Электронный журнал "Спамтест" No. 149 в этом номере: Новости Спам - статистика за период 29 мая - 04 июня 2006 г. Энциклопедия спама. Поддельные уведомления о выигрыше в лотерею Новости Реинкарнация "Синей лягушки" - комментарий эксперта 02.06.2006 Несмотря на поражение компании Blue Security в войне со спамерами, идея "Синей лягушки" получила свое дальнейшее развитие. Спамерам, судя по всему, еще предстоит столкнуться с серьезным противником: под знаменем "Лягушки" объединяются пользователи. Возмущенные наглой демонстрацией силы со стороны спамеров, которые DDoS-атаками принудили компанию Blue Security капитулировать, многие пользователи не согласились безоговорочно уступить спамерам победу. Призыв продолжить борьбу и организовать собственное "лягушачье сообщество" появился в тот же день, когда сложила оружие компания Blue Security. И призыв этот нашел горячий отклик, в том числе, среди IT-профессионалов. Для начала рассерженные пользователи решили создать "frognet" - сеть компьютеров, оснащенную модифицированной версией программы , - которая будет посылать запросы "opt-out" на спамерские сайты. Предполагается, что пользователи пиринговой сети будут пересылать на центральные серверы жалобы на спам, а администраторы серверов - их обрабатывать. Чтобы защитить сеть от возможных DDoS-атак спамеров, сеть должна быть лишена единого официального центра, а ее центральные серверы - хорошо законспирированы. Идея реинкарнации "Синей лягушки" обсуждалась довольно бурно, в результате возник проект, которому было присвоено имя южноамериканской синей ядовитой лягушки - Okopipi. (Поскольку cходные идеи одновременно возникли у нескольких человек, встречается и еще одно название новой "Лягушки" - Black Frog.) Работа над Okopipi продолжается. Разработчикам еще предстоит решить целый ряд вопросов, в числе которых - организация и структура "frognet", механизм выбора мишени атаки (существует опасность атаковать легитимные сайты) и сам способ воздействия на спамерские сайты, защита пользователей от ответных спам-атак и защита сети от хакеров - "frognet" в руках злоумышленников может стать грозным оружием. Еще одна задача нового проекта - действия Okopipi должны оставаться в рамках закона. В свое время компания Blue Security на развитие своего проекта получила немалые деньги. Okopipi, судя по всему, создается силами пользователей, которые готовы вложить свое время, знания и ресурсы в войну со спамерами. Комментирует Анна Власова, начальник группы спам-аналитиков "Лаборатории Касперского": "Ситуация, сложившаяся с проектом "Синей лягушки", очень необычная. Практически у нас на глазах разворачиваются настоящие боевые действия: спамеры против Интернета. Пользователям Сети остается только следить за развитием событий или... самим принять в них участие. Кстати, активность пользователей, направивших свои усилия на борьбу со спамом, оказалась очень высокой. Только помогут ли эти усилия? К сожалению, пока прогнозы могут быть только пессимистическими. Вряд ли пользователи смогут выиграть второй раунд войны со спамерами. Дело не в отсутствии должных средств и подготовки. Дело в стратегии. В свое время создатели проекта Blue Security исходили из предпосылки, что им удастся создать "зону, свободную от спама". Получается, что мы должны поделить Интернет на счастливчиков, которые не получают спам, и неудачников, которым не попался на глаза этот проект. Но такая "зона" априори не сможет существовать долго. Она всегда будет стремиться к расширению, логическим завершением которого будет освобождение от спама всего Интернета. Как только "свободная зона" становится настолько большой, что серьезно затрагивает коммерческие интересы спамеров, они наносят ответный удар. Против которого и не смогла выстоять Blue Security. Инициаторы нового проекта (Okopipi или "Черная Лягушка") сразу нацеливаются на борьбу, - по сути, на войну - со спамерами, с использованием методов, близких к спамерским. Поможет ли это? Нет, и эта стратегия также сомнительна. Такое противостояние может закончиться только наращиванием технических средств борьбы с обеих сторон. В итоге мы рискуем получить ситуацию, когда падение небольшого хостинга или атака на провайдера будут расцениваться как незначительные издержки в "военное время". Но для большинства пользователей это не так. Им нужна стабильность, а не "потрясение основ". Борьба со спамом должна вестись по нескольким направлениям, одно из главнейших - это возможность законодательного воздействия на спамеров и заказчиков спама, а также - пропаганда незаконности и неэтичности спама. Если те, кто заказывают спам, будут четко представлять, что этот вид рекламы не соответствует законодательству, то и заказов станет меньше. Что же касается спамеров, продвигающих свой собственный бизнес (т.е. когда распространитель спама одновременно является заказчиком рассылки), то что ж, на это существуют спам-фильтры, задача которых - не пропустить спам в конечные ящики пользователей." Источник: "Лаборатория Касперского" Спамер заплатил $1 миллион за мир с Microsoft и раскаялся 06.06.2006 Один из самых активных спамеров мира - 24-летний житель Техаса Райан Питиляк (Ryan Pitylak) - пришел к мировому соглашению в суде с компанией Microsoft и властями штата Техас. Мировое соглашение обошлось Питиляку в 1 миллион долларов. Бывший спамер лишился также еще нескольких счетов, открытых в то время, когда он активно рассылал спам. На пике своей спамерской карьеры Питиляк отправлял до 25 миллионов писем в день. Антиспамерская группа Spamhaus присвоила Питиляку 4-й номер в общем рейтинге самых активных спамеров. В настоящее время Питиляк заявляет о некоем подобии прозрения, сошедшем на него. Спамер утверждает, что видит ошибочность своих прежних действий и намерен направить свои усилия на избавление мира от спама. Он даже стал называть себя "антиспамером-активистом". В минувшую субботу Питиляк написал в своем блоге: "Спустя некоторое время я смог увидеть, насколько я был неправ, считая спам игрой в кошки-мышки с корпоративными администраторами. Теперь я понимаю, почему на борьбу со спамом направлено так много усилий. Соглашения с Microsoft и прокурором стали серьезной проверкой в реальных условиях. Жесткой, но хорошей и в интересах общественности. Мне приятно сообщить, что теперь я являюсь частью антиспамерского сообщества и открываю компанию, которая будет предлагать своим клиентам методы защиты от спама. Теперь я активно работаю, чтобы помочь другим избежать ловушек, в которые попал сам и которые привели меня к сомнительному бизнесу". Источник: CNET News.com "Лаборатория Касперского" сообщает о выходе второй бета-версии Kaspersky Anti-Spam 3.0 (beta 2) 06.06.2006 Kaspersky Anti-Spam версии 3.0 - программный комплекс, предназначенный для защиты корпоративных и провайдерских сетей от спама. Сохранив все преимущества предыдущей версии продукта, Kaspersky Anti-Spam 3.0 включает в себя множество изменений технологического, архитектурного и функционального характера, значительно повышающих эффективность системы фильтрации и удобство работы с ней. Основные отличия версии 3.0 от предыдущих версий Kaspersky Anti-Spam: Новая версия фильтрующего ядра Спамтест обеспечивает повышенную производительность и стабильность работы; низкие требования к объему оперативной памяти; низкий уровень трафика, передаваемого через Интернет (обновления баз контентной фильтрации). Усовершенствованные методы фильтрации увеличивают эффективность борьбы с различными трюками спамеров и дают новый качественный уровень распознавания спама - в том числе, содержащего сложные графические элементы. В новой версии продукта расширен и улучшен механизм анализа заголовков почтовых сообщений, добавлено использование сервисов Sender Policy Framework и Spam URL Realtime Blocklists (SURBL). Использование собственного сервиса Urgent Detection System (UDS) позволяет получать данные о спам-рассылках в режиме реального времени. Принципиально новый пользовательский веб-интерфейс дает возможность системному администратору быстро и удобно выполнить настройку программного комплекса, управлять лицензиями на использование продукта, а также производить мониторинг работы продукта и просматривать статистические данные о характере потоков спама в общем трафике. Удобная настройка политик фильтрации, определяющих процедуры обработки исследуемой корреспонденции осуществляется в рамках интерфейса центра управления. Усовершенствованные средства интеграции и инфраструктуры программы упрощают настройку и администрирование системы. Во второй бета-версии Kaspersky Anti-Spam 3.0 реализована новая политика лицензирования. Ограничения на использование продукта накладываются по следующим критериям: объем почтового трафика (в байтах или сообщениях за одни сутки); количество защищаемых почтовых адресов (администратору нет необходимости вести их список). Указанные ограничения учитываются только для сообщений, адресованных пользователям защищаемых доменов. Список защищаемых доменов, почтовый трафик которых фильтруется продуктом, настраивается при помощи Центра управления. Почта, адресованная пользователям доменов, не включенных в список, не подвергается фильтрации. Кроме того, по сравнению с Kaspersky Anti-Spam 3.0 (Beta1), была добавлена следующая функциональность: Использование технологии UDS. Мониторинг установленного клиента для почтовой системы Sendmail и веб-сервера Центра управления kas-thttpd. Ознакомиться с условиями и процедурой участия в программе бета-тестирования можно в специальном разделе сайта "Лаборатории Касперского". Источник: "Лаборатория Касперского" Фишеры собирали деньги руками австралийских школьников 07.06.2006 Полиция Австралии ликвидировала международную преступную группу. Участники этой группы использовали школьников для отмывания денег, украденных со счетов интернет-пользователей. Для получения идентификационных данных пользователей преступники использовали технологию фишинга. По данным полиции, ежемесячно подобным образом преступники крадут у австралийцев до 2 миллионов долларов в месяц. Члены преступной группы, имевшие связи с "коллегами" из Малайзии и России, действовали в Чайнатауне Сиднея. Используя информацию, полученную от доверчивых пользователей, преступники переводили деньги с их банковских счетов. Чтобы получить украденные таким образом деньги, преступники направляли в банки школьников, то есть использовали их в качестве так называемых "мулов". Школьники за небольшую комиссию переводили деньги представителям преступников в Сиднее, которые впоследствии переправляли их руководителям группы за границу. Один из таких представителей - недавний выпускник престижной школы - предстанет перед судом в пятницу. 21-летний Джонатан Карни Маллэлли (Jonathan Carnie Mullally) признал себя виновным в мошенничестве. По данным суда, Маллэлли тратил полученные преступным путем деньги на наркотики и азартные игры. Во время ареста у Маллэлли было конфисковано 850 таблеток экстази. Банда фишеров была ликвидирована в результате семимесячного полицейского расследования. В течение четырех месяцев полицейские прослушивали телефоны Маллэлли и его подельников. В числе 14 человек, обвиняемых в интернет-мошенничестве оказались четверо учащихся сиднейских школ в возрасте 15-17 лет. Жертвами преступников в общей сложности стал 61 человек. Ущерб, которые понесли потерпевшие, составил 600 тысяч долларов. Источник: Sydney Morning Herald ЕС активно включается в борьбу с киберпреступлениями 07.06.2006 Евросоюз озабочен тем, что пользователи Интернета не считают нужным тратить деньги на защиту от вирусных атак, хакеров и спама, и намерен активно участвовать в борьбе с киберпреступниками. По данным ЕС, уровень расходов на защиту информации и сетевых коммуникаций является "пугающе низким" и составляет лишь 5-13% от общих затрат на информационные технологии. Беспечность пользователей особенно опасна, учитывая тот факт, что атаки киберпреступников становятся все более изощренными. ЕС не намерен оставаться в стороне от борьбы с киберпреступниками. Год назад в Греции было создано Европейское сетевое и информационное агентство безопасности (European Network and Information Security Agency, ENISA). Это подразделение ЕС будет собирать информацию о нарушениях сетевой безопасности в 25 странах блока, с тем чтобы выработать рекомендации по улучшению ситуации. Перед ENISA также будет поставлена задача исследовать возможность создания многоязычной системы оповещений о нарушениях системы безопасности. Кроме того, уже в этом году ЕС планирует представить ряд предложений по борьбе со спамом и отдельными видами киберпреступлений. На основе этих предложений в соответстующие законы стран ЕС могут быть внесены дополнения, необходимые для эффективного противостояния киберпреступности/ По словам представителя ЕС Мартина Селмэйра (Martin Selmayr), борьба со спамом в ЕС уже приносит свои результаты, но необходима координация со странами, не входящими в Европейский Союз, поскольку 90% спама приходит из этих стран. Источник: CNET News.com Для распространения "вируса-шантажиста" использовались спам-рассылки 07.06.2006 Специалистам "Лаборатории Касперского" удалось установить источник распространения "вируса-шантажиста" Gpcode, вызвавшего в последние дни эпидемию в российском сегменте Интернета. Как выяснилось, для распространения вируса злоумышленники использовали спам-рассылки. По данным "Лаборатории Касперского", первая волна рассылок была проведена 26 мая 2006 года. На несколько тысяч адресов электронной почты российских пользователей было разослано письмо следующего содержания: Здравствуйте, <имя получателя>! Беспокою Вас относительно Вашего резюме опубликованного на сайте job.ru. У меня есть вакансия, полностью подходящая под Ваше резюме. Фирма ADC Marketing LTD (UK) открывает представительство в Москве и я по поручению руководства решаю соответствующий кадровый вопрос. В ближайшее время я буду готов пригласить Вас на собеседование в любое удобное для Вас время. Если Вас интерисует мое предложение заполните несложную анкетку, относящуюся к зарплате, связанную с моей вакансией. Результат анкетирования вышлите на мой е-mail. Заранее благодарю. С уважением, Павлов Виктор, HR-менеджер. К письму прилагался документ MS Word с именем anketa.doc. На самом деле этот файл представлял собой троянскую программу Trojan-Dropper.MSWord.Tored.a. При открытии документа, в нем срабатывал вредоносный макрос, который устанавливал в систему другую троянскую программу - Trojan-Downloader.Win32.Small.crb, - которая осуществляла загрузку в систему самого Gpcode с адреса [skip].msk.ru/services.txt. Подобные спам-рассылки повторялись в течение нескольких последующих дней, при этом регулярно менялась версия вируса, размещенная по ссылке для загрузки троянцем. После попадания в систему вирус шифровал файлы, в частности, с расширениями .doc, .xls, .txt, .zip с помощью алгоритма RSA. Во всех папках, где находились зашифрованные файлы, появлялись файлы Readme.txt, в которых пострадавшим предлагалось купить алгоритм дешифровки у злоумышленника, предварительно связавшись с ним по указанному в тексте адресу. В настоящее время "Лаборатории Касперского" совместно с компанией-хостером удалось удалить файл вируса с сайта, с которого он загружался на компьютеры пользователей. Источник: "Лаборатория Касперского" Спам - статистика за период 29 мая - 04 июня 2006 г. "Лаборатория Касперского" Объем спама и тематические особенности Средняя доля спама в общем объеме почтового трафика слегка повысилась по сравнению с предыдущей неделей и составила 81%. На этой неделе были зафиксированы изменения в тематическом распределении спама. Существенно уменьшилось количество рассылок, посвященных компьютерному мошенничеству, личным финансам и компьютерам; увеличилось количество спама, посвященного образованию и путешествиям. Впервые за долгое время количество рассылок "взрослой" тематики превысило два процента. Неожиданно возросший в объемах "взрослый" контент был представлен и русскоязычными, и англоязычными рассылками. Для рассылок подобной направленности более типичен английский язык (на русском, как правило, спамеры предлагают сайты знакомств). Но на этой неделе наши соотечественники не отставали от своих западных собратьев и весьма активно предлагали приобрести порнофильмы. Отметились русские спамеры и в другой нише, привычно занимаемой западными рассылками. Речь идет о "личных финансах". В разделе "самый массовый спам" (см. сайт Спамтест) можно ознакомиться с примером такого письма. Много внимания было уделено спамерами проблемам здоровья. Компанию всем уже надоевших виагры и валиума пополнили предложения излечить от запоя и курения, научить вертикальным родам и даже красочные описаний мрачного будущего курильщиков ("раковые опухоли горла, гастрит, язва желудка: все впереди для курящих", - обещают спамеры). Решение близкой к проблемам здоровья проблемы безопасности было предложено в виде книги-"бестселлера" - ОБЖ-триллер "как выжить в городских джунглях". Неожиданной популярностью пользовалась на прошедшей неделе тема Президента. В потоках был зафиксирован политический спам, содержащий агитацию, выдержки из ежегодного послания Президента РФ и даже предложение приобрести "часы, как у Путина". Но, пожалуй, самым оригинальным спамом прошедшей недели можно назвать предложение "машины для изменения сознания". Пример письма из такой рассылки приведен на сайте Спамтест. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 26,9% +1,4% 2 Образование Реклама семинаров, тренингов, курсов 16,0% +6,5% 3 Медикаменты; товары/услуги для здоровья Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 11,7% -1,0% 4 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 15,4% +5,4% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 9,7% +3,2% 6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 6,3% -3,7% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 5,7% +0,3% 8 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 5,4% -4,4% 9 Остальной спам   4,6% -0,3% 10 Спам "Для взрослых" Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 2,9% +2,0% Образец самого массового спама недели и самые оригинальные предложения вы найдете на сайте Спамтест. Энциклопедия спама. Поддельные уведомления о выигрыше в лотерею Елена Осипенко, "Лаборатория Касперского" Этот вид спама близок к "нигерийским" письмам. Идея та же: посулив жертве золотые горы, мошенники пытаются получить доступ к банковскому счету получателя или же добиться, чтобы он оплатил некие "предварительные расходы". Как правило, сумма "выигрыша" составляет не меньше полумиллиона долларов. По сравнению с такой суммой те расходы, которые якобы необходимы для получения выигрыша, кажутся жертве несущественными. Под различными предлогами мошенники просят от нескольких сотен до нескольких тысяч долларов: это может быть комиссия за перевод выигрыша, налог, необходимость открыть счет в неком банке и так далее. К сожалению, далеко не всех "везунчиков" настораживает тот факт, что они никогда не участвовали в лотерее, в которой внезапно выиграли миллионы долларов. Чаще всего мошенники даже не утруждают себя созданием фальшивого сайта для своей лотереи - наивный пользователь не задумывается о том, что уведомления от организаторов многомиллионных лотерей не приходят с адресов на бесплатном почтовом сервере. И уж тем более, не приходят они с аккаунтов, поредставляющих собой случайную последовательность (например, в одном из таких сообщений в качестве обратного адреса организаторов лотереи указан адрес ltfltdclasdf@yahoo.com). Обычно текст такой подделки содержит призывы хранить полученную информацию в тайне (цитата из спама: "You are seriously advised to keep all winning lottery information and numbers from the public in line with our company security protocol to avoid double claiming"). "Счастливчикам", получившим уведомление о выигрыше в лотерею, стоит ответить на следующие вопросы: Принимали ли вы участие в этой лотерее? Если нет, значит, вы столкнулись с мошенниками. Не просят ли у вас под разными предлогами денег? На многих сайтах легитимных лотерей опубликована информация, в которой подчеркивается, что получение выигрыша не требует предварительных затрат. Какой адрес стоит в поле From пришедшего вам сообщения? Уведомление от настоящей лотереи не придет с ящика на msn.com, hotmail.com, netscape.net, yahoo.com и подобных хостингах. Как и нигерийские письма, фальшивые уведомления о выигрыше большей частью англоязычные, хотя встречаются и на других языках (французском, немецком, испанском), причем уведомления на этих языках строятся по одинаковой схеме и выглядят едва ли не дословным переводом одних и тех текстов. Попытки провернуть аферы с выигрышем в лотерею в российской части Интернета бывают, но крайне редко. Примеры фальшивых уведомлений о выигрыше в лотерею см. на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005