkownika w zdefiniowanym okresie czasu. W przypadku przekroczenia tego limitu, użytkownik może otrzymać całkowity zakaz albo mogą zostać zastosowane wobec niego surowe restrykcje.
3. Filtrowanie zawartości wychodzących wiadomości e-mail za pomocą filtrów wykorzystywanych do analizowania poczty przychodzącej.

Działania te pomagają ograniczyć ilość masowych wysyłek z botnetów, które wysyłają spam bezpośrednio, albo wysyłają go w dużych ilościach z tego samego komputera. W odpowiedzi na takie zabezpieczenia spamerzy zaczęli wykorzystywać do wysyłania spamu duże ilości komputerów zombie, zmniejszając tym samym liczbę wiadomości e-mail wysyłanych z jednego komputera. Inną metodą przeprowadzania masowych wysyłek jest wysyłanie spamu z serwera pocztowego dostawcy, który identyfikowany jest poprzez skanowanie sieci lub analizę ustawień w programie pocztowym użytkownika.

Serwery sieciowe i luki w popularnym oprogramowaniu dla serwerów

Główny cel wykorzystywania serwerów sieciowych i luk w oprogramowaniu dla serwerów do przeprowadzania masowych wysyłek jest taki sam jak w przypadku wykorzystywania botnetów: szkodliwi użytkownicy muszą przejąć serwer, aby wykonał za nich całą brudną robotę. Jednak wyszukiwanie luk nie odnosi się tylko do komputerów osobistych, ale także do serwerów, najczęściej tych działających pod kontrolą Uniksa. Co więcej, metody wykorzystywane do infekowania i zarządzania tymi serwerami różnią się od tych stosowanych w przypadku komputerów PC, tak samo jak metody stosowane do wykorzystywania wykrytych luk.

Serwery sieciowe mogą zostać zainfekowane w następujący sposób:

1. Analizowany jest kod źródłowy popularnego oprogramowania w celu znalezienia błędów, które pozwoliłyby na wykonanie poleceń po stronie serwera. Interpretery PHP, popularne silniki forów i blogi są głównym celem poszukiwania luk.
2. Wyszukiwarki (takie jak Google, Yahoo itd.) mogą być wykorzystywane do szukania stron internetowych, które wykorzystują oprogramowanie zawierające luki.
3. Luki wykorzystywane są do instalowania na serwerze skryptów, które pozwolą spamerowi na zdalne wykonanie poleceń lub zmodyfikowanie danych, do których dostęp można uzyskać za pomocą serwera sieciowego.

Po znalezieniu sposobu uzyskania dostępu do serwera można go wykorzystać do wysyłania spamu lub przeprowadzenia ataków DDoS.

W zeszłym roku pisaliśmy o tym, że spamerzy próbują znaleźć inne kanały niż poczta elektroniczna w celu dostarczania swoich informacji - należą do nich komunikatory internetowe (ICQ, MSN) i telefony komórkowe (SMS, MMS). Jednak to nie wszystko. Coraz większa ilość spamu przybiera teraz formę postów na popularnych forach dyskusyjnych i komentarzy w blogach.

Wcześniej ten rodzaj spamu nigdy nie był przeznaczony do czytania, ale do oszukania wyszukiwarek, tj. poprawiania pozycji reklamowanej strony poprzez dużą liczbę prowadzących do niej odnośników. Taki spam występował głównie na wymarłych forach, nad którymi administratorzy nie sprawowali żadnej opieki.

W pierwszej połowie 2006 roku na szczycie rankingów znajdował się spam graficzny. Spam graficzny oznacza masowe wysyłki, w których główna informacja zawarta jest w załączniku do wiadomości e-mail, a nie w samej wiadomości. Ilość tego rodzaju spamu rośnie. W celu tworzenia i wysyłania spamu graficznego spamerzy modyfikują oprogramowanie. Na tym obszarze pojawiły się następujące innowacje:

1. Obracanie obrazków pod różnymi kątami.
2. Dzielenie obrazków na fragmenty i rekonstruowanie z nich oryginalnego obrazka przy użyciu HTML-a.
3. Graficzne reprezentacje poszczególnych liter; litery te będą różnie reprezentowane w poszczególnych mailach stanowiących część tej samej masowej wysyłki.

Nowe sztuczki mają ten sam cel co starsze metody stosowane przez spamerów w celu obejścia filtrów spamowych: uniemożliwienie modułowi filtracji wykorzystania sum kontrolnych do ustalenia, czy graficzne załączniki w pojedynczym ataku spamowym są identyczne.

Każda innowacja wymaga modyfikacji wykorzystywanego przez spamerów oprogramowania - to zaś pochłania czas, pieniądze i zasoby ludzkie. Jeśli spamerzy zaczęli pracować nad określoną technologią czy techniką, oznacza to, że dana technika czy technologia pozwala na skuteczne ominięcie filtrów antyspamowych.

Obecnie spam graficzny występuje w języku angielskim i skierowany jest głównie do użytkowników z Zachodu. Wiadomości takie oferują zazwyczaj lekarstwa, tanie oprogramowanie czy szwajcarskie zegarki.

Dwa lata temu w rosyjskim Internecie miała miejsce fala eksperymentów ze spamem graficznym. Potem jednak rosyjscy spamerzy zaprzestali takich badań, ograniczając się do technologii i metod, które stworzyli w 2004 roku.

Poniżej przedstawiamy kilka przykładów nowych trendów dotyczących spamu graficznego zaobserwowanych w pierwszej połowie 2006 roku.

1. Dwa przykłady ataku spamowego przy użyciu wykrzywionego tekstu.

Ilość spamu

Począwszy od marca 2006 roku analitycy Kaspersky Lab zauważyli, że spam stanowi stały, spory udział w ruchu pocztowym - od 75% do 78% wszystkich wiadomości e-mail.

Z danych analityków Kaspersky Lab wynika, że ten wysoki odsetek odnosi się zarówno do rosyjskiego jak i zachodniego segmentu Internetu.

Porównując dane z pierwszej połowy 2006 roku z danymi z okresu 2004-2005, można zauważyć, że dolna granica przedziału procentowego wzrosła z 73% do 75%. Wykres przedstawiający ilość spamu ukazuje równy, stopniowy wzrost, bez gwałtowniejszych wzniesień czy spadków, co jest raczej nietypowe. W latach 2003-2005 w rosyjskim Internecie nastąpiły dwa "okresowe" spadki ilości spamu, które zbiegły się z Nowym Rokiem i świętem majowym. W maju 2006 roku nie odnotowano żadnego spadku. Wygląda na to, że spam osiągnął teraz punkt nasycenia w ruchu pocztowym. Ilość spamu utrzymuje się na stabilnym, stosunkowo wysokim poziomie, który w niewielkim stopniu uzależniony jest od czynników, takich jak lokalne święta.

Kształtowanie się ilości spamu w pierwszej połowie 2006 roku można podsumować w następujący sposób:

• W styczniu ilość spamu zmniejszyÅ‚a siÄ™ do 44% caÅ‚ego ruchu pocztowego (4-5 stycznia);
• NastÄ™pnie liczba wiadomoÅ›ci spamowych rosÅ‚a aż do szczytowego poziomu 86,4% (14-17 lutego);
• NastÄ…piÅ‚o kilka gwaÅ‚townych wahaÅ„ iloÅ›ci spamu, od 63,8% do 81,2%;
• Ostatecznie ilość spamu ustabilizowaÅ‚a siÄ™ na poziomie 75%-78%.

W pierwszej połowie 2006 roku do trzech głównych kategorii spamu w rosyjskim Internecie należały:

1. Oszustwa komputerowe²
2. Spam oferujący lekarstwa i inne produkty oraz usługi medyczne lub pseudomedyczne
3. Spam "edukacyjny", oferujÄ…cy specjalne kursy, seminaria i szkolenia

Wzrosła ilość spamu służącego do przeprowadzania oszustw komputerowych; podczas gdy w 2005 roku ten rodzaj spamu stanowił 11%, w pierwszej połowie 2006 roku - już 18,8%. Więcej szczegółów na ten temat zawiera sekcja dotycząca spamu przestępczego.

Niektóre rodzaje spamu służącego do przeprowadzania oszustw komputerowych wyróżniają się niezwykłą żywotnością: takie maile wysyłane są w regularnych odstępach czasu na miliony adresów.

Trzy najpopularniejsze, najdłuższe i najczęściej powtarzane ataki spamu to:

1. Oferty Viagry i innych środków na zwiększenie witalności;
2. Spam finansowy - tj. próba wpłynięcia na wartość akcji na giełdzie;
3. Oferowanie kursów, szkoleń i seminariów dla menedżerów dotyczących zwiększenia motywacji pracowników, jak również zagadnień związanych z księgowością i podatkami.

Spam przestępczy

O postępującej kryminalizacji spamu świadczą następujące fakty:

• staÅ‚y wzrost iloÅ›ci spamu sÅ‚użącego do przeprowadzania oszustw komputerowych;
• pojawienie siÄ™ nowych rodzajów oszustw, do których wykorzystywany jest spam;
• doskonalenie znanych już rodzajów spamu z tej kategorii.

Z danych liczbowych wynika, że ilość spamu przestępczego wzrasta - w pierwszej połowie 2006 roku 18,8% spamu stanowił spam przestępczy.

Diagram pokazuje, że w pierwszej połowie 2006 roku udział spamu przestępczego w rosyjskim segmencie Internetu wahał się. W okresach, w których osiągał szczytowe wartości - trwających od 1 do 3 dni - spam przestępczy stanowił 25%. W pozostałym okresie do kategorii tej zaliczało się 13-16% całego spamu. Szczegółowe dane dotyczące tej kategorii pokazują, że ataki typu phishing stanowią połowę wszystkich ataków spamu służących do przeprowadzania oszustw komputerowych.

Niektóre rodzaje spamu przestępczego występują na całym świecie. Odnosi się to przede wszystkim do phishingu, spamu "cztery jeden dziewięć", spamu finansowego, oferowania pirackiego oprogramowania itd. Inne rodzaje spamu są specyficzne dla określonych regionów. Na przykład, udział w praniu brudnych pieniędzy (przedstawiany przez spamerów jako legalne działanie) oferowany jest tylko użytkownikom zachodniego segmentu Internetu.

W pierwszej połowie 2006 roku rosyjscy użytkownicy spotkali się z nowym rodzajem spamu: spam zachęcał ich do wysłania bezpłatnych wiadomości tekstowych na numer płatnej usługi. Istnieją różne rodzaje ofert, jednak cel spamerów jest zawsze taki sam: zarobienie pieniędzy kosztem użytkownika.

Analitycy z firmy Kaspersky Lab wykryli spam proponujący użytkownikowi wykreślenie go z listy mailingowej przez wysłanie wiadomości tekstowej na podany numer. Spamerzy obiecywali, że wykreślenie z bazy spamowej jest nieodpłatne, jednak wysłanie wiadomości tekstowej na wykorzystywany przez spamerów numer w rzeczywistości kosztowało użytkownika od 30 do 50 centów. W rezultacie niczego niepodejrzewający użytkownik stracił trochę pieniędzy i nadal otrzymywał spam.

Część spamu przestępczego tworzona jest w językach europejskich: angielskim, francuskim i niemieckim. Na przykład, fałszywe powiadomienia o wygranych na loterii są zazwyczaj w języku agielskim, podczas gdy spam "cztery jeden dziewięć" pisany jest najczęściej po angielsku i francusku, a podrobione zegarki i markowe torby reklamowane są także po angielsku.

Wynika to częściowo z różnic w stylu życia rosyjskich użytkowników Internetu oraz użytkowników z Zachodu - niektóre oferty nie nadają się dla rosyjskich użytkowników. Na przykład, internetowe systemy finansowe w Rosji są mniej rozwinięte niż na Zachodzie, co wyjaśnia brak rosyjskojęzycznych ofert dotyczących transakcji gotówkowych; co więcej, podrobione i nielegalnie skopiowane towary można kupić w Rosji znacznie taniej niż oferują spamerzy.

1. Ilość spamu nadal utrzymuje się na wysokim poziomie i stanowi 75%-78% całego ruchu pocztowego. Niespodziewany wzrost nastąpił w połowie lata. Pod koniec czerwca aż 82,2% całego ruchu pocztowego stanowił spam.
2. Najpopularniejszymi rodzajami spamu były: oszustwa komputerowe, środki farmaceutyczne (głównie Viagra i podobne specyfiki) oraz usługi edukacyjne.
3. W Rosji pojawił się nowy rodzaj spamu-oszustwa polegający na skłanianiu odbiorców do wysyłania określonej wiadomości na numer płatnej usługi. Celem spamerów jest przelanie środków pieniężnych na własne konta osobiste.
4. Metody wykorzystywane obecnie w celu przeprowadzania masowych wysyłek ewoluują.
5. Spamerzy wykorzystujÄ… fora i blogi.
6. Techniki pozwalające na wysyłane spamu graficznego są stale rozwijane.

Prognozy

1. W drugiej połowie 2006 roku odsetek spamu w całym ruchu pocztowym nie zmniejszy się.
2. Ataki spamu będą obejmowały więcej aspektów kryminalnych, co wynika ze wzrostu ilości spamu przestępczego w Rosji.
3. W drugiej połowie roku trzy najpopularniejsze kategorie spamu nie zmienią się.
4. Spamerzy nadal będą badali i wykorzystywali nowe kanały dystrybucji spamu.

Więcej informacji

Analizy Kaspersky Security Bulletin, styczeń - czerwiec 2006: Ewolucja złośliwego oprogramowania Kaspersky Security Bulletin, styczeń - czerwiec 2006: Złośliwe oprogramowanie dla platform innych niż Win32 Kaspersky Security Bulletin, styczeń - czerwiec 2006: Ataki internetowe Kaspersky Security Bulletin, styczeń - czerwiec 2006: Złośliwe programy dla urządzeń przenośnych