Электронный журнал "Спамтест" No. 146 в этом номере: Новости Спам - статистика за период 01 - 14 мая 2006 г. Конец "Синей лягушки" Новости Фишеры предпочитают международные бренды 16.05.2006 Международные бренды оказались основным объектом фишинг-атак в апреле и обошли по "популярности" американские компании, сообщает сайт TechWorld.com со ссылкой на результаты ежемесячного исследования компании RSA Security. Согласно этому исследованию, фишеры также обратили пристальное внимание на британские бренды - количество фишинг-атак против клиентов британских компаний уступает теперь лишь количеству атак против клиентов американских компаний. По общему количеству фишинг-атак США остаются на первом месте, однако в контексте глобальных атак международные бренды получили самую большую долю - 57%. При этом 42% атак зафиксировано в Великобритании, 26% - в Испании, по 10% - в Италии и в Канаде, 5% - в Германии. Общее число компаний-брендов, подвергшихся атаке в апреле, снизилось и составило 93 (в марте - 127). Также наметилась тенденция ухода преступников из англоязычных стран, которые были основным полем деятельности фишеров с момента появления фишинга. Снижение фишинг-активности в США может быть обусловлено целым рядом факторов: укреплением защиты банковских систем, улучшением спам-фильтров, ростом осведомленности клиентов. Тем не менее, из США по-прежнему отправляются 2/3 всех фишинг-писем, и это намного больше, чем из Южной Кореи, Германии, Великобритании и Китая, которые также являются регионами активной деятельности фишеров. Источник: TechWorld.com Kodak заплатит штраф за нарушение закона о спаме 16.05.2006 Компания Kodak признала себя виновной в нарушении федерального закона США о спаме (CAN-SPAM Act) и готова выплатить штраф в размере $26331. Полтора года назад подразделение Kodak Imaging Network, обеспечивающее работу веб-сервиса для хранения фотографий, отправило электронные письма 2 миллионам пользователей, не предоставив им возможности отписаться от будущих посланий. По словам представителей Федеральной комиссии США по торговле (FTC), размер штрафа позволяет лишить Kodak доходов от кампании по рассылке писем пользователям. Американское законодательство запрещает рассылать электронные письма с заголовками, вводящими пользователей в заблуждение, и требует от авторов коммерческих рассылок предоставления пользователям возможности отказаться от получения писем в дальнейшем. Коммерческие письма должны содержать пометку о том, что они носят рекламный характер, и действующий обратный адрес. "Этот инцидент стал следствием обычного технического сбоя, в результате которого пропала часть текста. Мы сформулировали проблему, предприняли меры для ее устранения и убеждены, что она больше не возникнет", - прокомментировала ситуацию пресс-секретарь Kodak Лиз Скэнлон (Liz Scanlon). Источник: Reuters Фишеры внедрили свой скрипт на страницы eBay 17.05.2006 Фишеры создали поддельную страницу сайта eBay, используя в описании лотов яваскрипт, официально разрешенный интернет-аукционом. Конечный вид поддельной страницы зависит от типа обращения к ней. В случае, если в запросе нет специального параметра, описание аукционного лота сводится к "357473301". Специалисты этой компании Symantec выяснили, что по запросу, содержащему параметр jsc=sig, пользователю выдается страница авторизации, полностью аналогичная оригинальной странице eBay. "Использование яваскрипт и Ajax позволяет мошенникам создавать более убедительные схемы", - комментирует новый ход фишеров представитель Symantec Оливер Фридрикс (Oliver Friedrichs). "Эту атаку нельзя назвать изощренной, поскольку мошенник совершил несколько глупых ошибок. Однако он легко мог сделать все гораздо лучше", - отметил Билл Шо (Bill Shaw), вице-президент компании TOPPSoft Computer Solutions, разработавшей eBay. Интернет-аукцион Ebay активно борется с фишерами, проводя разъяснительную работу со своими пользователями. В разделе "Часто задаваемые вопросы" администраторы аукциона однозначно отвечают на вопрос "Как я узнаю, что электронное письмо пришло именно от eBay?": "eBay никогда не будет просить Вас сообщать номер учетной записи, пароль или другую конфиденциальную информацию по электронной почте. Если у Вас есть какие-либо сомнения относительно того, что письмо пришло от eBay, откройте новое окно браузера, введите в адресной строке www.ebay.com и входите на сайт". Эксперты аукциона рекомендуют не переходить на сайт по ссылке, пришедшей в письме, и всегда пользоваться либо адресной строкой, либо закладками. "Наиболее актуальным остается вопрос, каким образом мошенники сумели внедрить свой яваскрипт в список аукционных лотов. eBay, как правило, фильтрует подобные вещи, а этому фишеру удалось обойти фильтры", - говорит Шо. "eBay позволяет пользователям включать яваскрипт в списки лотов и будет делать это в дальнейшем. Мы знаем, что некоторые люди злоупотребляют этой возможностью, однако риск минимален, а преимущества яваскприпт огромно", - сообщила пресс-секретарь eBay Кэтрин Инглэнд (Catherine England). Аналитики компании Symantec считают, что подобные скрипт-инъекции не создают большого риска. "Однако подобный класс атак может позволить хакеру совершать преступные операции в пределах доменного пространства компаний. В этом конкретном случае фишеры имели возможность вести свою атаку внутри домена аукциона eBay", - заявили представители Symantec. По данным Антифишинговой рабочей группы (APWG), с марта 2005 по март 2006 года рост числа фишинг-сайтов составил 336 процентов. За этот же период число программ для считывания логов клавиатуры (кейлогеров) выросло на 256 процентов, а число сайтов, на которых размещаются кейлогеры, - на 829 процентов. Источник: DarkReading.com Предприимчивому хакеру вынесен приговор 17.05.2006 57 месяцев проведет в тюрьме 20-летний хакер Дженсон Анчета (Jeanson Ancheta). Согласно обвинению, он создал сети из зомби-компьютеров, доступ к которым продавал, в том числе, спамерам. Анчета, который входил в известную группировку "Botmaster Underground", был задержан осенью 2005 года, а в январе 2006 признал себя виновным в преступном заговоре, мошенничестве и инфицировании компьютеров правительства США. Анчете вменяется в вину инфицирование около 500000 компьютеров, которые использовались для рассылки спама. Впрочем, сам Анчета спам-рассылками особо не утруждался, "специализируясь" на распространении программного обеспечения для показа рекламы, а спамерам предприимчивый хакер продавал доступ к контролируемым им зомби-сетям. Хакер-предприниматель признался, что на своей незаконной деятельности "заработал" около 60 тысяч долларов. Кроме лишения свободы почти на 5 лет, Анчета поплатится за свою предприимчивость 15 тысячами долларов, которые, по решению суда, ему придется выплатить Военному исследовательскому центру США (US Naval Air Warfare Center) в Чайна-Лейк, а также лишится 60 тысяч долларов незаконной прибыли, которые будут конфискованы правительством США. Источник: CNET News.com Спам - статистика за период 01 - 14 мая 2006 г. "Лаборатория Касперского" Объем спама и тематические особенности Для россиян первая половина мая - это, прежде всего, праздники, которые прочно ассоциируются с выходными и отпусками. Кто-то едет заграницу, а кто-то предпочитает отдых за городом. Первая половина мая - это традиционное падение уровня спама на русском языке, связанное с общим снижением потребительского спроса на рекламу в этот период. В результате на фоне уменьшения количества русскоязычных рекламных предложений происходит перераспределение доли англоязычного и русскоязычного спама в почтовом трафике Рунета: хотя количество англоязычного спама не растет, его доля увеличивается. Кроме того, спамеры активно используют период низкой рекламной активности для продвижения собственных услуг - услуг по рассылке спама. Май 2006 года в этом плане не стал исключением, хотя общее снижение уровня спама в разгар праздников оказалось более "плавным", чем в прошлом году. Последние два дня апреля характеризовались всплеском доли спама до 84% от общего объема почтового трафика Рунета. А к 5 мая уровень спама упал на 11% и составил 73%. Далее к началу рабочей недели 10 мая наблюдалось повышение доли спама до 76%, а к выходным 13-14 мая - падение до 70-73%. С точки зрения тематического распределения спама первая неделя мая продемонстрировала прогнозируемый рост предложений спамерских услуг. Доля таких предложений подскочила до 14% от общего объема спама (ср. 2,2% в последнюю неделю апреля). На следующей неделе, в соответствии с ожиданиями спам-аналитиков, доля этого спама существенно понизилась и составила уже 6,7%. Спам становится более "летним", т.е. в нем появилась масса сезонных предложений, так или иначе привязанных к лету. Это, например, рассылки, рекламирующие продукты и напитки для пикников и выездов за город и услуги по организации пикников и рыбалок ("Скоро - лето, жаркие солнечные дни, в которые так хочется утолить жажду бокалом прохладного белого вина!"). А для офисных работников наиболее заманчивым, очевидно, можно считать предложение по организации корпоративного отдыха с обещанием "раскрасить начальника в боевую раскраску индейцев". К середине мая активизировались спам-рассылки с предложениями образовательных услуг. Наиболее любопытная рассылка прошедшей недели предлагала выучить "английский для простолюдинов" - "эффективное изучение языка, который можно будет применять на практике в обыденных ситуациях, но который при этом будет далек от литературного идеала". Пример такого спама приведен на сайте Спамтест. Также на прошедшей неделе была зафиксирована атака, в которой посредством спама распространялось вредоносное ПО. В рассылаемом спамовом письме в аттачменте содержался вирус, а текст письма гласил: "в интернете появился новый вирус, высылаю тебе заплатку... Установи пока ещё твой компьютер не заразился". Кроме того, неожиданно прорезался политизированный спам, который крайне редко появляется в периоды праздников и затишья активности пользователей. Спамовое письмо, в котором сообщалось, что "Движение "За общество здравого смысла" ищет сторонников" (фрагмент этого спама см. на сайте Спамтест), содержало целую политическую программу и призывы к объединению "единомышленников". Популярные тематики No Тематика Описание Доля тематики 1 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 21% 2 Другие товары и услуги Предложения других товаров и услуг 19,1% 3 Медикаменты; товары/услуги для здоровья Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 15,2% 4 Образование Реклама семинаров, тренингов, курсов 10,9% 5 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 10,0% 6 Остальной спам   6,5% 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 6,0% 8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 5,4% 9 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 3,9% 10 Спам "Для взрослых" Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом Менее 2% Самый массовый спам недели и самые оригинальные предложения вы найдете на сайте Спамтест. Конец "Синей лягушки" Ольга Емельянова 17 мая, после массированной DDoS-атаки, которой подверглись сайты компании Blue Security, и угроз, полученных компанией от спамеров, Blue Security объявила о закрытии проекта Blue Frog. Один из основателей компании и ее генеральный директор Эран Решеф (Eran Reshef), по его словам, вывесил белый флаг и признал поражение в войне со спамерами. Скажи "ква!" Почившая "Синяя лягушка" была молода. Blue Security начала распространять бета-версию своей новой программы Blue Frog летом 2005 года, объявив, что найдено решение, которое поможет справиться со спамерами. Идея была проста: для начала Blue Security пытается связаться со спамерами и убедить их прекратить посылать спам на адреса Blue Frog. Если это не срабатывает, Blue Security предупреждает о грядущей атаке хостинг-провайдера сайтов, рекламируемых в спаме, и начинает атаку. Blue Frog находит на спамерских сайтах формы, требующие заполнения пользователями, и все компьютеры подписчиков Blue Frog, находящиеся в Сети, одновременно и неоднократно в течение некоторого периода времени вводят в формы требования исключить электронные адреса пользователей Blue Frog из спамерского списка. Кроме того, для реализации этого решения спамерам предлагается загрузить специальные инструменты с сайта Blue Security. Предполагалось, что в результате десятков тысяч единовременных запросов спамерский сайт "ляжет", и спамеры предпочтут выполнить требования Blue Security. Ничто не ново Идея была не так чтобы совсем новой. За полгода до рождения "Лягушки" вспыхнула и погасла звезда скринсейвера Lycos Europe с романтичным названием Make Love Not Spam, который посылал запросы со всех компьютеров, загрузивших программу, на сайты, использующие спам в рекламе. Для Lycos Europe результат был плачевным: критика экспертов, обвиняющих Lycos в использовании незаконных DDoS-атак, заблокированный спамерами сайт и, в результате, закрытие проекта через очень короткое время. Детище Blue Security просуществовало дольше и критиковали его меньше. Возможно, потому что оно не вызвало такого интереса у пользователей, и "Лягушка" "квакала" достаточно тихо, хотя и небезрезультатно. Ее создатели утверждали, что новый подход в борьбе со спамерами эффективен (у некоторых подписчиков Blue Frog объемы спама в почте уменьшились на 25%), этичен, реализует право пользователей отписаться от спама и со временем разрушит экономические основы спама. Как бы то ни было, к маю 2006 года число пользователей Blue Frog достигло 522000. И все было хорошо, пока "Лягушка" не "квакнула" слишком громко. Или "квакнула" не на того спамера. Спамер не просто не внял требованиям Blue Security, он "убил" лягушку. Русский след Решеф утверждает, что спамер этот находится в России. Вполне возможно. По крайней мере, портрет злого дяди, топырящего пальцы и грозно восклицающего "ты на кого наехал?!" напрашивается. А дядя, судя по всему, был очень зол. "Синяя лягушка" закончила свое существование после серии DDoS-атак с использованием десятков тысяч компьютеров, которые вывели из строя не только сайт Bluesecurity.com, но и другие веб-сайты. Пострадали, в том числе, компания Six Apart Ltd., на счету которой миллионы веб-сайтов сервиса TypePad и блогов LiveJournal, а также Tucows Inc. - ISP, обслуживающий сайт Blue Security. По словам исполнительного директора Tucows Элиота Носса (Elliot Noss), это была одна из самых серьезных атак, которые когда-либо наблюдала Tucows, и лишь немногие компании обладают инфраструктурой, позволяющей устоять при атаке такого масштаба. "На самом деле это было похоже на попытку убить комара с помощью атомной бомбы", - сказал Носс. Кроме того, спамер прислал сообщение с недвусмысленной угрозой: если Blue Security продолжит свою антиспамерскую деятельность, ее пользователи станут мишенью вирусных атак. Blue Security капитулировала, посчитав безответственным ввязываться в полномасштабную кибервойну, втягивая в нее пользователей Blue Frog и подвергая опасности блокирования другие сайты. Экспертов, предрекавших нечто подобное, ситуация не удивила. Они безрадостно констатировали очередную победу спамеров. Как написал журналист washingtonpost.com, Голиаф опять победил Давида. Днем 17 мая на сайте Blue Security появилось соответствующее заявление, однако увидеть его смогли немногие: буквально через несколько минут сайт вновь был заблокирован и ко времени написания статьи оставался недоступным. Однако на этот раз атакован был не только сайт Bluesecurity.com. Все оказалось гораздо хуже. Последние публикации на сайте washingtonpost.com, касающиеся Blue Security, больше всего напоминали сводки военных действий. Но виртуальный белый флаг, вывешенный Решефом, не привел к окончанию войны в Интернете. Последнее "исчезновение" из Сети Bluesecurity.com связано с атакой на UltraDNS. Война продолжается UltraDNS - провайдер сервисов DNS, обслуживающий все веб-сайты, чьи адреса заканчиваются на .org и .uk, а также предоставляющий платные услуги сервиса DNS Shield. Задачей DNS Shield является защита сайтов от варианта DDoS-атак, в которых в качестве мишени используется система DNS. Судя по всему, в этот раз DNS Shield со своей задачей не справился. В ходе атаки большая часть сети UltraDN была наводнена фальшивыми DNS-запросами, уровень которых составлял 4-5 гигабайт в секунду. В результате вышли из строя около 2000 веб-сайтов солидных компаний. Этот вид DDoS-атак, получивший название DNS amplification attacks или reflected DNS attacks, в течение последних 6-8 месяцев становится все более популярным. Злоумышленники, используя "дыры" в плохо конфигурированных серверах DNS, генерируют фальшивые DNS-запросы к серверу DNS, выбранному в качестве мишени атаки. Поскольку DNS-запросы приходят с легитимного сервера, сервер-жертва начинает их обрабатывать, а злоумышленники, обеспечив массовый поток фальшивых запросов, добиваются его перегрузки. Кто стоит за атакой на UltraDNS - не известно. В любом случае, это еще одна демонстрация силы киберпреступников. Использованы материалы сайта washingtonpost.com: In the Fight Against Spam E-Mail, Goliath Wins Again Spam Fighter Calls It Quits Blue Security Kicked While It's Down Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005