Фишинг, спуфинг, скам: разбираемся в видах спама с разработчиком «Спамообороны»

Может показаться, что мошенники перестали активничать в почте, потому что письма со странными темами про розыгрыши и денежные выплаты попадают во входящие всё реже. Но на самом деле усовершенствовались механизмы фильтрации — они не пропускают такой спам. Правда, и злоумышленники не отстают и придумывают новые способы обмана.

Руслан Дюсаев, разработчик системы «Спамооборона», поделился классификацией видов спама и рассказал, как специальные механизмы защищают пользователей Яндекс Почты от мошенников.

Спам, который преследует разные цели

Email-бомбинг. Когда спамеры используют такой способ, они не получают деньги и выгоду напрямую. Их цель — на некоторое время усложнить жизнь. Например, забить почтовый ящик письмами, чтобы в потоке однотипных сообщений конкретный пользователь пропустил важное письмо или процессы компании нарушились.

Во время email-бомбинга на электронный адрес жертвы присылают огромное количество бессмысленных писем. Такой наплыв входящих заполняет место в хранилище и нагружает почтовый сервис. Система «Спамооборона» в Яндекс Почте вычисляет эти письма по массовости и банит их.

Фишинг. Один из самых распространённых видов спама, основная цель которого — монетизация. Мошенники могут рассылать спам-сообщения не только по почте, но и через мессенджеры. Но в первом случае спамерские атаки успешно распознаёт «Спамооборона».

Обычно злоумышленник действует по отработанной схеме: отправляет в письме ссылку, которая красиво «упакована» в тексте. Получатель переходит по ней, вводит свои данные, и так мошенники получают персональную информацию: логины, пароли, банковские реквизиты, документы. Могут также попытаться напрямую увести деньги с карты или взять кредит на человека.

Чтобы повысить шанс, что кто-то из получателей перейдёт по ссылке, спамеры используют два способа:

1. Делают массовую рассылку.
2. Используют в тексте манипуляции. Например, пишут: «По ссылке вас ждёт приз!» или предупреждают: «Не упустите свой шанс выиграть подарок!».

Если в первом случае система «Спамооборона» распознаёт и блокирует письма по массовости, во втором — действует иначе. В таких письмах есть ссылки, которые похожи на настоящие интернет-адреса известных банков или маркетплейсов, но отличаются на несколько символов. Кроме того, обычно это первое письмо отправителя, с которым взаимодействует получатель. «Спамооборона» фиксирует эти моменты и, если обнаруживает в письме подозрительные ссылки, странные IP-адреса или другие важные признаки, сразу банит рассылку.

Письма с файлами, которые заражены вирусами. Механика обмана похожа на фишинг, только вместо ссылки в письме приходит вредоносный файл. Мошенники могут замаскироваться под налоговую или поставщика компании. Сотрудник откроет письмо, загрузит «рабочий» файл на компьютер, запустит его, но ничего не произойдёт. Скорее всего, человек не обратит на это внимания и продолжит заниматься своими делами. Но троян будет «жить» на компьютере и в удобный момент сворует личные данные. А ещё вирус может нарушить работу операционной системы, и мошенники смогут потребовать деньги за починку компьютера.

Ещё один формат такого мошенничества — скрытый майнинг. Через те же вложения в письмах злоумышленники передают пользователю вирус, а дальше используют ресурсы процессора и жёсткого диска компьютера, чтобы добывать криптовалюту. Программа майнит в фоновом режиме, заработанные монеты отправляются в карман мошеннику, а компьютер тем временем начинает греться, виснуть и игнорировать поступающие команды.

Система «Спамооборона» может распознать подобные письма — например, по истории взаимодействия отправителя и получателя, IP-адресу с плохой репутацией или массовости письма с конкретным вложением.

Скам, или «нигерийские письма». С помощью скама мошенники хотят вывести человека на добровольный перевод денег. Для этого они используют две схемы:

1. Письмо с рекламой конкретного учреждения, например казино. Сначала человека заманивают в игру, а потом он сам загружает туда деньги, которые никогда не получит обратно.
2. «Письма счастья». Это было популярно в Нигерии, а затем распространилось повсеместно. Человеку приходит письмо, где ему сообщают о крупном выигрыше и, например, просят скинуть 500 руб., чтобы получить свои миллионы.

В таких письмах всегда очень похожие, если не одинаковые, формулировки. «Спамооборона» легко вычисляет эти сообщения среди других и блокирует ещё до попадания на Почту.

Рекламная спам-рассылка. Самый безобидный вид. Это письма от бизнесов, которые хотят привлечь клиентов путём холодного трафика. Никаких мошеннических целей отправители не преследуют, но мы всё равно можем считать такие письма спамом, потому что они нежелательные. Если человек не соглашался на рассылку, значит, он не хотел бы получать эти письма.

«Спамооборона» видит, что многим пользователям письмо отправителя пришло впервые и это не цепочка писем. Значит, скорее всего, люди не подписывались на это. Через время пользователи могут начать массово жаловаться на рассылку: когда порог жалоб достигает определённого уровня, мы начинаем блокировать такие письма.

Способы доставки спама

Спуфинг. Это способ маскировки под доверенных крупных отправителей с целью выдать себя за кого-то другого и усыпить бдительность. Мошенники подделывают адрес почты и представляются официальной организацией. Например, меняют букву в названии банка. Получатель бегло просматривает, от кого пришло письмо, и спокойно переходит по ссылкам и делает то, о чём его просят, — отправитель же «надёжный».

Сейчас злоумышленники часто маскируются под маркетплейсы и пытаются обмануть продавцов. Отправляют письма со ссылками о покупке их товара, просят перейти и посмотреть, сколько позиций осталось. В итоге спамеры получают данные личного кабинета, банковских карт или кошелька, куда приходят деньги с купленных товаров.

«Спамооборона» идентифицирует такие письма по несовпадению названия и адреса отправителя. Выдать мошенников также может некачественная вёрстка. Алгоритмы вычисляют эти признаки и блокируют такие входящие.

Использование чужой DKIM-reply, или подписи письма. Компания подписывает письма перед отправкой, чтобы данные в них нельзя было незаметно подменить. При доставке письма система дополнительно проверяет, поломана ли подпись. Крупные почтовые сервисы всегда проводят такую проверку, и Яндекс Почта не исключение.

Однако DKIM компания настраивает самостоятельно и не всегда делает это правильно, поэтому иногда некоторые части письма возможно отредактировать. Например, нельзя исправить текст, но адрес отправителя и получателя поддаётся изменениям.

Мошенники стараются сохранить DKIM-reply надёжного отправителя, чтобы алгоритмы защиты от спама их не вычислили. Но «Спамооборона» анализирует содержимое писем и находит в них нетипичные для «официального представителя» ссылки или тексты, после чего сразу блокирует письмо.

Отправка письма через форму обратной связи. Способ доставки спама похож на DKIM-reply, но здесь злоумышленники действуют напрямую. Спамер добавляет вредоносную ссылку в форму на сайте сторонней компании и в качестве почты для обратной связи сразу указывает адрес жертвы. Дальше человеку приходит уведомление от лица этой компании о том, что поступила обратная связь с таким-то содержимым. В итоге получается, что сайт, которому доверяет «Спамооборона», сам рассылает спам.

Спам, который рассылают через форму обратной связи, обычно содержит нетипичный текст и фишинговые ссылки. «Спамооборона» анализирует письма отдельно от шаблонов, отслеживает их массовость и таким образом вычисляет вирусные сообщения.

Цели и пути доставки вредоносных писем могут быть разные, но все они известны и статичны. Вместо этого мошенники придумывают новые форматы подачи в попытках обойти антиспам-систему. Например, стараются незаметнее подделывать ссылки или писать нешаблонные тексты, чтобы алгоритмам было сложнее их распознать. Но мы быстро находим способы вычислять и блокировать любые схемы обмана, поэтому пользоваться Яндекс Почтой безопасно.