За последние несколько месяцев киберполицейские нескольких стран предприняли скоординированные усилия для мощной, но явно не последней атаки на спамеров, активно забивающих ящики пользователей своими незаконными рассылками. Так, закрыты командные центры крупных ботнетов Pushdo/Cutwail и Bredolab, партнерская программа SpamIt, возбуждены уголовные дела против владельцев крупных сетей рассылки не заказанной информации. Посмотрим, как это отразится на самых обычных пользователях Сети.
Специфический рынок
Оценки оборота рынка спама противоречивы, но одной из наиболее достоверных оценок по нашей стране, после внимательного изучения, можно все-таки считать исследование НП “РАЭК” (некоммерческое партнёрство “Ассоциация электронных коммуникаций”) “Спам как международная проблема”. Судя по данным аналитиков РАЭК, объем рынка спама, источником которого является Российская Федерация, направленного абонентам внутри страны и вовне, составляет порядка 3 млрд. руб. Для сравнения отметим, что расходы на всю интернет-рекламу в РФ, по данным исследования компании “Бегун” (крупный игрок на рынке контекстной рекламы), составляют около 17,5 млрд. рублей или 602,6 млн. долл. Таким образом, оборот рынка спама составляет 1/5 от всего рынка интернет-рекламы в РФ.
И ладно бы это была только реклама нормальных товаров и услуг — чаще всего предлагаемый товар реализуется по завышенным ценам, кроме того в спаме встречаются фишинговые письма, а также вредоносные файлы в качестве вложений. Доля SMS-спама, правда, ничтожно мала — этот рынок для незаконных рассылок используется пока незначительно. А вот по данным ноябрьского отчета о спаме “Лаборатории Касперского”, доля фишинговых писем составила 0,4% всех писем (на 0,47% меньше, чем в октябре), вредоносные файлы содержались в 1,6% электронных сообщений (на 0,13% больше, чем в прошлом месяце).
Как свидетельствует статистика компаний, занимающихся информационной безопасностью, большая часть спама детектируется и удаляется еще на подходах к почтовым ящикам клиентов. Из сообщений, исходящих из России, до абонента доходит не больше 5%, но в абсолютных цифрах их все равно много — 212 млрд. шт. за 2009 г. Из них, по данным ЛК, CTR (эффективные письма рассылок) составляют 0,01% (212 млн. шт. все-таки читают). Но “доля действия”, когда по сообщению предпринимаются какие-то действия, составляет для России порядка 1 млн. покупок в год. Правда, и этого достаточно — ведь с помощью спама обычно рекламируют дешевые и далеко не всегда качественные товары, которые продаются на 197,7% дороже, чем аналоги, размещенные в других онлайновых или офлайновых магазинах.
Перемножив количество покупок, к которым приводит спам-рассылка, на среднюю сумму покупки, получаем годовой оборот рассматриваемого рынка спама — 209 млн. долл. Средняя комиссия с покупки составляет 40%. Следовательно, доход спамеров, осуществляющих спам-рассылку из России за рубеж составляет порядка 83 млн. долл. Если спамеры работают не по партнерской модели, а просто рекламируют какой-либо товар или услугу, то среднее количество адресов в каждый рассылке составляет 1 млн. (каков там процент “битых”, мало кто знает — часто до половины), но и стоит такая “реклама” недорого — в среднем стоимость рассылки составляет 4,7 тыс. руб.
В настоящий момент около 95% процентов спама генерируется бот-сетями, которые объединяют миллионы зараженных компьютеров по всему миру. Для развития сетей преступники привлекают значительные средства и технологии, поскольку поддержка эффективной работы сети требует непрерывного пополнения числа зараженных машин и постоянно действующего командного центра. Кстати, после закрытия 20 из 30 командных серверов ботнета Pushdo, а также ликвидации 143 серверов ботнета Bredolab, доля спама в почтовом трафике серьезно уменьшилась на 0,6% и составила в среднем 76,8%. Лишь на первый взгляд такие изменения кажутся незначительными, отмечают аналитики ЛК: “дело в том, что в первые дни после выхода из строя этих ботнетов доля спама в мировом почтовом трафике была аномально низкой и колебалась возле отметки 70—71%”.
Активное противодействие
Самым активным государством, из адресного интернет-пространства которого распространялся спам, в 2009 г. были США — на их долю приходилось 16,4% всего мусорного трафика в глобальной Сети. Правда, с борьбой против ботнетов на территории США, закрытием партнерской сети Glavmed (Canadian Fharmacy)/Spamit.com и уголовным преследованием не только в США, но и в России т. н. “криминальных боссов” (терминология из исследования РАЭК) Гусева, Николаенко (создатель бот-сети Mega-D) и Аванесова ситуацию удалось переломить. Аналитики ЛК отмечают, что в ноябре, впервые за всю историю наблюдений, США не попала в TOP 20 стран — источников спама. Причем сама по себе тенденция достаточно интересна — еще в сентябре в результате закрытия ботнета Pushdo/Cutwail доля спама, распространенного с территории этого государства, снизилась в два с половиной раза — с 15,5 до 6%. В октябре, когда развивались акции силовых ведомств против партнерских фармацевтических программ, она снизилась в четыре раза — с 6 до 1,6%. В ноябре доля спама, распространенного из США, уменьшилась не столь значительно (-0,33%), однако именно ноябрьское снижение привело к тому, что США покинули TOP 20 стран — источников мусорных сообщений. В настоящий момент это самый яркий пример активной позиции государственных органов и общественных организаций в борьбе со спамом, совершенствования законодательства и развития правоприменительной практики на мировом уровне.
Как мы отмечали выше, наиболее активно в ФБР США боролись с фармацевтическим спамом — именно к нему относится закрытый Glavmed. В прошлом году партнерские программы по реализации настоящих и поддельных препаратов из Юго-Восточной Азии в США и странах Европы (данные исследования РАЭК) принесли спамерам 903 млн. долл. из 1,225 млрд. долл. дохода от “партнерок” любого типа. При этом оборот фармацевтических партнерских программ можно считать прямым экономическим ущербом отрасли медикаментов. К примеру, оборот мирового рынка настоящих таблеток “Виагры” (популярность данного и аналогичного продуктов является превалирующей) составляет порядка 7 млрд. долл., а оборот фармацевтических программ — 2 млрд. долл.: таким образом, оборот незаконного рынка составляет около 1/3 легального оборота. Видимо, терпение у правоохранительных органов США кончилось одновременно с накоплением необходимой доказательной базы. После серии контрольных закупок ФБР (в частности, тех товаров, которые рекламировались в спам-рассылках Николаенко) и активного уничтожения источников распространения подобного спама доля мусорного трафика, рекламирующего медицинские препараты, даже в самом начале ноября едва превышала 20%, а к концу месяца и вовсе сползла до отметки 8—12%. Судя по мнению аналитиков в сфере киберпреступности, таких как Брайн Кребс и Гарри Ворнер, в распоряжении следствия оказался достаточно большой список из более чем полусотни спамеров, деятельность которых будет подвергнута проверке в ближайшее время — так что доля фармацевтического спама должна снизиться еще больше.
Тотальный передел
Оставшиеся на свободе спамеры пытаются найти равноценную в финансовом отношении замену почти полностью уничтоженной “фарме”. “Видимо, это оказалось непростой задачей, поскольку на протяжении октября и, особенно, ноября заметны взлеты долей то одной, то другой тематики партнерского спама, а затем столь же стремительное их снижение”, — отмечают аналитики ЛК. Так, быстрый взлет и стремительное падение пережила за ноябрь доля спама, рекламирующего онлайн-казино, превысившая в начале ноября отметку 15%, а уже к концу месяца практически полностью исчезнувшая из рекламных спам-рассылок. Пик доли спама, содержащего рекламу коллекций фильмов на DVD, пришелся как раз на конец ноября, а затем снова начался спад. Спама, содержащего рекламу порно-сайтов и сайтов знакомств, стало больше на третьей неделе последнего осеннего месяца, а затем его доля в почтовом трафике также начала снижаться. При этом заметно, что в конце ноября общее количество партнерских рассылок было значительно меньше, чем в начале. Кстати, попытки спамеров вернуть утраченную прибыль не ограничились только “перебежками” из одной партнерской программы в другую — попытки продать свои услуги представителям малого и среднего бизнеса также имели место и, по всей видимости, они увенчались успехом. “Партнерки”, где оплата происходила в зависимости от проданного товара, пошли на спад (39% от всего рынка), а реклама товаров и услуг (оплата только за факт отправки сообщений) превысила 55% от всех спам-рассылок в мире. Еще 6% занимали локальные рекламные компании... самих спамеров — так они искали новых клиентов.
Россия в настоящий момент поставляет на мировой рынок до 5,6% всего спама (данные ЛК) и это “почетное” четвертое место после таких стран, как Индия (10,4%), Вьетнам (8,8%) и Великобритания (6%). При этом для того, чтобы переломить ситуацию, отечественным сыщикам нужно больше знаний. Имеющиеся в их распоряжении статьи ст. 272 и 273 УК РФ (ст. 272 — “Неправомерный доступ к компьютерной информации”, ст. 273 — “Создание, использование и распространение вредоносных программ для ЭВМ”) требуют привлечения к экспертизам и расследованиям квалифицированных кадров, которые в правоохранительных органах в дефиците. Возможно, стабилизировать ситуацию в нашей стране получится путем введения уголовной ответственность за рассылку спама, причем нарушителям могут грозит крупные денежные штрафы либо санкции, аналогичные наказанию за нарушение закона “О персональных данных” (до пяти лет лишения свободы). В частности, Уголовный кодекс предлагается дополнить статьей, вводящей уголовную ответственность для “лиц, виновных в производстве и распространении спама” — в ней должно содержаться развернутое определение состава этого типа преступлений. Причем ответственность должны нести как исполнители, так и заказчики таких рассылок. Проект подобного законопроекта должен вскоре поступить в Госдуму.
Между тем, основная проблема современного спама, кроме предложений купить товар сомнительного качества — это вредоносные вложения в почте. Судя по статистике компании Symantec в рассылках нынешнего года было выявлено почти 340 тысяч разновидностей вирусов и “червей”. Лидирует пока Trojan-Spy.HTML.Fraud.gen — он присутствует в 38,36% вредоносных сообщений. Это модифицированный вирус, который, встраиваясь в систему, эмитирует для пользователя работу с несколькими известными системами интернет-банка и “собирает” у пользователя его логин, пароль, переменные и одноразовые пароли для финансовых хищений. На втором месте в рейтинге ЛК (правда с громадным отрывом — всего 4,63% рынка) — Trojan-Spy.Win32.Zbot.assl, эта троянская программа предназначена для кражи конфиденциальных данных пользователя. Вирус “всеяден” — его интересует содержимое Protected Storage (здесь содержатся пользовательские пароли), он может трансформироваться в форм-граббер (перехватывает любые отправляемые через браузер данные, вводимые в формы банков и платежных систем. — так происходит кража аккаунтов), обходить виртуальные клавиатуры (троянец перехватывает нажатие кнопки мыши в момент отправки данных и делает скриншот экрана в этот момент), кража сертификатов и т. д. На третьем месте (4,02%) троянцы семейства Oficla — они загружают из Сети другие вредоносные или рекламные программы и обновления к ним и запускают их на компьютере пользователя.
Еще одна проблема, с которой сталкиваются получателя спама — это фишинг с целью кражи пользовательских данных. Чаще всего атакуют, конечно, те сервисы, где можно “поживиться” живыми деньгами, именно поэтому PayPal, где можно совершить платеж другому пользователю, списав деньги с “привязанной” пластиковой карты, пользуется такой популярностью: вне зависимости от региона атаки на него пришлось 34,23% фишинговых писем. Правда, заметной особенностью рейтинга наиболее часто атакованных фишерами организаций стало уменьшение на 27,1% доли атак на платежную систему PayPal. При этом, если в октябре на ближайшего “преследователя” PayPal — Facebook — приходилось лишь 8,4% всех фишинговых атак, то в ноябре эта цифра выросла вдвое и составила почти 17%. В основном взломанные странички используются для распространения спама — в России для этого используются аккаунты пользователей в социальных сетях “Одноклассники”, а также “ВКонтакте”. Кроме того, чаще стали атаковать держателей пластиковых карт MasterCard и Visa.
Судя по мнению аналитиков ЛК, борьба с ботнетами принесла свои плоды — объемы спама постепенно сокращаются и эта тенденция сохранится в ближайшие несколько месяцев. Правда, злоумышленники ничего особенно не потеряли — почувствовав нажим в США они переключились на рассылку спама с ботнетов, расположенных преимущественно на территории Азии и Европы. По всей видимости, именно с их попыткой расширить эти зомби-сети связано увеличение количества вредоносного спама, полученного в ноябре пользователями в России, Индии и Вьетнаме.