Как появился СПАМ — главный бустер киберпреступности
Любите консервы? Или Виагру? Вы можете приобрести их у нас!
Сегодня мы хотим рассказать вам о спаме — о том, как он появился, как с ним пытались бороться и как развивалась эта криминальная индустрия. Мы также обсудим, почему именно спам стал движущей силой развития киберпреступности во всём мире. И, возможно, без него не было бы современного мира кибербезопасности. Но обо всём по порядку!
❯ 1. Телеграммы, консервы и навязчивая реклама
Откуда взялся спам? На этот вопрос есть два ответа, потому что он содержит два вопроса.
Первый вопрос касается первого навязанного рекламного сообщения. 31 мая 1864 года члену британского парламента доставили откровенно рекламную телеграмму с предложением посетить дантиста по адресу: «Доктор Гэбрил, Харли-стрит, 27, Кавендиш-сквер. Часы работы доктора Гэбриэла с 10 до 17». Получатель не знал этого доктора и не интересовался его графиком работы. Он был возмущён тем, что его побеспокоили, и написал об этом в газету.
Хотя он надеялся, что подобное больше не повторится, его действия лишь усилили рекламный эффект для доктора и дали понять другим рекламодателям, что, возможно, стоит повторить такой способ привлечения внимания.
Второй вопрос связан с самим словом «спам». SPAM — это аббревиатура, которая может означать «Shoulder of Pork and Ham» — свиная лопатка и ветчина, или «SPiced Ham» — ветчина со специями. Точную расшифровку не называют, но это консервы, которые продаются с 1936 года и по настоящее время.
Но какое отношение к этому имеют консервы? Всё просто: их реклама стала настолько навязчивой, что название этого продукта стало нарицательным.
Во время Второй мировой войны эти консервы активно использовались в качестве сухих пайков для армии США и распространялись по карточкам среди населения стран-союзников, включая поставки по ленд-лизу в СССР. После окончания войны спрос на них значительно снизился, так как питаться одним и тем же было не очень приятно. Однако на складах накопилось много консервов, и компания, заработавшая на войне, вложила значительные средства в их рекламу.
Реклама была настолько агрессивной, что появлялась повсюду: на плакатах, билбордах, радио, телевидении, в журналах и газетах. В 1969 году знаменитая комик-группа Монти Пайтон высмеяла эту рекламу в своём легендарном скетче «SPAM», в котором слово «SPAM» было употреблено 108 раз. С тех пор любая навязчивая, ненужная и бесполезная реклама стала называться именно так.
Кстати, в 2007 году компания-производитель консервов Hormel Foods пыталась подать в суд на софтверную компанию Spam Arrest, занимающуюся борьбой со спамом (письмами!), за использование их названия. Однако суд встал на сторону антиспам-компании, окончательно закрепив слово «SPAM» как нарицательное.
❯ 2. Звонки и первый электронный спам, который распространялся от групповых чатов до электронной почты
Однако, помимо консервированного спама, люди сталкивались и с другими неприятными явлениями в эпоху зарождения интернета. В то время, как и в доинтернетную эпоху, многих раздражали рекламные звонки. Эта проблема актуальна и по сей день. В наши дни многие звонки совершают роботы, и, как правило, на мобильные телефоны. А раньше звонили обычные операторы колл-центра и на домашний, и на рабочий телефоны. Потенциальным клиентам это не нравилось, но такая практика была и остается эффективной.
К 2003 году в США частично решили проблему нежелательных звонков, создав «Национальный реестр запрещённых звонков». Если вы добавляли свой номер в этот реестр, все легальные рекламные звонки на него были запрещены. И лишены смысла, но о смысле мы поговорим позже.
А что насчёт спама по цифровым каналам?
Первый известный случай произошёл в 1978 году, когда Гэри Турек, молодой специалист по агрессивному маркетингу компании Digital Equipment Corporation, решил разослать коммерческую рекламу по всем известным ему адресам электронной почты на западном побережье США, которые были подключены к ранней версии интернета. Его сообщение получили несколько сотен человек, и, хотя не все были в восторге от этой рассылки, она всё же принесла компании около 14 миллионов долларов продаж!
Однако первый случай публично осуждаемого спама в чатах произошёл в 1994 году, когда в дискуссионных группах Usenet два юриста из Аризоны, Лоуренс Кантер и Марта Сигел, попытались навязать свои услуги посредничества в визовой лотерее США. Их услуга заключалась лишь в отправке документов за «клиентов» по почте, но они планировали брать за неё сотни долларов. И вот эти «щедрые» предложения юристы-аферисты разослали во все 6000 дискуссионных групп!
Эта реклама вызвала действительно громкую негативную реакцию. Получатели спама звонили по телефону и оскорбляли, отправляли бесполезную макулатуру по бумажной почте, чтобы заполнить ящик, который был им нужен для работы, а газеты писали разоблачительные статьи. Но даже в таком случае, судя по информации из интервью, схема аферистов сработала, и они заработали около ста тысяч долларов.
❯ 3. Первые мысли о защите
Реестр успешно справлялся с телефонным спамом, но не было решения для цифровых каналов. Казалось бы, очевидная идея — создать реестр электронной почты по аналогии с реестром для звонков. Но к счастью, она не была реализована.
Ключевое отличие между телефонным и почтовым спамом заключается в расходах. Телефонные звонки того времени требовали затрат на труд операторов, поэтому каждый звонок обходится в определённую сумму. Компании, занимающиеся рекламными звонками, были заинтересованы в том, чтобы звонить только тем, кто проявляет интерес к покупкам. Звонить же по телефону из реестра было бы не только невыгодно, но и вызвало бы негатив у клиентов. Чем выше конверсия звонков в покупки, тем более выгодным становится такой вид рекламы.
В случае с почтовым спамом затраты минимальны. Даже если конверсия писем в покупки будет очень низкой, например, одна покупка на 10 000 писем, рассылать их миллионами всё равно будет прибыльно. А наличие электронной почты в любом реестре может даже усугубить ситуацию: раз адрес есть в реестре, значит, он принадлежит реальному человеку. Поэтому по такому реестру спам рассылали бы в первую очередь. Именно поэтому реестр для электронной почты так и не был создан.
❯ 4. Действенная тактика — ответный спам
В начале 2000-х компания Blue Security предложила оригинальный и весьма радикальный метод борьбы со спамом. Вот как они это сделали:
Представьте, компания разослала рекламные письма и теперь ждёт ответа, чтобы обработать откликнувшихся клиентов и заключить сделку. А что, если почти все клиенты ответят? Казалось бы, это повод для радости. Но нет.
Blue Security предложила своим клиентам установить специальное программное обеспечение, которое в ответ на любые спам-сообщения отправляло жалобу. В результате спамерские компании были вынуждены обрабатывать тысячи автоматических ответов от защитного ПО, чтобы найти настоящие ответы тех, кого действительно заинтересовала реклама. Фактически, Blue Security ответили на спам спамом!
К 2006 году у компании уже было около полумиллиона клиентов, установивших их антиспам-решение. Однако не все специалисты в области информационной безопасности того времени поддержали столь агрессивную тактику. Многие отмечали, что из-за неизбежных ложных срабатываний могут пострадать ни в чём не повинные компании. Кто-то размышлял об этике этого подхода, а кто-то считал, что так и нужно поступать.
❯ 5. Недооценка противника и начало войны
Однако уже в начале 2006 года индустрия спама стала крупным бизнесом, и в Blue Security, по всей видимости, не учли серьёзность противника. В то время письма уже отслеживались, и для эффективной рассылки требовались тысячи компьютеров по всему миру. Именно для рассылки спама начали создаваться первые ботнеты и трояны с функциями удалённого доступа.
Спам позволил превратить взлом из развлечения в прибыльный бизнес. Это был простой способ монетизировать множество взломанных устройств, и процесс стал массовым.
Кто же платил за такую рекламу? Одними из главных рекламодателей были продавцы нелегальных товаров, особенно несертифицированных и контрафактных товаров массового потребления: «брендовых» сумочек, часов и несертифицированных лекарственных препаратов. Один из самых популярных товаров того времени — Виагра, производимая в кустарных лабораториях Индии по цене в сотни раз ниже аптечной. И даже если вам нужен рецептурный препарат — пожалуйста, только заплатите.
Рекламой спам-сетей пользовались и для фишинга, и для мошенничества, но именно «чёрные аптеки» всегда были в топе, занимая лидирующие позиции.
В марте 2006 года многие клиенты Blue Security получили тревожное письмо, в котором им угрожали значительно увеличить объём рассылки спама, если они не прекратят использовать продукт. Отправитель не назвал своего имени, но многие источники утверждали, что это был спамер, известный под ником Pharmamaster. Учитывая никнейм, несложно догадаться о целях его рассылок. Многие специалисты также отмечали, что хакер был русскоязычным.
Как Pharmamaster получил данные клиентов компании, остаётся неясным. Он отправил письма большинству действующих клиентов, но не всем. Возможно, существовала уязвимость, позволяющая проверить электронные почты на предмет их принадлежности к клиентской базе. Компания заверила своих клиентов, что нет причин для беспокойства, и угрозы хакера — лишь блеф.
❯ 6. Сопутствующие потери
Однако Pharmamaster решил атаковать не клиентов, а саму компанию. 1 мая 2006 года на серверы Blue Security была совершена DDoS-атака. В то время такие атаки были уже не в новинку, и компания не удивилась, хотя поддерживать их в течение долгого времени было сложно. Blue Security ожидала, что через пару дней атака прекратится сама собой, поскольку злоумышленник мог использовать ботнет для других целей или просто потерять интерес.
Однако именно в этот момент компания допустила серьёзную ошибку. Чтобы иметь возможность отвечать своим клиентам, они перенаправили трафик со своего сайта на свой блог, размещённый на хостинге Six Apart. DDoS-атака обрушилась на хостинг, который даже не был предупреждён об этом! В результате тысячи сайтов и блогов других клиентов хостинга перестали работать. Они стали «сопутствующими потерями», как в настоящей войне.
Откровенно глупое действие Blue Security было подвергнуто широкой критике, компания была вынуждена извиняться и оправдываться, а её репутации был нанесён серьёзный ущерб. Однако в Blue Security по-прежнему верили, что смогут пережить эту атаку. Более того, считали серьёзность этой атаки лишь демонстрирует, насколько эффективно работает их система защиты от обратного спама!
❯ 7. Капитуляция
Шли дни, а атака на Blue Security всё продолжалась. Ни одна из сторон не собиралась уступать. В этот напряжённый момент в дело вступили профессионалы — компания Prolexic, специализирующаяся на отражении DDoS атак. Эффективность атаки значительно снизилась.
Однако 16 мая Pharmamaster нанёс ответный удар. Им была обнаружена уязвимость в методе защиты, используемом Prolexic. Эта уязвимость сделала DDoS атаку настолько эффективной против самого антиDDoS решения, что пострадали все клиенты этой системы защиты! Вновь множество компаний оказались в числе «сопутствующих потерь», и Blue Security не смогли этого выдержать.
17 мая 2006 года руководство Blue Security объявило о своём решении покинуть поле боя и прекратить борьбу со спамом. Это была капитуляция, и Pharmamaster одержал победу. Официальной причиной ухода из антиспам-бизнеса стали двойной «сопутствующий ущерб» и критика. Хотя в сети ходили слухи о том, что руководству компании и их семьям начали угрожать уже не в интернете, но подтверждений этому не было.
❯ 8. Какие же последствия вызвал феномен спама?
Помимо мема про консервы, спам стал неотъемлемой частью развития организованной киберпреступности. Наряду с кардингом, он продемонстрировал финансовую выгоду от криминальных действий в интернете, открыв новые возможности для монетизации взломов и создания ботнетов.
В эпоху расцвета спам-индустрии и кардинга произошло разделение злоумышленников на различные специализации. Одни занимались рассылкой фишинговых писем и взломами компьютеров, другие создавали и модифицировали вредоносное программное обеспечение, третьи администрировали и развивали C&C-серверы для эффективного управления ботнетами. И, конечно, были те, кто отвечал за «черные контракты», повышение эффективности спам-рассылок или вывод и отмывание средств.
Все эти криминальные бизнес-процессы позднее превратились в «Спам Нацию», описанную в книге Брайана Кребса, а затем в современную схему RaaS (Ransomware as a Service). Однако это уже совсем другая, более современная история.
Дело в том, что такая реклама всегда была и остаётся эффективной! Пока люди будут верить сомнительным письмам и уступать заманчивым предложениям, индустрия будет процветать.
Помните, что когда-то к виртуальным преступлениям относились как к хулиганству, не воспринимая их всерьёз. И вот к чему это привело.