Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 107 в этом номере: Новости Спам - статистика за период 04 - 10 июля 2005 г. Как создатель SPF стал лучше понимать политиков Новости В Японии арестован хакер, похищавший данные из баз туристических компаний 07.07.2005 В Японии арестован компьютерный мошенник, похитивший из баз данных четырнадцати туристических компаний сведения о 520 тысячах клиентов. Как сообщило главное полицейское управление страны, 27-летний Ю Хуа, студент частного японского университета, многократно проникал в систему клубного туризма, откуда переписывал имена, адреса, телефонные номера и данные кредитных карточек людей, которые заказывали туристические туры по Интернету. Как сообщил представитель полиции, вероятнее всего, Ю продавал данные компаниям, рассылающим спам. На допросе студент признался, что продавал электронные адреса по 2 иены (около 7 рублей) за штуку. О том, что он сделал с номерами кредитных карт, не сообщается. Вся похищенная информация была обнаружена при обыске в трех компьютерах Ю Хуа. Источник: РИА "Новости" Старый прием для распространения новых троянов 08.07.2005 Для распространения двух новых версий трояна Downloader злоумышленники использовали старый прием: электронные письма, содержащие вредоносную программу, маскируются под предупреждение системного администратора об использовании аккаунта получателя для рассылки спама. Об атаке Downloader.abc и Downloader.xz сообщила компания MessageLabs. В заявлении MessageLabs говорится, что электронные письма, с помощью которых распространяются оба трояна, имеют одни и те же характеристики. В сообщениях предлагается запустить прилагаемый файл во избежание отключения учетной записи электронной почты. Текст письма в переводе с английского выглядит так: "В последнюю неделю ваша учетная запись e-mail используется для отправки большого числа спамерских сообщений. Пожалуйста, потратьте 5-10 минут и ознакомьтесь с прилагаемым документом, чтобы в будущем не иметь проблем с онлайновой службой. Если вы проигнорируете нашу просьбу, у нас не останется иного выхода, кроме как исключить вас из числа наших клиентов. С уважением, Отдел сетевого администрирования". Если введенные в заблуждение получатели открывают вложение, то после исполнения программы в компьютере открывается лазейка для хакеров. Менее чем за сутки компания MessageLabs перехватила 54 тыс. копии Downloader.abc и Downloader.xz. Уровень опасности оценивается как "высокий". Источник: ZDNet На рассмотрение IETF предложена технология аутентификации отправителя DKIM 11.07.2005 Yahoo, Cisco Systems и их партнеры, компании Sendmail и PGP, предложили на рассмотрение IETF технологию DomainKeys Identified Mail (DKIM) в качестве стандарта аутентификации отправителя. По словам представителя Yahoo, ожидается, что IETF - международная группа по разработке стандартов Интернета - начнет обсуждение DKIM в конце июля на встрече в Париже. Вероятно, для дальнейшей работы IETF создаст специальную рабочую группу. Технология DKIM предназначена для борьбы со спамом и фишингом и позволяет принимающей стороне удостовериться в подлинности отправителя входящего сообщения, проверив специальную цифровую подпись в этом письме. DKIM объединяет два более ранних предложения - разработанную Yahoo технологию DomainKeys и систему Internet Identified Mail от Cisco. Предполагается, что владельцы доменов создают пару криптографических ключей - публичный и личный. Публичный ключ публикуется в записях DNS, а личный хранится на почтовом сервере, поддерживающем DKIM. Каждое исходящее сообщение снабжается подписью, которая хранится в его заголовке. Почтовый сервер на стороне получателя с помощью публичного ключа проверяет, действительно ли она была сгенерирована доменом, указанным в адресе отправителя. Легитимные письма получают специальную метку. Таким образом, по мнению разработчиков, будет значительно облегчена задача по выявлению спама и фишинг-писем с фальшивыми обратными адресами. Передачу DKIM на рассмотрение IETF представитель Yahoo назвал "отражением сотрудничества между многими игроками мира аутентификации электронной почты". Другие компании, вовлеченных в разработку технологий аутентификации, - Alt-N Technologies, America Online, EarthLink, IBM, Microsoft и VeriSign. Представитель Yahoo отметил, что стандартизация технологии очень важна для ее принятия, поскольку технология, не ставшая стандартом, вряд ли будет использоваться в продуктах или пользователями. Напомним, что Группа по стандартизации интернет-технологий недавно утвердила в качестве "экспериментальных" два предложения стандарта аутентификации отправителя - Sender ID и SPF. Представитель Yahoo уверил, что в борьбе со спамом, фишингом и мошенничеством Sender ID и DKIM могут работать "бок о бок". Источник: CNET News.com Sender ID и SPF быстрее всех осваивают спамеры 11.07.2005 Пока эксперты обсуждают, какую технологию принять в качестве стандарта аутентификации, спамеры продолжают использовать Sender ID и SPF для того, чтобы обходить спам-фильтры. Компания MX Logic проанализировала 17,7 миллионов сообщений, которые прошли через ее серверы в течение 19-25 июня. Выяснилось, что из 9% писем, пришедших с доменов, опубликовавших записи SPF, 84% были спамом. Письма, содержащие записи Sender ID, составили всего 0,14% из всех проанализированных сообщений. При этом из них спамом были 83%. "Спамеры продолжают использовать Sender ID и SPF, чтобы их письма выглядели более легитимными", - сказал руководитель технического отдела компании MX Logic Скот Часин (Scott Chasin). В конце июня Microsoft объявила, что все сообщения, приходящие на адреса сервисов Hotmail и MSN с доменов, не использующих Sender ID, будут маркироваться. Пока такие сообщения не блокируют и не относят к спаму, однако, как следует из заявления, к концу года все письма, не прошедшие проверку на подлинность отправителя с помощью технологии Sender ID, попадут в спам. Часин считает, что существует связь между суровым решением Microsoft и использованием спамерами SPF и Sender ID. Активное использование SPF и Sender ID спамерами - не единственная проблема технологий. На днях Message Anti-Abuse Working Group - группа, в состав которой входят представители AOL, Yahoo, Symantec и EarthLink - распространила доклад, в котором представлена оценка SPF и Sender ID. Группа подтвердила проблемы протоколов, возникающие при пересылке сообщений. В докладе подчеркивается, что ни одна из систем аутентификации не может гарантировать, что письмо действительно пришло с указанного обратного адреса. Напомним, что Yahoo и Cisco также представили на рассмотрение IETF технологию DomainKeys Identified Mail (DKIM), предложив ее в качестве стандарта аутентификации. Еще одна не радостная новость от MX Logic - рост числа спам-писем, рассылаемых с зомби-машин. В июне такие письма составили 62%, тогда как в мае их доля была 55%, а в апреле - 44%. MX Logic также сообщает, что антиспамовый закон США спамеры продолжают игнорировать: всего 4% незапрошенных рекламных писем в первой половине 2005 года соответствовали требованиям Can-Spam Act. Это даже меньше, чем в декабре 2004 года, когда доля таких писем составляла 7%. Источник: TechWeb Взрывы в Лондоне "вдохновили" интернет-злоумышленников 11.07.2005 Хорошо известно, что спамеры и вирусописатели используют в своих целях интерес людей к "горячим" новостям. Очередной троян распространялся в письме, якобы содержащем файл с любительской видеосъемкой последствий взрыва бомбы в Лондонской подземке. По информации компании MessageLabs, данное письмо - фальшивый новостной html-бюллетень CNN. Тема сообщения"TERROR HITS LONDON" - "Террор обрушивается на Лондон". В письме пользователям предлагается "просмотреть уникальные кадры из любительской видеосъемки". Файл называется "London Terror Moovie.avi" и выглядит как обычный видеоклип, однако на самом деле имеет расширение .exe. Кроме того, для того, чтобы притупить бдительность получателей, в письме сообщается, что файл "проверен антивирусом Norton Antivirus.exe". Видимо, мошенники сочли свою стряпню достаточно убедительной, поскольку не удосужились даже вставить в графу "отправитель" реальный адрес CNN. Вместо этого они указали адрес breakingnews@CNNonline.com, который принадлежит не CNN, а некоей компании во Флориде. Однако далеко не все пользователи об этом догадались, многие запустили файл. При попытке открыть вложенный в письмо файл на компьютер устанавливается троян. При запуске вложение копируется в файл /Windir/winlog.exe и изменяет раздел реестра HKLM/Software/microsoft/Windows/CurrentVersion/Run таким образом, чтобы оно автоматически выполнялось каждый раз во время загрузки Windows. Затем троян пользуется зараженным компьютером и серверами SMTP для рассылки огромного количества спама. Хорошо известно об использовании интернет-злоумышленниками методов социальной инженерии. Они не упускают возможности сыграть на популярности знаменитостей или повышенном внимании к новостям о трагических событиях, которые уносят жизни многих людей. Война в Ираке, уничтожение небоскребов в Нью-Йорке, кончина Папы Римского, цунами в Азии - все эти события в свое время цинично эксплуатировались мошенниками ради наживы. Источник: CNews.ru Лучший друг спамера - беспечный пользователь 12.07.2005 11% пользователей покупали товары и услуги, рекламируемые в спаме, 9% потеряли деньги, поддавшись на удочку интернет-мошенников. Таковы результаты совместного исследования компаний Mirapoint и Radicati Group. Согласно результатам исследования, "не без греха" оказалось и более трети тех респондентов, которые ничего не покупали у спамеров: из них 39% признались, что кликали на ссылки, содержащиеся в спам-рекламе. В результате проявленного любопытства 57% стали получать больше спама. Эксперты встревожены тем, что более половины пользователей не понимают, какую опасность таят ссылки в спамовых письмах. Последствия посещения спамерских сайтов могут и не ограничиваться увеличением объемов спама в почтовом ящике. Известно, что зачастую ссылки в спаме ведут на страницы, откуда на компьютеры пользователей загружаются шпионское ПО, вирусы и другие вредоносные программы. В корпоративных сетях такие "подарки" особенно опасны: они легко могут распространиться и на другие машины в сети или попасть в компьютеры сотрудников компаний-партнеров, других организаций или клиентов. По сравнению с прошлым годом ситуация ухудшилась. Год назад, когда Mirapoint и Radicati Group провели аналогичное исследование, 10% респондентов сообщили, что делали покупки у спамеров, а кликали на ссылки, содержащиеся в спамовых письмах, 31% опрошенных. По словам аналитика Radicati Group, пользователям необходимо научиться грамотно обращаться со спамом. Лучше всего просто не открывать письма, пришедшие из неизвестных источников. "Возможно, спам исчезнет, если люди прекратят покупать товары, рекламируемые в нем", - сказал он. Пока же беспечные пользователи, доказывая эффективность спам-рекламы, создают условия для процветания спамеров. Возможно, покупательский пыл любителей спама несколько остудит осознание тех опасностей, которые все чаще таят спамовые письма вследствие стремительной криминализации спам-индустрии. Всего в ходе исследования в марте-апреле 2005 года было опрошено 800 пользователей. Источник: BUSINESS WIRE (Yahoo!) Спам - статистика за период 04 - 10 июля 2005 г. Ашманов и Партнеры Объем спама и тематические особенности Уровень спама колеблется в районе 80% от общего объема почтового трафика Рунета. На прошлой неделе несколько неожиданно прошла очередная волна "нигерйиских писем", эксплуатирующих политическую ситуацию в России. Речь идет сразу о трех разных рассылках с предложением помочь в обналичке миллионов Ходорковского. Рассылки идут на английском языке, т.е., скорее всего, ориентированы на зарубежного пользователя. Для бОльшей достоверности приводятся ссылки на англоязычные новостные сайты, где есть публикации о "деле Юкоса". Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Остальной спам   33% +7% 2 Разные товары и услуги Предложения других товаров и услуг 15% -2% 3 Мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 10% -3% 4 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 8% -1% 5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 8% Без изменений 6 Образование Реклама семинаров, тренингов, курсов 7% -1% 7 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 6% +3% 8 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 6% -3% 9 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 4% Без изменений 10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 3% +1% Самый массовый спам и самое оригинальное предложение и самое нечитаемое письмо Вы найдете на сайте Спамтест. Как создатель SPF стал лучше понимать политиков По материалам washintonpost.com и TechWeb В 2003 году 29-летний Мен Вонг (Meng Wong) вместе со своим другом придумал SPF. Движим он был отнюдь не жаждой наживы, а осознанной необходимостью спасать электронную почту, заполоненную спамом и эксплуатируемую всяческими мошенниками. Поэтому свою программу Вонг сделал доступной всем желающим. Технология SPF, созданная Вонгом, позволяет выявлять поддельные адреса и, таким образом, бороться с фишингом и спамерами, которые предпочитают прятать концы в воду и подставляют фальшивые адреса в качестве обратных. Электронная почта, как и Интернет, была создана без учета того, что ее возможностями воспользуются злоумышленники. Однако со времени ее возникновения ситуация изменилась - и не в лучшую, с точки зрения безопасности, сторону. Кое-кто заговорил даже о конце Интернета и электронной почты. "Из маленького городка, в котором вы можете оставить дверь незапертой, Интернет превратился в мегаполис, в котором у вас больше не возникает желания разговаривать с незнакомцами на улице. В ситуации, когда вы не хотите знать своих соседей, необходимо найти способ, который позволит людям нести ответственность друг перед другом", - говорит Вонг. Идея использовать в качестве защиты электронной почты от мошенников систему аутентификации отправителей пришла в голову не только Вонгу. Аналогичными разработками занималась корпорация Microsoft. Еще дюжина компаний, включая Yahoo и Cisco Systems, также пытались искали возможности сделать электронную почту более надежной. В этой ситуации в 2004 году Microsoft приложила немало усилий, чтобы получить согласие малоизвестного компьютерного инженера из Пенсильвании на объединение созданной им технологии и разработки Microsoft. Вонг в течение многих лет был сторонником бесплатных программ open-source, так что переговоры продвигались туго. В мае 2004 года в одной из гостиниц Вонг встречался сразу с тремя представителями Microsoft, двое из которых, по свидетельству очевидцев, большую часть времени проводили в коридоре, эти самые закрытые двери охраняя. В результате, согласие Вонга было все же получено: стороны договорились объединить две технологии аутентификации и совместно продвигать гибридную технологию, получившую название Sender ID. Sender ID была предложена на рассмотрение Internet Engineering Task Force (IETF) - группе, в которую входят добровольцы из сотен компаний, академических институтов и правительственных организаций. Хотя IETF не обладает официальными полномочиями заставить кого-либо принять свои решения, авторитет и степень влияния у нее очень высокие. В ходе жаркого обсуждения Sender ID Вонг сохранял спокойствие и объяснял, что технология не является "серебряной пулей" в борьбе со спамом. Не лишенный воображения программист сравнивал Sender ID с мукой, которая сама по себе - продукт не съедобный, но хлеб из нее испечь можно - надо только добавить некоторые ингредиенты и поработать, как следует. Отшлифовка Sender ID продвигалась довольно быстро и к концу прошлого года технологию, по мнению специалистов, вполне можно было принимать в качестве стандарта. И тут грянул гром: Microsoft попыталась запатентовать Sender ID. Реакция последовала незамедлительно - Microsoft обвинили в использовании процесса стандартизации для проталкивания корпоративных интересов. И хотя Microsoft объясняла свои действия благими намерениями (технологию надо запатентовать, чтобы никто другой ее не присвоил), доверие общественности было потеряно - слишком хорошо игроки IT-рынка помнили времена, когда Microsoft диктовала всем свои условия. Вонгу пришлось оправдываться перед своими соратниками из open-source. По его словам, он понятия не имел о планах Microsoft. Однако и Microsoft он поддержал, заявив, что доверяет корпорации. Технологии Sender ID как стандарт аутентификации отправителя e-mail была отклонена. Справедливости ради заметим, что, помимо проблем с патентами, у Sender ID были и есть некоторые технических недостатки - в частности, проблемы возникают при пересылке сообщений. Как бы то ни было, IETF распустила рабочую группу MARID (MTA Authorization Records In DNS), и на некоторое время разговоры об аутентификации стихли. Судя по реакции Вонга, его провал Sender ID не очень расстроил. Вонг вернулся к внесенному ранее на рассмотрение MARID и забытому из-за Sender ID предложению Unified SPF. Это сеть, которая может поддерживать одну и более систем аутентификации отправителя в зависимости от настроек системного администратора. Вонг вообще считает, что разнообразие - это преимущество, а не предмет для войны стандартов. "Говорить, что мы должны стандартизировать одну систему аутентификации - все равно, что настаивать на том, что все бензоколонки должны продавать исключительно высокооктановый бензин и совсем не продавать дизельное топливо", - сказал Вонг и отметил, что сторонникам тех или иных стандартов аутентификации Unified SPF даст возможность их использовать. Затишье в обсуждении возможных стандартов аутентификации по определению было временным: стремительно растущая угроза фишинга требует решений. Судя по всему, настала пора возобновления дискуссий. На днях Sender ID и SPF получили "экспериментальный" статус, а Yahoo и Cisco представили на рассмотрения IETF объединенную технологию DKIM. Что касается Вонга, то, по его словам, период, когда он был проповедником аутентификации, научил его по-новому смотреть на политиков и политику. "В некотором смысле я был вынужден из программиста превратиться в политика. Могу себе представить, каково настоящим политикам, когда они пытаются сделать что-то, не пользующееся единодушным одобрением", - говорит Вонг. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004