Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 114 в этом номере: Новости Спам - статистика за период 22 - 28 августа 2005 г. Адресный шпионаж Новости Госдеп США отразил 13 миллионов "нападений с использованием спама" 26.08.2005 В текущем году Госдепартамент США нейтрализовал 13 миллионов "нападений с использованием спама" и заблокировал 3,8 миллионов попыток заражения компьютерными вирусами. Об этом сообщила пресс-служба американского внешнеполитического ведомства. Сообщение было распространено в связи с информацией в газете Washington Post и других мировых СМИ о предпринимаемых попытках проникновения в компьютеры государственных министерств и ведомств США с ряда интерет-сайтов в КНР. "Мы защищаемся от попыток нападений на наши системы со стороны источников в Китае и многих других странах", - говорится в документе. По данным пресс-службы, осуществляется круглосуточная защита компьютерных систем Госдепартамента от внешнего проникновения, и ни одна из попыток несанкционированного внешнего проникновения на сайты Госдепартамента пока "не увенчалась успехом". При этом Госдепартамент отказался сообщить какие-либо подробности работы своих систем компьютерной защиты, подчеркнув, что этими вопросами ведает Министерство внутренней безопасности США. Источник: Yтро.ru Порноспамеры предстанут перед судом 26.08.2005 По сообщению Министерства юстиции США, федеральное жюри присяжных выдвинуло обвинения против троих человек, причастных к одной из самых масштабных в мире операций по распространению порноспама. Обвиняемые Дженнифер Клэйсон (Jennifer Clason), Джеффри Килбридж (Jeffrey Kilbride) и Джеймс Шаффер (James Schaffer) рассылали спам, рекламирующий порносайты. По оценкам следствия, ими могло быть разослано несколько десятков миллионов писем. Только America Online с января по июнь 2004 года получила от своих клиентов более 600 тысяч жалоб на порноспам, который, как полагают, рассылался троицей порноспамеров. Обвиняемые старательно маскировали источники рассылки: фальсифицировали адерса отправителей и рассылали спам с IP-адресов, зарегистрированных в Нидерладнах, и использовали доменные имена, зарегистрированные в Маврикии. Однако никакие ухищрения их не спасли. Против каждого из троицы порноспамеров выдвинуты обвинения из 9 пунктов в нарушении антиспамового закона США Can-Spam Act. Кроме того, Килбриджу и Шафферу предъявлены обвинения в преступном сговоре и финансовых махинациях - для получения прибыли от спам-операций они преднамеренно использовали счета иностранных банков в Маврикии и на острове Мэн. Если обвиняемые будут признаны виновными, каждый из них может схлопотать до 5 лет тюрьмы за свою спамерскую деятельность и по обвинению в преступном сговоре. Кроме того, 39-летним Килбриджу и Шафферу грозит лишение свободы сроком до 20 лет за осуществление финансовых махинаций и до 5 лет за распространение информации порнографического содержания. Четвертый сообщник порноспамеров, Эндрю Элифсон (Andrew Ellifson), в феврале этого года признал себя виновным в нарушении Can-Spam Act и в преступном сговоре. Источник: AFP (Yahoo!) Арестованы предполагаемые создатели червя Zotob 27.08.2005 По сообщению ФБР, власти Турции и Марокко арестовали двух человек, подозреваемых в создании компьютерных червей, которые инфицировали сотни тысяч компьютеров по всему миру. В число их творений входит и червь Zotob. Полиция Марокко арестовала 18-летнего Фарида Эссебара - марокканца, родившегося в России и пользующегося в Сети ником "Diabl0". В Турции арестован 21-летний Атилла Экиджи (Atilla Ekici), известный под ником "Coder". Эссебар и Экинджи подозреваются в распространении компьютерных червей Zotob и Mytob, использующих уязвимости операционной системы Windows. ФБР и Microsoft, которая помогала в расследовании, сообщают, что ники подозреваемых можно найти в оригинальном коде Zotob. По заявлению властей, парочка использовала червей исключительно в коммерческих целях и, по-видимому, не имеет никаких связей с террористами. Почтовый червь Mytob появился в конце февраля и с тех пор расплодился в дюжине вариантов. Хакеры используют Mytob для кражи персональной информации и для рассылки спама с инфицированных компьютеров. Эссебар и Экинджи подозреваются также в авторстве предшественника Mytob, трояна Rbot, который дает хакерам доступ к инфицированным машинам. Zotob появился 14 августа, через четыре дня после того, как Microsoft распространила патч для уязвимости, которую эксплуатирует червь. По сообщению представителя компании Symantec, Zotob и последующие вариации червя инфицировали корпоративные сети по крайней мере 255 компаний, включая CNN, New York Times и ABC News По словам представителя ФБР Луиса Рейгеля (Louis Reigel), улики свидетельствуют о том, что Экиджи платил Эссебару за создание червей. Правительство Марокко распространило информацию, согласно которой конфиденциальные данные, украденные с инфицированных компьютеров, Экиджи и Эссебар переправляли преступникам, занимающимся мошенничеством с кредитными картами. Рейгель сообщил, что США не будут добиваться экстрадиции Экиджи и Эссебара. Судить их будут, соответственно, в Марокко и Турции, а улики судам представит ФБР. Следствие по делу червей Mytob и Zotob продолжается, и могут последовать новые аресты. Источник: Washington Post Symantec Security Gateway 5600 30.08.2005 Symantec начинает продажу нового аппаратного обеспечения - Symantec Security Gateway 5600 - для защиты сетей корпоративных клиентов. Серия 5600 представляет собой обновление предыдущей версии шлюза серии 5400, выпущенной в сентябре 2003 года. Новый продукт предлагает семь опций безопасности: антиспам; антивирус; брандмауэр; детектор вторжений; защиту от вторжений; VPN, не требующую клиентского ПО (clientless SSL VPN) и VPN на технологии IPSec. Опция VPN, не требующая клиентского программного обеспечения, использует технологию Secure Sockets Layer и является новой, прочие опции - это обновления предыдущей версии. По утверждению Symantec, новое оборудование серии 5600 улучшит производительность и надежность шлюза. Все возможности предварительно установлены и запускаются после ввода лицензионного ключа. Пользователи могут выбрать набор свойств, что отличается от предыдущей версии, которая требовала обязательной покупки лицензии на брандмауэр или VPN. Серия 5600 выходит в трех версиях - 5620, 5640 и 5660. Большему номеру версии соответствует более продвинутое оборудование. Версия 5660 может защищать 5000 рабочих станций, обладает резервированными дисками и питанием, имеет 10 гигабитных портов Ethernet и способна поддерживать пропускную способность 3,0 гигабит в секунду. Возможно использование до четырех оптических портов. Что касается ПО, то в серии 5600 усилена контентная фильтрация, включающая динамический просмотр документов, аппаратное обеспечение интегрировано с Symantec SSL VPN. Кроме того, в новой серии IT-менеджер сможет получать жалобы от клиентов, что будет способствовать контролю безопасности конечных пользователей. По словам представителя Symantec, клиенты компании, которые уже используют продукты серии 5400 и 4400, смогут обновить ПО, не покупая оборудование серии 5600. Источник: CNET News.com Источник: InfoWorld Новинки от CipherTrust 30.08.2005 CipherTrust сообщает сразу о трех новшествах: запуске сайта TrustedSource Portal, новом аппаратном обеспечении IronMail Edge и новой версии шлюза IronMail 6.0. Новый сайт CipherTrust - TrustedSource Portal - в реальном времени предоставляет информацию о спам- и фишинг- и зомби-атаках, а также мошеннических письмах, распространяющихся в Сети. На сайте можно также найти информацию о доменах и IP-адресах основных отправителей почтовых сообщений последних суток. Кроме того, сайт предоставляет информацию о том, кто из них использует технологии аутентификации DomainKeys, DomainKey Identified Mail (DKIM), Sender ID или Sender Policy Framework (SPF), что позволяет проверить их подлинность. TrustedSource Portal анализирует почтовые сообщения и присуждает определенный рейтинг отправителям. Шкала рейтинга скользящая: "хороший" - "подозрительный" - "плохой". IP-адреса и имена доменов проверяются двумя способами: анализируются данные, полученных из жалоб ISP со всего мира, черных и белые списков, специальных ловушек для спама, а также информация с 4000 серверов клиентов CipherTrust. Согласно официальному сообщению, TrustedSource может обрабатывать 10 миллиардов электронных писем в месяц и ежедневно блокирует доступ 170000 зомби. IronMail Edge - аппаратное обеспечение, устанавливаемое перед брандмауэрами корпоративных сетей. IronMail Edge проверяет не содержание электронных писем, а IP-адреса и домены отправителей, ориентируясь на рейтинг репутации отправителей TrustedSource. Если рейтинг отправителя "плохой", IronMail Edge блокирует сообщение. Письма "подозрительных" и "хороших" отправителей пропускаются. По информации CipherTrust, использование IronMail Edge позволяет блокировать до 50% входящих спамовых сообщений на границе сети. В результате не страдает пропускная способность сети, уменьшается нагрузка на серверы и не возникает необходимость архивировать спам. IronMail Edge действует как буфер между Интернетом и корпоративным почтовым шлюзом, который проверяет контент каждого сообщения, прежде чем отправить его конечному пользвателю. Хотя оптимально использование IronMail Edge вместе с IronMail Gateway, система будет работать с любым почтовым шлюзом, размещенным за брандмауэром. Новая версию шлюза CipherTrust IronMail 6.0 предлагает усиленную защиту от спама, более эффективный почтовый брандмауэр и улучшенную детекцию и блокирование зомби. IronMail 6.0 тесно интегрирован с TrustedSource Portal. Теперь администраторы смогут проверить рейтинг конкретного отправителя сообщения, который присудил ему TrustedSource Portal. Источник: InternetNews.com Спам - статистика за период 15 - 22 августа 2005 г. Лаборатория "Спамтест" Объем спама и тематические особенности В начале прошлой недели произошел всплеск роста спама, что связано с началом осенней рекламной кампании. Производители товаров/услуг начинают искать новых клиентов, отсюда пик спамерских рассылок. Кстати, спамеры тоже ищут клиентов, поэтому количество предложений по организации спамерских рассылок резко выросло. В первые дни недели пик спама составил до 90% от общего объема почты, к концу недели уровень спама упал до прежних значений - около 80% от почтового трафика. Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Разные товары и услуги Предложения других товаров и услуг 32% +2% 2 Остальной спам   26% +5% 3 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 8% -1% 4 Образование Реклама семинаров, тренингов, курсов 8% +4% 5 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 7% Без изменений 6 Мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 7% Без изменений 7 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 4% -3% 8 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 3% -2% 9 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 3% -4% 10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 2% -3% Самые оригинальные предложения "Акция недели: КАЖДОЙ ДВОЙНЕ - ТРЕТЬЕГО БЕСПЛАТНО!" Не пугайтесь - речь идет не о младенцах, а о покупке столов. "Внимание фальшивые туры.!!" Тема этого рекламного шедевра также может ввести получателя в заблуждение. Речь в письме вовсе не об опасности действий недобросовестных туроператоров. В нем действительно предлагается фальшивый тур: "Вы говорите страну, в которой хотите отдохнуть и менеджер составляет с Вами тур. Потом Вы получаете фотографии своего отдыха, рассказ от менеджера о Вашем отдыхе, сувениры с мест отдыха и по желанию авиабилеты." К сожалению, к сувенирам не прилагаются загар и хорошее настроение. Эти письма, а также образчик самого массового спама недели вы найдете на сайте Спамтест. Адресный шпионаж По материалам PC World Восемь из десяти сайтов, на которых для подтверждения регистрации требуется электронный адрес посетителя, уязвимы для охотников за адресами. При этом злоумышленники могут заполучить не только адрес для спам-рассылок, но и информацию о его владельце. Для сбора адресов может быть использована процедура регистрации на сайтах. Делается это так: спамеры пытаются зарегистрировать на сайте тысячи электронных адресов, созданных методом перебора. Среди них могут быть и адреса, принадлежащие зарегистрированным на сайте пользователям. Если некий адрес уже зарегистрирован, появляется соответствующее сообщение. В таком случае спамеры понимают, что адрес легитимный, и вносят его в свои списки. Еще один прием, используемый для сбора адресов, - напоминание пароля. В этом случае спамер или фишер требует, чтобы с сайта на определенный адрес было послано напоминание пароля. Если этот адрес не был зарегистрирован на сайте, напоминание не посылается. Если же адрес был зарегистрирован, будет послано сообщение по электронной почте, а адрес попадет в копилку спамеров. Злоумышленники легко могут создать скрипт, который будет автоматически выявлять зарегистрированые на сайте адреса. Эта же тактика может быть использована для того, чтобы подтвердить, что некий адрес зарегистрирован на определенном сайте. Зачем столько возни? Дело в том, что таким образом спамеры и фишеры могут получить дополнительные сведения о своих будущих жертвах. Собрав информацию о том, на каких сайтах зарегистрирован пользователь, и проведя несложный логический анализ, можно предположить, кем является владелец адреса, в какой стране он живет, каковы его пристрастия и даже состояние здоровья. Используя эту информацию, спамеры осуществляют рассылки с учетом интересов пользователей. Такие рассылки рассчитаны на то, что получатель спама с большей готовностью потратит свои деньги на рекламируемый товар/услугу. Или, заинтересовавшись темой сообщения, откроет зараженное письмо. Фишеры, в свою очередь, используют раздобытую информацию о владельцах адресов для проведения целевых атак. В результате, получателям гораздо легче попасться на удочку мошенников. Например, пользователю, зарегистрированному на сайте Wine.com, может быть прислано сообщение от имени Visa приблизительно следующего содержания: "На сайте Wine.com мы зафиксировали использование вашей кредитной карты Visa мошенниками. Пожалуйста, кликните на ссылку и подтвердите информацию о вашей кредитной карте". На некоторых сайтах уже работают технологии, препятствующие вводу адресов автоматами: например, при регистрации появляется картинка с изображением слова, которое необходимо ввести. Эта задача не по зубам автоматам, однако человек с ней легко справится. Большинство банков борются с охотниками за адресами не первый год и разработали свои системы защиты: на их сайтах, прежде чем будет послано сообщение с напоминанием пароля, посетителю может быть предложено разобраться с графическим изображением и ввести некую персональную информацию. Пользователи тоже должны предпринять определенные меры и защитить себя от спамеров и разнообразных мошенников. Эксперты советуют при регистрации на сайтах вводить не свой основной электронный адрес, а адреса, специально созданные для таких случаев. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004