Один день из жизни жертвы спама

Один день из жизни жертвы спама

"Грузите апельсины бочках…"
Слова эпиграфа навеяли что-то необычное, странное и неожиданное, но пришедшее в мой почтовый ящик. О чем пойдет речь? О спаме, почтовом мусоре, рассылка которого в последнее время превращается в целую индустрию. Если звезды зажигают, значит, это кому-то нужно, если приходит чудное письмо, значит, это тоже нужно кому-то далекому, и этот инкогнито или получил за это деньги или собирается получить. Прежде всего определим, что же такое спам, какая почта может быть классифицирована как спам, а какая нет?

Почтовая служба относится к самым старым сервисам компьютерной сети Интернет; вначале было слово, и слово это было Интернет, потом была служба передачи почтовых сообщений, за которой последовало рождение службы новостей, системы телеконференций — они были первыми массовыми рассылками электронных писем на множество адресов одновременно. Но эти рассылки производились только с ведома и желания получателей, через стандартный механизм подписки. Автор (это я) успешно провел множество экспериментов, для которых использовался специально созданный почтовый ящик на сервере Hotmail. Я подписывался на десятки и сотни новостей, рассылок и электронных периодических изданий, которые пополняли мой почтовый ящик каждый день, неделю, месяц… среди них были и чисто рекламные, самые безжалостные, которые абсолютно не интересовались хотя бы гипотетической возможностью приобретения резидентом нашего государства продукции марокканской компании по производству пончиков. Но! Каждое такое письмо содержало инструкции по прекращению подписки, и, потратив определенное время (кстати, соизмеримое со временем, необходимым для самой подписки) и выполнив эти инструкции, удалось свести объем приходящей корреспонденции к нулю.
Значит, приходящую почту можно классифицировать по двум разновидностям: почта, которую мы ожидаем и самостоятельно на нее подписались, и та, которая приходит "самопроизвольно". Вторую и можно назвать словом СПАМ. Стать жертвой спама несложно: нужно просто позаботиться о том, чтобы неизвестный отправитель узнал ваш почтовый адрес — опубликовать его на сайте (не обязательно на личном; это может быть любая доска объявлений, телеконференция, чья-то гостевая книга и т.д.). Существует масса средств, которые выискивают в Сети все последовательности символов, содержащие символ "собачки". Создаются и активно продаются и распространяются по Сети базы данных с миллионами адресов, а также программные средства для организации массовых рассылок. За пределами нашей родины подобная деятельность преследуется в законодательном порядке, и злоумышленнику грозит весьма серьезный штраф, поэтому современные атаки исходят, в основном, из России, хотя для рассылок могут использоваться и зарубежные серверы. В Сети есть много ресурсов, которые посвящены борьбе со спамом, найти их несложно по ключевым словам spamcombat или antispam.
А теперь разберем нашу почту (перед удалением). Всю информацию, которая касается координат получателя, то есть меня лично, я заменил на вопросительные знаки, оставив реквизиты отправителей нетронутыми.
Письмо первое, сулящее за неумеренную цену в американский полтинник неимоверного объема базу данных жертв уже моего спама. Не буду переквалифицироваться их жертвы в хищника, а попробую сделать анализ заголовков письма:

Return-Path: <wcnerv@comail.ru>
Received: from fort.comstar.ru (fort.comstar.ru [195.210.128.13])
by ?.????.?? (8.11.4/8.11.4) with SMTP id gAQMk0826860
for <?????@??.?????.??> ; Wed, 27 Nov 2002 00:46:00 +0200 (EET)
Message-Id: <200211262246.gAQMk0826860@?. ????.??>
Received: (qmail 15510 invoked from network); 26 Nov 2002 21:16:34 -0000
Received: from d147.p8.col.ru (HELO Sender) (212.248.4.147) by mx.comail.ru with SMTP; 26 Nov 2002 21:16:34 -0000
From: Комплект программ для рассылок<wcnerv@comail.ru>
Subject: ВСЁ ДЛЯ E-MAIL РАССЫЛКИ...
Reply-To: wcnerv@comail.ru
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Date: Wed, 27 Nov 2002 00:13:22 +0300

Использовалась почтовая программа Microsoft Outlook Express 6.00, но "Майкрософт" здесь не виноват. Адрес электронной почты отправителя, возможно, взят с потолка, во всяком случае, он отличается от контактного адреса, указанного в письме, поэтому отвечать, ругаться и вступать в дискуссии бесполезно. Но! В заголовках фигурируют IP-адреса и имена почтовых серверов провайдера. Это "Комстар" — московская компания, на сайте которой есть и телефоны, и адреса электронной почты администраторов. d147.p8.col.ru (212.248.4.147) определяет абсолютно конкретный модем на пуле этого провайдера, 26 Nov 2002 21:16:34 — время отправки сообщения. Все! Мальчика можно отвести в милицию.

Фрагмент письма:
"Пакет PROMO-BASE стоит всего 150 у.е. Оплата производится налом (Москва) либо почтовым переводом (Для других регионов). Пишите только на следующий емайл: bsend@userline.ru".
Реальный почтовый адрес на Userline.ru ввиду своей анонимности как одного из многих бесплатных почтовых сервисов не поможет определить реальные координаты спамера, но, если мы обратимся к администрации этого сервера и убедим их прикрыть этот адрес, злоумышленники будут испытывать значительный дискомфорт с потерей важной (для них) почты, а ведь каждое письмо должно принести 150 баказоидов открытием нового, пусть бесплатного и анонимного, ящика.

Письмо второе, обещающее то же самое, и не из-за рубежа, как может показаться на первый взгляд, а из России. "Комсет" — это московский провайдер, но сам текст явно рассчитан на зарубежную аудиторию.

Return-Path: <rbeetj@posting.google.com>
Received: from mail.comset.net (mail.comset.net [213.172.0.3])
by ?.????.?? (8.11.4/8.11.4) with ESMTP id gAR0M5837185
for <?????@??.?????.??> ; Wed, 27 Nov 2002 02:22:05 +0200 (EET)
Received: from 9-093.dialup.comset.net ([213.172.9.93] helo=Sender)
by mail.comset.net with smtp (Exim 3.33 #1)
id 18Gq0j-0002na-00; Wed, 27 Nov 2002 03:25:01 +0300
From: "okay@mypad.com"<rbeetj@posting.goog-le.com>
Subject: Re : For subscriber ...%RCPT_AD-DRESS% RBEETJCURR
Reply-To: rbeetj@posting.google.com
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Organization: Web Promotions inc
Date: Wed, 27 Nov 2002 03:14:30 +0300
Message-Id: <E18Gq0j-0002na-00@mail.comset.net>

Злоумышленник также использует Outlook Express 6 версии, и достопочтенные Google.com и Mypad.com тут, разумеется, ни при чем. А вот адреса 9-093.dialup.comset.net [213.172.9.93] выдают с головой конкретный модемный пул и время соединения (можно пообщаться с провайдером). Новая уловка: письмо сформировано в виде "ответа" — префикс Re: в его теме — это может ввести в заблуждение неискушенного, — а само письмо обещает помощь в рассылке более двух с половиной миллионов рекламных писем (какой молодец!).
"Email more than 2,500,000+ TARGETED prospects EVERYDAY!"
Письмо содержит ссылку на какой-то сайт и никаких инструкций, как отписаться от этого спама, вместе с утверждением, что я когда-то где-то на него подписался сам.

Письмо третье, в котором анонимный юридический центр (хорошее словосочетание, которое не сочетается никак) уверяет меня в том, что мне никак не обойтись без их услуг.

Return-Path: <uptnwe@yahoo.com>
Received: from dynamic-strategies.com ([65.220.69.90])
by ?.????.?? (8.11.4/8.11.4) with ESMTP id gAR2Da847524
for <?????@??.????.??> ; Wed, 27 Nov 2002 04:13:36 +0200 (EET)
Received: from user ([192.168.1.80]) by dynamic-strategies.com with Microsoft SMTPSVC(5.0.2195.5329);
Tue, 26 Nov 2002 21:04:53 -0500
From: Юридический Центр<uptnwe@yahoo.com>
To: "basz"<recipient@rcpthost.rcptdomain>
Subject: Вам это пригодится!
Reply-To: uptnwe@yahoo.com
X-Mailer: The Bat! (v1.60) Personal
Date: Wed, 27 Nov 2002 05:06:40 +0300
Message-ID: <WALL01E9GQvnbEG10Ga00000042@ dynamic-strategies.com>
X-OriginalArrivalTime: 27 Nov 2002 02:04:54.0968 (UTC)

IP-адрес [192.168.1.80] принадлежит частной локальной сети, user — имя этой машины, а dynamic-strategies.com выглядит респектабельной солидной организацией. В ответ на уважение со стороны юридической компании "Мост" хочется выразить неуважение по московским телефонам, приведенным в письме.

Письмо четвертое, с приглашением на концерт — очень приятно, но далеко.
Return-Path: <kantinella.gnes@bruel.msk.su>
Received: from euroserver.ru (pool-141-157-19-134.balt.east.verizon.net [141.157.19.134])
by ?.????.?? (8.11.4/8.11.4) with SMTP id gAR8Sw801597
for <?????@??.?????.??> ; Wed, 27 Nov 2002 10:28:59 +0200 (EET)
Date: Wed, 27 Nov 2002 10:28:59 +0200 (EET)
Message-Id: <200211270828.gAR8Sw801597@ ?.????.??>
To: Admin <admin@??.?????.??>
From: Камерный оркестр "Кантилена" <kantinella.gnes@bruel.msk.su>
X-Mailer: OutLook Express 3.14159
Subject: Моцарт — Фортепианные концерты

Написать, что ли, провайдеру, ведь мы уже знаем адреса модемного пула и время соединения, но он не сможет втолковать отправителю, что из Минска в Москву на концерт съездить может не каждый...

Письмо пятое и шестое — это близнецы-братья. Служба MSN помогла обоим и скрыла следы их преступления, а ссылка в письме, которая якобы должна закрыть эту подписку, наоборот сообщит злоумышленникам, что их атака достигла цели, и жертва готова к получению нового хлама. Два письма, с первого взгляда, от разных людей, но время отправки отличается всего на сорок секунд.

Return-Path: <keefcmhrd@msn.com>
Received: from rrkj ([148.246.48.120])
by ?.????.?? (8.11.4/8.11.4) with SMTP id gAR909811135
for <????@????.??> ; Wed, 27 Nov 2002 11:00:12 +0200 (EET)
From: Cyril Ananmalay <keefcmhrd@msn.com>
Subject: Take advantage of low interest rates! ugpqpy
Date: Wed, 27 Nov 2002 02:04:30 -0800
Message-Id: <voqbjxyk@msn.com>

Return-Path: <qmnngxljc@msn.com>
Received: from gcervs ([206.182.135.44])
by ?.????.?? (8.11.4/8.11.4) with SMTP id gAR90u811450
for <????@????.?????.??> ; Wed, 27 Nov 2002 11:00:57 +0200 (EET)
From: Bernard Chai-Seong <qmnngxljc@msn.com>
Subject: Specialize in hard to qualify borrowers ufmolf
Date: Wed, 27 Nov 2002 02:05:12 -0800

Седьмое письмо, я бы сказал, от болта, а это абсолютно бесплатная фишка, которая помогает в рассылке мусора. Так что с машины info-3 ([218.104.52.216]) некая компания "Вита Ко" при помощи почтового клиента Eudora версии 5.1.1, который более характерен для западных регионов земного шара, пытается мне продать чудесную бутылочку, снимающую любые проблемы после применения любого количества алкоголя. Отсутствие каких-либо ссылок в письме вселяет надежду на то, что адрес электронной почты указан реальный, но сервер БОЛТ.КОМ обеспечивает анонимность регистрации почтовых ящиков.

Return-Path: <vgvxgs@bolt.com>
Received: from info-3 ([218.104.52.216])
by ?.????.?? (8.11.4/8.11.4) with SMTP id gAR9S5818888;
Wed, 27 Nov 2002 11:28:11 +0200 (EET)
Message-Id: <200211270928.gAR9S5818888@?.????.??>
From: ViksWonder<vgvxgs@bolt.com>
Subject: Что такое Vik's Wonder?
Reply-To: vgvxgs@bolt.com
X-Mailer: QUALCOMM Windows Eudora Version 5.1.1
Organization: Vita Co.
Date: Wed, 27 Nov 2002 12:34:32 +0300

Письмо восьмое таит набившее оскомину предложение сделать инвестиции в новую европейскую валюту — евро, с обещанием прислать эту самую копейку номиналом в 1 евро. Пожалуйста, не давайте поймать себя на эту удочку. Вы получите массу таких писем от разных отправителей, и ссылочку в письме лучше не трогать, а email.com — это бесплатный почтовый сервис, с которого и взятки гладки, и ящик почтовый будет убит через несколько часов после рассылки.

Return-Path: <jagrener18@email.com>
Received: from mail.email.com ([61.159. 235.36])
by ?.????.?? (8.11.4/8.11.4) with SMTP id gARAas839274
for <????@????.?????.??> ; Wed, 27 Nov 2002 12:36:57 +0200 (EET)
From: jagrener18@email.com
Message-Id: <3R0O0I64I67H13YW0N3.UNQMWH78. jagrener18@email.com>
Received: from mail.email.com by 3ICOAE9J. mail.email.com with SMTP for ????@????.?????. ??; Wed, 27 Nov 2002 05:39:16 -0500
X-Mailer: Microsoft Outlook, Build 10.0.2616
Date: Wed, 27 Nov 2002 05:39:16 -0500
Subject: hainqbfk rbyb Harness the Power
X-Sender: jagrener18@email.com

Девятое письмо уже из России. Чат.ру и Майл.ру сулит избавление от высоких счетов на оплату телефонных разговоров.

Return-Path: <yoqzrl@mail.ru>
Received: from chat.ru (67-36-109-212.ded.ameritech.net [67.36.109.212])
by ?.????.?? (8.11.4/8.11.4) with SMTP id gARAoZ843267;
Wed, 27 Nov 2002 12:50:35 +0200 (EET)
Message-Id: <200211271050.gARAoZ843267@?. ????.??>
From: Aron<yoqzrl@mail.ru>
Subject: free-call
Reply-To: yoqzrl@mail.ru
X-Mailer: Microsoft Outlook Express 6.00. 2600.0000
Date: Wed, 27 Nov 2002 12:50:15 +0300

Приписка "Данное письмо отослано в соответствии с п. 4 ст. 29 Конституции РФ. Ваш электронный адрес получен из открытых источников. Повторно это письмо к вам гарантированно не придет" не гарантирует повторного получения этого мусора, а ссылка на конституцию соседнего государства просто умиляет; сразу захотелось прочитать этот документ.

А вот еще два близнеца — 10 и 11, пришедшие одновременно, но от двух разных людей, причем первый воспользовался почтовой службой "Джуно", а второй — от "Лайкоса". Письма сохранили способ входа в Сеть спамера: userb008.dsl.pipex.com [62.188.49.8] для первого и empr1-154.menta.net [212.78.131.154] — это модемные пулы провайдеров, хотя и зарубежных. Жаловаться уже, скорее всего, поздно, так как западная общественность реагирует быстрее и агрессивнее. А дня через два они возродятся из пепла и примутся за старое. Смущает разница во времени отправки обоих писем: всего 12 секунд — очень малая вероятность того, что два человека смогли договориться об одновременной отправке, поэтому здесь сработала специальная программа, которая сфальцифицировала заголовки писем. Как и в предыдущей "сладкой парочке" (см. письма 5 и 6), содержимое письма в формате гипертекста (HTML), поверх закодированное base64, что позволяет вставлять любую гадость, которую Outlook покорно отработает и не даст возможности настроить фильтры для отсева подобной почты, ведь отправители меняются с каждой атакой, содержимое остается почти без изменений, но кодировка не позволит их отфильтровать. Кликать по ссылкам включая привлекательную unsubscribe просто опасно.

Return-Path: <udmke@juno.com>
Received: from yxjndk (userb008.dsl.pipex. com [62.188.49.8])
by a.open.by (8.11.4/8.11.4) with SMTP id gARDXv887156
for <????@????.??> ; Wed, 27 Nov 2002 15:33:58 +0200 (EET)
From: Kiana Breault <udmke@juno.com>
Subject: Re: affordable legal help
Date: Wed, 27 Nov 2002 05:37:19 -0500
Message-Id: <edijipwiqeh@juno.com>

Return-Path: <uafusnpm@lycos.com>
Received: from hiedq (empr1-154.menta.net [212.78.131.154])
by ?.????.?? (8.11.4/8.11.4) with SMTP id gARDY7887192
for <????@????.?????.??> ; Wed, 27 Nov 2002 15:34:09 +0200 (EET)
From: Lorenzo Bedlington <uafusnpm@ lycos.com>
Subject: Legal notice for wawa
Date: Wed, 27 Nov 2002 05:37:31 -0500
Message-Id: <vmdrcbsiddvpu@lycos.com>

Вот и все… на сегодня. Много это или мало, вы поймете, сравнив с ежедневным объемом своего почтового ящика:).

????@????.??


Компьютерная газета. Статья была опубликована в номере 14 за 2003 год в рубрике интернет :: разное

©1997-2024 Компьютерная газета