Большая часть спама и фишинговых атак в интернете осуществляется силами нескольких злоумышленников с весьма ограниченного числа компьютеров-зомби. В настоящий момент сеть зомби включает около 1000 ПК.
Теоретически, провести массовую рассылку может любой злоумышленник, который получит доступ к сет
зараженных компьютеров. Но проведенные исследования (http://www.technewsworld.com/story/37491.html) показывают, что сеть зомби пока что используется не слишком интенсивно. По информации фирмы CipherTrust (http://www.ciphertrust.com/), на данный момент менее 1% всего почтового трафика содержит фишинговые атаки.
“В общей сложности около 1000 IP-адресов каждый день ответственны за все фишинговые атаки в интернете, – говорит сотрудник компании CipherTrust Дмитрий Альперович. – Эти IP меняются каждый день, но их общее количество остаЈтся примерно одинаковым”.
В сеть зомби входят компьютеры из разных стран. Вот статистика (http://www.ciphertrust.com/resources/statistics/phishing.html?sp=1&cs=50) по географическому распределению участников:
США – 27,74%
Южная Корея – 17,35%
Китай – 8%
Франция – 6,27%
Германия – 4,85%
Великобритания – 3,95%
Испания – 3,59%
Япония – 3,49%
Италия – 2,43%
Сеть компьютеров-зомби используется не только для фишинговых атак, но и для рассылки спама (через них рассылается примерно 50% всего спама в интернете). Исследуя данную проблему, специалисты пытаются понять, каким образом можно нейтрализовать структуру деструктивной сети. Но для начала нужно понять, как она работает. Так, после анализа исходящего от зомби трафика специалистам удалось сгруппировать отдельные IP-адреса по группам, в зависимости от типа информации, которую они рассылают. Таких групп оказалось около пяти. Другими словами, по словам Дмитрия Альперовича, за всей этой активностью стоят совсем немногочисленные хакеры. Эксперты делают предположение, что сеть зомби контролируется не более чем пятью хакерскими группами.
В данный момент Международная антифишинговая группа (http://www.antiphishing.org/) рассматривает результаты, полученные исследователями из CipherTrust. Наибольшее опасение вызывает тот факт, что зомби-сети растут чрезвычайно бурными темпами. По информации специалистов Международной антифишинговой группы, еще несколько недель назад они регистрировали такие сети из 8–10, максимум 50-ти ПК
Специалисты Международной антифишинговой группы также сомневаются, что инициаторами фишинговых атак являются не более чем пять групп. По их предположениям, таких групп тысячи. По крайней мере, собраны достоверные доказательства существование 30–40 различных групп.
В общем, пока что эксперты не могут прийти к единому мнению по поводу того, как работают сети зараженных ПК.