Защита почты от спама и фишинга: актуальные угрозы и передовые решения

Страшно представить, но почти все компьютеры в мире контролируются спамерами. Без понимания, как действуют недоброжелатели, и дополнительной автоматической защиты открытие одного лишь письма в e-mail может привести к обрушению всей корпоративной сети и уничтожению либо утечке важных данных организации. Каждой компании требуется качественная защита от спама и фишинга, которую обеспечит грамотно выбранное программное обеспечение.

Cпам и фишинг сегодня, или Почему так важна антиспам-защита

В последние годы решение проблемы спама приобретает все большую актуальность. В прошлом году доля спама в мировом почтовом трафике превысила 55%. Согласно обобщенным данным Ассоциации документальной электросвязи, сотрудники, которые получают в день по 10—20 деловых писем, попутно находят в своих электронных ящиках более сотни спамерских сообщений. Борьба с рекламной и вредоносной рассылкой потребует около 5-ти часов в месяц, а это рабочее время, оплачиваемое работодателем. Кроме того, спам значительно увеличивает нагрузку на коммуникации, повышает трафик, снижает эффективность работы сервера.

Мировым лидером по рассылке спама уже несколько лет является США — по данным прошлого года, их доля нежелательных сообщений составила 18,75%. Следом за Штатами, с 7,86% спама, — Вьетнам, а замкнул тройку печальных фаворитов Китай с 7,77% почтового «мусора». Российские спамеры заняли шестую строчку по объему нежелательной почты, хотя когда-то были на второй позиции. А вот страны-«мишени» спамеров совсем иные. По данным на 2017 год, больше всего досталось Китаю — на него пришлось 18,23% всего спама, следом — Германия с 11,86%, а затем Великобритания с долей в 8,16%. Наша страна заняла седьмую позицию с показателем 3,93%. Больше всего из развитых стран повезло Таиланду — на него пришлось лишь 0,8% спам-сообщений.

Интересно, что спамеры не отстают от мировых событий и актуальных потребностей получателей. Так, в 2015 году основной темой коварных писем зачастую были события на Украине, а сейчас — Чемпионат мира по футболу. Каждый туристический сезон адресаты видят в своих электронных ящиках нежданные письма от отелей, как настоящих, так и «фейковых».

Ответ на подобные сообщения запрещен в принципе, так как каждая реакция на полученное извещение приведет к тому, что на ваш ящик будет приходить все больше и больше нежелательной корреспонденции. Как «убрать» спам, хорошо знает большинство специалистов: нужно либо сменить e-mail, либо установить дополнительную защиту.

Существуют и более опасные рассылки, которые нацелены на «заражение» компьютера или на получение доступа к конфиденциальной информации, — так называемый фишинг. Эти разновидности спама — особый вид интернет-мошенничества, призванный получить идентификационные данные пользователя, такие как личные и корпоративные пароли, номера кредитных карт, банковских счетов и так далее.

Обратите внимание!

Даже самая скромная статистика свидетельствует о том, что «трояны» «живут» на нескольких миллионах пользовательских компьютеров по всему миру. Причем вирусы обладают собственным интеллектом: обновляются, рассылают спам, получают инструкции от мошенников. Согласно экспертным данным, более 96% компьютеров, с которых отправляют электронные письма, являются членами «зомби-сети», то есть контролируются спамерами.

Как правило, фишинг мы получаем в виде фальшивого уведомления от провайдера, банка и других организаций, которые хорошо узнаваемы и могут быть важны для деятельности компании. В темах таких писем нас предупреждают о срочной информации, угрозе, на которую нужно среагировать немедленно. Фишеры не гнушаются предлагать борьбу с «самими собой»: мол, стоит только пройти по ссылке на рекомендуемый сайт, ввести свой логин и пароль — и об опасности фишинга можно забыть навсегда. С помощью введенных данных мошенники получают доступ к электронному ящику жертвы и другой личной информации. При этом фишеры сами редко пользуются полученными данными, передавая их третьим лицам. И нельзя забывать об опасности заражения компьютера вредоносной программой, подхваченной на открытой по ссылке странице или в прикрепленном к письму файле. Ведь когда вирус поражает один из компьютеров корпоративной сети, есть риск парализовать работу всей организации. Теперь понимаете, что значит для компании защита от фишинга?

По данным специалистов, ущерб от одного только инцидента, связанного с информационной безопасностью, для крупных компаний составляет в среднем 20 миллионов рублей, а для небольших организаций — чуть менее 800 тысяч рублей. Чтобы ликвидировать проблему и обезопасить себя от дальнейших неприятностей, компании большого размера могут потратить до 2 миллионов рублей, а фирмы поменьше — примерно 300 тысяч. Однако 90% мирового бизнеса довольно снисходительно относится к опасности вредоносных программ, иными словами, не следит за появлением новых вирусов и оперативным обновлением программного обеспечения для борьбы с ними. А начинать следует с понимания того, под какими темами писем чаще всего скрывается спам.

На заметку!

Спам в рекламных целях, несмотря на свою популярность, малоэффективен. Недавно проведенный эксперимент одной из калифорнийских компаний это наглядно доказал: организация разослала 350 миллионов писем, извещающих о запуске нового продукта, получив в ответ лишь 28 заказов.

Виды спама

По традиции одной из самых популярных тематик спам-сообщений являются интернет-знакомства. Свидания, объявления брачных агентств всегда были в лидерах тем нежелательных писем, популярна и реклама сайтов «для взрослых». Далее по рейтингу идут образование, путешествия (они особенно активны в летний период), недвижимость и бухгалтерские услуги.

В зависимости от содержания письма спам делится на «коммерческий» и «некоммерческий», чему соответствуют аббревиатуры UCE — «unsolicited commercial e-mail» (коммерческий) и UBE — «unsolicited bulk e-mail» (некоммерческий).

Коммерческий спам, в свою очередь, делится на санкционированный и несанкционированный, другими словами, вам приходят коммерческие предложения, на которые вы соглашались или не соглашались. С такого рода спамом нужно обращаться аккуратно, так как можно упустить действительно важную информацию.

Некоммерческий спам, или анонимная массовая рассылка, чаще всего представлен следующими его разновидностями:

  • Политический спам. Сообщения политического характера наиболее популярны, естественно, в период выборов. Речь в основном идет о «черном PR» с целью компрометации определенного лица. Интересно, что такая рассылка часто осуществляется якобы от имени конкурента. Пользователей возмущает огромное число писем от кандидата, что заставляет их идти голосовать за другого (истинного инициатора рассылки).
  • «Благотворительный» спам. Как уже говорилось выше, спамеры умело используют происходящие в мире события. Так, в 2008 году популярна была просьба перечислить деньги в благотворительный фонд для помощи детям из Южной Осетии. Позже «благотворители» собирали пожертвования в Донецк. Масса сообщений поступает с кличем помочь умирающему от тяжкого недуга ребенку, которому нужна срочная дорогостоящая операция. Такой спам очень опасен, так как оформлен довольно грамотно. Неравнодушным к чужим бедам людям следует тщательно проверять изложенную в подобных письмах информацию.
  • Мошеннический спам. В так называемых нигерийских письмах мошенники предлагают участие в денежных операциях, обещая огромные доходы. У получателя письма выпрашивается все больше денег на уплату различных сборов, взяток чиновникам и т.д. Популярный вариант — письмо от нотариуса, извещавшего о смерти человека с той же фамилией, что и адресат. Отправитель предлагает получить деньги с банковского счета «умершего». Поначалу такие сообщения шли со ссылкой на гибель родственника в Нигерии, отчего спам и получил свое название. Интересно, что, несмотря на множественные предупреждения о вреде подобных писем, ежегодно находятся жертвы, отправляющие деньги на счета мошенников.
  • Цепочный спам («письма счастья»). Задача цепочного спама — пересылка сообщения всем родственникам и знакомым адресата. Чаще всего это некое «письмо счастья», в котором пользователю обещают полное благополучие в жизни, если он отправит письмо определенному числу других пользователей. Иной вариант — «письмо несчастья», в котором сообщается о грядущем стихийном бедствии, теракте или эпидемии. Отправители письма настоятельно рекомендуют перенаправить сообщение всем знакомым, чтобы предупредить их. Такие сообщения особенно опасны возможной паникой среди населения, а в некоторых случаях содержат и просьбы о переводе небольших сумм денег. Зачастую «письма счастья» содержат ссылку на вредоносный сайт или зараженный файл.
  • Спам «для взрослых». Этот вид спама несколько сдал свои позиции по сравнению с началом 2000-х. Произошло это отчасти благодаря введению в некоторых государствах законодательных ограничений на подобный контент. Но спад фиксируется в западных странах, а в России, наоборот, идет подъем. К тематике спама для взрослых относятся порносайты и материалы, содержащие порнографию, сайты знакомств, средства для повышения потенции. Чаще всего такие сообщения приходят на английском языке.
  • Вирусный спам. Самый проблемный вид спама. Одно такое письмо может повредить один компьютер или целую сеть, уничтожить или похитить информацию, остановить работу организации, причем достаточно крупной. Спамеры наловчились подделывать вирусные письма под сообщения от почтовых серверов (например, отчет о якобы недоставленном письме) под важные извещения, под документы, требующие срочного просмотра.

Согласно статистике 2017 года, самой распространенной вирусной программой является Trojan-Downloader.JS.Agent (6,14%). Затем следует Trojan-Downloader.JS.SLoad (3,79%). На третьем месте — Trojan-PSW.Win32.Fareit (3,10%). Эти вирусы, используя технологию ADODB.Stream, скачивают и запускают вредоносное ПО, вследствие чего нарушается вся безопасность системы ПК. Они собирают различную важную информацию, в частности данные банковского счета и номера кредитных карт.

Спам для спамера

Иногда спамеры попадают в собственные сети. Так, широко известна история с одним из крупнейших мировых спамеров Аланом Ральски. Однажды он неосторожно дал интервью одному из журналов, после чего опытные пользователи смогли узнать не только электронный почтовый адрес спамера, но и физический. Тысячи активистов подписали эти адреса на множество рассылок, как обычных, так и электронных. В результате дом Ральски был буквально завален различными каталогами, рекламами и прайсами, а его электронный ящик не выдерживал нагрузок. Дошло до того, что спамер стал жаловаться в прессе на «выживших из ума недоброжелателей».

Способы распространения спама

Рассматривая вопрос многообразия спама, было бы странно обойти стороной тему способов его распространения.

Прямые рассылки

Первоначально сообщения рассылались спамерами с использованием собственных почтовых серверов и от собственного имени. Но эти рассылки оказались неэффективны, так как их достаточно просто блокировать: необходимо всего лишь запретить адрес отправителя или почтового сервера. И как только подобные блокировки стали распространенными, спамерам пришлось искать обходные пути — к примеру, подделывать различную информацию, включая адреса отправителей.

Открытые сервисы (open relay, open proxy)

Существуют почтовые серверы, позволяющие произвольному отправителю послать любое письмо на любой электронный адрес, — их называют «открытые релеи» (open relay). Все началось еще в середине 90-х, когда абсолютно все почтовые серверы представляли собой как раз открытые релеи (впоследствии конфигурации крупных мировых почтовых серверов были изменены). Однако следить за тем, чтобы сервер был закрытым, нужно постоянно, а специалисты по IT-безопасности не всегда уделяют этому должное внимание, чем активно пользуются созданные интернет-мошенниками сервисы поиска открытых релеев или открытых прокси-серверов. И все же большинство спамеров перестало применять открытые релеи, поняв их малую эффективность, и начало искать другие способы воздействия.

Взломанные пользовательские ПК и другие способы

Вышеперечисленные методы становятся все менее эффективными, и сейчас наибольшее распространение получила рассылка спама с помощью зараженных пользовательских компьютеров. Чтобы получить доступ к компьютеру, мошенники используют троянские программы (они распространяются по сети Интернет или файлообменным сетям вместе с различным пиратским программным обеспечением), уязвимости в операционных системах и популярном софте, e-mail черви.

Методы защиты от спама и фишинга

По мере того как спам становится все изощреннее, разрабатываются новые способы защиты почты и усложняются «классические» методы. Надежность антиспам-систем обеспечивается использованием нескольких методов в комплексе. При выборе способов защиты важно также отталкиваться от особенностей работы организации и характера спама, который приходит чаще всего.

Фильтрация

Основным и самым популярным методом борьбы с нежелательной корреспонденцией является фильтрация, то есть отсеивание спама от действительно важных писем. Этот метод основан на том, что спам-письма значительно отличаются от обычных. Фильтрация разделяется на автоматическую и неавтоматическую.

Автоматическая фильтрация спама. Для защиты от спама используются спам-фильтры. Они могут быть установлены на пользовательских компьютерах или на серверах. Принципиально различаются два способа работы таких фильтров. В одном случае спам-фильтр опознает отправителя письма как спамера, не открывая само сообщение на основе рейтинга сервера через который спамер шлет письма. Особенность такого метода в том, что ПО должно быть установлено на сервере, на который приходит нежелательная корреспонденция.

Другим способом является анализ «тела» письма. Если оно оценено как нежелательное, то отправляется в отдельную папку или удаляется. Спам-фильтр, работающий таким образом, может находиться как на сервере, так и на пользовательском компьютере.

Очень популярна на данный момент байесовская фильтрация спама. Способ заключается в следующем: спам-фильтры предварительно «обучаются», то есть им отправляются уже отсортированные письма, на основе которых фильтр анализирует статистические особенности желательной корреспонденции и нежелательной. Если «обучение» происходит нормально, то фильтр помогает отсеять до 97% спама. К сожалению, спамеры сейчас научились обходить и такие фильтры, вставляя в «тело» письма картинку, убирая при этом текст полностью или частично. В таком случае спам-фильтр не может грамотно опознать письмо и составить статистику. Однако и для таких писем есть противоядие: если постоянно «дообучать» антиспам, указывать ему на недостатки, то автоматическая фильтрация становится весьма эффективной.

Неавтоматическая фильтрация является более трудоемкой и сложно подстраиваемой. Но в конечном счете, если грамотно подойти к вопросу, она может стать очень результативной. При неавтоматической фильтрации спам-фильтры задаются пользователем и, как правило, состоят из стоп-слов или выражений. Следовательно, пользователь точно будет знать, почему отсеяны письма и какие из них были отправлены в папку «Спам». Важно помнить, что для эффективности данной антиспам-проверки нужно постоянно следить за последними тенденциями в поведении спамеров и дополнять фильтр новыми установками.

Обратите внимание!

Ежегодно из-за спама российский бизнес лишается 500 миллионов долларов, 22 миллиарда долларов теряют американские компании, а европейские — 51 миллиард евро.

Черные списки

В черные списки обычно вносятся:

  • IP-адреса тех компьютеров, с которых ведется или велась рассылка нежелательной корреспонденции;
  • открытые релеи;
  • локальные списки спамеров;
  • черные списки, составленные службой DNS (компьютерной распределенной системой для получения информации о доменах).

Система черных списков используется уже давно, проверена временем и подводит нечасто — в этом ее сильная сторона. Слабую сторону такого подхода составляет безответственность администрации в вопросе составления списков, в которые запросто попадают ни в чем не повинные пользователи. Простой пример: компьютеры, с которых мог быть отправлен спам, включены в подсеть или принадлежат почтовому домену. А система включает в черный список весь домен или всю сеть, и после этого тысячи пользователей некоторое время не могут отправлять почту. Добавим к нежеланию вникать в детали «нечистоплотное» поведение некоторых администраторов, которые порой требуют деньги за удаление IP-адресов из черных списков.

Серые списки

Принцип работы данной методики основан на том, что функционирование программного обеспечения, отвечающего за рассылку спама, отличается от «поведения» стандартных почтовых серверов. Спамерское ПО, обходя защиту спам-фильтра, использует разные релеи и другие обратные адреса, принимающая сторона расценивает это как попытку отправлять спам-письма. Тогда включается работа серого списка. Изначально все неизвестные серверы, отправляющие почтовые сообщения, включены в данные списки, но при этом почта, поступающая с такого сервера, не отклоняется. Серверы получают код временной ошибки, и если почта благожелательная, то она приходит снова с того же адреса. Спамерское же ПО повторно отправляет сообщение уже с другого адреса, и тогда спам уничтожается или откладывается в специальную папку. Так отсеивается значительная (около 90%) часть нежелательной корреспонденции, а важные письма доходят без потерь — это сильная сторона подобного метода, которая и принесла ему популярность.

Слабой же стороной являются затраты времени (порой до 30-ти минут) на дополнительную проверку писем, а это неприемлемо при работе со срочной корреспонденцией. Однако задержка происходит только при получении первого письма с неизвестного сервера, так что метод может оказаться удобным для ряда организаций.

Анализ заголовков

Для генерации своих писем спамеры применяют специальное программное обеспечение, которое автоматически создает и распространяет сообщение. У таких программ есть серьезный недостаток: они допускают ошибки при оформлении заголовка, поэтому спам-сообщение не соответствует почтовому стандарту RFC. Благодаря этому просчету антиспам-фильтры и обнаруживают нежелательную корреспонденцию. Такая защита весьма надежна и эффективна.

Анализ вложений

Изначально фильтрация вложений проверяла только тему сообщения и «тело» письма, содержащего текст. Однако сейчас антиспам-проверка проводится по всему сообщению, даже по вложенным картинкам. Это одна из самых действенных программ, которая быстро «учится», подстраивается под новые виды нежелательной корреспонденции и действует практически безошибочно.

Защита от сбора адресов

Часто спамеры сканируют сайты на предмет поиска электронных адресов, указанных в качестве контактных, и потом на эти адреса идут десятки спам-сообщений. Есть несколько путей защиты e-mail от спам-ботов. Один из самых популярных способов — создание «левого» адреса. На популярном почтовом ресурсе регистрируется дубликат электронной почты, который выставляется на сайте организации. После обновления сайта вы станете получать письма от реальных пользователей, а не от мошенников.

Второе эффективное средство защиты от сбора адресов — преобразование адреса в картинку. Скриншот электронного адреса выставляется в раздел «Контакты» на сайте вместо «словесного» эквивалента — пользователь без проблем прочитает адрес, а вот спамерская программа не сможет его распознать. Схожим вариантом является «маскировка» адреса. К примеру, вместо ivan.ivanov@com становится ivan(dot)ivanov(at)com, — в таких случаях спамерские программы тоже бессильны. Недостатком подходов является то, что они усложняют доступ к почтовому адресу реальным пользователям.

Определение признаков массовости

Действует данный метод достаточно просто: в огромном потоке писем выявляются абсолютно идентичные или незначительно различающиеся сообщения. Технология предназначена в основном для крупных организаций, которые обладают значительными объемами почты.

Современные IT-компании для защиты от спама и фишинга используют сразу несколько методов, формируя комплексную защиту. Наиболее часто применяемые методы в специализированном ПО — черные и серые списки, байесовская фильтрация и анализ письма. На практике авторитетные антиспам-сканеры — такие как GFI MailEssentials, Kaspersky Anti-spam, Kaspersky Security for Mailserver, McAfee Security, Symantec MailSecurity, ESET MailSecurity — удерживают до 99% всех нежелательных сообщений.


Итак, мы видим, что спам не сдает свои позиции, становясь все более изощренным. Но и от него есть противоядия, причем как профилактического, так и лечебного свойства. Общие советы по борьбе со спамом остаются неизменными из года в год: не оставляйте электронные адреса на подозрительных сайтах, не открывайте и не пересылайте письма от не внушающих доверия источников и, конечно же, установите надежный спам-сканер. А владельцам бизнеса, кроме того, стоит задуматься и о безопасности хранения данных внутри компании, а в том числе и о корпоративном управлении паролями.