Pull to refresh
190.14
ua-hosting.company
Хостинг-провайдер: серверы в NL до 300 Гбит/с

Конференция DEFCON 17. «Украсть прибыль у спамеров: как я перестал беспокоиться о спаме и полюбил его». Грант Джордан

Reading time 13 min
Views 12K
Перед тем, как рассказать о нашем проекте, я хочу рассказать Вам, кто такой я, Грант Джордан, и кто такой Кайл Вогт (Kyle Vogt), который работает на Justin.tv. Мы студенты Массачусетского Технологического института, у которых много свободного времени. И у нас есть множество интересных проектов, как например, устройство для взлома сейфов, которое позволяет открывать сейфы с наивысшей степенью защиты. Однако понять, почему мы занялись именно спамом, поможет ответ на вопрос: кем мы не являемся?

Мы не являемся экспертами биржевого рынка, спамерами или людьми, которые внезапно разбогатели, играя на бирже. Поэтому всё, что я буду говорить о биржевом рынке и о спаме, является взглядом извне, то есть опытом людей, не имеющим к этому непосредственного отношения. Когда мы стали этим заниматься, всё выглядело словно сквозь пузырьки от газировки, и поэтому проект отражает наш взгляд на вещи именно в то время. У нас было слишком мало информации, мы не представляли себе, как работает ботнет, как им управляют спамеры и каким образом они рассылают информацию на Ваш почтовый ящик.

Каждый раз, открывая Вашу почту, Вы находите там спам. Это советы, как увеличить размер пениса, или письма от «плохих» девочек из России, или уведомление, в котором бывший принц Нигерии сообщает, что сделал Вас наследником своих миллионов. Однако один вид спама привлекал внимание больше других – это был спам о фондовом рынке. Это были странные «подсказки», призывающие купить определённые акции, курс которых вот-вот подскочит «выше крыши». Как и большинство людей, я удалял этот спам, но однажды Кайл родил одну из самых глупых идей, которые я когда-либо встречал: «Должен же быть способ, который поможет нам отобрать часть денег этих самых спамеров»!

После нескольких попыток и провалов, доказывающих неправоту Кайла, мы на 4 месяца погрузились в изучение тёмных глубин биржевого спама. В результате мы сделали вывод, что судить о некоторых вещах можно, даже не разбираясь, что именно лежит в их основе. Достаточно бывает лишь той информации, которая находится в общем доступе и которой обладают все.

Сегодня я объясню Вам, как мы перешли от ручной сортировки десятка тысяч спамерских писем к стратегии «отхватывания» кусков от спамерской прибыли. Наша работа позволила получить данные, которые опровергли результаты практически всех существующих на сегодня исследований биржевого спама.

Всё началось в октябре 2006, когда всех пользователей сети буквально завалили спамерской рассылкой писем с предложениями сыграть на бирже акций золотодобывающих компаний GDK. Именно тогда Кайл сказал, что должен быть способ «поиметь» денег с этих спамеров, на что я ему ответил: «Ты идиот, Кайл»!



Я объясню, почему поначалу мне показалось, что Кайл был неправ. Прибыль основывалась на ассиметричной информации по принципу «я знаю то, чего ты не знаешь». Никто не смог бы торговать, если бы продавал товары именно по той цене, по которой их захотят купить. То есть я предложу цену, но не знаю, сможете ли Вы её заплатить, а Вы предложите оплату, не зная, соглашусь ли я на неё. Если бы это было не так, все цены носили бы фиксированный характер. Поэтому все знают, что подобная финансовая информация всегда в цене.

Итак, все получают спам. Что же мы знаем такого, чего не знают другие? Сначала мы должны были выяснить для себя, что все эти люди делают с полученным спамом, как они на него реагируют. Может быть, они действительно соблазняются предложением и покупают акции? Если спамеры рассылают такие письма, значит, на них кто-то «клюёт»! В чём заключается процесс? Они рассылают спам, далее происходит неизвестно что, и после этого спамеры получают прибыль!



Процесс представляет собой классическую схему «Pump & Dump» — «Накачка и сброс», при которой недобросовестные торговцы раздувают интерес к заранее купленным акциям, чтобы продать их неопытным инвесторам по завышенной цене.



В результате в их карманах оседает прибыль, а клиент терпит убытки при продаже искусственно раздутых в цене акций. Анатомия «Pump & Dump» выглядит следующим образом.



Я владею 100 акциями компании стоимостью $1 каждая. Я выхожу на доску объявлений биржи и говорю всем, что эти акции стремительно повышаются в цене. Люди начинают скупать эти акции, и они повышаются в цене. Когда цена увеличивается до $2 за акцию, я продаю свои 100 акций и получаю $100 прибыли. Спрос был создан искусственный, все, кто хотел купить эти акции, купили их, и больше покупателей нет. Владельцы акций хотят их продать и выясняют, что продать их просто некому! Никто не хочет покупать больше акций за такую цену, и они начинают падать. Причём цена опускается даже ниже той, по которой они предлагались первоначально. Убытки терпят все, кроме того, кто затеял всю эту комбинацию.

На следующей картинке изображена моя прибыль и их убытки. Моя прибыль росла постепенно, а их убытки были стремительными. Подобное называют «зазыванием покупателей». Концепция стара и хорошо известна – это может быть устная агитация, рекламный спекулятивный проект «Бойлерная» или форумы. Однако спам обеспечивает Вас более широкой аудиторией за малую цену.



Вы можете сообщить выгодную Вам информацию миллионам и миллионам людей. Прибыль зависит от того, как рано Вы начали зазывать клиентов. Размер убытков зависит от того, как быстро Вы начали продавать свои акции. Последние продавцы не получают практически ничего, то есть просто выбрасывают деньги на ветер.

Какими видами акций торгуют спамеры? Это могут быть дешёвые акции типа «Penny Stocks» или внебиржевые акции OTC, которые не представлены на известных торговых площадках NASDAQ, NYSE или других национальных биржах. Существуют различные виды ОТС, ВВ и Pink Sheets. Это могут быть акции Thinly Traded, цена которых близка к нулю, или же дешёвые акции с высокой изменчивостью цены. Если стоимость такой акции в пределах $1, даже небольшой рост курса может принести солидную прибыль.

Вы можете зазывать клиентов купить свои акции через биржу NYSE, но в этом случае Ваша прибыль не превысит среднерыночных показателей. Например, Вы можете призывать клиентов к покупке акций Apple, они начнут их скупать, но всё рано не получат большой прибыли при продаже, так как торговля акциями Apple и так идёт хорошо и они всегда в цене. При этом следует учесть, что схема «Pump & Dump» является незаконной на всех биржах, и за это Вас могут привлечь к судебной ответственности.

Итак, мы знаем схему, по которой работают спамеры, но не знаем, какой компании это выгодно. Но главной проблемой является то, что кто-то действительно верит спаму и находятся настолько глупые люди, что они покупают эти акции. Я всегда удаляю такие предложения из почты. Но когда мы с Кайлом опросили коллег, то узнали, что достаточное количество людей всё-таки купили эти акции GDK на прошлой неделе.

Мы посмотрели на биржевой курс этих акций и увидели, что он поднялся в цене на 60%, а общее количество акций превышало 600 тысяч штук. Прибыль спамера при первоначальной цене акции $1 могла достигнуть 250 тысяч долларов. Эта статистика нас очень впечатлила!

Если мы посмотрим на график, то увидим, что спам начал атаковать клиентов в пятницу 20 октября. До этого цена акций составляла примерно $1. И уже в понедельник, 23 октября, цена акций достигла пика.



Нас заинтересовало, почему спам начали рассылать именно в пятницу, перед самым закрытием фондового рынка и биржи. Однако это было только начало, ведь 250 тыс. долларов не такая уж большая прибыль. Мы проверили курс этих же акций спустя 2 месяца и увидели совсем другую картину! Здесь игра шла по-крупному.



За 5 дней акции набрали в цене 300%, и 10 миллионов акций принесли уже 30 миллионов $ прибыли! Мы не могли поверить в то, что нашлось столько простаков, которые вложили свои деньги в эти пустышки. Однако факт был на лицо, и мы задались вопросом – что мы можем сделать в этой ситуации?

Мы выяснили такую интересную информацию. На протяжении первой недели октября мы получали предложения купить акции двадцати разных компаний, но лишь 3 из них принесли прибыль, причём GDK – самую ощутимую. Остальные 17 видов акций не принесли ничего.

Мы захотели разобраться, почему так происходит, почему одни акции приносят прибыль, а другие нет. Какой информацией мы располагали? Примерно 1000 предложений в неделю и информацией биржи за предыдущую неделю. То есть мы могли связать результаты торгов предыдущей недели с объёмом и наименованием рассылок следующей недели. Точно такой же информацией обладали все, у нас не было ничего особенного.

Что утверждали остальные исследователи проблемы спама? Фридер и Зиттрейн в своей работе о спаме сообщали: «доказано, что зазывание покупателей связано с активностью рынка». Их исследования охватывали 2004-2005 годы и были достаточно серьёзными. Ханке и Хаузер в своей статье «Эффективность спамерской рассылки предложений о покупке акций» также сообщали, что существует связь между объёмом спамерской рассылки и ценой предлагаемых в них акций на рынке. Чем больше спама рассылается, тем больше прибыли получают спамеры от предлагаемых к покупке акций.

Множество исследователей утверждали, что после биржевого краха 2006 года спамерская рассылка в этой области умерла и не оказывает больше влияния на рынок акций. Но этого не могло быть, так как нам продолжали приходить тонны предложений!

Чем отличались спамерские рассылки 2004-2005 и 2006-2007 годов? Первые содержали в основном текст, который отсеивался фильтрами спама. Они анализировали, есть в письме слово «акции» и есть ли там графический символ, обозначающий акцию. Если условия соблюдались, письмо помечалось как спам. Вторые содержали в основном графическую информацию, картинки, которые фильтры спама не могли отследить.

Итак, мы задались вопросом: как можно отсортировать графический спам? Проанализировав несколько программ распознавания графики, мы поняли, что сортировка возможна только вручную! И мы этим занялись.



Вот так выглядело это на нашем компьютере: папки, в которых содержалось множество графических файлов, и паки, содержащие сотни и сотни электронных адресов спамеров. И нам удалось всё это отсортировать!

Мы затратили на сортировку 14 недель, обработали более 50 000 спамерских писем и 12168 наименований акций. В результате мы получили некоторые данные. Вот что мы из них извлекли:
предыдущие результаты, относительную мощность сети ботнет, идентификацию уникальных подписей спамеров.

Относительная мощность ботнет позволила нам сделать сортировку по символам акций и увязать определённые электронные email-адреса с конкретными символами.

Рассмотрим диаграмму, на которой изображена зависимость количества писем с рассылкой акций GDKI по дням недели.



Вертикальным зелёным пунктиром показано время, когда рынок открывается, красным – время закрытия рынка. Жёлтые вертикальные линии разграничивают период от пятницы до пятницы, когда начинается рассылка. Остальные цветные линии внизу графика показывают интенсивность рассылки других акций – она то росла, то прекращалась, и только рассылка акций GDKI постоянно увеличивалась.

И вот тут мы заметили интересную особенность: рассылка спама GDKI замирает на время работы рынка, то есть в период между открытием и закрытием биржи письма не приходят! На это указывают горизонтальные отрезки графика объёма рассылки.

Какой из этого следует вывод? Ребята, которые рассылают письма, именно в это время заняты на рынке – именно они и продают акции! Поэтому у них не остаётся времени на рассылку писем.

Далее мы отметили, что на это же время прекращается активность ботнет сети, которая рассылает GDKI. Это позволяет идентифицировать сеть ботнет или спамеров, организацию, которая рассылает эти письма. Рассмотрим, что собой представляет подпись спамера. Каждый спамер использует свой собственный стиль электронного письма: расположение текста, кодировку письма, тип заглавных букв, стиль шрифта.



Это легко заметить, если Вы смотрите на каждое из 50000 полученных писем своими собственными глазами.

И тут мы вступаем в игру! Мы выбираем успешного спамера, который в определённую неделю завалил нас максимальным объёмом писем. Затем мы проверяем его активность на следующей неделе, сравниваем её с предыдущей и так далее. Если мы находим акции, которые обладают такой же динамикой на рынке, как и динамика рассылки писем, то устанавливаем связь между конкретным названием акции и конкретным спамером. В конце концов мы получаем электронный адрес этого спамера.



Что мы делаем дальше? Наблюдаем за активностью рынка и рассылкой спама на следующей неделе и составляем такой же график. И что же мы видим? Практическое повторение графика GDKI, только на этот раз это совсем другие акции – акции компании SBNS! Как же выглядит электронное письмо, «сватающее» нам акции SBNS? Точно так же, как и письмо с призывам покупать акции GDKI! То есть рассылку осуществляет один и тот же спамер с характерным стилем подписи. Он использует одну и ту же ботнет сеть, о чём свидетельствует её активность.

Продолжаем нашу работу дальше. Третья неделя наблюдений дала нам ещё 3 графика спамерской рассылки других акций:



Один из этих парней определённо наш спамер – теперь он рассылает акции SRRL, та же динамика рассылки и тот же стиль писем. А вот два других спамера имеют совсем другой почерк. Второй график EGLY имеет специфический характер и фиксированный объём рассылки. Мы сравнили эти графики рассылки со статистикой рынка – как Вы думаете, у второго и третьего парня были какие-то успехи? Ведь они тоже стремительно увеличивали объём рассылки! Выяснилось, что ничего подобного с EGLY и СNPM не наблюдалось, то есть никакой продажи этих акций вообще не было!



Почему так получилось? Ещё раз взглянем на письмо первого спамера и письма двух других. Вот в чём проблема – их рассылка представляет собой просто текст, голый текст! Сравните, как выглядит рассылка первого спамера и как выглядит рассылка двух других. Они использовали такую мощную ботнет сеть, но не достигли никакого результата, потому что рассылали простой текст.

Далее 4 неделя – наш хакер принялся рассылать предложения MPRG. Тот же стиль письма, мощная рассылка. На 5 неделе мы видим такие же мощные спамерские рассылки, тот же ботнет, и снова никакого результата на бирже.



В течение 5 недель спамеры, рассылающие текст, не достигли никакого результата, и на 6 неделе они практически прекратили рассылку. Вы видите, что у нас поменялась шкала количества рассылок с 300 до 900. Один из текстовых спамеров, предлагающий акции APWL, увеличил рассылку до максимума, второй, WEXE, оставался на том же уровне. Рост количества спама не принёс никакого результата, и APWL так и не появились на бирже.



Мы посмотрели, какое количество акций WEXE приобрёл спамер. Сумма оказалась впечатляющей – на около 2 млн $. То есть он вложил большие деньги в пустышку, не выиграв ничего. И на седьмой неделе он вообще исчез. Нам не нравится получать спам, но неудача этого парня нас расстроила. Таким образом, спамеры, рассылающие текстовый спам, ведут себя как ненормальные. Они продолжают делать это снова и снова, тратят деньги и при этом даже не пытаются разобраться в причине своих неудач.

До середины января 2007 года в рассылке спама не происходило ничего интересного. В течение 13 недели спамеры совсем сошли с ума – они продолжили спамить 15 наименований акций в том же текстовом формате и снова ничего не достигли. Я даже не пытался изобразить это на графике – такое количество рассылок разных акций даже не помещались.

Наблюдения позволили нам прийти к таким выводам: можно не следить за рассылкой остальных спамеров, мы и так знали, какой она будет, мы вычислили «победителя» с помощью одной его рассылки, как только первый спамер присылает первое письмо, мы начинаем покупать рекламируемые акции!

Мы начали покупать акции вот в этот момент, который показан на графике:



Мы стали участниками его игры, выполняя его правила, и таким образом смогли урвать свой кусок пирога.

Вот в чём заключается метод Джордана-Вогта: сортировка еженедельного объёма спама по символам акций, определение спамера по стилю рассылки, сравнение прошлых результатов деятельности каждого спамера, выявление самого успешного спамера, как только появляется первое письмо от этого спамера, начинайте покупать акции, подождите, пока их стоимость достигнет пика, и немедленно продавайте!

Работает ли этот метод? И да, и нет. Он работает в течении нескольких недель, пока все возможные ниши на рынке не заполнятся спамом. Даже успешные спамеры терпят убытки, как тот парень с 2 миллионами $. Сети ботнет иногда рушатся. Наступает эффект переспама, привлекающий к себе внимание SEC – Комиссии по ценным бумагам и биржам. Приведём в пример «Operation Spamalot», «Операция Слишком Много Спама», которая была проведена в марте 2007 года.

SEC отследила операции на 35 торговых площадках. В результате 2 жителя Техаса были обвинены в противозаконной игре на бирже акций и махинациях на сумму 3,8 млн $. Операция началась из-за того, что юристы SEC заинтересовались большим количеством спама с рекламой акций, который присылали им на почту.

Может ли наш метод заработать снова? Возможно. Спам рассылается циклично, ботнет сети появляются и исчезают.

В апреле 2009 года я снова пересмотрел мою папку со спамом, в которой было порядка 3000 тысяч рассылок. Я увидел, что больше всего рекламировали лекарственные препараты, затем шло простое мошенничество, реклама часов, продажа дипломов, сексуальные услуги, книги, предложения работы, игры. Писем с предложением купить акции не было вообще!



Это меня даже расстроило. Вероятно, то, что смогли разглядеть мы, смогли увидеть и другие. Поэтому система извлечения прибыли через спамерскую рассылку рекламы акций потерпела крах. Может ли она возродиться? Прошло достаточно времени, и такой вариант не исключён. В этом случае метод Джордана-Вогта заработает снова.

Теперь и Вы знаете об этом, так что тоже сможете принять участие в игре, если она снова начнётся. Но этот процесс будет отличаться от того, что происходило 3 года назад. Вы знаете систему, её знают многие, поэтому люди, купившие акции, будут стремиться продать их как можно скорее. Продолжительность процесса будет уменьшаться всё быстрее и быстрее, время между покупкой и продажей акций начнёт стремительно сокращаться. Возможно, что в результате на рынке останутся одни неудачники и те, кто «не в теме».

Поэтому у меня появилась новая идея – изменить стратегию подхода «я знаю то, чего ты не знаешь» на «я знаю то, что ты знаешь, и ты знаешь, что я об этом знаю». Вижу, Вам понравился мой новый подход! Что же, время покажет!

А сейчас я отвечу на ваши вопросы.

— Можем ли мы таким образом изучать другие рынки акций, например Европейские или Азиатские?

Нет, не можем, потому что нам приходит спамерская рассылка из других стран. Даже если Вы вдруг получите письмо из Кореи, то всё равно не сможете его прочитать. Хотя мне известна группа из Германии, которая изучала в 2007 году спамеров акций, и там вместо графической рассылки использовали файлы в формате .pdf

– Можем ли мы обрушить рынок до того, как спамер начнёт продавать свои акции?

Думаю, нет. Спамеры используют случайные компании, и мы не узнаем о начале процесса, пока конкретные акции не появятся на рынке. Можно отследить даже конкретных спамеров, но мы не узнаем, какие именно акции их заинтересовали, слишком много дешёвых акций обращается на бирже.

– Может ли SEC заинтересоваться нашей деятельностью, поскольку мы отслеживаем рынок акций и биржевую активность?

Да, может, и мы ничего с этим не поделаем, это их право.

– Почему спамеры выбирали акции именно этих компаний?

Хороший вопрос! Мы думаем, потому, что они имели непосредственное отношение к этим компаниям, возможно, они даже работали там и таким образом хотели поправить своё личное состояние или дела своей компании. Или же они специально обращались к компаниям, чьи акции были неликвидны, и скупали их по минимальной цене, чтобы заработать. Не исключено, что сами компании вообще не представляли, что происходит с их акциями – проснулись одним прекрасным утром и увидели, что их акции летают повсюду, но причину такой популярности они понять не смогли.

– Какой объём акций показателен для исследования, или как нужно масштабировать значение?

Это не слишком важно. Можно наблюдать за сотней акций или несколькими тысячами акций, главное фиксировать их рост. Если они дорожают на 5% — не обращайте внимание, а если на 50% — тогда к ним стоит присмотреться.

– Нужно ли обращать внимание на информацию, размещённую в спамерском письме, на рекомендуемую цену или прочие характеристики акции?

Не думаю, что это имеет какое-нибудь значение, обычно описание предложения носит одинаковый характер и для удачных акций, и для «пустышек».

– Имеет ли какое-то значение продолжительность продажи акций на бирже, связана ли она с чем-либо?

Мы не заметили зависимости между быстротой продажи акций и другими характеристиками. Иногда все акции удавалось продать за 1 день, иногда на это уходило 5 дней – нужно просто наблюдать за динамикой изменения цен на бирже.

– Повторяется ли успех продаж?

Да, мы наблюдали, как продажа одних и тех же акций была успешна на этой неделе, и на следующей, и через несколько недель. Если мы не заметили никакого успеха за несколько недель до начала продаж, то мы можем увидеть, что такой успех был за год до этого. То есть успех носит цикличный характер.



– Стоит ли обращать внимание на непопулярные дешёвые акции непосредственно на второстепенных биржах, а не узнавать о них из спамерских рассылок?

Возможно, если Вы разбираетесь в этом. Потому что Вы можете отреагировать на спамерскую рассылку и в итоге не получить никакой прибыли.

– Замечали ли Вы какие-то особенности спамерской рассылки типа взломанных аккаунтов?

Мы не обращали особого внимания на техническую сторону рассылки, нас больше интересовали её объёмы и стиль конкретных писем. Мы видели, что некоторые письма приходили со странных почтовых ящиков, некоторые ящики были зарегистрированы в России, то есть ботнет сеть могла использовать любые адреса.

– Стоит ли использовать не спамерскую рассылку, а форумы покупателей акций?

Да, стоит, нам это помогло на форуме, где люди обсуждали торговлю и успех акций GDKI в конце 2006 – начале 2007 года.



Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
Tags:
Hubs:
+22
Comments 12
Comments Comments 12

Articles

Information

Website
ua-hosting.company
Registered
Founded
Employees
11–30 employees
Location
Латвия
Representative
HostingManager