Giełdowa gorączka

Według firmy Postini największa dotąd w historii liczba niechcianych listów pojawiła się w dniach 7-9 sierpnia br. Z dnia na dzień nastąpił wówczas 53-proc. wzrost spamu, do którego przyczyniła się przede wszystkim jedna masowo rozsyłana informacja (w postaci pliku PDF o formie przypominającej finansowy newsletter) o wzroście wartości akcji względnie małej firmy Prime Time Group. Ta prosta metoda - internetowa odmiana giełdowych oszustw typu pump-and-dump (napompuj i wypuść) - okazała się w tym wypadku niezwykle skuteczna.

Po przeprowadzeniu przez nieznanych na razie sprawców masowego mailingu (przedstawiciele Sophos twierdzą, że pułapki tylko tej firmy w 24 godziny od zarejestrowania tego spamu zatrzymały pół miliarda wiadomości), wartość akcji mało znanej i stosunkowo niewielkiej firmy Prime Time Group wzrosła prawie z dnia na dzień o 57%, podobnie jak wolumen obrotów. Jak nie trudno zgadnąć, najprawdopodobniej spamerzy kupili akcje, a po wywindowaniu ceny sprzedali je z dużym zyskiem i zniknęli...

Ciekawe, że po kilku dniach ponownie pojawił się ten sam spam (tym razem z załącznikami z rozszerzeniem FDF, a nie jak wcześniej PDF) i znowu nastąpił krótkotrwały wzrost cen akcji i obrotów. Tego typu sytuacje powtarzania procedury pump-and-dump zdarzają się niezmiernie rzadko. Może więc był to tylko test, próba zatarcia śladów lub utrudnienia śledztwa. Oczywiście jest prowadzone śledztwo i analiza kto i kiedy kupował/sprzedawał akcje, ale efektywność Internetu i możliwa szybkość działania powodują, że nie wiadomo, czy w ogóle uda się wykryć oszustów.

Amerykańska komisja nadzorująca obrót papierami wartościowymi SEC (Securities and Exchange Commission) w marcu 2007 r. zawiesiła obrót akcjami 35 firm wskutek podejrzeń o próby oszustw tego typu. Tym razem jednak spamerzy przygotowali się lepiej - rzecznik SEC odmówił odpowiedzi na pytanie, dlaczego komisja nie była w stanie zareagować odpowiednio szybko w wypadku firmy Prime Time.

Według przeprowadzonych przez Sophos po tym fakcie analiz, ten konkretny atak był przygotowywany przez ponad miesiąc - z badań adresów-źródeł spamu wynika, że tyle czasu trwało budowanie wykorzystanych do jego przeprowadzenia sieci botnet.

Przedstawiciele Sophos przypominają jednocześnie, że spam polegający na wysyłaniu wiadomości niezawierających linków do stron WWW sprzedających produkty lub wrogie kody, szkodliwego oprogramowania itp., a jedynie odpowiednio spreparowane wiadomości, które mają tylko skłonić odbiorców do określonej czynności, takiej jak właśnie zakup akcji jakiejś firmy, już od pewnego czasu szybko rośnie, od poziomu zaledwie ok. 1% w 2005 r. do 25% w 2006 r.

Wolontariat kontra spamowy biznes

Kolejnym pomysłem na walkę z gangami spamerów jest projekt KnujOn (http://www.knujon.com ), który ok. 4 lata temu zainicjował Garth Bruen. Jest on oparty na wolontariacie (obecnie zarejestrowanych i zaangażowanych w ten projekt jest 1300 użytkowników Internetu) i polega na śledzeniu i rejestracji adresów stron WWW wykorzystywanych przez spamerów do sprzedaży produktów lub infekowania komputerów PC, a następnie przy współpracy z dostawcami usług podejmowaniu akcji mających na celu ich likwidację. Jak mówi Garth Bruen, "klasyczne filtrowanie spamu nie jest żadnym rozwiązaniem problemu. Trzeba utrudnić działanie spamerów w sieci i możliwość realizacji przynoszących im zyski transakcji".

Dotychczas dzięki KnujOn zamknięto ok. 32 tys. stron WWW, ale jednocześnie Garth Bruen zauważa, że w ciągu 4 lat działania projektu KnujOn liczba zarejestrowanych stron wykorzystywanych przez spamerów wzrosła z kilku do kilkuset tysięcy.

Metoda stosowana przez KnujOn jest jednak reaktywna, a więc podobna do mechanizmów wykorzystujących aktualizację czarnych list z adresami lub filtrów antyspamowych opartych na sygnaturach, więc z czasem może się okazać, że jej skuteczność zacznie maleć. Choć trudno oczekiwać, by zlikwidowane zostały wszystkie strony WWW wykorzystywane przez spamerów, Garth Bruen wierzy, że możliwe jest doprowadzenie do sytuacji, gdy liczba stron zostanie ograniczona do poziomu, przy którym proceder przestanie być opłacalny.

Ostatnio pojawia się więcej podobnych inicjatyw mających podkopać spamowy biznes, m.in. firma Computer Cops (http://www.castlecops.com ) ogłosiła program PIRT (Phishing Incident Reporting and Termination) mający na celu walkę z oszustwami internetowymi. Ma on szerszy zakres niż tylko walka ze spamem. Jak mówi Paul Laudanski kierujący tym projektem - "Staramy się analizować wszelkiego typu przestępstwa internetowe i tworzyć profile kryminalistów działających w sieci, a nie koncentrować się tylko na badaniu źródeł spamu i phishingu".