Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 104 в этом номере: Новости Спам - статистика за период 13 - 19 июня 2005 г. Зомби в три хода Новости Растет число фишинг-атак, направленных против корпоративных пользователей 16.06.2005 25% организаций - на 7% больше, чем год назад - стали жертвами фишинга. Таковы результаты очередного ежегодного исследования Computing Technology Industry Association (CompTIA). Рост числа фишинг-атак особенно тревожен с учетом полученных в ходе исследования CompTIA результатов. Выяснилось, что 56,6% компаний пострадали от атак, основанных на уязвимостях веб-браузера. Год назад таких компаний было 36,8%, а два года назад 25%. Как правило, такая атака начинается, когда пользователь выходит на безобидный с виду сайт, зараженный вредоносным кодом, и ее целью является кража персональных данных пользователя или причинение вреда его компьютеру. А попадает посетитель на этот сайт в большинстве случаев по ссылке в спам-письме или послании фишеров, содержащем ссылку на фальшивый веб-сайт, замаскированный под легитимный. Еще одна напасть, о которой говорится в отчете, - фарминг: злоумышленники "портят" DNS, в результате чего пользователь перенаправляется на вредоносный сайт. Если фарминг является относительно новым изобретением, то основная угроза все же осталась прежней: две трети опрошенных заявили, что их компании были атакованы вирусами и червями. Это несколько меньше, чем цифра, полученная в прошлогоднем исследовании - тогда таких компаний было 68,8%. Всего в исследовании было опрошено 489 IT-специалистов из правительственных, финансовых, образовательных и других организаций США. Источник: CNET News.Com В сети AOL действует армия зомби 16.06.2005 Согласно результатам исследования компании Prolexic Technologies, больше всего DDoS-атак осуществляется с компьютеров клиентов America Online. Представители AOL утверждают, что это объясняется большим числом клиентов компании. По данным Prolexic Technologies, в течение последних шести месяцев AOL был источником 5,3% DDoS-атак в мире и 11,3% - в США. Помимо AOL в списке основных источников DDoS-атак оказались также немецкий провайдер T-Mobile, французский Wanadoo и Comcast. По мнению представителя Prolexic Technologies Барретта Лиона (Barrett Lyon), полученные результаты показывают, что многие провайдеры не обеспечивают должным образом защиту своих клиентов, в отличие, например, от EarthLink, который не попал в список. Пресс-секретарь America Online Эндрю Вайнштейн (Andrew Weinstein) утверждает, что клиенты AOL обеспечены антивирусными и антихакерскими программами, а пользователи, оказавшиеся причастными к атакам, вероятно, просто не обновили версии этих программ. Вайнштейн полагает, что число DDoS-атак с компьютеров клиентов компании просто свидетельствует о ее большой клиентской базе. По его словам, 21,7 миллиона пользователей AOL составляют 40% рынка США. С учетом числа пользователей, 11% зафиксированных Prolexic Technologies атак означают, что процент инфицированных компьютеров у AOL ниже среднего показателя в индустрии. По словам Вайнштейна, исследования показывают, что машины пользователей AOL инфицируются в три-четыре раза реже, чем компьютеры клиентов других компаний. "Это большая победа для наших клиентов", - сказал Вайнштейн. В осуществление DDoS-атак часто вовлечены машины, зараженные вредоносными программами, такими как Agobot and Spybot, которые превращают компьютеры в одно из звеньев зомби-сети. Доступ к этим ботнетам продается спамерам и другим интернет-злоумышленникам. Во время DDoS-атаки такие сети могут "положить" атакуемый легитимный сайт ложными запросами. Ранее объектами DDoS-атак были сайты правительственных структур США или крупных онлайн-вендоров, например, eBay. В последние годы преступники используют DDoS-атаки для вымогания денег у онлайновых казино, банков или для атак конкурентов. В мае Федеральная комиссия США по торговле обратилась к провайдерам с предложением отключать от сетей компьютеры клиентов, зараженных вредоносными программами для рассылки спама или направления ложных запросов на атакуемые серверы. Одним из инициаторов этой инициативы была компания AOL. По данным Prolexic Technologies, основной трафик DDoS-атак (до 18%) приходится на компьютеры, расположенные на территории США, однако самый высокий процент зараженных компьютеров выявлен в Гонконге, Германии, Малайзии и Великобритании. Данные Prolexic Technologies получены в течение последних шести месяцев 2005 года. Источник: CNET News.Com Источник: The Register На радость феминисткам 17.06.2005 Чтобы досадить своей начальнице, американец Скотт Хаффинес опубликовал ее электронный адрес на различных сайтах, чем спровоцировал поток незапрошенных писем. Суд расценил действия Хаффинеса как оскорбление (harassment) с помощью спама. Неизвестно, за что 41-летний веб-дизайнер Скотт Хаффинес (Scott C. Huffines) так невзлюбил своего босса. Однако в сентябре 2004 года без ведома Алекс Вайтало (Alex Vitalo) он опубликовал на множестве сайтов ее электронный адрес. В результате в почтовый ящик дамы хлынули незапрошенные сообщения. По словам Хаффинеса, таким образом он хотел досадить боссу. Судя по всему, ему это удалось. Через месяц Алекс Вайтало вынуждена была сменить электронный адрес, однако поток спама не прекратился. В конце концов, она обратилась с соответствующие органы. В ходе расследования "прокси-спамера" удалось вычислить по его аккаунту. Хаффинес был признан виновным в неправильном использовании электронной почты и приговорен к 100 часам общественных работ. В течение этого времени он будет учить детей пользоваться Интернетом. Источник: The Register Хакер фишеру товарищ 20.06.2005 Стоило только появиться сообщению о том, что хакеры проникли в систему кредитных карт, как было разослано фишинг-письмо, отправители которого пытались воспользоваться тревогой владельцев карт "MasterCard". Впрочем, основания для тревоги существуют. Вполне вероятно, что компьютерные хакеры получили данные о 40 млн кредитных картах, и пострадать могут 14 млн пользователей "MasterCard" и 22 млн владельцев карт "Visa". Какого рода информацию похитили злоумышленники, неизвестно. Одного лишь номера карты и даты окончания срока действия достаточно, чтобы разорить владельца, скажем, заказами через Интернет. А зная ПИН-код, можно сделать копию карты и опустошить счет буквально за несколько минут. По словам представителей компании MasterCard International, следы ведут к фирме CardSystems Solutions, которая обрабатывает платежи для банков и фирм. Инцидент произошел из-за несовершенства системы безопасности CardSystems Solutions, и хакеры получили доступ к сведениям о владельцах кредитных карт всех типов. Представители компании заявили, что проникновение хакеров было замечено еще в мае, о чем фирма немедленно сообщила в ФБР. ФБР, подключившееся к расследованию, немедленно засекретило информацию. Однако MasterCard нарушила запрет. Почти 70 тысяч пользователей получили указание срочно проверить состояние своих счетов. Пока неясно, есть ли в числе пострадавших от взлома российские граждане. Представители MasterCard и Visa уверяют, что за все спорные выплаты вернут деньги гражданам. Как водится, ситуацией воспользовались фишеры. Буквально на следующий день после того, как информация о проникновении хакеров была рассекречена, они разослали письмо, замаскированное под официальное сообщение Master Bank, с просьбой подтвердить персональные данные клиента. Поскольку о взломе в письме не упоминается, эксперты предположили, что фишеры использовали "по случаю" вариант письма, заготовленный ранее. Текст письма приводит The Register: From: Master Bank [master@masterbank.com] To: Subject: **Your Mastercard online Confirmation** Dear User, During our regular update and verification of the accounts, we couldn't verify your current information. Either your information has changed or it is incomplete. If the account information is not updated to current information within 5 days then, your access will be restricted. go to this link below or copy and paste it on your addresse tool bar. http://www.mastercard-new-register.com ***Please Do Not Reply To This E-Mail As You Will Not Receive A Response*** Thank you Accounts Managent Источник: РБК Источник: The Register Microsoft подала иск против спамерской компании в Германии 20.06.2005 Microsoft подала иск против немецкой компании, обвинив ее в организации рассылок миллионов спамовых писем. Согласно заявлению Microsoft, опубликованному на ее немецкоязычном сайте, компания, зарегистрированная в земле Северный Рейн-Вестфалия (ее название пока не разглашается), создала целую сеть спамерских компаний на территории США и Украины. По данным Microsoft, в результате деятельности этой сети некоторые пользователи Hotmail получили тысячи англоязычных писем, рекламирующих онлайновые казино и порно-сайты и предлагающих услуги веб-дизайна и продвижения сайтов. Владелец компании, являющейся центром спамерской сети, в настоящее время живет в Германии, но в течение долгого времени проживал в США. Microsoft обвиняет его в том, что он использовал несколько веб-сайтов для рекламы спам-рассылок и продажи электронных адресов. Обвиняемый заявил, что не имеет отношения к спамерской деятельности, а за своих партнеров не отвечает. Поскольку в настоящее время в Германии нет антиспамового закона, Microsoft намерена привлечь к ответственности немецкую компанию на основе законов, регулирующих правила торговли. Источник: InfoWorld Спам-рассылка как способ борьбы со спамом? 22.06.2005 Новый способ борьбы со спамом - спам-рассылку "разового характера" - изобрела некая группа разработчиков, предлагающая "качественную новую услугу в рамках проекта "Spam Stop"". Способ распространения рекламы "качественной услуги", мягко говоря, удивляет. О качестве услуги сказать пока нечего, однако одно ноу-хау за разработчиками, безусловно, уже есть. В конце письма, разосланного с использованием спам-технологий, красуется приписка: "Данная рассылка имеет разовый характер и является способом борьбы со СПАМом." Остается только изумиться столь нестандартному подходу к борьбе со спамом и напомнить коллегам, что не все средства хороши, даже для достижения благородных целей. Источник: Лаборатория "Спамтест", "Ашманов и Партнеры" Спам - статистика за период 13 - 19 июня 2005 г. Ашманов и Партнеры Объем спама и тематические особенности В течение прошлой недели уровень спама сохранялся в пределах средних значений - 78 - 82% от общего объема почтового трафика Рунета, но к концу недели был зафиксирован резкий всплеск спама и подъем его уровня до 85-75%, а на бесплатных почтовых серверах до 94%. Настало лето! И ящики пользователей Рунета замусоривают десятки и даже сотни предложений провести райские денечки в Сочи, Анапе, Геленджике или в Болгарии, Турции и Египте. Некоторые предлагают совместить приятное с полезным, например, одновременно с отдыхом выучить английский язык (спам с темами "выучи английский за лето" или "английский для ленивых") или поправить здоровье ("у нас лучший отдых и лечение"). Одновременно прошла волна рассылок с типичными сезонными предложениями товаров и услуг - рекламируются, в частности, кондиционеры и очистители воздуха. Несмотря на то, что лето - традиционный сезон "политического затишья", спамеры выбрали именно этот период для рассылки электронного "обращения к президенту", подписанного загадочным "Алексеем Ф." Этот виртуальный пользователь предлагает срочно прекратить бороться с инфляцией и, заодно, понизить ставку НДС. Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Разные товары и услуги Предложения других товаров и услуг 25% +5% 2 Остальной спам   20,5% -10% 3 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 13% Без изменений 4 Образование Реклама семинаров, тренингов, курсов 12% -3% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 7% +4,5% 6 Мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 7% +2% 7 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 5% +2% 8 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 4,5% +1,5% 9 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 3% Без изменений 10 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3% -2% Самый массовый спам и самое оригинальное предложение Вы найдете на сайте Спамтест. Зомби в три хода По материалам eWeek.com Среди продвинутых пользователей Интернета сейчас мало кто полагает, что зомби появляются исключительно вследствие колдовства служителей культа вуду. Хотя достоверно известно - зомби-компьютеры, которые злоумышленники используют для рассылки спама и осуществления DDoS-атак, тоже не возникают сами по себе. Ради создания и расширения ботнетов "колдуют" вирусописатели, стимулируемые грядущими барышами. Ботнеты - выгодный товар, их нынче продают или сдают в аренду по сходной цене. Существуют черные рынки для инфицированных компьютеров. Стоимость одного зараженного компьютера на таких рынках составляет около 5 центов. Соответственно, чем больше зомби-машин, тем больше денег может получить их создатель. Так что вирусописателям есть, к чему стремиться. Увы! Труд злоумышленников не безуспешен. Тому свидетельство, в частности, создание трех вредоносных кодов, которые не так давно продемонстрировали образчик хорошо отлаженного взаимодействия. Трехступенчатую атаку троянов Glieder, Fantibag и Mitglieder эксперты назвали "беспрецедентной". Такую оценку действия опасной троицы заслужили благодаря способу, которым трояны взаимодействовали друг с другом, чтобы инфицировать машину, дезактивировать антивирусное ПО и оставить "черный ход" открытым для загрузки следующего вредоносного кода. Атаку начинал Win32.Glieder.AK, - троян, который загружал исполняемые файлы, выходя на сайты по заданному списку URL. Задача Glieder - проскочить антивирусную защиту до того, как будут созданы сигнатуры, и подготовить машину к последующему использованию. В течение одного дня в Сети было обнаружено как минимум восемь вариантов Glieder. На машинах с операционной системой Windows XP Glieder.AK пытался дезактивировать брандмауэр Windows и центр обеспечения безопасности - новшества, привнесенные Windows XP Service Pack 2. Далее троян быстро загружал Win32.Fantibag.A, и начинался второй этап атаки. После того, как Fantibag инфицировал машину, злоумышленники могли быть уверены в том, что антивирусное ПО и другие средства защиты компьютера отключены. Fantibag блокировал доступ инфицированной машины к сайтам антивирусных вендоров и даже к Microsoft's Windows Update, так что жертва оставалась беспомощной. После отключения средств защиты третий троян, Win32.Mitglieder.CT, предоставлял инфицированную машину в полное распоряжение злоумышленников. Таким образом, после инсталляции трех троянов компьютер становился частью ботнета и мог использоваться для рассылки спама, осуществления DDoS-атак или для кражи персональных данных пользователя. По словам Роджера Томпсона (Roger Thompson), руководящего в компании Computer Associates International исследованиями вредоносных кодов, это блестящее решение, которое просто пугает. Если трояны и далее будут блокировать аналогичным образом типичные системы антивирусной защиты, основанные на сигнатурах, с этими системами защиты придется распрощаться. Томпсон не сомневается, что атака с использованием вредоносных кодов семейства Bagle является результатом деятельности очень маленькой хорошо организованной преступной группы. Специалисты по безопасности компании PivX Solutions LLC считают, что ботнетами, как правило, управляют небольшие группы хакеров. По данным PivX Solutions LLC, 95% ботнетов контролируют не более 200 человек. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004