Электронный журнал "Спамтест" No. 148 в этом номере: Новости Спам - статистика за период 22 - 28 мая 2006 г. Лягушки не сдаются Новости Спам в апреле 2006 года 29.05.2006 "Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, подготовила отчет "Спам в апреле 2006 года", основанный на результатах анализа почтового трафика в Рунете в апреле. В целом, по данным "Лаборатории Касперского", в апреле 2006 года доля спама продолжала удерживаться на уровне, зафиксированном в предыдущем месяце - 74 - 77%. Однако аналитиками "Лаборатории Касперского" было зафиксировано несколько массированных спам-атак 8 - 9, 13, и 22 - 23 апреля. 13 апреля был отмечен максимальный с начала 2006 года показатель количества спама - 89,9% от общего объема почтового трафика. Тематическое распределение спама в апреле осталось стабильным. Стремительную динамику продемонстрировали только две тематики - "Медикаменты; товары/услуги для здоровья" и "Другие товары и услуги", - доля которых в общем объеме спама выросла. Распределение тематик спама в апреле 2006 года: Другие товары и услуги 27,4% Компьютерное мошенничество 20,4% Образование 16,9% Отдых и путешествия 10,5% Компьютеры и Интернет 9,4% Медикаменты; товары/услуги для здоровья 9,3% Личные финансы 2,6% Услуги по электронной рекламе 2,6% Спам "для взрослых" 1,0% Спамеры наращивают количество и объем рассылок с предложениями различных фармацевтических препаратов, особенно - препаратов для усиления потенции и либидо. При этом в "фармацевтических" рассылках спамеры используют специальное программное обеспечение, позволяющее с помощью средств языка HTML генерировать миллионы уникальных сообщений в пределах одной спам-рассылки. Кроме того, такие рассылки отличаются обилием искаженных написаний названий препаратов. В пределах одной рассылки может встретиться несколько сотен вариантов написания слова "viagra". В ход идет все: намеренные опечатки, разбиение букв в слове пробелами, символом "подчеркивание", замена букв на небуквенные символы (например "1" вместо "i", "@" вместо "a" и т.п.). Еще один спамерский прием, характерный для апрельского спама, - попытка привлечь внимание пользователей оригинальными темами сообщений. Практика показывает, что многие пользователи, ориентируясь только на тему сообщения, удаляют явный спам, не читая его. Поэтому спамеры стараются либо сделать тему письма похожей на тему личного или делового сообщения, либо, наоборот, выделяют тему письма неожиданной игрой слов, эффектным слоганом и т.п., пытаясь, таким образом спровоцировать пользователя открыть сообщение и начать его читать. Приведем несколько примеров неожиданных тем сообщения: Семья из чернобыля ворует огурцы Репейник или свёкла? что подарить женщине Генномодифицированая шаурма отравила ворону Московский мавзолей переоборудуют под МакДональдс Крестовая отвёртка как орудие охоты на глухарей 20 китайцев нелегально проживали в коробке из под калькулятора citezen Спам-рассылка, из которой взяты эти темы, содержала в тексте только один URL рекламируемого сайта. Справедливости ради заметим, что спамеры не выдумали эти заголовки, а... позаимствовали их в Интернете, так что это чистейшей воды плагиат. Источник: "Лаборатория Касперского" Товарищ Рашкин, вы не правы! 30.05.2006 Секретарь ЦК КПРФ, член Президиума ЦК КПРФ, депутат Государственной думы Валерий Рашкин в интервью газете "Правда" призвал использовать "систему спамеров" в агитационно-пропагандистской работе. "А какие возможности открываются в использовании электронных средств информации и связи! Телеэкран, конечно, для нас усилиями властных структур практически закрыт, но значительная часть населения весьма активно пользуется услугами Интернета. Особенно молодежь, которая просто живет в "мировой паутине". И этим в нашей агитационно-пропагандистской работе грех не воспользоваться. Допустим, у нас пока еще не так много своих электронных адресов, но есть ведь и система спамеров, позволяющая направлять свои сообщения буквально миллионам", - сказал Рашкин. Так что в ближайшее время "буквально миллионы" пользователей могут получить от КПРФ "краткие, емкие сообщения, не требующие больших расходов, своего рода электронные листовки". Тот факт, что депутат Госдумы, член Комиссии Госдумы по мандатным вопросам и вопросам депутатской этики и еще нескольких думских комиссий призывает к рассылке спама, вызывает, мягко говоря, недоумение. Может быть, товарищ Рашкин и не ошибается, когда утверждает, что "оперативная листовочная война" "многое может дать". Но он точно не прав, считая, что использование спама как средства политической агитации оправдано и заведомо даст положительный результат. Спам, спамеры и заказчики спама, особенно политического, вызывают у пользователей отнюдь не симпатию - не случайно спам все чаще используется как инструмент "черного" PR. Эффект спам-агитации может быть... несколько иным, чем тот, на который рассчитывает товарищ Рашкин. Источник: "Правда" Троянец со спам-доставкой 30.05.2006 Спамеры в очередной раз поработали на вирусописателей: немецким пользователям в спамовых письмах был разослан новый тороянец - Trojan-PSW.Win32.Sinowal.u. По данным "Лаборатории Касперского", спам-письмо на немецком языке было замаскировано под сообщение от Microsoft Windows Update. Пользователям Microsoft Windows XP предлагалось запустить вложенный файл, который якобы представлял собой специальное обновление, разработанное для защиты системы от нового вируса-червя. На самом деле вложение содержало вредоносную программу. Семейство троянцев Sinowal предназначено для кражи логинов и паролей пользователей, вводимых в формы в интернет-браузере при посещении сайтов некоторых европейских банков. Кроме того, троянец крадет пароли, сохраненные на компьютере пользователя. Особенностью Sinowal является умение дописывать в открываемые пользователем страницы банковских сайтов собственный HTML-код. Это позволяет троянцу при посещении пользователем банковских сайтов выводить особое всплывающее окно, в котором предлагается ввести персональную информацию. Как правило, разновидности Sinowal проникают на компьютер посредством троянских загрузчиков, попадающих в систему при посещении сайтов, на которых содержатся эксплойты уязвимостей в интернет-браузерах и операционных системах. Но в этот раз злоумышленники разослали троянца с помощью спама. Хотя спам был разослан только на электронные адреса в домене .de, не исключено, что эта спам-доставка троянца была лишь репетицией, и аналогичные атаки могут ожидать пользователей других стран. Источник: "Лаборатория Касперского" В Японии арестованы члены шайки фишеров 31.05.2006 В Японии арестованы восемь человек, подозреваемых в причастности к деятельности организованной группы фишеров. Мошенники выманивали персональные данные пользователей на фальшивом сайте аукциона Yahoo Japan. По данным следствия, фишеры рассылали пользователям письма, содержащие ссылку на фальшивый сайт, подделанный под сайт аукциона Yahoo Japan. На фишерском сайте посетителей просили подтвердить их персональные данные. Используя украденную информацию, мошенники от имени жертв размещали на настоящем сайте аукциона Yahoo Japan часы, аудио-товары, драгоценности и другие фальшивые лоты. Страдали, в результате, покупатели, которые пересылали деньги за несуществующие товары. По данным следствия, фишерская шайка действовала совместно с несколькими другими преступными группами. Жертвами мошенников стали около 700 человек, лишившихся, в общей сложности, 100 миллионов иен. Полиция выследила подозреваемых, проанализировав записи доступа в Интернет и видеозаписи, сделанные камерами слежения в тех финансовых учреждениях, где мошенники получали перечисленные их жертвами деньги. Арестованы шестеро мужчин и одна женщина. В числе арестованных, как полагают, и создатель фишерского сайта-фальшивки. Это первые в Японии аресты членов организованной группы фишеров. Источник: YAHOO! Жалобная кнопка 31.05.2006 Австралийские пользователи получили возможность одним щелчком мыши удалять спамовое письмо и в то же время отсылать жалобу на спам в Австралийское управление по делам коммуникаций и медиа (ACMA). Для того чтобы реализовать эту возможность, пользователям надо всего лишь загрузить с сайта ACMA "кнопку SpamMatters" - как сказал представитель властей, один из наиболее изощренных и удобных для пользователей инструмент для пересылки жалоб на спам, существующих в настоящее время в мире. Австралийские власти надеются, что новый инструмент поможет ACMA быстро и своевременно обеспечивать полноценной информацией следственные органы, занимающиеся расследованием случаев мошенничества, связанного со спамом, таких как фишинг и "нигерийские" письма. Инсталлировать SpamMatters пока могут только пользователи Microsoft Outlook и Microsoft Outlook Express. У тех, кто пользуется другими почтовыми программами, также есть возможности пересылать спам ACMA, но менее простыми и приятными способами. Начиная с 10 апреля 2004 года, когда вступил в силу австралийский антиспамовый закон, до 31 марта 2006 года Австралийское управление по делам коммуникаций и медиа получило 4274 жалобы на спам. Из них более 880000 было получено в ходе тестирования системы SpamMatters. Источник: www.arnnet.com.au Спам - статистика за период 22 - 28 мая 2006 г. "Лаборатория Касперского" Объем спама и тематические особенности Доля спама в общем объеме почтового трафика составила 79%. Тематическое распределение спама на прошедшей неделе не принесло особенных потрясений. После минимальных показателей на позапрошлой неделе незначительно возросло количество саморекламы - предложений спамерских услуг; примерно на столько же уменьшилось количество предложений по отдыху и путешествиям. Продолжает понемногу расти количество предложений компьютеров и других товаров и услуг. Самое существенное изменение затронуло рубрику "Образование" - спад на пять процентов. Видимо, лето за окном не способствует желанию учиться, и спрос на предложения этой тематики упал. Рубрика "Другие товары и услуги" порадовала на прошедшей неделе несколькими предложениями, от которых отказаться, действительно, не так уж просто. Самым массовым и привлекательным предложением оказалась рассылка "Умный дом", предлагающая жителям Москвы, Петербурга и других городов России приобщиться к достижениям мировых технологий и приобрести "интеллектуальный дом". Пример такого письма приведен на сайте Спамтест. Другим, менее масштабным, но весьма актуальным в преддверии лета предложением оказались электрические мухобойки. Но не только физические блага интересуют спамеров. На прошедшей неделе была зафиксирована очередная рассылка на религиозную тему. На этот раз она была посвящена мусульманству. "Успокой себя Молитва и Омовение приводят к спокойствию", говорится в ней. Другая интересная рассылка носит, скорее, социальный характер и пришла к нам аж с далекой Кубы - "Cuba: Brutal aggression against Martha Beatriz Roque". Пример этого письма также приведен на сайте Спамтест. Но наибольший восторг вызвало у спам-аналитиков предложение совершить путешествие в Антарктиду на борту судна ледового класса. О чем еще можно мечтать, сидя за компьютером посреди душного мегаполиса? Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 25,5% +2,4% 2 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 15,4% +5,4% 3 Медикаменты; товары/услуги для здоровья Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 12,7% +0,2% 4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 10,0% +2,8% 5 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 9,8% +2,3% 6 Образование Реклама семинаров, тренингов, курсов 9,5% -5,0% 7 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 6,5% -3,4% 8 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 5,4% +0,4% 9 Остальной спам   4,9% -2,2% 10 Спам "Для взрослых" Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом Менее 2% Без изменений Образец самого массового спама недели и самые оригинальные предложения вы найдете на сайте Спамтест. Лягушки не сдаются Ольга Емельянова, "Лаборатория Касперского" Okopipi - синяя ядовитая лягушка, обитающая в лесах Южной Америки Реинкарнация "Синей лягушки" "Blue Frog была отличной идеей. Они показали нам, что мы можем нанести ущерб спамерам. Но они не смогли выдержать давления. Они не были готовы к войне. Мы - готовы!" Так начинается сообщение, которое появилось на форуме сайта castlecops.com в тот самый день, когда компания Blue Security сложила оружие в войне со спамерами и объявила о прекращении своей антиспамерской деятельности. Именно с него началось превращение Синей лягушки в ядовитую лягушку Okopipi - превращение, которое продолжается по сей день. Возмущенные наглым нападением спамеров, с помощью массированной DDoS-атаки вынудивших капитулировать Blue Security, пользователи решили продолжить борьбу со спамерами и организовать свое антиспамерское "лягушачье сообщество". Идея эта возникла сразу у нескольких не безграмотных пользователей (даже имен у будущей лягушки пока два - Okopipi и "Black Frog", "Черная лягушка"), а в ходе обсуждения проекта нашлись и профессионалы, готовые потратить свое время на его реализацию. Программа "Blue Frog" была в свободном доступе? Отлично! Давайте найдем ее последнюю версию и модифицируем под наши нужды! Создадим "frognet", сеть компьютеров, оснащенных новой программой, одновременно со многих машин посылающую спамерам требования отписаться от рассылок. Спамеры "положили" серверы Blue Security? Обойдемся без центрального сервера - уйдем в подполье. Партизанская война Спамеры, трепещите! Вам объявлена партизанская война, и это может оказаться потруднее, чем вежливое "иду на вы" компании "Blue Security". Окончательный план военных действий еще не готов, но структура антиспамового подполья уже продумана. Главное - конспирация. "Лягушачья сеть" децентрализирована. Единого центра, который спамеры могли бы атаковать и, тем самым, вывести из строя всю сеть, нет. Предполагается один или, вероятнее, несколько главных серверов, которые афишировать никто не собирается. Вся "frognet" имеет разветвленную иерархическую многоуровневую структуру. Главные серверы поддерживают связь с десятком машин второго уровня. Каждая из машин второго уровня обменивается информацией со своей десяткой компьютеров третьего уровня и т.д. Жалобы на спам посылаются пользователями на компьютеры "десятников", а с них пересылаются дальше, "наверх". Центральные серверы в определенные интервалы времени должны открывать безопасное соединение и загружать жалобы пользователей. Администраторы серверов обрабатывают полученную информацию, после чего подается команда на отправление в определенное время запроса "opt-out", которая "спускается" пользователям "frognet". Кроме того, жалобы на спамеров посылаются в антиспамерские организации, составляющие черные списки спамеров. Таким образом, вся сеть будет состоять из маленьких замкнутых групп. Как надеются идеологи Okopipi, спамеры в крайнем случае смогут "вычислить" и вывести из строя только часть сети, а не всю сеть, поскольку компьютер каждого пользователя "frognet" будет располагать информацией лишь о двух десятках других машин сети. Вообще-то вопрос о том, как именно правильно использовать ресурсы конспиративной антиспамерской сети, обсуждался бурно. Если описание проекта Okopipi, опубликованное на www.wiki.okopipi.org, занимает одну страничку, то обсуждение на форуме castlecops.com растянулось уже страниц на 20 и представляет собой весьма занятное чтение. Казнить нельзя помиловать Западные пользователи, в отличие от российских, не обладают загадочной русской душой, которая позволила некоторым втайне гордиться тем, что спамер, расправившийся с Blue Security, предположительно был из России. У пользователей, принявших участие в обсуждении нового проекта Okopipi, "убийство" "Синей лягушки" вызвало реакцию однозначную: они возмущены и хотят продолжить дело "Blue Frog". Нашлись горячие головы, владельцы которых требовали возмездия. "Спамеры - это спамеры, и только спамеры", - декларировал автор одного из постов, призывая с этими самыми спамерами не церемониться и относиться к их сайтам не слишком щепетильно, поскольку сами спамеры не чураются DDoS-атак. К счастью, нашлись и люди трезвомыслящие, которые доходчиво объяснили горячим парням, что не стоит выходить за рамки закона и уподобляться преступникам. Причем не только из этических соображений: эффективность "frognet" зависит от числа ее пользователей, а если Okopipi возьмет на вооружение незаконные методы, вряд ли стоит ожидать массового членства пользователей в сети, которая, по сути, становится не только конспиративной, но и криминальной. Разумное большинство с этими доводами согласно и предпочитает сохранять легитимность. В итоге поставлена задача: используя ссылки "отписаться" в спамовых письмах, в автоматическом режиме посылать спамерам запросы "opt-out". Однако на пути реализации проекта немало трудностей, и на многие вопросы ответы еще предстоит найти. Трудности перехода Вот лишь некоторые вопросы, которые возникли при обсуждении Okopipi: Каков механизм выбора мишени атаки на спамеров? Существует опасность ошибочно подвергнуть "бомбардировке" легитимный сайт, либо попасться на удочку лазутчиков, проникших во "frognet", и с их подачи атаковать, например, сайт их конкурентов. Кто принимает решение о начале атаки? Если спамеры получают в результате атаки список адресов пользователей "frognet", которые надо исключить из рассылок, то каким образом защитить пользователей от ответной спам-атаки? Что делать, если в спаме нет ссылки "unsubscribe", либо она фальшивая? Хакеры могут взломать сеть и сгенерировать фальшивую команду на начало атаки. Как в условиях конспиративной сети при "спрятанных" главных серверах и отсутствии официального центра подтверждать достоверность команды? Как защитить сеть от захвата злоумышленниками? "Frognet" может стать грозным и очень опасным оружием в умелых руках хакеров. Go, Frog, go! Конспиративная децентрализированная сеть, вероятно, действительно могла бы помочь избежать фатальной DDoS-атаки со стороны спамеров. Однако ее структура порождает свои проблемы. Удастся ли создателям новой "Лягушки" найти технические решения, которые обеспечат эффективность "frognet", не сделают пользователей мишенями для атаки спамеров и при этом сохранят легитимность всего проекта? Для того чтобы лягушка Okopipi запрыгала, а ее яд был опасен только для спамеров, предстоит еще много потрудиться. Идея Blue Frog живет, но сможет ли реинкарнированная "Лягушка" победить спамеров? Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005