Электронный журнал "Спамтест" No. 161 в этом номере: Новости Спам - статистика за период 28 августа - 03 сентября 2006 г. Технология SPF - два года спустя Новости Создателя ботнетов отправили за решетку на три года 01.09.2006 Федеральный суд Сиэтла вынес приговор 21-летнему жителю штата Калифорния, признанному виновным в незаконном создании сети централизованно управляемых компьютеров (ботнет). Согласно судебному вердикту, Кристофер Максвелл (Christopher Maxwell) проведет 37 месяцев в тюрьме, и в течение трех лет после освобождения будет находиться под надзором правоохранительных органов. Ботнеты стали популярным орудием киберпреступников, которое они используют для рассылки спама, проведения DOS-атак и сохранения анонимности во время взломов сетей. Вирусная атака, с помощью которой Максвелл создавал ботнет, затронула сети Северозападной больницы Сиэтла, Министерства обороны США и единого школьного округа Колтон, говорится в постановлении суда. "Основываясь на доказательствах, собранных в ходе расследования, мы твердо знаем, что этот ботнет затронул миллион компьютеров", - заявила помощник прокурора Катрин Варма (Kathryn Warma). В своем признании, данном в мае этого года, Максвелл сообщил, что вместе с двумя сообщниками причинил вред Северозападной больнице Сиэтла, а также военным компьютерам в США и Германии. Преступная группа использовала ботнет для установки рекламного программного обеспечения и на партнерских условиях получила от рекламодателей более 100 тысяч долларов. Атака на сеть больницы привела к тому, что в операционной не открывались двери, а в отделении интенсивной терапии не работали компьютеры. Кроме того, из строя вышли пейджеры. Для продолжения нормальной работы персонал больницы использовал запасные системы. Ущерб Министерства обороны от создания ботнета составил более 138 тысяч долларов. Источник: Security Focus Киберпреступники меняют количество атак на их качество 05.09.2006 Организаторы фишинг-атак будут использовать изощренные технологии социальной инженерии, направленные на хищение у пользователей финансовой и персональной информации, а также интеллектуальной собственности. Таков основной вывод глобального исследования вредоносного программного обеспечения, подготовленный компанией MessageLabs по итогам августа. Дни топорных почтовых рассылок, которые пользователи уже научились распознавать, сочтены, предупреждают авторы исследования. Сейчас киберпреступники разрабатывают персональные подходы к пользователям, которые копируют легальные системы управления отношений с клиентами (CRM). Такие подходы эксперты из MessageLabs назвали "системами управления отношений с жертвами" (VRM). "В последней волне фишинг-атак использовались технологии социальной инженерии, подразумевающие сбор персональных данных из социальных сетей вроде MySpace. Вы получите письмо от вашего банка, адресованное персонально вам, в котором будут правильно указаны ваш адрес и почтовый индекс", - заявил технический директор MessageLabs Марк Саннер (Mark Sunner). Эксперты компании зафиксировали устойчивый рост подобных атак с декабря 2005 года. В то же время количество инцидентов, связанных с распространением вирусов и спама, остается приблизительно на одном и том же уровне. По мнению Саннера, такая ситуация со спамом и вирусами вполне прогнозируема, поскольку масштаб вирусных эпидемий почти прямо пропорционален уровню спам-рассылок. В ходе таких атак киберпреступники используют троянские программы, которые превращают ПК в так называемые "зомби-машины". Далее преступники создают из этих зомби-машин ботнеты и рассылают через них спам. На пике вирусной активности летом 2004 года ботнеты, состоявшие из более чем 100 тысяч зомби-машин, были обычным делом. Сейчас среднее число компьютеров в ботнете - около 20 тысяч, поскольку таким образом киберпреступники пытаются избежать обнаружения, отметил Саннер. Тем не менее, наибольшее количество потерпевших за все время вирусных атак приходится именно на мелкомасштабные хорошо продуманные и подготовленные акции. Бизнес-структры подвергаются троянским атакам через документы MS Office, приходящие якобы из проверенных источников. Подобные атаки имеют четко определенные цели - хищение интеллектуальной собственности и промышленный шпионаж. Главной проблемой борьбы с современными киберпреступлениями, по мнению Саннера, является 20-летнее отставание компаний, обеспечивающих информационную безопасность. Как и 20 лет назад, эти компании используют защитную модель, предусматривающую установку патчей конечными пользователями. Саннер убежден в том, что необходимо создавать фильтры, которые будут отсекать письма фишеров еще до того, как они достигнут ящиков пользователей. "Люди становятся самым слабым звеном в системе безопасности, но, говоря откровенно, нечестно возлагать бремя на пользователей. Больше предварительной работы необходимо делать на "небесном" уровне. Например, интернет-провайдеры должны отсекать послания прежде, чем они достигнут своих адресатов", - отметил Саннер. Источник: Vnunet.com SMS-фишинг 06.09.2006 Создатели вредоносных программ пытаются ввести в заблуждение пользователей мобильных телефонов, отправляя им текстовые сообщения недостоверного содержания. Специалисты компании McAffee уже дали название новому явлению - смишинг (от SMS + фишинг). "Мы подтверждаем факт вашего подключения к нашему сервису знакомств. До тех пор, пока Вы не отмените подписку, ежедневно с Вашего счета будет списываться $2", - гласит текст сообщения, рассылаемого мошенниками. В сообщении также содержится адрес фальшивого сервиса знакомств, якобы работающего на платформе для обычных ПК. На сайте, адрес которого указан в тексте сообщения, пользователям ПК предлагается скачать бесплатное антивирусное приложение. В действительности в скачиваемом файле находится троянская программа. Эта программа подключает атакуемый компьютер к ботнету, который впоследствии используется для рассылки спама или DOS-атак. Организаторы смишинг-рассылки проживают в Испании и отправляют свои сообщения через SMS-шлюзы. По данным McAfee, текущая рассылка идет исключительно среди владельцев телефонов Nokia 60-й серии, работающих в операционной среде Symbian. "Это явление - еще один индикатор того, что мобильные устройства все чаще используются для распространения вредоносных программ и организации мошеннических схем@, - отметили представители McAfee в своем блоге. Источник: Vnunet.com Новый виток биржевых махинаций спамеров 07.09.2006 Спамеры, занимающиеся манипуляциями на фондовой бирже, стали напрямую обращаться к компаниям, предлагая поднять стоимость их акций в обмен на процент от прибыли. Специалисты по безопасности компании Sophos утверждают, что обнаружили электронные письма, разосланные руководителям компаний, в которых предлагается бесплатная разовая попытка подобной аферы с обещанием повысить цену приобретенных акций на 250% в течение недели. Такую коммерческую направленность рассылки эксперты считают новым витком развития мошенничества pump-and-dump (накачки и сброса). Подобные спамерские письма предлагают пользователям покупать акции по низким ценам. Благодаря росту продаж эти акции вырастают в цене, после чего спамеры продают припасенные ранее акции. По данным Sophos, объем этой разновидности спама с начала 2005 года вырос с 0,8% до 15%. Откликнувшиеся на такие письма пользователи теряют в течение двух дней порядка 8% своих вложений, в то время как спамеры получают от 4,9 до 6% прибыли. Причем попавшихся на крючок пользователей не смутила даже безграмотность полученных писем. "Теперь они [спамеры] не только исхитряются повышать стоимость приобретенных ими заранее акций, но еще и имеют наглость предлагать деньги вовлеченным в махинации компаниям", возмущается Грэм Клули (Graham Cluley), старший технический консультант Sophos. К сожалению, отмечают эксперты, перед таким предложением трудно устоять небольшим компаниям, или фирмам, оказавшимся в затруднительном финансовом положении. Источник: BBC Спам - статистика за период 28 августа - 03 сентября 2006 г. "Лаборатория Касперского" Объем спама и тематические особенности По сравнению с предыдущей неделей доля спама в почтовом трафике выросла и составила 75,7%. Это уже традиционное повышение доли спама в конце августа - начале сентября. Во многом оно обусловлено увеличением количества рекламных предложений тематики "Образование". Наибольшие изменения на прошедшей неделе произошли в рубрике "Медикаменты; товары/услуги для здоровья", доля писем этой тематики снизилась почти вдвое. По мнению спам-аналитиков, это сокращение является временным и вряд ли окажет существенное влияние на картину распределения спама в более долгосрочном периоде - за месяц и т.п. Также был отмечен заметный рост количества и доли спама в тематиках "Личные финансы", "Образование" и "Услуги по электронной рекламе". Тематика "Личные финансы" привлекла внимание спам-аналитиков не только ростом своей доли в общем объеме спама. Особый интерес представляют те спам-рассылки, за счет которых произошел этот рост. Это однотипные рассылки с рекламой акций, которым спамеры уверенно пророчат будущее акций IBM, т.е. безудержный рост в цене. Соответственно, пользователи, клюнувшие на обещания спамеров, якобы должны буквально озолотиться на этих акциях всего через год-два. В действительности, при такой игре на бирже выигрывают только спамеры, а пользователи рискуют остаться ни с чем. Но рассылки эти были примечательны не столько своим содержанием, сколько новым "трюком" - анимированным графическим вложением (подробнее об этом см. здесь). Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 20,7% +1,3% 2 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 17,5% +3,8% 3 Медикаменты; товары/услуги для здоровья Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 12,9% -12,4% 4 Образование Реклама семинаров, тренингов, курсов 11,9% +3,5% 5 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 9,7% +2,3% 6 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 9,2% -0,3% 7 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 7,5% +2,2% 8 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 5,8% -4,7% 9 Остальной спам   4,9% +0,7% 10 Спам "Для взрослых" Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом Менее 2% Без изменений Самый массовый спам, а также образцы оригинальных спам-предложений прошедшей недели вы найдете на сайте Спамтест. Технология SPF - два года спустя Андрей Калинин, "Лаборатория Касперского" Проблема идентификации отправителя За последние несколько лет электронная почта стала настолько популярной, что проникла практически во все сферы деятельности человека. Электронные письма используются как для повседневной болтовни между друзьями, так и для передачи чрезвычайно важных сообщений, от которых могут зависеть не только благосостояние отправителей и получателей письма, но, возможно, их здоровье или даже жизнь. В то же самое время одна из основных проблем использования протокола передачи электронных сообщений (SMTP - simple mail transfer protocol) заключается в полном отсутствии идентификации отправителя, то есть однозначной проверки того, что человек, указанный в конверте письма как отправитель, действительно его отправлял. Такой недостаток оставляет богатые возможности для использования электронной почты мошенниками или для рассылки спама и вирусов. В качестве примеров писем с поддельными обратными адресами можно привести спамовые письма, разосланные по адресным книгам пользователей от имени владельцев адресных книг, фишинговые письма-подделки под сообщения известных банков, которые рассылаются мошенниками с целью получения логинов и паролей клиентов банков и т.п. Основные принципы SPF Технологии SPF и Sender ID появились два года тому назад и были предназначены для прозрачной, быстрой и простой идентификации отправителя почтового сообщения. Их суть достаточно проста: системный администратор в информационных полях DNS, связанных с его доменом, публикует правила, по которым можно проверить, действительно ли отправитель письма с соответствующим обратным адресом посылал его из этого домена. Правила достаточно просты и в самом элементарном и общеупотребительном случае заключаются в перечислении IP-адресов тех серверов, которые могут отправлять почту с обратным адресом домена. На первый взгляд кажется, что проверка письма на соответствие SPF-правилам, опубликованным системными администраторами, может решить проблему подделки отправителя письма. Однако, еще два года тому назад высказывались сомнения в работоспособности предложенного решения. Основным доводом против SPF являлся тот факт, что легитимная почта на пути к конечному получателю может отправляться через посторонние сервера. Например, это может происходить, если получатель письма имеет несколько почтовых ящиков, при этом один их них был выбран в качестве основного, а с остальных почта перенаправляется на основной адрес средствами почтовой системы. В этом случае отправитель письма остается одним и тем же, но почтовый релей будет изменен, и проверка на корректность отправителя при получении письма будет провалена. Если же допустить, что при перенаправлении письма отправитель сообщения будет заменяться, то, при наличии проблем на основном почтовом ящике получателя, настоящий (оригинальный) отправитель письма никогда об этом не узнает, так как сообщение о недоставке письма до него не дойдет. Таким образом, при использовании проверок SPF в качестве характеристического метода отвержения почты возможны ложные срабатывания. Как будет показано ниже, они не только возможны, но и составляют достаточно значительную часть почтового потока, что приводит к невозможности использования проверок по SPF непосредственно для блокирования нежелательной почты. Для решения проблемы с перенаправлением почты через почтовые сервера была разработана технология SRS (Sender Rewriting Scheme), позволяющая отслеживать цепочку серверов и почтовых адресов, через которые прошло почтовое сообщение. Однако, в отличие от SPF, SRS требует, чтобы каждый из серверов, осуществляющих передачу почтового сообщения, поддерживал бы технологии SPF и SRS. Это приводит к необходимости модифицирования ПО на каждом почтовом сервере в мире, что невозможно выполнить практически. Хотя сомнения в том, что простое решение позволит полностью избавиться от недостатков протокола SMTP появились уже два года тому назад, в течение 2004-го года практически все крупнейшие почтовые системы опубликовали свои политики SPF, некоторые начали использовать проверки по SPF в своих программных комплексах по борьбе с нежелательной почтовой корреспонденцией. На волне популярности SPF в рамках рабочей группы MARID были начаты работы по созданию единого стандарта Sender ID, объединяющего SPF и технологию Caller ID, разработанную Microsoft. Однако они были быстро свернуты в связи с проблемами внедрения, вызванными несовместимостями с лицензиями open-source, и из-за несовместимости Sender ID с классическим вариантом SPF. В июле 2005 года Группа по стандартизации интернет-технологий утвердила в качестве "экспериментальных" два предложения стандарта аутентификации отправителя - Sender ID и SPF. С тех пор никаких нововведений в SPF не планировалось. SPF сегодня Для того, чтобы оценить эффективность SPF, можно привести результаты анализа, проведенного на почтовом потоке не очень большого хостинг-провайдера. Анализировались логи за неделю. Для оценки эффективности SPF использовались результаты работы антиспам-фильтра, в котором проверки по SPF не производятся. При этом предполагается, что в период наблюдения этот фильтр не допускал ложных срабатываний. По статистике антиспам-фильтра, 89% почтовых сообщений являлись спамом. Это значение несколько выше, чем средний объем спама в Рунете, что связано с большим количеством спам-ловушек, установленных у данного провайдера. Выяснилось, что из общего количества обрабатываемой почты 18% сообщений имели SPF-записи для доменов отправителей сообщений. Результаты проверки писем, отправленных из доменов с SPF-записями, по статусам fail, softfail и pass, представлены в таблице 1 (статус neutral мы не рассматриваем, поскольку он не информативен). Таблица 1. SPF-статус % от писем c SPF % от всего потока Пересечение со спамом Fail 12% 2% 96% Softfail 67% 12% 97% Pass 9% 1,6% 20% Здесь "% от писем с SPF" - это доля писем, получивших данный статус, от всех почтовых сообщений, отправитель которых имел SPF-запись для своего домена. "% от всего потока" - это доля писем, получивших данный статус, от всего почтового потока. "Пересечение со спамом" - это доля писем, получивших метку "Спам" спам-фильтром, не использующим проверки по SPF, от общего количества писем, получивших соответствующий SPF-статус. Получение почтовым сообщением статуса fail означает, что провайдер должен был бы отвергнуть данное письмо как несоответствующее опубликованной жесткой политике владельца домена. Интересно видеть, что если бы этот статус действительно использовался таким образом, то процент распознавания спама повысился бы на сотые доли процента. С другой стороны, ручной просмотр записей в логах почтовой системы по сообщениям, получившим статус fail и не распознанным как спам антиспамерским фильтром, выявил, что как минимум 1% сообщений со статусом fail были пересылками легальной корреспонденции с другого адреса, то есть относились к ложным срабатываниям. Если считать, что другого спама, кроме распознанного имеющимся фильтром и статусом fail нет, то количество ложных срабатываний по статусу fail в целом составляет как минимум 0,2%. На самом деле этот показатель выше, так как наверняка был спам, не распознанный ни одним из методов (в этом случае уменьшается количество не спамерских сообщений, а доля ложных срабатываний, соответственно, возрастает). Статус softfail не предполагает однозначного отвержения письма почтовой системой, но может учитываться дополнительно к другим методам. Фактически, из приведенных чисел видно, что приблизительно в 0,3% случаев статус softfail мог бы чуть-чуть повысить "спамность" письма в терминах многокритерального фильтра спама. Статус pass означает, что отправитель был подтвержден, и, в принципе, письмо, получившее такой статус, должно было бы быть доставлено получателю. Однако 20% из писем, получивших статус pass, были распознаны установленным фильтром как спам. Поскольку было сделано предположение об отсутствии ложных срабатываний фильтра, то эти письма относились к категории нежелательной почтовой корреспонденции. Фактически, это означает, что в тех случаях, когда спамеры используют в качестве адресов отправителей свои адреса, а не поддельные, они могут прописывать для своих доменов нужную для них SPF-политику - и спамеры этим пользуются. Следовательно, как это ни странно звучит, в общем случае на этапе приема письма провайдером проверки по SPF практически никак не должны влиять на прием письма: получение почтовым сообщением статуса fail не означает, что оно должно быть отвергнуто; получение статуса pass не означает, что письмо должно быть принято. Таким образом, характеристическая проверка почтового сообщения по SPF может производиться только для выделенных отправителей, о которых получатель точно знает, что, во-первых, он хочет получать от них письма и, во-вторых, что их письма будут отправлены на сервер получателя напрямую, без пересылки. Но накладывание таких условий на применение технологии, которая должна была бы быть прозрачной для конечного получателя, фактически делает эту технологию бесполезной. Если сам получатель готов выполнить какие-либо действия по идентификации отправителя, то самым простым и действенным способом было бы применение средств подписывания отправителем почтовых сообщений и проверки подписи на стороне получателя. Причины неудачи SPF Основная причина неудачи SPF заключается в том, что новая технология не удовлетворяет сложившейся практике использования почты в достаточно мелком вопросе - пересылке писем. Поэтому, несмотря на то, что количество писем, перенаправляющихся с одного почтового ящика на другой, в общем объеме почты невелико, несовместимость пересылки с новой технологией привела к практической бесполезности SPF. Двухлетняя история развития SPF лишний раз показывает, как сложно менять или добавлять новую функциональность в широко используемый протокол передачи данных. Технологии, предлагающие расширение SMTP, должны обеспечивать полную поддержку протокола в самых мелких особенностях, иначе они не смогут получить должное развитие. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005