Спам: от A до Ω

Илья Розенкранц 
Менеджер по продукту ALTELL NEO, компании “АльтЭль"

Статистика спама

Несмотря на благоприятную тенденцию снижения общемирового объема спама год от года, этот вид угроз все еще остается – и долгое время будет оставаться – в поле зрения всех компаний, занимающихся борьбой с анонимной нежелательной рассылкой. И так же как стопроцентным решением борьбы с головной болью является гильотина, так и стопроцентная фильтрация спама возможна на компьютере, не подключенном к сети Интернет и на котором не установлено ни одной почтовой программы.

Компания Pingdom, которая специализируется на поддержке сайтов и на корпоративных интернет-услугах, опубликовала подготовленные ее экспертами статистические данные об Интернете за 2012 г. По статистике за прошедший 2012 г., из 144 млрд писем, составляющих ежедневный e-mail-трафик, 68,8% оказались спамом.

Если посмотреть статистику от компании Symantec по неделям, то в 2013 г. показатель спама среди всех входящих e-mail-сообщений варьирует от 65 до 80%. То есть до 4 из 5 писем оказываются спамом.

Закономерно предположить, что если есть спам, значит это кому-то выгодно. Будем использовать эту лемму как трамплин к дальнейшему исследованию.

Кто есть кто на рынке спама

На сегодняшний день рынок спама можно считать сформированным. На нем, как и на любом зрелом рынке, действуют классические рыночные законы: закон спроса и предложения, конкуренции и стоимости. Данный рынок можно поделить на составляющие:

• Разработчики и поставщики специального ПО, баз данных и IP-адресов – программы сбора адресов с сайтов и форумов, программы для быстрой рассылки, программы-валидаторы – для проверки работоспособности адресов.
• Разработчики вирусного ПО. Они создают вредоносные программы с целью превращения компьютеров пользователей в машины для рассылки спама – так называемые зомби-сети или ботнеты. Эти ботнеты находятся под удаленным управлением и могут одновременно получить инструкцию на рассылку спама или организацию DDoS-атаки. Этот способ позволяет атакующему спрятаться за "армией" чужих компьютеров, которые могут находиться в любой точке земного шара: в вашем офисе, в спальне вашей бабушки – где угодно.

Взломанный компьютер, входящий в ботнет, может использоваться для многих целей. Это может быть звено цепочки DDoS-атаки, кража личных данных (банковских аккаунтов, логинов для социальных сетей и почтовых клиентов), рассылки спама.

• Собственно спамеры – люди, которые рассылают спам. Если разделить спамеров по степени технической оснащенности и подготовленности, то можно выделить следующие уровни:
  1. крупные спамерские фирмы;
  2. мелкие фирмы или профессионалы-одиночки;
  3. множество непрофессионалов, для которых занятие рассылкой спама может составлять существенную часть дохода.
• Заказчики спама. Это может быть легальная компания, например занимающаяся продажей курсов английского языка, либо компании из теневой экономики: интернет-порнография, производители дженериков, создатели финансовых пирамид, политический спам и т.д.

Как зарабатывают на спаме

Disclaimer: данная информация предоставляется для образовательных целей. Автор напоминает, что за распространение спама и других вредоносных программ предусмотрена ответственность, указанная в ст. 273 УК РФ: "Создание, использование и распространение вредоносных компьютерных программ". Также деятельность по рассылке спама нарушает Федеральный закон о рекламе, ст. 18, п. 1 и 2.

Если все так ненавидят спам, то почему он существует? Потому, что до сих пор остается множество людей, которые принимают спам за чистую монету и отдают эту самую монету авторам писем. Это остается выгодным бизнесом для всех, начиная от профессиональных спамагентств, профессионалов-одиночек и обычных студентов. Однако иногда даже профессионалы отрасли защиты информации не всегда представляют, как спамеры делают деньги на анонимных массовых непрошенных рассылках.

Спам традиционно подразделяется специалистами на несколько категорий и в каждой своя схема заработка:

• фармацевтический спам;
• нигерийские письма;
• спам для взрослых;
• личные финансы;
• реклама;
• фишинг;
• таргетированный спам.

Ниже я буду говорить о таком виде спама, как коммерческие рассылки. Каждый может вспомнить, как вычищал почтовый ящик от писем вида: Viagra - 90% discount, Rolex, нигерийские письма, письма счастья с наследством, а кто-то занимается этим до сих пор.

На спаме зарабатывают многие. Во-первых, свой процент получают распространители спама – непосредственные исполнители. Во-вторых, зарабатывают заказчики – привлекающие пользователей сайта на свои проекты с самыми разными целями – заразить вирусом и "выкачать" деньги за "лечение", предложить купить очередной "уникальный" товар по "фантастически" выгодной цене, нарастить посещаемость сайта и многое другое. В-третьих, на спаме зарабатывают, хоть и косвенно, те, кто предлагает защиту от спама.

На рис. 3 представлена упрощенная пятишаговая схема, показывающая, как спамер зарабатывает деньги с помощью коммерческого варианта спама.

• Шаг 1: спамер покупает базу из 10 млн e-mail-адресов. Средняя цена такой базы составляет $500.
• Шаг 2: из рассылки 10 человек (0,0001% от общего числа) делают покупку, которая рекламируется в спам-письме.
• Шаг 3: затраты на продукцию на 10 человек (если спамер честный) и отправку им товара составляет $250.
• Шаг 4: на оставшиеся $500 покупается новая база из 10 млн адресов.
• Шаг 5: оставшиеся $250 как чистый доход являются заработком спамера.

Давайте разберем более детальную схему spam-cashflow на примере одного из самых популярных видов спама: фармакологического, а конкретнее – спама о дженериках виагры. Так же как и производители, например, сомнительного ПО и утилит, "увеличивающих быстродействие вашего компьютера", заманивают пользователей на сайты с SQL-кодом, перенаправляющим вас на сайт, созданный спамером, таким же образом действуют и партнерские программы фармацевтических компаний. Также чем больше переходов идет на эту страницу, тем выше она в выдаче запроса от поисковых систем. Тем выше вероятность, что на нее будут заходить из поисковой системы.

Партнерские программы

Десятки российских партнерских программ ориентированы на зарубежный рынок (США). Связано это с тем, что в Америке обычные, самые ходовые лечебные препараты (антидепрессанты, средства, повышающие потенцию, средства для похудения и прочее) продаются только по рецепту врача. Следовательно, выход у простого сельского жителя Алабамы – это сделать заказ на зарубежном сайте, торгующем нужным ему средством. Получит ли реально он свою вожделенную посылку и получит ли тот эффект от таблетки, которого ожидает, – открытый вопрос.

По сути, партнерка работает так же, как и обычный интернет-магазин. Спамер регистрируется в партнерской программе и получает ссылку со своим идентификатором. Далее он рассылает ссылку по имеющейся базе адресов. Если кто-то прошел по ссылке и купил предлагаемый продукт, то спамер получает комиссионное вознаграждение с размере до 40% от изначальной стоимости продукта.

На рис. 5 представлена укрупненная схема spam-cash-flow.

Технологии защиты от спама

В настоящее время многие компании выбирают так называемые UTM-устройства для защиты периметра сети в том числе благодаря возможности фильтровать входящую и исходящую электронную почту.