Уходящий год заставил нас по-новому взглянуть на проблему спама. Из побочного раздражающего фактора спам превратился в крупномасштабную угрозу электронной почте. Данные различных опросов показывают, что обычные пользователи, чья работа не связана с Интернетом и IT-технологиями, могут существенно сократить объемы электронной переписки или даже вообще отказаться от использования электронной почты, чтобы избежать проблемы спама.

С начала года рост количества спама превзошёл все, даже самые пессимистичные прогнозы, дававшиеся в конце прошлого года. Если по нашим и западным оценкам в конце 2002 года спам составлял 30-40% от общего числа электронных писем в мире, то уже летом 2003 доля спама превысила отметку 50%. По нашим сведениям, на конец года спам составляет около 75-80% всей входящей корреспонденции в публичных почтовых службах Рунета.

Убытки от спама, на первый взгляд незначительные для отдельного пользователя, в масштабах всей индустрии и даже отдельной крупной компании выглядят впечатляюще. По разным оценкам, на спаме компании теряют от $50 до $200 в год в расчёте на одного офисного сотрудника. В результате в прошедшем году ущерб от спама по порядку величины стал сравним с потерями, которые нанесли мировому сообществу компьютерные вирусы и хакеры. В России этот ущерб можно оценить в 150-200 миллионов евро, а консервативная оценка ущерба во всем мире близка к 10 миллиардам долларов. Нужно заметить, что благодарить за это следует всего пару сотен человек (большинство которых живёт и работает в США), на долю которых приходится 80-90% мусорных рассылок.

Взрывной рост количества спама вынуждает крупные интернет-сервисы Рунета и ведущие IT-компании внедрять новые технологии фильтрации почты. Усиливается борьба со спамом на Hotmail, Yahoo! и MSN, которые внедряют всё новые технологии фильтрации, а также предлагают пользователям ввести списки «доверенных адресатов», чтобы избежать ошибочного уничтожения фильтрами нужных писем. В Рунете запущен бесплатный фильтр спама Spamtest.ru, на крупнейшем российском почтовом сервисе MailRu внедрён «Антиспам Касперского», Яндекс объявил о запуске собственного сервиса «Спамооборона», почтовый сервис портала KM.RU внедрил защиту от спама «Карантин», от компании «E-Style ISP», Петерлинк установил «Антиспам Касперского», Корбина Телеком объявила о внедрении собственного фильтра спама, построенного на бесплатной технологии SpamAssassin.

В течение 2003 года существенно развились технологии спамеров, приспосабливающихся к новым условиям существования. Основное количество спама рассылается уже не напрямую, а с помощью сетей, состоящих из захваченных спамерами пользовательских машин. Теперь спамеры рассылают троянские программы, которые, заражая машины пользователей, служат площадкой для рассылки спама. В рассылках участвуют сотни тысяч зараженных компьютеров, пользователи которых могут об этом даже не подозревать. Это приводит к резкому всплеску потоков спама и снижению эффективности черных списков (RBL).

Угасание метода «чёрных списков» становится всё более очевидным. Фильтрация по IP-адресам становится неэффективной из-за использования динамических множеств захваченных пользовательских машин, одновременно приводя ко многочисленным ложным срабатываниям, нередко приводя к нарушению связности отдельных сегментов сети Интернет. Показательным стал случай с закрытием известного сервиса Osirusoft, подвергавшегося неоднократным атакам, который перед закрытием 26 августа поместил в черный список весь мир (весь диапазон IP-адресов). В результате огромное число пользователей электронной почты во всём мире потеряли корреспонденцию за два дня — она отвергалась теми почтовыми серверами, которые использовали списки Osirusoft для борьбы со спамом.

Производители фильтров достаточно быстро реагируют на изменения тактики и стратегии спамеров, обучая программы распознавать все новые уловки. За 2003 год те или иные фильты спама были установлены на большинстве публичных почтовых сервисов «большого» Интернета и Рунета в частности.

Спамеры ищут адекватный ответ и начинают использовать методы «замусоривания» текста для обмана фильтров, основанных на анализе содержимого писем. Наиболее часто используются подстановка латинских символов вместо кириллицы, замена текста изображениями, динамическое (в пределах одной партии писем) изменение содержимого писем.

Это приводит к удорожанию себестоимости спамерских рассылок, в таких условиях успешную рассылку могут провести только хорошо оснащенные спамерские конторы. Спамерский бизнес укрупняется, его клиентская база расширяется за счет малого бизнеса.

Любой пользователь может увидеть, что осенью 2003 года спамеры впервые решили пожертвовать читаемостью писем ради обхода фильтров. Специально сделанные грамматические ошибки, удвоение букв, мусорные концы слов позволяют сразу отличить «на глаз» спамерский мусор от обычного письма. Бич Рунета 2003 года — Центр американского английского осенью заметно снизил активность и рассылает уже совершенно нечитабельные письма.

В результате борьбы щита и меча на первый план выходят лингвистические методы фильтрации спама. Не важно, с какого адреса пришло послание. Антиспамерское ПО разбирает содержимое письма в поисках сигнатур, характерных для «мусорных писем».

Меняется тематика спамерских рассылок: там, где приняты законы, число предложений товаром и услуг начинает падать, освобождая поле деятельности для мошенников и порнографов. Напротив, в Рунете происходит резких рост числа рассылок от малого бизнеса. Широко использовался спам и в политических кампаниях осенних выборов.

Рассылка спама становится нелегальной деятельностью. В 2003 году опасность спама признали законодательные органы ведущих стран мира. Законы против спама приняты Европейским союзом, Австралией, США. В России ведущими интернет- и ИТ-компаниями образована Национальная коалиция против спама, одним из направлений деятельности которой являются проекты поправок к законодательству (Закону о рекламе, Кодексу об административных правонарушениях и др.) и внесение их в Государственную Думу. Впервые в России в сентябре была проведена Первая национальная конференция «Проблема спама и ее решения».

Наш прогноз на следующий год, к сожалению, неутешительный. 2004 год будет годом пика спама. Мы предполагаем, что количество спама в ящиках пользователей достигнет своего пика зимой-весной 2004 г. и составит 60-70% от всей входящей почты. Спам будет чрезвычайно технически изощрённым, начнётся эпоха мобильного SMS-спама.

Однако, к концу 2004 года практически на всех массовых сервисах и в крупных компаниях будут внедрены те или иные эффективные фильтры спама. Кроме того, уже в первой половине 2004 г. в США и Западной Европе будут завершены первые успешные процессы против спамеров, а к осени 2004 года в России и Восточной Европе будут приняты национальные законы против спама. В результате этих мер поток спама должен пойти на убыль и в 2005 году заметно снизиться.

Электронный журнал «Спамтест» No. 31   [09.01.2004]

Лаборатория Касперского

*