Зміст 1 Визначення спаму, історія його виникнення методи боротьби із спамом сучасні технології спамерів тематики спаму висновок Список використаної літератури

2.3.2. Методи боротьби із спамом
Можна визначити активні і пасивні методи захисту. Пасивні методи захисту включають якісь профілактичні заходи, що дозволяють не допустити попадання вашої поштової адреси до спамера.
Проблеми з рекламними розсилками (спамом) у приватного користувача починаються в той момент, коли його email-адреса потрапляє до бази даних спамерів. Спамери знаходять email-адреси своїх жертв різними способами:

скануючи веб-сайти;
скануючи дошки оголошень, форуми, чати, Usenet News і так далі;
підбираючи “легкі” адреси (jonh@, mary@, alex@, info@, sales@, support@) за словником імен і часто вживаних слів;
підбираючи “короткі” адреси (aa@, an@, bb@, abc@) простим перебором.

Виходячи з цього, приватному користувачу можна порекомендувати такі заходи.
1. Заведіть собі дві адреси – приватну, для листування (маловідому, яку ви ніколи не публікуєте в загальнодоступних джерелах), і публічну – для публічної діяльності (форумів, чатів і так далі).
2. Адреса для листування ніколи не повинна публікуватися у відкритому доступі.
3. Адреса для листування не повинна бути легкою в запам'ятовуванні або “красивою”. Ваше ім'я або красиве слово – не підходять. Vasily.M.Pupkin-IV – підходить цілком. Чим довша адреса і чим менш вона легка для читання, тим краще.

4. Якщо потрібно повідомити свою приватну адресу (у конференції, на сайті), робіть це способом, непридатним для автоматичного прочитання складальником адрес. “Ivan-точка-Susanin-собака-mail-точка-ру” – хороший спосіб. “Ivan.Susanin at mail.ru” –набагато гірше, Ivan.Susanin@mail.ru – нікуди не годиться. Якщо йдеться про публікацію на сайті, можна опублікувати адресу

вигляді картинки.

Адресу для публікації потрібно наперед вважати тимчасовою. Не варто її жаліти – ви завжди можете завести нову. Як правило, спам починає приходити на неї через декілька днів після публікації. Оскільки цю адресу можуть використовувати не тільки спамери (туди приходитиме і нормальна пошта), слід його періодично переглядати. Ви можете читати пошту, що приходить на неї, раз на тиждень або раз в місяць.

Деякі інтернет-магазини, конференції, форуми і т.п. вимагають реєстрації з вказівкою працюючої електронної пошти. Іноді передані таким чином адреси потрапляють до спамерів. Далеко не завжди це злий намір, але користувачам від цього не легше.

При реєстраціях завжди указуйте публічну адресу. Вона все одно може вважатися втраченою. Можна на кожну реєстрацію заводити нову адресу на безкоштовній пошті – тоді ви знатимете, хто з магазинів і форумів “продав” вашу адресу спамерам.

Якщо спаму приходить небагато і з ним ще можна миритися, то слід дотримуватися простих правил:
- Ніколи не відповідайте спамеру. Можливо, нічого поганого не відбудеться. Але може трапитися і так, що вашу відповідь прочитає “робот” і помітить вашу адресу як “живу” – в результаті спаму приходитиме ще більше.

Не намагайтеся скористатися посиланням “відписатися”, якщо ви не упевнені, що вона спрацює. Можливо, вас дійсно відпише даний конкретний розсильник. Але при цьому вашу адресу можуть помітити як діючу... і спаму стане більше. Дізнатися, що трапиться, можна, тільки спробувавши. Але чи хочете ви цього?

Якщо миритися зі спамом вже ніяк не можна, то змініть свою приватну адресу. На деякий час це допоможе

Якщо ви хочете все-таки мати загальновідому і загальнодоступну адресу, приготуйтеся одержувати туди сотні спам-повідомлень на добу. Якщо не пощастить – то тисячі на добу.

Якщо від такої адреси ви не хочете відмовлятися, то залишається остання порада:

Використовуйте антиспам-фільтр – або на сервері, вибравши провайдера з послугою фільтрації спаму, або у себе на комп'ютері, вибравши засіб, відповідний для вашого поштового клієнта. Сучасні фільтри мають достатньо високою якістю (відсоток фільтрованого спаму у добре настроєних фільтрів досягає 95–99 %), і їх використання різко знизить гостроту проблеми.

Якщо ж пасивні методи захисту не приносять належного успіху, час займати активну позицію. Щоб ви могли вести ефективну боротьбу проти спамера, необхідно з'ясувати такі складові:

що рекламує спамер;
через якого провайдера йде розсилка спаму;
справжня електронна скринька спамера.

Лінію оборони можна організувати на базі вашого ж провайдера. У практиці веба існують так звані "black lists" – списки чорних адрес, куди провайдери, а також антиспамерські організації заносять спамерів, їх повідомлення знищуються ще до надходження у вашу поштову скриньку на сервері.

3. Сучасні технології спамерів
На сьогодні розсилка спаму набула виняткових масштабів – щодоби в світі розсилаються десятки мільярдів спам-повідомлень (від 40 до 70 відсотків всієї електронної пошти). Такі масштаби вимагають істотних вкладень у технологію розсилок.
Склалися цілком стійкі технологічні ланцюжки дій спамерів:

Збирання і верифікація email-адрес одержувачів. Класифікація адрес за типами.
Підготовка “точок розсилки” – комп'ютерів, через які розсилатиметься

спам.

Створення програмного забезпечення для розсилки.
Пошук клієнтів.
Створення рекламних оголошень для конкретної розсилки.
Створення розсилки.

Кожен окремий крок у цьому ланцюжку може виконуватися, незалежно від іншого.
Для розсилки спаму необхідно мати список адрес електронної пошти потенційних одержувачів (“спам-базу”, email database). Адреси в таких списках можуть мати додаткову інформацію:

регіон;
вид діяльності компанії (або інтереси користувачів);
список адрес користувачів конкретної поштової служби (Yandex, AOL, Hotmail і т. п.) або конкретного сервісу (eBay, Paypal).

Збирання адрес здійснюється такими методами:

підбір за словниками імен власних, “красивих слів”, частих поєднань “слово-цифра” (наприклад, jonh@, destroyer@, alex-2@);
метод аналогій – якщо існує адреса Serg.User@hotmail.com, то цілком резонно пошукати Serg.User у доменах yahoo.com, aol.com, Paypal;
сканування всіх доступних джерел інформації – веб-сайтів, форумів, чатів, дошок оголошень, Usenet, баз даних Whois на поєднання слово1@слово2.слово3 (при цьому на кінці такого поєднання повинен бути домен верхнього рівня – com, ru, info і т. д.);
крадіжка баз даних сервісів, провайдерів і т. п.;
крадіжка персональних даних користувачів за допомогою комп'ютерних вірусів і інших шкідливих програм.

При скануванні доступних джерел інформації (спосіб 3) можна намагатися визначити “коло інтересів” користувачів даного джерела, що дає можливість одержати тематичні бази даних. У разі крадіжки даних у провайдерів достатньо часто є додаткова інформація про користувача, що теж дозволяє провести персоналізацію.
Крадіжка персональних даних користувачів – адресних книг поштових клієнтів (більшість адрес в яких – діючі) і інших персональних даних − набула поширення порівняно недавно. На жаль, масові вірусні епідемії останніх років показують, що поширеність антивірусних засобів недостатня, отже, частота використання даного способу збирання персональних даних зростатиме.
Одержані адреси потрібно верифіковувати, що здійснюється такими способами:

Пробна посилка повідомлення. Як правило, це повідомлення з випадковим текстом, які проходять через спам-фільтри. Аналізуючи відповідь поштового сервера (пошту прийнято або не прийнято), можна з'ясувати, чи діє кожна конкретна адреса зі списку.

Розміщення в текст спам-повідомлення унікального посилання на картинку, розташовану на WWW-сервері. При прочитанні листа картинку буде завантажено (у багатьох сучасних поштових програмах цю функцію блоковано), а власник сайту дізнається про доступність адреси. Метод верифікує не валідність адреси, а факт прочитання листа.

Посилання “відписатися” в спам-повідомленні. Якщо одержувач натискає на це гіперпосилання, то ніякої відписки не відбувається, а його адреса позначається як валідна. Метод верифікує активність одержувача.

Усі три способи верифікації не дуже хороші, відповідно, в базах даних адрес електронної пошти буде достатньо багато “мертвих” адрес.
Підготовка “точок розсилки“ спаму здійснюється трьома основними способами:
– пряма розсилка з орендованих серверів;
– використання “відкритих релеїв” і “відкритих proxy” – сервісів, помилково конфігурованих їх власниками таким чином, що через них можна розсилати спам;
– прихована установка на призначених для користувача комп'ютерах програмного забезпечення, що дозволяє несанкціонований доступ до ресурсів даного комп'ютера (бекдорів).
Для розсилки спаму з орендованих серверів необхідно мати постійно поповнюваний набір цих серверів. Вони достатньо швидко потрапляють у чорні списки IP-адрес, отже, розсилати спам у такий спосіб можна тільки на тих одержувачів, поштові сервіси яких не використовують чорні списки.

Для використання відкритих сервісів необхідно постійно вести пошук таких сервісів – для цього пишуться і використовуються спеціальні програми, які швидко сканують великі ділянки адресного простору Інтернету.
Найбільшу популярність на сьогодні має установка бекдорів на комп'ютерах звичайних користувачів. Це здійснюється одним з таких способів:

Включення троянських програм в піратське програмне забезпечення: модифікація поширюваних програм, включення троянської програми в “генератори ключів”, “програми для обману провайдерів” і т.п. Достатньо часто такі програми розповсюджуються через файлообмінні мережі (eDonkey, Kazaa) або через сайти з “варезом” (warez, піратські копії програм).

Використання слабких місць в інтернет-браузерах (в першу чергу, Microsoft Internet Explorer) – ряд версій таких програм містить помилки в перевірці прав доступу, що дозволяє розмістити на веб-сайті компоненти, які будуть непомітно для користувача викачані і виконані на його комп'ютері, після чого на комп'ютер користувача буде відкрито віддалений доступ для зловмисників. Такі програми розповсюджуються в основному через часто відвідувані сайти (перш за все, порнографічного змісту). Проте влітку 2008 року було помічено двоступінчату схему – масовий злам сайтів, що працюють під керуванням MS IIS, і модифікація сторінок на цих сайтах з включенням у них шкідливого коду, що призвело до зараження комп'ютерів користувачів, що відвідували ці сайти (звичайного змісту).

Використання комп'ютерних вірусів, поширюваних по каналах електронної пошти і використовуючих уразливості в мережевих сервісах

Microsoft Windows:
– усі великі вірусні епідемії, що сталися 2008 року, були проведені вірусами, які могли бути використані для віддаленого доступу до призначеного для користувача комп'ютера;
– інтенсивність спроб використання вразливостей Windows на сьогодні просто жахлива – підключена до Інтернету машина під керуванням стандартної Windows XP без включеного міжмережевого екрана і встановлених сервісних паків виявляється зараженою протягом декількох десятків хвилин.
Сучасні шкідливі програми є достатньо розвиненими в технічному значенні – їх автори докладають значних зусиль для ускладнення їх виявлення ззовні (наприклад, провайдером, клієнти якого розсилають спам непомітно для себе). Троянські компоненти можуть прикидатися інтернет-браузером, звертаючись на веб-сайти за інструкціями, що їм робити – займатися DoS-атакою, розсилати спам і т.п. (більш того, інструкції можуть містити вказівку про час і “місце” наступного отримання інструкцій). Інший спосіб замаскованого отримання команд полягає у використанні IRC.
З іншого боку, одне із застосувань заражених машин – це здача їх в оренду (наприклад, для розсилки спаму). Вимога “популярністі” списку призводить до того, що шкідливі програми працюють за стандартними протоколами (HTTP або SOCKS proxy) з номерами портів з невеликого списку, що дає можливість їх використання третіми особами і одночасно полегшує пошук заражених машин системними адміністраторами.
Для розсилки спаму необхідне програмне забезпечення. Середня спам-розсилка має сьогодні обсяг у кілька мільйонів повідомлень. Ці повідомлення потрібно розіслати за невеликий час, щоб встигнути провести розсилку до перенастроювання (або оновлення бази даних) антиспам-фільтрів.
Швидка розсилка великої кількості email-повідомлень є технологічною проблемою, розв’язання якої вимагає досить великих ресурсів. Як наслідок, на ринку є відносно невелика кількість програм, що задовольняють вимоги спамерів-професіоналів. Ці програми:
– вміють розсилати як через “відкриті сервіси” (поштові релеї, proxy), так і через заражен, призначені для користувача машини;
– можуть формувати динамічний текст листа (див. нижче розділ про формування текстів);
– достатньо точно підроблюють заголовки повідомлень − розпізнавання спаму за заголовками стає нетривіальним завданням;
– можуть відстежувати валідність баз даних email-адрес;
– можуть відстежувати статус повідомлення на кожну окрему адресу і перепосилати його через іншу “точку розсилки” у разі використання на приймальній стороні чорних списків.
Такі програми оформлені або у вигляді сервісу, доступного за передплатою, або як відчужувана (що купується) програма.
Судячи з досвіду, основний спосіб пошуку клієнтів – це, власне, рекламні розсилки (спам). Вони становлять основну частину всього спаму. Таким чином рекламуються, зокрема, легальні сервіси, наприклад, програми для розсилки і бази даних email-адрес.
Сьогодні проста розсилка ідентичних (або майже ідентичних) спам-повідомлень не є ефективною. Такі листи будуть виявлені фільтрами за частотністю і змістом. Тому формування спам-повідомлень стали індивідуальними, кожне наступне тепер відрізняється від попередніх. Основні технології “індивідуалізації” повідомлень такі: внесення випадкових текстів, “шуму”, невидимих текстів. На початку або в кінці листа спамер може помістити уривок з класичного твору або просто випадковий набір слів. У HTML-повідомлення можна внести “непомітний” текст (дуже дрібним шрифтом або кольором, що збігається з кольором фону). Ці додавання ускладнюють роботу нечітких сигнатур і статистичних методів. Як міра у відповідь з'явився пошук цитат, стійкий до доповнень текстів, детальний розбір HTML й інші методи поглибленого аналізу змісту листа. У багатьох випадках можна визначити сам факт використання “спамерського трюка” і відкласифікувати повідомлення як спам, не аналізуючи його текст у деталях.
Рекламне повідомлення можна надіслати користувачу у вигляді графічного файлу, що вкрай ускладнить автоматичний аналіз. Як міра у відповідь з'являються способи аналізу зображень, що виділяють на них текст. графічне повідомлення можна внести ”шум” і отримати графічні листи, що змінюються. Це ускладнить аналіз листа фільтром.
Одне і те ж рекламне повідомлення складається з безлічі варіантів одного
і того ж тексту. Кожен окремий лист виглядає як звичайний зв'язний текст, і лише маючи багато копій повідомлення, можна встановити факт перефразовування текстів. Таким чином, ефективно набудувати фільтри можна тільки після отримання істотної частини розсилки.
Ці методи підтримуються безпосередньо в програмах для розсилки, тому використання конкретного методу індивідуалізації повідомлень залежить від використовуваного програмного забезпечення.
З огляду на викладене всі основні технологічні складові бізнесу спамерів можуть бути використані незалежно один від одного, тобто має місце розподіл праці. В наш час працюють окремі “виробники” вірусів і троянських компонентів, автори програм для розсилки і ті, хто створює адреси. Спамери (а саме ті, хто збирає з клієнтів гроші і проводить розсилку) можуть просто орендувати необхідні їм сервіси, купувати бази даних, списки машин для розсилання. Таким чином, вхід на даний ринок є технічно доступним і відносно дешевим.

той же час очевидним є поділ ринку на професіоналів (власників баз даних адрес, програм для розсилки або власних вірусів), які мають регулярний прибуток, і аматорів, що заробляють час від часу.

Перспективи розсилки спамів є вражаючими. Знаючи вартість спам-розсилки (близько 100 USD за мільйон повідомлень) і кількість повідомлень, що розсилаються в світі (десятки мільярдів у день), нескладно оцінити грошовий обіг на цьому ринку: він становить сотні мільйонів доларів на рік. Зрозуміло, що в індустрії з таким капіталом “компанії повного циклу”, які здійснюють увесь комплекс послуг на високому професійному рівні. Єдина проблема всього бізнесу є його незаконність. Збір персональних даних без відома користувача теж карається. З іншого боку, інтегрованість дає масу незаперечних технологічних переваг.
Якщо подібні вертикальні компанії ще не з'явилися, то поява їх – справа найближчого часу. Потерпілими будуть, природно, рядові отримувачі електронної пошти.
Розсилки спаму (небажаної реклами) з'явилися у середині 90-х років минулого століття – з появою великої кількості Інтернет-користувачів, що зацікавило рекламодавців. 1997 року вже почали говорити про “проблему спаму”, тоді ж з'явився перший чорний список IP-адрес спам-машин.
Розвиток методів розсилки спаму визначався удосконаленням засобів фільтрації. Як тільки один з методів розсилки починає переважати, знаходяться ефективні засоби боротьби з ним, і спамерам доводиться змінювати технологію. При цьому чим більшою проблемою є спам, тим активніше розроблюються шляхи протидії, а відтак, швидше змінюються технології спамерів, їх бізнес росте і дозволяє вкладати більше коштів в розробку. Спам починався з прямих розсилок – спамери розсилали повідомлення від власного імені з власних поштових серверів. Такий спам блокується достатньо просто (за адресою поштового сервера або адресою відправника). Як тільки такі блокування стали поширеними, спамери були вимушені підробляти адреси відправників й іншу технічну інформацію.
Далі почали використовуватися розсилки через “відкриті релеї”. Відкритий релей (open relay) – це поштовий сервер, який дозволяє пересічному користувачу відправити довільний електронний лист на будь-яку адресу. У середині 90-х років всі поштові сервери були “відкритими релеями“, тому знадобилося змінювати і перенастроювати програмне забезпечення всіх поштових серверів світу. Не всі адміністратори поштових систем робили це достатньо швидко, тому з'явилися сервіси пошуку “відкритих релеїв”, а потім їх списки (зокрема, основані на технології DNS списки реального часу - RBL, realtime blackhole list). Сьогодні цей метод розсилки все ще застосовується, оскільки відкриті релеї існують дотепер .
Як тільки розсилки через відкриті релеї перестали бути ефективними, спамери стали застосовувати розсилку з розсилки з модемних пулів (dialup-підключень), використовуючи такі можливості:
– як правило, поштовий сервер провайдера приймає пошту від своїх клієнтів і пересилає її далі;
– dialup-підключення одержує динамічну (змінну після кожного нового з'єднання) IP-адресу, таким чином, спамер може розсилати пошту з множини IP-адрес.

відповідь провайдери стали вводити ліміти на число листів, посланих від одного користувача, з'явилися списки dialup-адрес і блокування прийому пошти з “чужих” модемних пулів.

На початку 2000-х років одночасно з розповсюдженням високошвидкісних підключень (ADSL, Cable) спамери стали використовувати слабкі місця в клієнтському устаткуванні і виконувати розсилку з proxy-серверів. Багато ADSL-модемів мали вбудований SOCKS-сервер або HTTP proxy (програмне забезпечення, що дозволяє здійснювати розділення Інтернет-каналу між багатьма комп'ютерами), причому доступ до них був зі всього світу без паролів і контролю доступу (для спрощення настройки кінцевим користувачем). Таким чином, можна було провести будь-яку дію (у тому числі і розсилку спаму) з IP-адреси ADSL-користувача. Оскільки таких користувачів по всьому світу – мільйони, то проблему було частково розв’язано тільки зусиллями виробників устаткування – відкриті всьому світу “посередники” впродовж останніх років до складу устаткування не входять.
У наш час основна маса розсилок проводиться з призначених для користувача комп'ютерів, на які тим або іншим способом встановлено “троянське” програмне забезпечення, що дозволяє спамерам (й іншим недобросовісним людям) здійснювати доступ до призначених для користувача машин без відома і контролю користувача. Для зламу призначених для користувача машин використовуються такі методи:

– троянські програми, які поширюються разом з піратським програмним забезпеченням по файлообмінних мережах (Kazaa, eDonkey та ін.);
– використання слабких місць в різних версіях Windows і широко розповсюдженого програмного забезпечення (в першу чергу, MSIE і MS Outlook) для установки бекдорів на призначених для користувача комп'ютерах;
– email-черв'яки останніх поколінь, які також використовуються для установки бекдорів.
За найскромнішими оцінками троянські програми встановлено на кількох мільйонах машин по всьому світу. На сьогодні ці програми достатньо хитромудрі – вони можуть оновлювати свої версії, одержувати інструкції з наперед підготовлених сайтів або каналів IRC, розсилати спам, здійснювати DDoS-атаки і т.п.
Поява засобів виявлення спаму, основаних на аналізі змісту листа (контентний аналіз), привела до еволюції змісту спамерськіх листів – їх готують так, щоб автоматичний аналіз був ускладнений. Як і у разі зміни методів розсилки, спамери вимушені боротися з антиспам-засобами.
Перші спам-повідомлення були простими текстовими і HTML-листами. Всім одержувачам розсилався один і той же текст. Такі повідомлення тривіально фільтруються (наприклад, за частотою повторення однакових листів).
Наступним кроком було додавання персоналізації (наприклад, Hello, serg! – на початку листа на адресу serg@ukr.net), що зробило всі повідомлення різними. Тепер для їх фільтрації потрібно було вишукувати рядок, що не змінюється, і заносити його до списку правил фільтра. Як метод боротьби було запропоновано нечіткі сигнатури – стійкі до невеликих змін тексту і статистичні адаптивні методи фільтрації (Байесовська фільтрація та ін.).
На початку або в кінці листа спамер може помістити уривок з класичного твору або просто випадковий набір слів. У HTML-повідомлення можна внести “невидимий” текст (дуже дрібним шрифтом або кольором, який збігається з кольором фону). Ці додатки ускладнюють роботу нечітких сигнатур і статистичних методів. У відповідь з'явився пошук цитат, стійкий до доповнень текстів, детальний розбір HTML й інші методи поглибленого аналізу змісту листа. У багатьох випадках можна визначити сам факт використання “спамерського трюку” і відкласифікувати повідомлення як спам, не аналізуючи його текст у деталях.
Рекламне повідомлення можна прислати користувачу у вигляді графічного файлу, що украй ускладнить автоматичний аналіз. У відповідь з'являються способи аналізу зображень, що виділяють з них текст.
Одне й те ж рекламне повідомлення складається з множини варіантів одного і того ж тексту. Кожен окремий лист виглядає як звичайний зв'язний текст, і лише маючи багато копій повідомлення, можна встановити факт перефразовування. Таким чином, ефективно набудувати фільтри можна тільки після отримання істотної частини розсилки.