Спам-отчет за 2010 год: кратко

2010 год вошел в историю под знаком активизации борьбы со спамом, что не замедлило сказаться на доле нежелательной корреспонденции в почтовом трафике. В результате количество спама в среднем за год сократилось на 3% по сравнению с предыдущим периодом и составило 82%.

Больше всего спам-рассылок было зафиксировано 21 февраля — 90,8%. Наименьшую активность спамеры проявили 28 октября (70,1%).

Доля спама в почтовом трафике

Первый серьезный удар по распространителям спама был нанесен в конце февраля, когда были закрыты 277 доменов, связанных с системой управления ботнетом Waledac. В результате этих действий доля нежелательной корреспонденции в почтовом трафике в первой половине марта сократилась на 3,1%.

Масштабное наступление на спамеров продолжилось в августе, когда правоохранительным органам удалось закрыть около 20 командных центров ботнета Pushdo/Cutwail, ответственного, по некоторым оценкам, за 10% мирового спама. Это также привело к снижению количества рекламных рассылок в сентябре по сравнению с августом на 1,5%.

Еще более крупные потери мошенники понесли 25 октября. Тогда была прекращена работа 143 командных центров ботнета Bredolab, который насчитывал около 30 млн компьютеров пользователей из разных стран. Результатом отключения этого ботнета стало ощутимое снижение доли спама в почтовом трафике — она сократилась на 8-9%.

Положительный эффект дали также массовые аресты участников группировки, распространявшей вредоносную программу ZeuS, которая рассылалась с помощью спама и использовалась для создания зомби-сетей. Кроме того, прекратила существование одна из крупнейших в мире партнерских программ¹ по продаже фармацевтических препаратов SpamIt.

Борьба со спамерами велась и в России. Так, например, в конце октября было заведено уголовное дело против руководителя компании «Деспмедия» Игоря Гусева². Он обвиняется в продаже контрафактных фармацевтических препаратов, в том числе виагры, на территории разных стран с использованием спама через партнерскую программу Glavmed.com.

Активизация борьбы с распространителями спама не только привела к снижению его доли в почтовом трафике, но и повлияла на тематический состав спам-сообщений, а также на соотношение вклада в мировой спам-трафик крупнейших стран-распространителей нежелательной корреспонденции. Главным результатом активного противодействия киберпреступникам можно назвать значительное снижение количества спама, разосланного из США. На протяжении первых 8 месяцев года эта страна являлась бесспорным лидером, но по итогам ноября и декабря не вошла даже в двадцатку. Однако этого оказалось недостаточно, чтобы США покинули первые строчки годового рейтинга, и по итогам отчётного периода они, как и в предыдущий год, занимают лидирующее положение (11,33%). «Серебро» досталось Индии (8,3%), а замыкает тройку лидеров Россия (6,0%).

 
Страны — источники спама в 2010 г.

Такая расстановка сил сложилась не сразу, поскольку на протяжении всего года количество спама, рассылаемого из разных стран, менялось. Традиционно наибольшую активность проявили спамеры в государствах Азии (32,62%). Однако на второе место вышла Восточная Европа (22,32%), вклад которой в рассылку спама за год почти удвоился. Это связано с уже упоминавшимся закрытием командных центров нескольких ботнетов — после этих событий злоумышленники стали работать над тем, чтобы разместить свои ботнеты в более безопасных для себя местах и поэтому выбирали страны, где не так активно ведется борьба с киберпреступлениями.

 
Динамика рассылки спама из разных регионов в 2010 г.

Закрытие ботнетов и прекращение деятельности партнерской программы SpamIt способствовало снижению до минимальных значений доли «партнерского» спама (около 30%). Эти же события повлияли и на тематику рассылок. Так, в августе произошел мощный всплеск количества писем с рекламой фармацевтических препаратов. Но после закрытия SpamIt бывшие участники этой партнерской программы переключились на другие темы, что привело к кратковременному росту сообщений с рекламой услуг казино и порнографическим контентом.

Главной темой рекламных рассылок на русском языке в 2010 году стали различные проекты и услуги в области образования, тогда как спам-сообщения на английском языке чаще всего содержали рекламу фармацевтических препаратов.

В 2010 году десятка наиболее часто используемых тем спам-рассылок пополнилась «новичком». Конкуренцию прежде популярным темам составили сообщения, содержащие рекламу коллекций фильмов и мультфильмов на DVD-носителях. Большинство из них было на русском языке. Такая продукция распространяется с помощью партнерских программ и, как правило, является пиратской. Подобные письма приходили на электронные почтовые адреса пользователей и раньше, но именно в 2010 году их количество стало существенным.

По сравнению с предыдущим отчетным периодом заметно уменьшилось количество рекламы самих спамерских услуг (-6,1%) и спама «для взрослых» (-4,6%). Однако пользователи стали в два раза чаще получать сообщения, содержащие признаки компьютерного мошенничества (+3,8%). Эта тенденция проявилась и в росте количества вредоносных программ в почте, доля которых по сравнению с 2009 годом увеличилась в 2,6 раза и достигла 2,20%. Пик пришелся на август, когда 6,29% сообщений содержали опасные вложения.

Одновременно злоумышленники оттачивали методы и трюки, с помощью которых обманывали пользователей, заставляя их пройти по вредоносной ссылке. Как правило, письма в таких рассылках точно имитировали официальные уведомления от популярных веб-ресурсов: социальных сетей, магазинов, банков, почтовых провайдеров. Более того, в стремлении обмануть спам-фильтры злоумышленники подделывали даже невидимые пользователю технические заголовки писем. Таким образом, усилия мошенников были направлены на то, чтобы ловко обойти преграды на пути распространения спама и усыпить бдительность получателей почты. Прошедшие по ссылке пользователи перенаправлялись на сайт с рекламой виагры, и одновременно с этим незаметно — на вредоносный сайт.

В других сообщениях использовались методы социальной инженерии. Например, в некоторых речь шла о том, что получатель совершил покупку, и предлагалось просмотреть ее детали, пройдя по ссылке, которая вела на зараженный ресурс.

По количеству срабатываний почтового антивируса лидировали крупные развитые страны, такие как США, Германия, Великобритания и Япония. Однако к концу года, в связи с закрытием крупных зомби-сетей на Западе, внимание злоумышленников переключилось на развивающиеся регионы. Так, в ноябре наибольшее количество срабатываний почтового антивируса наблюдалось уже в России, Индии и Вьетнаме. Самыми распространенными вредоносными вложениями, отправленными в эти страны, были различные модификации троянской программы Zbot, а также троянцы-загрузчики семейства Oficla, в задачу которых входит, в том числе, и загрузка спам-ботов на пользовательские компьютеры.

Что касается фишинговых писем, то минувший год не принес здесь серьезных изменений, и доля таких сообщений второй год подряд остается на низком уровне (0,35%). Всплески активности фишеров имели место лишь в начале и в конце года. Как и обычно, злоумышленники чаще всего атаковали платежную систему PayPal и интернет-аукцион e-Bay. Несмотря на это, в списке наиболее популярных объектов фишинговых атак появилось много новых целей. В первую очередь, это связано с тем, что фишеры переключили свое внимание с финансовых организаций на различные онлайн-ресурсы. Теперь для них большой интерес представляют аккаунты пользователей социальных сетей, где пальму первенства удерживает Facebook (6,95%).

Кроме того, популярностью у фишеров пользовались и сервисы Google AdWords и Google Checkout, в которых используются данные банковских карт пользователей.

Не обошли вниманием киберпреступники и сетевые развлечения, где их весьма интересовала популярная онлайн-игра World of Warcraft. Целями фишеров были аккаунты пользователей, с помощью которых они могли получить доступ не только к «прокачанным» персонажам, но и к «виртуальному золоту» WoW Gold, которое преступники обменивают на реальные деньги.

В следующем году можно ожидать продолжения комплексных атак, объединяющих технологии фишеров и спамеров, и атак, проводимых с привлечением методов социальной инженерии. Вероятно, продолжатся и активные рассылки вредоносного спама, с помощью которого злоумышленники попытаются восстановить свои силы после серьезных ударов, нанесенных минувшей осенью по зомби-сетям. Возникшая благодаря успехам в борьбе с ботнетами передышка для обычных пользователей продлится недолго, и уже через пару месяцев доля спама в почтовом трафике с большой вероятностью вернется на прежний уровень. Однако есть основания полагать, что теперь спамеры станут действовать с большей осторожностью и попытаются организовывать ботнеты в странах, где слабо развито законодательство в отношении преступной деятельности в Сети.

С полной версией спам-отчета за 2010 год можно ознакомиться на сайте www.securelist.com/ru.

¹ Партнерские программы представляют собой сетевые бизнес-проекты, нацеленные на продвижение товаров и услуг и на поднятие рейтинга сайтов. Владельцы ресурсов платят своим партнерам за каждого клиента, пришедшего на сайт и купившего на нем товар или услугу. Например, спамер получает деньги, если человек, прошедший по ссылке в спам-письме на порно-ресурс, оплатил доступ к контенту с помощью дорогого SMS-сообщения.

² РИА-Новости, 27 октября 2010 — http://rian.ru/inquest/20101027/289694439.html.