Привет, Хабр! Согласно отчёту компании Symantec, опубликованному этим летом, из 704 миллиарда электронных писем, отправленных в июне, 353 миллиарда (49,7%!), были спамом. Спам вреден не только тем, что из-за него приходится разгребать кучу никому не нужных рекламных предложений, среди которых легко теряется нужное письмо. Массовые рассылки широко используются и хакерами.

Этим летом электронные письма с поддельным обратным адресом update@microsoft.com, текстом «Windows 10 Free Update» и прикрепленным файлом Win10Installer.zip, получили пользователи по всему миру. После распаковки вирус Ransomware (вариант CTB-Locker), начинал шифровать файлы на жёстком диске – чтобы снова получить доступ к данным, жертва должна была в течение 96 часов заплатить определённую сумму.

Как бороться со спамом?

Есть два основных метода защиты. Это защита на этапе получения сообщений почтовым сервером и фильтрация почты уже после её получения.

Самый простой способ – это настройка почтового клиента, установленного на компьютере пользователя. Настройки (в общем-то, небогатые) позволяют задавать фильтры и блокировать нежелательные сообщения по теме, адресу отправителя или определённым ключевым словам. На наш взгляд, это не самый эффективный способ. Для того, чтобы настроить блокировку по адресу или стоп-словам, нужно всё-таки получить первое спам-письмо, правда? Такой метод хорош только для того, чтобы избавиться от надоедливой рассылки, от которой по каким-то причинам не удаётся отписаться (такое редко, но бывает).

Для корпоративного использования такой метод и вовсе не подходит. Сервис «Спамооборона», который используется Яндекс.Почтой, подозрительные письма (например, разосланные по слишком большому списку адресов) пропускает, но помещает их в папку «Спам». Кроме того, он проверяет письма, отправленные с адреса пользователя. Яндекс не гарантирует, что все подозрительные письма будут распознаны. «Если вы считаете, что получили спамовое письмо в папку «Входящие», выделите нужное письмо и нажмите кнопку «Это спам!» – письмо будет перемещено в папку «Спам», а необходимая информация будет отправлена в Спамоборону», – сообщается на сайте.

Kaspersky Anti-Spam – более продвинутое решение. IP-адрес отправителя проверяется по чёрным спискам провайдеров и сервисов DNSBL, при анализе учитывается авторизация отправителя по технологии SPF (Sender Policy Framework), спамерские URL в теле сообщения анализируются по SURBL (Spam URI Realtime Block List), используется сигнатурный и лингвистический анализ.

Первый сервис RBL (Realtime Blackhole List), который содержал списки хостов-источников спам-рассылок, появился в 1987 году. Проверка почты происходит следующим образом: почтовый сервер обращается к DNSBL и проверяет в нём наличие IP-адреса клиента, от которого получено сообщение. Если IP-адрес клиента содержится в списке, сервер получает ответ. Серверу отправителя сообщается ошибка 5xx и сообщение не принимается.

Большое количество DNSBL-списков можно найти здесь.

Утверждается, что использование сервисов, основанных на технологии RBL/DNSBL, позволяет достичь эффективности фильтрации спама в 98-99,8% случаев. Недостаток у DNSBL-списков, видимо, только один: туда могут попасть по ошибке и вполне легальные почтовые серверы, если передали через себя спам, разосланный каким-либо компьютером внутри своей сети.

Однако согласно данным тестирования (в котором анализируется эффективность наиболее популярных анти-спам решений), ни одно из писем, не являющееся спамом, не было ошибочно определено как спам.

Решения, основанные на использовании DNSBL-списков, мы считаем самыми надёжными. Именно поэтому функциональные возможности SMTP-шлюза программы Traffic Inspector и дополняет RBL-модуль. Его работа основана на проверке IP-адреса принимаемого сообщения в RBL-службах путём отправки на них DNS-запросов. RBL-модуль почтового сервера в момент приёма сообщения запрашивает RBL-сервис, является ли IP-адрес отправителя письма «плохим» и на основании ответа RBL принимает или отвергает письмо.

Опасна массовая рассылка и тем, что таким образом, рассылаются письма, прямо или косвенно побуждающие получателя посещать фишинговые сайты. Согласно опросу исследовательской компании «МФИ Софт», электронная почта занимает первое место среди потенциально опасных каналов утечки данных:


Мошенники рассылают письма, очень похожие на настоящие, от имени компаний, сервисов и социальных сетей. В тексте письма – ссылка на сайт.


Пройдя по такой ссылке, пользователь попадает на фишинговую страницу, а дальше, как говорится, дело техники: стоит ему ввести какие-то персональные данные – и они попадают в руки мошенников:


Так интернет-мошенники могут получить секретных данные пользователя: пароли от учётных записей, номера или PIN-коды кредитных карт и так далее.

«Наиболее эффективные фишинговые атаки заканчиваются успехом злоумышленников в 45% случаев, а порядка 2% писем, получаемых Gmail, разработаны специально, чтобы выманить у людей их пароли. Различные сетевые сервисы рассылают миллионы таких писем ежедневно», – считают в Google.

Один из способов обезопасить себя от фишинговых сайтов – сервис Яндекс.DNS, который доступен в роутерах Asus, D-Link, TP-Link и ZyXEL. При попытке открыть фишинговый сайт, Яндекс.DNS останавливает загрузку данных и выдаёт предупреждение пользователю.

Большинство браузеров тоже имеют возможность блокировки фишинговых сайтов. Chrome, Firefox и Safari используют технологию Safe Browsing API, IE – Smart Screen.

Интересную систему защиты от фишинга «Protect» выпустил «Яндекс» чуть больше месяца назад. Protect отслеживает действия пользователя и следит, чтобы пароли не вводились на сайтах, похожих на известные сервисы. Кроме того, технология Protect включает в себя проверку всех загружаемых файлов. Функция Protect защищает личные данные пользователя при подключении к открытой сети Wi-Fi в общественных местах. Protect интегрирован в версии «Яндекс.Браузера» для Windows и OS X.

Функционально похожее расширение проверки паролей Password Alert есть в Chrome, однако, оно работает только на аккаунтах Google и Google Apps for Work.

Хороший обзор антивирусных решений для защиты от фишинга можно найти здесь.

Модуль защиты от фишинга Phishing Blocker в Traffic Inspector использует условно-бесплатный проект API Google Safe Browsing. Phishing Blocker проверяет URL на наличие угроз в обновляемом Google чёрном списке потенциально фишинговых сайтов и страниц. Если ответ положительный, то хост или IP-адрес приписывается к одной из предварительно созданных категории контента. Это позволяет предотвратить посещение пользователями заведомо мошеннических веб-ресурсов.

Ещё одна возможность Phishing Blocker – присвоение ресурсу определённого рейтинга, что позволяет произвести фильтрацию нежелательного контента, разрешить доступ только к контенту, имеющему доверие и получить отчеты по посещаемым ресурсам в соответствии с рейтингом.

P.S. А как боретесь со спамом и фишинговыми угрозами вы, читатели Хабра?