special faq

НА ВОПРОСЫ ОТВЕЧАЛ СЕРГЕЙ СЕРЫЙ

Хакер, номер #074, стр. 060

СПЕЦ:

Насколько выгодно заниматься спамом?

Сергей:

Расценки на рассылку очень сильно зависят как от вида самой рассылки (что рекламируем: самонаводящийся анальный вибратор с дистанционным управлением/ручку с невидимыми чернилами/прочий ширпотреб или чугунные трубы), так и от того, кому рассылаем (физические или юридические лица, адреса с CD из ближайшего ларька или вручную отсортированная коллекция). За рекламу чугунных труб могут предложить значительно большие деньги, чем за вибратор, потому что отдача от рекламы намного выше. Пусть чугунные трубы нужны 0,001% получателей, а вибратор — 1%, но вибраторы расходятся и так, об их существовании все знают, но по предложенному телефону позвонит от силы 0,0001%. А среди 0,001% нуждающихся в чугунных трубах отклик может достигнуть 90%, особенно если проводить рассылку с учетом адреса респондентов.

В очень грубом приближении, рассылка по 1 миллиону адресов стоит порядка 2 тысяч рублей. Учитывая бесплатную стоимость исходящего трафика по большинству тарифов, все эти 2 тысячи превращаются в чистую выгоду.

СПЕЦ:

Могу ли я огрести за спамерство?

Сергей:

Юридически — нет, так как вне зависимости от законодательной базы, трудоемкость доказательства вины снижает вероятность наказания до нуля. Но проблемы будут. IP, с которого проводилась рассылка, быстро занесут в black-листы. И хорошо если один IP, а не всю подсеть, в результате чего пострадают другие клиенты провайдера. А для удаления себя из black-листов провайдеру необходимо изрядно поднапрячься и даже потратить кое-какое количество денег (удаление из некоторых - платное), следовательно, после массовой рассылки следует ждать отключения и «пистона» от провайдера. Поэтому спамеры вынуждены использовать либо анонимные proxy-серверы, либо «дроны» (компьютеры других пользователей с установленным back-door'ом). Но находить реально работающие анонимные proxy с каждым днем становится все труднее, а установка back-door'а уже попадает под статью. Но, сказать по правде, спамеры больше боятся не закона, а физической расправы или увольнения с работы (если для рассылки использовались служебные каналы).

СПЕЦ:

Где искать заказчиков на рассылку?

Сергей:

В интернете. Спамеры обычно рекламируют себя путем спама ;). А поскольку базы у них если не общие, то во многом пересекающиеся, они испытывают сильную конкуренцию, вынуждающую снижать цены. Но здесь возникают большие проблемы с оплатой: заказчик не доверят исполнителю, исполнитель не доверят заказчику. И ни тот, ни другой не хотят давать никаких контактов, боясь «засветиться». Заказчик требует доказательств совершения рассылки, исполнитель обещает предоставить ему log-файлы. Но заказчик посылает исполнителя обратно, поскольку если он не полный лох, то прекрасно понимает, что log-файлы можно сгенерировать и без всякой рассылки. К тому же отправка письма «на деревню дедушке» еще не гарантирует, что дедушка вообще получит его. Заказчик предпочитает оплачивать работу исполнителя только после того, как клиенты повалят к нему косяками, но исполнитель посылает заказчика, поскольку он тоже не лох и работать на таких условиях не собирается. Возникает тупиковая ситуация. Одна из сторон должна рискнуть. С финансовой позиции рискнуть легче спамеру, осуществив первую рассылку задаром (ведь при этом он не тратит денег, исходящий трафик бесплатный), но вовсе не факт, что заказчик даже после набега клиентов обратится к нему еще раз. Спамеров много, предложения о спаме приходят регулярно. Так какой смысл платить за рекламу, если можно получить ее на халяву?

С другой стороны, заказчику, рекламирующему какой-либо товар или услугу, все равно приходится раскрывать себя - на 100% зашифроваться он не в состоянии (если только он не рекламирует сайт, живущий за счет показа банеров — хрен найдешь, кто им владеет). Зато спамер представляет собой чисто виртуальное лицо и, взяв деньги за рассылку, может безболезненно раствориться.

К лицам, имеющим доступ к быстрым каналам, заказчики часто приходят и сами. В этом случае исполнитель видит заказчика, заказчик видит исполнителя, и они могут легко урегулировать все финансовые вопросы. Правда, в этом случае заказчик просто выбрасывает деньги на ветер, так как в наше время «лицо с улицы» может разослать спам только на адреса типа info@рога-и-копыта.ru, а остальные задавят фильтры.

СПЕЦ:

Где брать адреса для рассылки?

Сергей:

Базу с несколькими десятками миллионов адресов можно свободно купить на CD-диске в любом ларьке, но только большинство адресов там «битые», а если не «битые», то их владельцы уже давно установили кучу фильтров и научились удалять спам на автопилоте. А ведь для спамера важно не только разослать письма, но и добиться, чтобы реклама была прочитана, иначе, не получив отдачи, заказчик к нему уже не обратиться. А как показывает практика, основной доход приносят именно постоянные клиенты. Даже те немногие адреса из CD-базы, владельцы которых не сменили сервер, не установили фильтры и мужественно читают каждое свалившееся на них письмо, оказываются завалены такой горой макулатуры, среди которой одна конкретно взятая рекламная рассылка становится совершенно незаметной, а, следовательно, неэффективной.

По статистике, на рекламные рассылки «ведутся» только те, кто решает воспользоваться подобными услугами в первый раз (то есть те, кто до этого еще не получал спама или получал его в незначительных количествах). Поскольку посредством спама «честные» товары/услуги рекламируются крайне редко, то на последующие рассылки чего-бы-то-ни-было клюнут только совсем доверчивые люди, коих, как ни странно, довольно много, но все-таки не настолько много, чтобы отдача от спама по CD-базам стала экономически оправданной. Спамеры, планирующие продержаться на рынке больше пары рассылок, создают свои собственные базы путем сбора почтовых адресов.

СПЕЦ:

Как самостоятельно создать действующую почтовую базу?

Сергей:

Имеющиеся способы создания можно разделить на честные и нечестные. К честным относится сканирование форумов и web-узлов на предмет «добычи» почтовых адресов. Свыше 90% адресов, оставленных на форумах, принадлежат физическим лицам, что хорошо подходит для рекламы анальных расширителей... или удлинителей. Ну, или точной копии часов Пржевальского за $100 (при реальной стоимости в 7$). Сканирование web-узлов приносит большое количество корпоративных адресов, которым чугунные трубы гораздо интереснее анальных авторучек с невидимым моторчиком.

Нечестные способы сводятся к созданию вирусов и червей, проникающих на компьютер жертвы и чаще всего похищающих адресную книгу. Реже — «вытягивающих» из входящих/отправленных все адреса с именами. Имена важны потому, что позволяют имитировать письма «от друзей» и обходить фильтры, распознающие спам по отсутствию имени в поле «To» (или неправильному имени).

Естественно, для сбора адресов необходимы соответствующие программы, которые приходится писать либо самостоятельно, либо поручать эту работу «голодному студенту». Или использовать уже готовое ПО, но среди имеющихся в открытом доступе утилит ничего реально работающего пока не наблюдается.

СПЕЦ:

Какие существуют защиты от спама и как их обойти?

Сергей:

В первую очередь, это распределенные DRBL-базы данных, хранящие IP-адреса, занесенные в back-листы (DRBL — Distributed Real-time Blocking List) и обновляемые в реальном времени. Использование почтового сервера DRBL-баз (а их используют практически все крупные серверы) позволяет уменьшить поток спама до 30%, что не слишком эффективно. Но со стороны спамера все выглядит иначе. При агрессивной рассылке IP-адрес спамера оказывается в DRBL-базах в среднем через 30 минут после ее начала, после чего почтовые серверы банят спамера, и рассылка гаснет как бычок в писсуаре.

Естественно, при работе через разные IP-адреса (например, через легион «дронов») рассылка длится намного дольше, но все равно задыхается, поскольку в игру вступают другие фильтры, распознающие спам не по адресам отправителя, а по его содержимому. Таких фильтров достаточно много, и условно они делятся на две категории: сигнатурные и эвристические. Эвристические распознают спам, основываясь на некоторых знаниях об окружающем мире. Такие фильтры можно обойти, просто установив их на свой компьютер и разобравшись, на что именно они реагируют (примерно так вирусописатели создают вирусы, не детектируемые антивирусными эвристиками). Сигнатурные фильтры нуждаются в образце спама для его подавления. И если рассылается одно и тоже письмо, оно попадет в базы сигнатурных фильтров так быстро, как только получатели начнут на него жаловаться или поступит сигнал с DRBL, то есть примерно через те же 30 минут. Для обхода сигнатурных фильтров спамеры используют различные полиморфные методики, самые совершенные из которых «извращаются» над графическим изображением. Например, зашумляя его, наклоняя под небольшим углом, масштабируя и так далее. Легко показать, что распознавание спама в этом случае сводится к задаче распознавания образов, которая в общем виде не решена и по сей день. Поэтому графическая реклама пробивает даже те фильтры, которые специально проектировались для борьбы с ней.

СПЕЦ:

Что насчет других видов спама (форумы, блоги, мессенджеры)?

Сергей:

На сегодняшний день массовой миграции спамеров с электронной почты в сторону других средств коммуникации еще не произошло, в силу технической сложности подобной миграции. Хотя сама тенденция уже налицо, угроза не так уж и значительна. Разработчики антиспамовых фильтров не сидят сложа руки и работают над созданием защитных средств, а спамеры, тем временем, прикидывают, как их обойти. Короче, традиционное противостояние меча и щита.