Спамеры зарабатывают миллионы? Весьма сомнительно...

Реклама на протяжении многих лет является двигателем продаж, и если раньше кучи газет с объявлениями заполняли почтовые ящики, то теперь спам заполоняет папки электронной почты, и, несмотря на постоянно совершенствующиеся фильтры, его поток не иссякает. Вероятно, спамерские компании прибыльны, и кто-то действительно покупает рекламируемую ими продукцию. Но кто? И в каком объеме?

Может ли один-единственный червь Storm приносить своим создателям «миллионы долларов ежедневно»? И как вообще оценить прибыльность спамерской деятельности? Ведь основные параметры бизнеса — стоимость рассылки спама, конверсионный коэффициент и маржинальный доход — неизвестны. И если первый и последний параметры можно оценить на основании имеющихся в интернете предложений и маркетинговых программ привлечения клиентов, то методологии оценки конверсионного коэффициента (вероятности того, что спам-сообщение приведет к продаже) долгое время вообще не существовало. Сейчас объем спама оценивается в 120 млрд сообщений в день, и теоретически, для прибыльности спамерам достаточно иметь конверсионный коэффициент на уровне 0,0001%, но каков он в действительности?

Задачу оценки этого показателя попытались решить специалисты в области компьютерных технологий из университетов Калифории в Беркли и Калифорнии в Сан Диего. При этом ученым удалось получить достоверные данные о том, сколько нежелательной почты проникает сквозь антиспам-фильтры, какая доля пользователей посещает рекламируемые сайты и в какие продажи такой вид рекламы выливается.

Для оценки конверсионного коэффициента ученые построили собственный сайт е-коммерции (он в точности повторял действия серверов злоумышленников, правда, не содержал функций, способных навредить пользователю или украсть его персональные данные), провели маркетинговую компанию через ботнет (для этого пришлось проникнуть в его инфраструктуру и перенаправить заинтересованных в рекламируемых продуктах клиентов на собственный ресурс) и затем подсчитали число фактических продаж.

Главный элемент исследования — внедрение в ботнет, чтобы изнутри отследить распространение спама и изменять элементы сообщений во время транзита. Для такой операции отлично подходит архитектура Storm. Этот ботнет использует для коммуникаций два протокола (шифрованная версия Overnet на основе UDP применяется для поиска новых узлов, собственный протокол на основе TCP — для управления сетью) и имеет узлы трех уровней: Worker отправляют запрос на выполнение работы и после получения задания выполняют рассылку, Proxy работают связующим звеном между Worker и управляющими серверами, Master — рассылают команды и аккумулируют данные о состоянии Worker. Число серверов Master очень мало, вероятно они управляются напрямую мастером сети. Поскольку Storm поражает все подряд хосты (обычно используя вредоносное ПО, распространяемое через социальные сети с применением методов социальной инженерии), боты уровня Proxy создать относительно просто.

В рамках эксперимента было использовано 8 немодифицированных ботов уровня Proxy в управляемой среде виртуальных машин, хостируемых на серверах VMWare ESX 3. Идущий на них сетевой трафик пропускался через единый шлюз, где блокировалось нестандартное поведение (например участие в DDoS атаках) и выполнялась замена сообщений для Worker. Рассылаемые серверами шаблоны и словари переписывались, и за счет этого удалось добиться того, чтобы боты уровня Worker заменяли нужные ссылки на адрес, ведущий на сайт ученых.

В рамках эксперимента было проведено три спам-рассылки, охватившие более 469 млн чел: на протяжении 26 дней рекламировался фармпрепарат, две кампании, Postcard и April Fool, были фактически саморекламой, и под видом ПО для почтовых карт устанавливали бот на пораженных ПК. В течение эксперимента к восьми Proxy подключилось более 75,8 ботов уровня Worker, 78% из них соединялись с Proxy всего один раз, 92% — не больше двух раз, и 99% — не больше пяти раз.

Результат эксперимента оказался интересным. Около 75% спам сообщений из более чем 347,5 млн рекламирующих лекарства (более 61% уникальных адресов), 83,6 млн Postcard (более 89% уникальных адресов) и 40,1 млн (более 90% уникальных адресов) кампании April Fool были отсеяны MTA и вообще не добрались до пользователя, либо были задержаны спам-фильтрами почтовых систем и не попали в почтовые ящики. Перейти по находящимся в сообщениях ссылкам решились соответственно 10,5 тыс, 8,3 тыс и 2,7 тыс чел (т.е. не более четверти, получивших сообщения). Приняли предложение спам-рассылки покупке препарата или загрузке ПО соответствено 28, 316 и 225 чел. Таким образом, уровень конверсии в рамках кампании Postcard составил 0,000378%, April Fool — 0,000561%, а кампании рекламы фармпрепаратов — вообще жалких 0,0000081%. При этом антиспамовые фильтры бесплатных почтовых сервисов отработали отлично, особенно Microsoft Hotmail.

Таблица 1. Доля спам-сообщений рассылок, поступивших на бесплатные почтовые сервисы и пропущенных антиспам фильтрами в папку Входящие

Еще один интересный момент, требующий отдельного изучения — среднее время между рассылкой и обращением пользователя на ресурс по ссылке из спам-сообщения. Как показал эксперимент, примерно 10% пользователей переходит по ссылке немедленно, 30% — в течение 20 с, на первые сутки после рассылки приходится 60% посещений, на первую неделю — около 90%, а спустя месяц после рассылки посещения практически равны нулю. Это означает, что вредоносный ресурс, чтобы получить максимум возможной прибыли, должен жить достаточно долго, уж никак не менее дня, а лучше неделю.

Проведенные спам-компании поразили больше всего почтовых ящиков в США. Относительные показатели отклика наибольшие в Индии, Пакистане, Болгарии, а наименьшие — в США, Японии и Тайване. Детальный анализ реакции пользователей по регионам позволяет сделать вывод, что различия между странами обусловлены преимущественно качеством используемых фильтров и общим уровнем осведомленности о спаме, а не культурными или национальными особенностями, которые могли бы вызвать усиленный интерес к тому или иному рекламируемому товару.

Впрочем, основной интерес, конечно же, вызывает оценка конверсионного коэффициента — она чрезвычайно низкая для всех проведенных кампаний. Означает ли это невысокий уровень прибыльности? Итак, за 26 дней эксперимента в результате рассылки 350 млн сообщений было совершено 28 покупок, т.е. уровень конверсии менее 0,00001%. Принимая во внимание, что рассылка по бот-сети стоит $100, результатом кампании стала прибыль в $2731,88, т.е. чуть больше $100 в день (если принять во внимание только 19 дней активной кампании — то $140 в день). Но в работу была вовлечена малая часть сети Storm, по оценкам экспериментаторов около 1,5%, таким образом средний дневной доход спамеров может достигать $7-9,5 тыс. Аналогично, за счет проведения компаний, направленных на разрастание самой бот-сети, Storm может ежедневно получать 3,5-8,5 тыс новых ботов.

В результате несложных расчетов можно получить, что за год непрерывно проводимые Storm кампании по продвижению фармпрепаратов могут принести до $3,5 млн. Если учесть потребность фармкомпаний управлять трафиком и партнерскими программами, годовой доход не превысит $1,75 млн. Из него нужно вычесть еще эксплуатационные расходы, разовые платежи (за регистрацию домена, пр.) и собственно плату за доставку спама (даже если принять смешную розничную цену в $80 за 1 млн сообщений, кампания в более чем 300 млн обойдется в $25 тыс).

Итак, если предположить, что рассылка фармспама все же прибыльна, напрашивается следующий вывод: мастера Storm вертикально интегрированы и Storm не работает на сторонние компании, а сам и является заказчиком рассылки. Косвенным доказательством данного предположения служит то, что распределение целевых доменных имен в фармрассылке и кампаниях по саморекламе Storm идентично. Если это так, то расходы на распространение спама практически равны стоимости разработки и обслуживания ботнета, которая, может значительно варьироваться вследствие региональных различий в оплате труда (точное место создания Storm неизвестно), но в любом случае составляет зарплату пары-тройки хороших программистов. Есть и еще аргументы в пользу данного предположения — розничный рынок дистрибуции спама не растет настолько эффективно, чтобы предлагать конкурентные цены. К тому же, приходится быстро адаптировать кампании к изменяющимся инструментам защиты.

Словом, спамерская доля нелегка, а бизнес не настолько прибылен, как кажется на первый взгляд...