Электронный журнал "Спамтест" No. 160 в этом номере: Новости Спам - статистика за период 21 - 27 августа 2006 г. Фишинг терроризирует Интернет Новости Червь спровоцировал массовый рост числа зомби-компьютеров 29.08.2006 Компания CipherTrust сообщила о 23%-ном росте числа зомби-компьютеров. Причиной этого бедствия стала одна из версий червя Mocbot. По данным CipherTrust, с 13 августа наблюдался постоянный рост числа новых зомби-компьютеров в Сети, причем если в первые дни эта цифра составляла 214 тысяч зараженных компьютеров ежедневно, то уже через неделю достигла 265 тысяч новых зомби-машин в день. По оценке представителя CipherTrust Дмитрия Альперовича (Dmitri Alperovitch), озвученной им на прошлой неделе, общие масштабы заражения червем Mocbot составили от 500 тыс. до 1 миллиона компьютеров. Червь Mocbot, известный также как Cuebot и Graweg, эксплуатирует уязвимость MS06-040 в приложениях Windows 2000 и Microsoft Office. Компьютер, на который проник Mocbot, включается в зомби-сеть и может использоваться для удаленной рассылки спама, преимущественно порно-характера и рекламы часов Rolex. Стоит отметить, что еще 8 августа Microsoft выпустил заплатку для MS06-040. Источник: ZDNet От спама защитит анонимная электронная почта 30.08.2006 Интернет-провайдер EarthLink запустил анонимную почтовую службу с целью защиты своих клиентов от спама. Новый ProtectionPack, который предоставляется только подписчикам EarthLink, включает анонимную почту с 5 анонимными адресами, связанными со скрытым фактическим аккаунтом пользователя. Подписчики могут использовать эти 5 аккаунтов для регистрации на других сайтах, в интернет-магазинах или для общения посредством е-mail, скрывая свои идентификационные данные. При получении почты на эти адреса, сообщения автоматически перенаправляются в папки ProtectionPack в учетной записи пользователя. "Большинство из нас еженедельно получает примерно 200 писем, и часть из них составляет электронный мусор, которому удается обойти фильтры, поэтому наши пользователи жаждут станцевать на костях спамеров", - заявил сотрудник EarthLink Стефен Карри (Stephen Currie). - "Эта разработка предоставляет дополнительную защиту, которая поможет подписчикам снизить количество спама, забивающего почту". Источник: TechWeb Компания McAfee опубликовала десятку лидирующих тем спамовых писем 30.08.2006 Компания McAfee опубликовала десять наиболее часто встречающихся в спаме тем писем. Спамеры маскируют содержимое своих посланий, увеличивая тем самым вероятность обхода почтовых фильтров. В число лидеров вошли следующие темы спам-сообщений: Message from eBay Member PayPal Notification Restore Your Account Access Chase Online Banking Service eBay Member aw-confirm@ebay.com eBay Item Not Received Dispute Opened for Item Question from eBay member Barclays International informs you Amazon.com - Account maintenance - Profile Update Напомним, что по данным компании Sophos, три четверти всех фишинг-атак приходится на целевых пользователей онлайн-аукциона eBay и его электронной платежной системы PayPal. Источник: DMeurope.com Spamalot готовится к бою 30.08.2006 Исследователи из Университета Иллинойса в Чикаго работают над пакетом инструментов, получившим название Spamalot. В его основе лежит применение интеллектуальных агентов, которые имитируют ответы пользователей на спамовые письма и интерактивно взаимодействуют со спамерами. Мишенью Spamalot'a станут, прежде всего, спамеры-мошенники, рассылающие, например, "нигерийские" письма - предполагается, что Spamalot засыпет их фальшивыми ответами. Кроме того, Spamalot будет заполнять спамерские Web-формы. Руководитель исследований компании Gartner Питер Ферстбук (Peter Firstbrook) считает, что "тушение пожара огнем" не сработает. В качестве доказательства он приводит пример с софтом, разработанным компанией Blue Security, который в ответ на спам формировал ответный поток писем. Однако в мае этого года группа спамеров подвергла сайты компании массированной DDoS-атаке, в результате чего Blue Security прекратила свою антиспамерскую деятельность. Идея забрасывать спамеров ответными сообщениями, чтобы перегрузить их ресурсы, действительно не нова, но Spamalot нацелен непосредственно на людей, рассылающих спам. По словам главы отдела информатики Университета, профессора Питера Нельсона (Peter Nelson), обычно спамеры получают от 1 до 5% ответов на рассылаемые ими миллионы писем, и лишь в редких случаях это ложноположительные срабатывания. "Цель Spamalot'a - максимально загрузить людей, занимающихся рассылкой спама", - заявил Нельсон. Кроме того, Spamalot сможет вводить спамеров в заблуждение и даст им основание считать, что их письма обошли фильтры. Возможно, считает Нельсон, все это могло бы притормозить эволюцию спамовых писем. Нельсон подчеркивает, что Spamalot является лишь одним из инструментов для борьбы со спамом. Spamalot работает с традиционными спам-фильтрами. Когда фильтр отлавливает спам, он может либо пересылать его Spamalot'у, либо удалять. В тех случаях, когда спамовое письмо пропущено фильтром, Spamalot'у его могут пересылать пользователи. Даже если Spamlot и не сработает так, как ожидают его создатели, он вполне может использоваться как инструмент для анализа фишинга, считает, аналитик Ferris Group Бен Гросс (Ben Gross). Ожидается, что Spamalot выйдет в свет в начале 2007 года. Источник: www.darkreading.com Анимированный август 31.08.2006 Спам-аналитики "Лаборатории Касперского" предупреждают о появлении нового технического приема в арсенале спамеров. Теперь спам рассылается не только в виде обычных статических "картинок" (графических вложений), но и в виде анимированной графики. Спамеры используют GIF-анимацию, т.к. она распознается и автоматически воспроизводится всеми популярными браузерами. Обычно анимированный спам содержит от 2 до 4 кадров, из которых только один кадр является значимым, т.е. содержит информационную составляющую. Именно на этом кадре отображается текст спамерского предложения. Остальные кадры содержат фон или прочие элементы рисунка, не несущие смысловой нагрузки. Значимый кадр демонстрируется пользователю до 10 минут, а вспомогательные - всего десятые доли секунды. Пока все спам-рассылки с анимацией, зафиксированные на текущий момент, по своей тематической принадлежности относятся к одному типу: Stock Spam (спам, цель которого состоит в продвижении конкретных акций). Спамеры разрабатывают новые технические приемы для того, чтобы обойти системы фильтрации спама. Поможет ли им "трюк" с анимацией? Неизвестно. В настоящее время существует не так много фильтров, которые пытаются анализировать собственно спамерскую "картинку". Большинство фильтров анализирует структуру сообщения, его текстовую (символьную) составляющую и т.п. Для простых фильтров, нацеленных на анализ исключительно текста (символьного, а не изображенного в графике), новый прием спамеров действительно может оказаться серьезной угрозой. Но такие фильтры плохо справляются с графическим спамом любого типа, не только с анимацией. В отличие от простых фильтров, наиболее технологически продвинутые фильтры смогут обеспечить защиту пользователей от "спам-анимации". Источник: "Лаборатория Касперского" Спам - статистика за период 21 - 27 августа 2006 г. "Лаборатория Касперского" Объем спама и тематические особенности На прошедшей неделе доля спама в почтовом трафике составляла около 71%. Для августа это нормальный показатель. Тематическое распределение спама на прошедшей неделе претерпело некоторые изменения. Доля спама тематик "Другие товары и услуги" уменьшилась на 6,8%, "Компьютерное мошенничество" - на 5,9%. Доля спама тематики "Услуги по электронной рекламе" увеличилась на 1,1% (для данной тематики это высокий показатель). Кроме того, тематика "Личные финансы" на прошедшей неделе продемонстрировала рост на 4,9% по сравнению с предыдущей неделей. Такой скачок связан с несколькими массовыми рассылками, содержащими сведения об акциях. Спамеры утверждают, что покупка именно этих акций позволит пользователям электронной почты обогатиться в будущем, т.к. эти акции ожидает то же положение на бирже, что и акции IBM. Подобный "финансовый" спам уже прочно занял свою нишу в потоках спама. Но резкие скачки в тематическом распределении редко бывают долговременными, скорее всего, в ближайшее время доля спама этой тематики нормализуется. Прошедшая неделя была богата на всякого рода сомнительные предложения. Кроме уже упомянутых многочисленных рассылок про акции, прошла, например, рассылка, предлагающая воспользоваться услугами ясновидящих. На сей раз речь идет не о праздном любопытстве, но о вполне конкретном деловом предложении. Используйте ясновидящих для того, чтобы делать ставки в букмекерских конторах, говорят нам спамеры. Также активизировалась контора, периодически рассылающая спам с рекламой сайта "известного мага" Ильи Германа. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 25,3% -0,3% 2 Другие товары и услуги Предложения других товаров и услуг 18,8% -6,8% 3 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 13,7% +4,9% 4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 10,5% +3,6% 5 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 9,5% -5,9% 6 Образование Реклама семинаров, тренингов, курсов 8,4% +4,0% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 7,4% +1,1% 8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 5,3% +2,3% 9 Остальной спам   4,2% -1,0% 10 Спам "Для взрослых" Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятиях сексом Менее 2% Без изменений Самый массовый спам, предложение заработать с помощью ясновидящего, образец спама, умело замаскированный под личное письмо, а также другие любопытные примеры спама прошедшей недели вы найдете на сайте Спамтест. Фишинг терроризирует Интернет Виктор Дронов, "Лаборатория Касперского", специально для CNews.ru Одна из форм мошенничества в Интернете - фишинг, или "ловля на удочку", действительно сродни этому мирному спортивному увлечению: выбор "наживки", азарт процесса, "улов", наконец. Кей-логгеры, mail, специальные сайты - вот типичные инструменты фишеров. А уж "рыбки" на просторах Интернета пока хватает. Характер преступлений, связанных с использованием фишинга, постоянно меняется. Мошенники выдумывают все более изощренные способы обмана и повышают уровень подготовки атак с целью кражи паролей, номеров кредитных карт и банковских счетов и другой конфиденциальной информации. По данным последнего отчета APWG (май 2006 года), в месяц обнаруживается 20109 различных фишинговых рассылок, 11976 фишерских веб-сайтов. Средний срок жизни фишерских сайтов - 5 дней, что вполне достаточно для того, чтобы мошенники успели получить свой "улов". Под атакой за месяц оказываются клиенты 137 различных организаций (в основном банков и платежных систем). За последний год число фишинг-рассылок и фишерских сайтов заметно выросло. Секреты "технологии" Еще на заре World Wide Web, в середине 90-х, спамеры и распространители пиратского ПО открывали учетные записи по случайным образом сгенерированным номерам кредитных карт службах AOL. Такие аккаунты могли просуществовать несколько недель (до того, как обнаруживалось "неладное") и использовались в любых, самых нелицеприятных целях. После того, как AOL провела "чистку рядов" и существенно ужесточила правила регистрации новых пользователей, злоумышленники перешли к другой тактике - фишингу. Пользователи AOL получали сообщение а-ля "сервер перезагружен и вам нужно заново ввести ваш пароль на странице такой-то". После чего, заполучив учетные данные от доверчивого пользователя, злоумышленники использовали новые аккаунты для хостинга запрещенного контента или рассылки спама. В 1997 AOL пришлось прибегнуть к самому широкому кругу мер для пресечения подобных иницидентов - информированию пользователей, отслеживанию фишерских страничек и сообщений. Что такое фишинг Фишинг (англ. - phishing) - одна из форм мошенничества в Интернете, опирающаяся на методы социальной инженерии. Фишинг заключается в попытке завладеть важной конфиденциальной информацией жертвы - паролями, номерами счетов и кредитных карт. При этом представать он может в виде сообщений электронной почты или IM-мессенджера, якобы отосланных от лица той стороны, которой можно и нужно сообщать подобные данные - провайдера, банка и т.д. Самое важное для фишера - правдоподобная легенда, побуждающая жертву перейти на сайт и оставить там свои секретные данные. Поэтому фишинговые сообщения, как правило, оформлены очень качественно, в противовес "обычному" спаму - солидно, с соблюдением малейших деталей корпоративного стиля атакуемой организации. То же самое можно сказать и о фишерских поддельных сайтах, на которые заманивают простодушного пользователя - они исполнены в безупречной манере, и без тщательного изучения их практически невозможно отличить от оригинала. Письмо, оформленное как "официальный бланк" банка, содержит ссылку, по которой нужно пройти "для подтверждения персональных данных". Если же изучить ссылку подробнее, просто подвести к ней курсор - в статусной строке видно, что ведет она вовсе не на сайт usbank.com, а на некий безвестный IP-адрес. Такое письмо, при желании, отличить от подделки совсем несложно. Иногда, не утруждая себя созданием точной копии веб-сайта атакуемой компании, объект кражи предлагается выслать... по электронной почте. В ходе нашумевшего эксперимента в элитной военной академии США Вест-Пойнт, 80% кадетов безропотно поделились своими паролями для доступа к сетевым ресурсам с неизвестным отправителем, представшим в образе "старшего офицера". Фишеры часто пытаются завладеть учетными данными в почтовых службах, например, в Mail.ru. В случае успешной атаки, мошенники могут, в частности, использовать полученные почтовые адреса для рассылки спама. Помимо таких, прямо скажем - примитивных методов, фишеры прибегают и к более изощренным приемам. Например, насыщают сообщение абсолютно легальными ссылками, а также "советами по безопасности осуществления транзакций". И только самая заветная ссылка - по которой предполагается пройти пользователю - является подставной (в примере выше такой ссылкой является кнопка Respond Now, все остальные ссылки "правдиво" ведут на настоящие сайты). Еще более изощренным является прием, когда пользователю вообще не нужно переходить на поддельный сайт, а форма "верификации" встроена прямо в HTML-тело фишинг-сообщения. На примере ниже - уже знакомые легальные ссылки, усыпляющие бдительность человека, и поля в которые предлагается ввести личные данные. "Легальный" адрес подделать несложно, в частности, спамеры часто прибегают к этому приему. Многие рассылки проводятся фишерами "наобум". Например, если атакуются атакуются учетные записи аукциона eBay или почтовой службы Mail.Ru в России, вероятность, что у неизвестного получателя есть именно такая учетная запись, достаточно высока, т.к. эти сервисы достаточно популярны. Еще одним, более продвинутым приемом фишеров, становятся целевые атаки. При их проведении, злоумышленникам точно известно, что их адресат пользуется тем или иным банком, сайтом, провайдером, платежным инструментом. Это увеличивает "отдачу" фишинговой атаки и затрудняет ее оперативное обнаружение. Злоумышленники все чаще прибегают к применению так называемых кей-логгеров - специальных программ, отслеживающих нажатия клавиш на компьютерах пользователей и отсылающих полученную таким образом информацию по заранее заложенному адресу. Анти-фишинг Еще в 2004 исследовательская компания Gartner подсчитала, что более 2,4 млн. американцев в год становятся жертвами фишинга, а совокупный ущерб жертв мошенничества и организаций, чьими клиентами они являются, составляют 929 млн. долл. (только в США). Широкое распространение фишинга послужило толчком к созданию таких организаций как, например, Anti-Phishing Working Group (APWG), куда входят крупнейшие интернет-провайдеры, веб-сервисы и производители ПО для обеспечения компьютерной безопасности. В их числе - Microsoft, eBay, PayPal, MasterCard. Есть и российские участники - например, "Лаборатория Касперского". Помимо работы с законодательными органами и просвещением пользователей, участники APWG постоянно обмениваются данными о новых мошеннических рассылках и фишерских сайтах в Сети, для того, чтобы максимально оперативно закрыть их или предотвратить доступ к ним со стороны потенциальной жертвы. Определенную лепту в активность фишеров вносят и законы против спама, наиболее развитые в США и Великобритании. Будучи конструктивными по своей природе, эти акты ставят назойливую рекламу в незапрошенных сообщениях вне закона, тем самым форсируя миграцию спамеров в сторону более рискованных, но и более прибыльных афер. "Легальные" клиенты уходят, и, чтобы как-то прокормиться, электронные мусорщики обслуживают интересы фишеров, либо становятся ими. Что касается технических мер противодействия угрозе, то крайне полезно защитить пользователя с помощью антиспам-фильтра, такого, как Symantec Brightmail или Kaspersky Anti-Spam, т.к. большая доля массовых фишинговых рассылок может быть заблокирована как спам. В персональных Internet Security пакетах для домашних пользователей стандартом де факто становятся модули защиты от фишинга, сигнализирующие как о переходе на фишерский веб-сайт, так и о получении фишинг-письма. Но, безусловно, одна из главных мер в борьбе с фишингом - обучение пользователей простым и понятным правилам безопасности в Интернете. Ведь вне зависимости от того, насколько искусно изготовлены мошеннические послания и веб-сайты, достаточно руководствоваться тем, что ни одна организация не попросит сообщить ("восстановить", "подтвердить", "изменить" и т.п.) пароль или PIN-код по электронной почте или в сообщении ICQ. Не стоит доверять даже тому, что в письме указан логин, номер счета или иная персональная информация получателя - в последнее время, фишеры часто прибегают к плодам identity theft, чтобы сделать свои сообщения более реалистичными. Если же причина, по которой это нужно сделать, кажется ну уж очень правдоподобной и критичной - нужно удостовериться в этом напрямую в организации (банке, провайдере и т.д.), а также вводить адрес нужного сайта вручную в строке браузера (не переходить по ссылке). Будущее "технологии" Фишеры не стоят на месте. Как только люди привыкают к фишингу по электронной почте - как тут же появляются примеры, когда нужные мошенникам данные нужно переслать... по факсу! В письме при этом, вместо "порочащей репутацию" ссылки, указан телефонный номер факса-автомата. "Ну уж факс-то - это давно проверенное средство, - причем тут фишинг?" - видимо, этим руководствуются люди, отправляя на указанный телефонный номер свою банковскую информацию. Эксперты полагают, что фишинг будет проникать во все новые сферы коммуникаций, завоевывающие популярность. Так, согласно исследованию, проведенному в Университете Индианы, крайне подвержены фишинговым атакам, - в силу своей открытости к новым контактам, - социальные сети, такие как MySpace.com, Friendster и т.д. Стоило получить широкое распространение VoIP-сервисам, как появились атаки, в которых предлагается - нет, вовсе не кликнуть по ссылке, а набрать номер в Skype и, "попав в автоматический call-центр, в тональном режиме ввести PIN для доступа к системе"... APWG прогнозирует, что в течение некоторого времени фишинг сойдет на нет, благодаря тому, что пользователи станут более осмотрительными и более осведомленными о данной угрозе - как это в свое время произошло с почтовыми вирусами. Только вот на смену уже идут иные приемы мошенников, например, "фарминг" (посетителя банковского сайта перебрасывают на адреса поддельных страниц), уже известные многим "нигерийские письма", но об этом - в следующих статьях. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005