Электронный журнал "Спамтест" No. 147 в этом номере: Новости Спам - статистика за период 15 - 21 мая 2006 г. Энциклопедия спама. "Нигерийские" письма Новости Blue Security признала свое поражение в войне со спамерами 18.05.2006 17 мая компания Blue Security после массированной DDoS-атаки, которой подверглись сайты компании, и угроз, полученных от спамеров, объявила о прекращении своей антиспамерской деятельности. Экспертов такой финал не удивил. 17 мая компания Blue Security после массированной DDoS-атаки, которой подверглись сайты компании, и угроз, полученных от спамеров, объявила о прекращении своей антиспамерской деятельности. Так закончилась история "Синей лягушки" - программы, которую около года назад ее создатели представили как эффективное решение проблемы спама. Идея состояла в том, чтобы со множества компьютеров, на которые загружена программа Blue Frog, в автоматическом режиме заполнялись формы на сайтах, рекламируемых в спаме. Независимо от назначения форм (на большинстве сайтов существуют формы, в которые посетители должны вносить ту или иную информацию), программа вносила в них требование изъять из спамерского списка рассылок адреса пользователей Blue Frog. Поскольку запрос вводили одновременно со многих машин (а число пользователей Blue Frog в мае составило 522000), предполагалось, что работа атакуемых спамерских сайтов будет затруднена, и спамеры пойдут на уступки. Однако не все спамеры оказались покладистыми. В начале мая один из спамеров (как полагает руководство Blue Security, спамер из России), разозленный посягательством Blue Security на свой бизнес, ответил контратакой. В течение двух недель сайт Bluesecurity.com подвергался массированным DDoS-атакам, в результате которых пострадал не только он, но и множество других сайтов. Кроме того, спамер послал письмо с угрозой "одарить" пользователей Blue Frog вирусной атакой, если антиспамерская деятельность компании Blue Security не будет прекращена. Blue Security признала свое поражение в войне со спамерами и объявила о прекращении своей антиспамерской детельности. Как сказано в соответствующем заявлении, компания не может взять на себя ответственность и ввязаться в кибервойну, подвергая опасности своих пользователей и другие сайты. Комментируя эти события, начальник группы спам-аналитиков "Лаборатории Касперского" Анна Власова сказала, что, к сожалению, возможности криминализированных интернет-сообществ, таких как спамеры, хакеры и авторы вредоносного ПО, часто недооценивают. На самом деле они располагают мощными техническими средствами, специализированным программным аппаратом и представляют серьезную угрозу для интернет-сообщества. Что, собственно, и продемонстрировал случай с Blue Security. Данные, которые находятся в распоряжении "Лаборатории Касперского", не позволяют судить о национальной принадлежности спамера, так что эксперты компании не могут подтвердить или опровергнуть утверждения представителей Blue Security. Но в распоряжении "Лаборатории Касперского" есть несколько образцов спама с угрозами, который рассылался пользователям Blue Security. Примечательно, что спамеры пытаются оправдать свои действия тем, что их вынудила так поступить Blue Security: we dont want to, but BlueSecurity is forcing us (мы не хотим, но BlueSecurity нас вынуждает). Спамеры также угрожают пользователям бомбардировать их угрозами и таким образом увеличить количество спама, приходящего на их машины, если они не удалят свои адреса из списков BlueSecurity: you will end up recieving this message, or other nonsensical spams 20-40 times more than you would normally. How do you make it stop? Simple, in 48 hours, and every 48 hours thereafter, we will run our current list of BlueSecurity subscribers through BlueSecurity's database, if you arent there.. you wont get this again. (Все кончится тем, что вы получите в 20-40 больше экземпляров этого сообщения или другого бессмысленного спама, чем вы получаете обычно. Как остановить это? Очень просто, через 48 часов, и потом еще спустя 48 часов, мы проверим текущий список подписчиков BlueSecurity, если вас там нет... то больше вы это сообщение не получите.) Для экспертов печальный финал "Синей лягушки" неожиданностью не стал, хотя победа спамеров в этом раунде их не порадовала. Однако, по словам Анны Власовой, сама по себе идея дестабилизации сайтов, которые упоминаются в спаме, более чем сомнительна. Вряд ли этот метод борьбы можно назвать этичным или действительно легитимным. В настоящее время существует множество спам-фильтров, позволяющих эффективно урезать поток спама в ящиках конечного пользователя. А вот наказывать спамеров, безусловно, должны те службы, которые контролируют исполнение текущего законодательства и в строгом соответствии с этим законодательством. "Путь, выбранный Blue Security, в некотором смысле был обречен если не на провал, то на негативную реакцию многих представителей интернет-сообщества, не только спамеров. Зато он оказался действенным, что наглядно показала реакция спамеров", - сказала Власова. Источник: washingtonpost.com Источник: "Лаборатория Касперского" "Лаборатория Касперского" представляет новое поколение персональных продуктов 22.05.2006 "Лаборатория Касперского", ведущий разработчик систем защиты от вирусов, хакерских атак и спама, представляет новое поколение продуктов для защиты персонального компьютера - Антивирус Касперского 6.0 и Kaspersky Internet Security 6.0. Антивирус Касперского 6.0 защищает персональный компьютер от проникновения вредоносных программ, в то время как Kaspersky Internet Security 6.0 обеспечивает комплексную безопасность ПК от всех типов электронных угроз - вредоносных и шпионских программ, хакерских атак, сетевого мошенничества и спам-рассылок. Продукты построены на основе улучшенных реактивных антивирусных технологий, включающих в себя множество изменений по сравнению с версиями 5.0 и принципиально новых проактивных технологий. Новые решения "Лаборатории Касперского" для защиты персональных компьютеров характеризуются широким рядом преимуществ. Благодаря новой компонентной архитектуре продуктов одними из наиболее важных технологических отличий решения являются: принципиально новый для продуктов компании пользовательский интерфейс, специально разработанный на основе анализа рекомендаций активных пользователей продуктов компании, и поэтому максимально удобный и эргономичный; возросшая эффективность и сбалансированность антивирусной защиты. При этом антивирусная составляющая Kaspersky Internet Security 6.0 обладает всеми возможностями Антивируса Касперского 6.0. Антивирус Касперского 6.0 построен на самых современных технологиях противодействия вредоносным программам. Комплекс антивирусных технологий, реализованный в новом поколении персональных продуктов компании, представляет собой оптимальный баланс между двумя основными подходами к противодействию вредоносным программам - традиционным сигнатурным методом (обнаружение вируса на основе его описания) и проактивным методом. Принцип работы проактивной защиты основан на алгоритме детектирования угроз по их поведению, обеспечивающем малый уровень ложных срабатываний. При этом реализована не имеющая аналогов в антивирусной индустрии функция отката изменений, внесенных вредоносным процессом в файловую систему и реестр: при удалении вредоносного объекта удаляет все ссылки на него в операционной системе, что особенно эффективно в борьбе против программ класса Spyware/Crimeware. Таким образом, эффективность противостояния вирусным атакам в продукте существенно увеличилась за счет комбинации традиционных и проактивных подходов. Кроме того, в ходе работы антивирусный комплекс проводит непрерывный мониторинг всех критических процессов в системе на предмет выявления потенциальной опасности. В частности, контроль скрытых процессов позволяет эффективно противостоять таким новейшим методам вирусописателей, как сокрытие вредоносного кода в операционной системе с использованием технологий rootkit, а контроль целостности приложений защищает систему от внедрения вредоносного кода в приложения ОС Windows. Антивирус Касперского обеспечивает безопасность передачи данных, в режиме реального времени обрабатывая всю входящую и исходящую электронную почту, а также загружаемые из Интернета файлы и веб-страницы. Помимо этого, существенный рост эффективности защиты был достигнут за счет оптимизации загрузки обновлений антивирусных баз данных, что привело к многократному уменьшению размера обновления. Антивирус Касперского 6.0 также выгодно отличается от своей предшествующей версии под индексом 5.0 возросшей скоростью антивирусного сканирования. Внедрение целого ряда новых технологий, в том числе таких, которые повышают скорость антивирусного сканирования за счет проверки только новых или измененных, а также только потенциально опасных типов файлов, позволило достичь баланса между скоростью работы программы и качественным уровнем антивирусной проверки, при этом в полной мере сохраняя надежность защиты. Включая в себя полную функциональную базу Антивируса Касперского 6.0, Kaspersky Internet Security 6.0 столь же эффективно противостоит вредоносным программам. Помимо этого, программный комплекс обеспечивает надежную защиту персонального компьютера от хакерских атак, спама и сетевого мошенничества. Kaspersky Internet Security 6.0 содержит новую систему защиты от спама. При помощи простой и удобной системы настройки спам-фильтра пользователь сможет надежно защитить свой почтовый ящик от нежелательных рассылок. Это достигается использованием многоуровневой системы анализа почтового трафика, включающей целый ряд передовых технологий фильтрации. Наиболее важными из них являются самообучающиеся алгоритмы анализа содержания исследуемой корреспонденции. Их использование сделало ненужным обновление баз фильтрации спама - для эффективной работы системы достаточно предустановленной базы образцов спама и чистых писем. Также продукт включает в себя технологии, позволяющие успешно распознавать такие уловки спамеров, как внедрение в письмо сложных графических элементов. Входящий в состав спам-фильтра диспетчер писем позволяет экономить сетевой трафик за счет предварительного просмотра заголовков всех приходящих писем, не загружая их полностью с почтового сервера. Персональный межсетевой экран, один из ключевых элементов Kaspersky Internet Security 6.0, представляет собой полнофункциональный, высококачественный сетевой брандмауэр, по функциональности не уступающий аналогичным неинтегированным решениям. Новая брандмауэр-составляющая защищает от большего числа сетевых атак благодаря расширению соответствующей базы данных. При этом база сетевых атак регулярно обновляется, что обеспечивает максимальную защищенность компьютера от несанкционированного доступа. Мобильные пользователи по достоинству оценят возможность определения различных режимов функционирования в условиях различных сетей (Интернет, интранет, доверенная сеть). Помимо этого, сохранилась популярная функция "режима невидимости". Также расширен набор предустановленных правил для известных приложений, что упрощает регулировку доступа установленных программ к Интернету. Отдельного упоминания заслуживают другие полезные функции Kaspersky Internet Security 6.0. Программный комплекс обеспечивает защиту пользователей от фишинговых атак с помощью обновляемой базы данных интернет-ресурсов, используемых мошенниками для кражи денег, паролей и другой ценной информации. Блокировка большинства рекламных баннеров и всплывающих рекламных окон, применяемых на некоторых веб-страницах, позволит избавиться от навязчивой онлайновой рекламы, в то время как блокирование попыток дозвона по платным телефонным номерам без подтверждения пользователя, предпринимаемых специальными программами, избавит от незапланированных расходов на телефонную связь. Cо схемами перехода на использование версии 6.0 вы можете ознакомиться на специальной странице. Источник: "Лаборатория Касперского" Арестовано более 560 человек, подозреваемых в мошенничестве 24.05.2006 В ходе расследования деятельности международной сети мошенников в нескольких странах арестованы в общей сложности более 560 человек. Об аресте подозреваемых сообщил генеральный прокурор США Альберто Гонзалес (Alberto R. Gonzales). По словам Гонзалеса, это была крупнейшая в своем роде международная операция. 15 месяцев правоохранительные организации США, Канады, Коста-Рики, Голландии, Испании, Великобритании, Новой Зеландии и Нигерии вели расследование международных афер. "Результаты операции "Глобальная афера" (Global Con), прямо скажем, драматические - арестованы 565 человек как в США, так и за их пределами", - говорится в заявлении генерального прокурора. Преступники использовали в своих мошеннических схемах телемаркетинг, Интернет, массовую рассылку электронных и обычных писем, обманывая ничего не подозревающих граждан. Среди способов мошенничества - фальшивые инвестиционные фонды и лотереи, а также схемы ухода от уплаты налогов. По данным следствия, только в США жертвами мошенников стали около трех миллионов человек, а ущерб составил более одного миллиарда долларов. Всего же в США было проведено 96 расследований, в результате которых арестовано около 140 человек. Источник: РИА Новости Фишер приговорен к тюремному заключению 24.05.2006 Джейсон Харрис приговорен к 21 месяцу тюремного заключения за фишинг-атаку на пользователей MSN. Кроме того, по решению суда Харрис должен выплатить 57 тысяч долларов. 23-летний Джейсон Харрис (Jayson Harris) разослал пользователям MSN фишинговые письма со ссылкой на свой сайт, подделанный под легитимный сайт MSN. Целью атаки были персональные данные потенциальных жертв. На удочку мошенника попалось от 50 до 250 человек. Харрис признался в том, что с января 2003 года по июнь 2004 года проводил мошеннические операции, однако факт получения им денег не доказан. Арестован Харрис был в результате расследования ФБР, начатого после обращения в эту организацию Microsoft. ФБР удалось отследить источник рассылок - как выяснилось, фишинговые письма рассылались с компьютера, находящегося в доме, принадлежащем дедушке Харриса. Разобравшись в том, что дедушка к мошенничеству отношения не имеет, Microsoft подала иск против Харриса, затребовав возмещения ущерба, и в декабре 2005 года выиграла дело. По решению суда Харрис должен выплатить Microsoft $3 миллиона. Однако у Харриса, который работает клерком, таких денег нет, и, судя по всему, в ближайшее время они у него не появятся. Источник: The Register Спам - статистика за период 15 - 21 мая 2006 г. "Лаборатория Касперского" Объем спама и тематические особенности Объем спама за неделю 15 - 21 мая составил около 76% от общего объема почтового трафика. Тематическое распределение спама вполне предсказуемо. После волны рассылок с предложениями собственно спамерских услуг спамеры получили новых клиентов. На этой неделе наблюдалось минимальное количество "саморекламы" спамеров, зато увеличилась доля тематик "Отдых и Путешествия" и "Другие товары/услуги". Основное событие прошлой недели - это, безусловно, противоборство спамеров и компании Blue Security, реализовавшей свой проект защиты от спама. Пока это противоборство закончилось полной и абсолютной победой спамеров. Самым оригинальным письмом недели спам-аналитики дружно признали сообщение одного из спамеров о... собственном банкротстве (образец письма см. на сайте Спамтест). На рекламируемом сайте есть даже своеобразные извинения пользователям, получившим спам: "Эту страничку я рекламирую спамом (искренне прошу меня простить всех тех, кому это не понравилось и доставило неудобства)". Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 23,1% +4,0% 2 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 15,0% -6,0% 3 Образование Реклама семинаров, тренингов, курсов 14,5% +3,6% 4 Медикаменты; товары/услуги для здоровья Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 12,5% -2,7% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 12,2% +3,3% 6 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 7,5% +3,6% 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 7,2% +1,2% 8 Остальной спам   7,1% +0,6% 9 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 2,2% -7,8% 10 Спам "Для взрослых" Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом Менее 2% Без изменений Образец самого массового спама недели и самые оригинальные предложения вы найдете на сайте Спамтест. Энциклопедия спама. "Нигерийские" письма Анна Власова, "Лаборатория Касперского" "Нигерийский" спам - это разновидность компьютерного мошенничества, попытка под неким вымышленным предлогом получить доступ к банковскому счету пользователя или иным путем получить с него деньги. В качестве стандартного предлога в "нигерийских" письмах выступает необходимость обналичить крупную сумму денег. Спамер обычно утверждает, что он располагает миллионами долларов, но они приобретены не совсем законным способом или же хранятся в обход закона. Например, это украденные иностранные инвестиции или гранты ООН. Далее автор письма объясняет, что по этой причине он не может разместить деньги на счету в банках своей страны, и что ему срочно требуется счет в зарубежном банке, куда можно перечислить "грязные" деньги. Еще одна типичная версия - деньги нажиты легитимным путем либо получены в наследство, однако в связи с политической нестабильностью в стране обналичить их невозможно. Так или иначе, у получателя "нигерийских" писем просят помощи в обналичивании крупной суммы денег. В качестве вознаграждения за помощь предлагается от 10% до 30% от заявленной в письме суммы. Идея мошенничества заключается в том, что доверчивый пользователь предоставляет автору письма доступ к своему счету. Нетрудно предугадать результат - все деньги с этого счета будут сняты и уйдут в неизвестном направлении. Либо мошенники просят небольшую по сравнению с будущим вознаграждением сумму денег (несколько тысяч долларов), которая якобы необходима для успешной реализации плана, и, получив ее, исчезают. Еще один вариант - мошенники уговаривают пользователя приехать в Нигерию или другую нестабильную страну, где уже начинается настоящее вымогательство, шантаж и угрозы. Этот вид спама отличается от многих других тем, что спамеры вынуждены поддерживать обратную связь с получателями писем, поэтому в "нигерийских" письмах обратный адрес или даже контактный телефон доступны для связи, что позволяет правоохранительным органам разных стран успешно отслеживать мошенников. Известны случаи арестов и судебных процессов над организаторами подобных рассылок. "Нигерийскими" письма называются потому, что этот вид мошенничества был изобретен в Нигерии, за что нигерийские спамеры даже получили в 2005 году так называемую анти-Нобелевскую премию в области литературы. Еще одно название, используемое в англоязычных документах - "scam 419". Оно также связано с Нигерией: 419 - это номер статьи нигерийского закона, запрещающей, в частности, этот вид мошенничества. Почему именно Нигерия? Эта страна имеет печальную репутацию одной из самых коррумпированных в мире. За время хаоса и военных диктатур, сменявших друг друга в течение двадцати лет, в стране укоренилась преступность. По уровню доходов от внешних валютных операций в настоящее время мошенничество в Нигерии занимает четвертое место. До сих пор тысячи людей во всем мире получают письма от мнимых бывших диктаторов, несуществующих нигерийских бизнесменов или служащих нигерийских министерств. Однако "нигерийские" письма уже давно рассылаются мошенниками разных стран. Спамеры оперативно реагируют на ситуацию в мире, отслеживая очаги нестабильности. Поэтому постоянно появляются новые разновидности "нигерийских" писем - например, "кенийские" или "филиппинские". Во время войны в Ираке активно шли спамерски рассылки "иракского" спама. Это письма, в которых речь идет о деньгах, украденных во время военных действий в Ираке. Авторы таких писем обычно подписываются вымышленными или настоящими именами высокопоставленных иракских лиц. Нередко письмо написано от имени жены или вдовы какого-либо иракского чиновника. Подавляющее большинство "нигерийского" спама идет на английском языке, но в 2004-2005 гг. спамеры взялись активно осваивать Рунет. Появился "нигерийский" спам на русском языке, эксплуатирующий горячие события российской политической жизни. Внимание спамеров привлекло нашумевшее дело ЮКОСа, и пользователям Рунета было предложено обналичить миллионы Ходорковского. Когда дело ЮКОСа стало известно и на западе, спамеры вновь перешли к рассылкам на английском языке. Очевидно, на такую приманку как проценты за обналичку пока больше "клюют" зарубежные пользователи. Либо среди доверчивых россиян не так много людей со своими счетами в банках, куда можно переводить крупные суммы денег. Либо у нас не так много доверчивых пользователей, как кажется. Среди "нигерийских" писем попадаются настоящие шедевры, написанные людьми, которым никак нельзя отказать в чувстве юмора. Некоторые экземпляры подобных писем расходятся по Сети тысячами, причем пользователи сами пересылают их друг другу как образец смешного текста. Примером такого шедевра может служить спам с трогательным рассказом про нигерийского космонавта, который в течение 14 (четырнадцати!!!) лет находится в космосе на секртеной российской космической станции "Салют". Но теперь русские не хотят везти его обратно, на Землю, т.к. это слишком дорого. Все это время его зарплата исправно перечислялась на счет в некоем банке. И теперь родственники космонавта обращаются ко всем с... ДА, С ПРОСЬБОЙ ПОМОЧЬ ОБНАЛИЧИТЬ ЭТУ ГИГАНТСКУЮ СУММУ и помочь вернуть космонавта на Землю. Если учесть, что дата первоначальной рассылки этого письма - апрель 2004 года (12 апреля - день космонавтики в России), то грамотный читатель понимает, что это - розыгрыш. Правда, неизвестно, как спамеры отреагировали на письма тех, кто решил помочь космонавту... Текст этого замечательного "нигерийского" послания, а также примеры типичного "нигерийского" письма и "нигерийского" письма с "российским акцентом" приведены на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005