Анимация: очередной спамерский прием

Недавно спамеры выпустили на рынок новую технологию рассылки: анимированный графический спам: спамерское сообщение содержит вложенный файл в формате GIF. Используется именно формат GIF, так как он распознается и автоматически воспроизводится всеми популярными браузерами.

Обычно анимированный спам содержит от 2 до 5 кадров, из которых только один кадр является значимым, т.е. содержит информационную составляющую. Именно на этом кадре отображается текст спамерского предложения. Остальные кадры содержат фон или прочие элементы рисунка, не несущие смысловой нагрузки.

Всего за месяц своего существования анимированный спам уже несколько раз видоизменялся. Практически сразу же после запуска новой технологии, спамеры попытались разнообразить ее: вместо фоновых кадров появились кадры, по задумке спамеров призванные оказывать на пользователя психологическое воздействие. Ниже приведен пример двух кадров из такой спам-рассылки.

В исходном анимированном GIF-е было 5 кадров, 4 из них (2 первых и 2 последних) - с разнообразными "наслоениями" слова "buy".

Появилась уже третья модификация анимированных рассылок. Теперь в анимации несколько информативных кадров, каждый из них содержит несколько строк рекламного текста. Наслаиваясь друг на друга, эти кадры постепенно демонстрируют пользователю весь текст коммерческого предложения.

Примечательно, что в третьем квартале анимированный спам содержал однотипные предложения - призывы инвестировать. Создается впечатление, что всем этим валом "финансового" анимированного спама мы обязаны небольшой группе спамеров, осваивающих новое программное обеспечение.

Спамеры пытаются освоить GIF-анимацию доступными им средствами. Эксперты "Лаборатории Касперского" зафиксировали анимированный спам, который отличается от известных предложений инвестировать не только темой письма, но и набором заголовков, и исполнением GIF-файла.

Это письма с предложением получить диплом некого учебного заведения. Пользователю демонстрируются 4 кадра, из которых так же, как и в случае "финансовых" анимированных писем, значимым (содержащим рекламный текст) является лишь один. "Фоновые" кадры представляют собой графические рисунки. В отличие от первых рассылок "финансового" спама, где "фоновые" кадры демонстрировались в течение сотых долей секунды и практически не воспринимались пользователем, в данной рассылке получатель видит несколько сменяющихся рисунков до появления рекламного текста.

Новый прием вряд ли создаст проблему для систем фильтрации. При желании анимированный GIF достаточно легко расчленить на кадры и работать с каждым кадром по отдельности. Кроме того, спам-фильтру вообще нет необходимости целенаправленно анализировать графическую составляющую спама. Существует множество проверенных и надежных методов классификации спама, и многие фильтры с их помощью способны распознать анимированные рассылки как спам, даже не анализируя "картинку".

Согласно результатам исследования компании IronPort, только с апреля по июнь 2006 г. объемы спама в мире выросли на 40%, а за год прирост составил 83%. При этом спамеры совершенствуют методы и технологии рассылки.

По данным IronPort, в настоящее время спамеры в течение нескольких часов меняют IP-адреса источника спама, рассылаемого из зомби-сетей. При этом ссылки, которые обычно содержат спам-сообщения, меняются с той же частотой. В июне 2005 г. продолжительность использования спам-домена составляла 48 часов, и этого времени было достаточно для его детекциии и занесения в черные списки. Год спустя длительность жизни спамового URL сократилась до 4 часов. Это означает, что к тому времени, когда URL будет внесен в традиционные блок-листы, спам с этой ссылкой уже попадет в почтовые ящики пользователей, а спамеры изменят ссылку в рассылаемых сообщениях.

Кроме того, краткая жизнь спам-доменов позволяет спамерам бесплатно регистрировать домены на короткий период времени. По данным IronPort, в апреле за 32 миллиона из 35 миллионов зарегистрированных доменов деньги не вносились, и срок их использования истек в течение 5 дней. Для спамеров, таким образом, стоимость регистрации оказывается равной нулю, при этом удается избежать попадания спам-доменов в черные списки.

Очевидно, спамеры оценили преимущества "графического" спама. По данным IronPort, его доля в общем потоке мусорной почты в течение года выросла с менее чем 1% в июне 2005 г. до 12% в июне 2006 г. По оценкам IronPort, ежедневно спамерами рассылается более 5 миллиардов спамовых "писем-картинок".

По словам Анны Власовой, начальника группы спам-аналитиков "Лаборатории Касперского", "графический спам" - это хорошо известный спамерский прием, который уже можно считать "хрестоматийным". Спамеры начали активно применять эту технологию еще в 2003 году, и с тех пор количество такого спама постоянно растет, а сам он видоизменяется. За последние полтора года количество "графического" спама действительно выросло в 3-4 раза.

Большинство популярных фильтрующих систем умеют бороться с "графическим" спамом, хотя иногда такая борьба идет с переменным успехом, т.к. спамеры совершенствуют методы и технологии спам-рассылок. Но если бы производители спам-фильтров не озаботились этой проблемой как минимум 2 года назад, то сейчас они бы потерпели сокрушительное поражение от спамеров.

"В конце 2005 - начале 2006 года спамеры сделали следующий технологический рывок. Теперь они не просто модифицируют "картинки" в пределах одной и той же рассылки, но и "режут" их на части. Т.е. итоговое изображение складывается из 4-8 отдельных графических частей. Подобный прием предназначен для обмана систем графического распознавания (OCR-анализаторов), которые могли бы восстановить исходный спамерский текст по изображению. На самом деле, большинство существующих спам-фильтров пока не проводят OCR-анализ. Так что спамеры явно работают на будущее", - сказала Анна Власова.

— По материалам "Лаборатории Касперского"

2006.11.12
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".