Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Лаборатория КасперскогоSubscribe.ru
Электронный журнал "Спамтест" No. 170

в этом номере:


Новости

В Англии и Уэльсе принят закон против фишинга

21.11.2006

По новому английскому закону против мошенничества, Fraud Act, владение фишерским инструментарием будет караться тюремным заключением на срок до 5 лет, а создание программ, предназначенных или адаптированных для мошеннических целей, грозит сроком до 10 лет.

Fraud Act призван объединить все существующие положения в отношении мошеннических действий, предусмотренных статутным правом, и привести их в соответствие с уровнем современного развития технических средств. Новый закон получил королевскую санкцию и будет введен в силу на территории Англии и Уэльса с начала 2007 года.

Закон Fraud Act использует четкую общую формулировку мошенничества как преступления, под которую подпадают такие противоправные действия, как умышленное введение в заблуждение, утаивание информации и злоупотребление служебным положением. На случай не предусмотренных статьями закона ситуаций была сохранена также широкая формулировка о "сговоре с целью мошенничества". Для нарушителей предусмотрено наказание в виде тюремного заключения сроком до 10 лет.

По данным аналитической маркетинговой компании KPMG Forensic, убытки от мошенничества в Великобритании в 2005 году превысили все рекордные уровни за последние 10 лет и составили 900 млн. фунтов стерлингов. Эта статистика составлена по итогам больших судебных процессов, где суммы превышают 100000 фунтов. За первую половину 2006 года сумма потерь в связи с мошенничеством уже составила 650 млн. фунтов.

Источник: The Register

SMS-спам представляет угрозу легитимной рекламе

22.11.2006

Размеры современного рынка услуг мобильной связи делают его привлекательным для маркетинговых компаний и прочих легальных рекламодателей. Однако неуклонный рост спамерской активности в этой области может поставить под сомнение их надежды на получение прибыли от легитимной рассылки по SMS-каналам.

Клиентура беспроводной связи во всем мире быстро увеличивается. Только в США, по данным CTIA Wireless Association, число владельцев мобильных телефонов в июне 2006 года составило 220 миллионов. Обширная аудитория создает большие возможности для сетевого маркетинга. Такие компании, как eBay и Orbitz, оповещают своих клиентов о новинках сервиса в текстовой форме по подписке. Такие же услуги стали предоставлять пользователям и операторы беспроводной связи.

Тем не менее, увеличение объема спамерских SMS-рассылок за последнее время ухудшило психологический климат в этой сфере рынка и поставило под угрозу финансовые перспективы законных рекламодателей. По оценкам компании Ferris Research, в этом году уровень текстового спама, рассылаемого по мобильным каналам, вырастет на 60%.

В 2005 году специалисты Ferris Research зарегистрировали 500 миллионов незапрошенных SMS-сообщений, доставленных получателям. В 2006 году, по прогнозам компании, адресаты получат 800 миллионов спамерских сообщений, а в 2007 - около миллиарда. В то же время, по данным CTIA Wireless Association, только в июне этого года общий объем SMS-рассылок в США составил 12,5 миллиардов сообщений.

Источник: CNET News.com

"Нигерийское мошенничество" обходится британцам в миллионы

22.11.2006

Согласно исследованию, проведенному независимой организацией Chatham House, Великобритания ежегодно теряет миллионы из-за интернет-мошенничества, махинаций с кредитными картами, фишинга и операций по отмыванию денег, традиционно связываемых с так называемым "нигерийским бизнесом".

Однако ни англичане, ни нигерийцы не склонны придавать этой проблеме большое значение. Как считают исследователи Chatham House, в Европе частные лица, коррумпированные чиновники и официальные организации привыкли наживаться на финансировании терроризма, торговле наркотиками и контрабанде дешевой рабочей силы.

"Нигерийский бизнес" обычно ассоциируется с интернет-фишингом и направлен на выуживание финансовой персональной информации и реальных денег у пользователей электронной почты. Он широко известен, тем не менее число жертв собственной жадности, доверчивости или чувства рассового превосходства не уменьшается. Подобная криминальная деятельность имеет большие масштабы и процветает не только в Нигерии, но традиционно приписывается нигерийцам.

По данным голландской аналитической компании Ultrascan, в прошлом году общая сумма убытков британских компаний и частных лиц от "нигерийского" мошенничества в Интернете составила 275 млн. фунтов стерлингов (520 миллионов долларов.). Больше пострадали только американцы, потерявшие из-за "нигерийских" фишеров 720 миллионов долларов.

Сама Нигерия тоже становится мишенью фишеров, использующих спамерские рассылки от имени нигерийских банков с целью хищения финансовых персональных данных. Разгулу "нигерийских" интернет-мошенников в собственной стране попустительствуют властные структуры, которые только недавно начали принимать серьезные меры к сдерживанию их криминальной деятельности. За четыре года Комиссии по экономическим и финансовым преступлениям Нигерии удалось вернуть в казну около двух миллиардов фунтов стерлингов, нажитых мошенниками нечестным путем.

Исследователи Chatham House видят решение проблемы "нигерийского бизнеса" в объединении и координации усилий британского и нигерийского правительств, публикации информационных материалов и статистики об этом явлении, истинные масштабы, многообразие и сложность которого значительно превосходят рамки простого компьютерного мошенничества.

Источник: Yahoo! News

Российские спамеры создали ботнет из более чем 70000 компьютеров

22.11.2006

Анализ файлов управляющего сервера сети зомби-компьютеров, зараженных троянской программой-спамером SpamThru, позволил экспертам SecureWorks сделать вывод о грандиозных масштабах и редкостной технической оснащенности ботнета, а также о российском происхождении его создателей.

Доступ к файлам командного сервера ботнета был получен в результате совместной работы специалистов SecureWorks, Spamhaus и интернет-провайдеров. Просмотр имен файлов и текста исходного кода привел к заключению, что организаторы ботнета - россияне.

В обнаруженной сети производится тщательный учет статистической информации. Общее число инфицированных машин составляет около 73000, боты распределены между портами сервера в зависимости от разновидности используемого SpamThru и организованы в сетевые Р2Р-сегменты до 512 в каждом. В целях быстрого восстановления ботнета при сбое или отказе сервера обновление информации производится с высокой частотой: за сутки на сервере зарегистрировано до 3 миллионов обращений.

В перехваченных файлах также содержится статистика по географическому распределению зомби-машин. Ботнет составлен из зараженных SpamThru компьютеров, находящихся в 166 странах, при этом более половины из них находятся на территории США.

Статистическая информация включает версии ОС Windows зомбированных машин. Около половины ботов работает под управлением Windows XP SP2. Имеется также перечень вредоносных программ, обнаруженных в инфицированных системах пиратским антивирусом, используемым SpamThru.

Рассылка спамерских сообщений ведется по миллионным спискам электронных адресов, собранных с жестких дисков зомбированных компьютеров. Тематика спам-рассылок ограничивается биржевыми махинациями типа "накачка-сброс" и предложением медикаментов определенного характера. В базе данных сервера, управляющего ботнетом, обнаружен компонент для взлома новостных веб-сайтов финансовых сервисов, которые тоже служат источником адресатов тематической спам-рассылки.

Спамерские сообщения, формируемые SpamThru по шаблонам, умело обходят защитные фильтры. Помимо текстовой части, в них содержатся графические изображения, которые варьируются по размерам и включают произвольный набор пикселей. Чтобы адреса зомби не попали в черные списки, в ботнете циркулирует обновляемый перечень прокси-серверов, доступный через Р2Р всем инфицированным машинам.

Организованная подобным образом крупномасштабная сеть позволяет рассылать до миллиарда спамерских сообщений в сутки, - и это при условии, что в поле получателя указан только один адрес. Обычно же одно письмо рассылается по множеству адресов на одном домене. Прогноз дальнейшего функционирования данного ботнета представляется исследователям неутешительным для его потенциальных жертв.

Источник: eWeek

Графический спам как причина увеличения общего объема спама

22.11.2007

По данным аналитического центра компании IronPort, мировой объем спама за год удвоился, и катализатором этого роста эксперты компании считают распространение графического спама.

Как отмечают специалисты IronPort, в октябре 2005 года в электронном почтовом трафике проходило 31 миллиард спам-сообщений в сутки, в том же месяце 2006 года суточный уровень спама составлял 61 миллиард сообщений. При этом за указанный период доля графического спама выросла в пять раз и составляет четверть всего спам-трафика.

С этими цифрами перекликается статистика компании Sophos, которая зарегистрировала и пиковые показатели - до 40% графического спама от общего объема спамовых сообщений. Аналитики компании Barracuda Networks, Inc. в свою очередь указывают на резкое увеличение спама. По их данным, начиная с августа, его объем вырос на 67% при пятикратном возрастании объема графического спама за тот же период.

По статистике IronPort, средний размер электронных сообщений в связи с интенсивным использованием графического спама в течение года также увеличился почти в полтора раза и составляет 13 КБ. Пропускная способность электронных каналов, используемых спамерами, почти удвоилась и составляет 819 ТБ в сутки.

В своем стремлении обойти антиспам-защиту спамеры прибегают к разным ухищрениям. Графические изображения, используемые в спам-сообщениях, в разных рассылках и даже отдельных письмах могут варьироваться по цветовому фону, толщине и рисунку обрамления, шрифту текстового элемента. Статическое изображение бывает составлено из отдельных элементов, может быть многослойным, включать произвольно подобранные элементы. Наконец, спамеры стали использовать анимацию.

Все эти уловки призваны скрыть контент от антиспам-фильтров и донести сообщение до адресата. Однако для мощных современных фильтров и такой спам особой проблемы не составит. Так, анимированный спам появился в конце августа, а на текущий момент "Лаборатория Касперского" уже выпустила обновление, в которое в числе прочего вошел новый "графический" модуль, способный справляться с анимацией и варьирующими "зашумленными" спам-рассылками с графическими вложениями.

Источник: COMPUTERWORLD

Праздничный сезон от спамеров

22.11.2006

По оценкам исследовательских организаций и специалистов по компьютерной безопасности, традиционная рождественская криминальная кампания в Интернете будет беспрецедентной по масштабности и продолжительности.

Пока все интернет-сообщество готовится к массовым праздничным онлайн-закупкам, выбирает подарки и виртуальные открытки, спамеры подводят итоги сбора "урожая" адресов и в полной боеготовности принимают деятельное участие в предпраздничном ажиотаже, "идя навстречу" оживившемуся спросу.

В этом году предрождественская волна спамерских рассылок началась очень рано. Поставщики антиспамовых средств и интернет-провайдеры неоднократно отмечали резкое увеличение спама за последние два месяца. Основной вклад в поток спама вносят ботнеты. Объединив троянскую программу SpamThru ("спам-пушку") с многотысячным ботнетом, спамеры получили в высшей степени эффективное орудие, способное рассылать более миллиарда нелегитимных сообщений в сутки.

Ежедневно специалисты Postini регистрируют координированные спамерские и вирусные атаки миллионной армии зомби-машин, из которых более 50000 находятся в состоянии постоянной готовности. Работая, как почтовые серверы, инфицированные компьютеры снова и снова повторяют попытку восстановить соединение с временно заблокированными каналами электронной почты потенциальных жертв.

По оценкам компании Postini, за последние три месяца общий объем спама вырос более чем в полтора раза, он принимает все более криминальный характер; в настоящий момент девять электронных сообщений из десяти нелегитимны. Специалисты Barracuda Networks прогнозируют, что за неделю Благодарения количество спамерских рассылок увеличится еще в полтора раза, тенденция к нарастанию сохранится до конца новогодних праздников. Эксперты MessageLabs оценивают ожидаемый уровень спама в ноябре и декабре в 90% от общего трафика. По прогнозам IronPort, в декабре число спамерских сообщений в среднем составит 78 миллиардов в сутки - вдвое больше, чем в декабре прошлого года.

Интернет-провайдеры и поставщики средств компьютерной безопасности совершенствуют защитные меры и готовятся дать достойный отпор праздничной акции спамеров, но при ожидаемом размахе спам-кампании даже один процент спама, проскользнувший в ящики пользователей, может доставить им много неприятностей.

Источник: CNET News.com

МТС обвиняется в противозаконной рассылке SMS-рекламы

23.11.2006

Управление Федеральной антимонопольной службы (УФАС) по Тюменской области возбудило дело в отношении регионального офиса сотовой связи МТС. Оператора обвиняют в незаконной рассылке рекламных SMS-сообщений.

Абоненты регионального сервиса мобильной связи МТС регулярно получали от своего оператора SMS-извещения рекламного характера, хотя и не подписывались на эту услугу. Согласно закону "О рекламе", вступившему в силу 1 июля 2006 года, распространение рекламных сообщений по сетям электросвязи (к которой относятся телефонная, факсимильная, подвижная радиотелефонная связь, а также Интернет) без предварительного согласия абонента или адресата является противоправным.

Судебное разбирательство назначено на 7 декабря.

Источник: www.comnews.ru


Спам - статистика за период
13 - 19 ноября 2006 г.

"Лаборатория Касперского"

Объем и тематические особенности спама

На прошлой неделе доля спама составила в среднем 78,4%. По сравнению с предыдущим месяцем, спам демонстрирует тенденцию к росту.

Тематическое респределение спама на прошедшей неделе претерпело серьезные изменения - выросла доля рубрик "Личные финансы" (+10%) и "Медикаменты" (+5%). Такие существенные изменения процента спама категории "Личные финансы" вызваны, в первую очередь, новым всплеском рассылок, посвященных продаже акций. Впрочем, на прошедшей неделе они были "разбавлены" несколькими рассылками, посвященными кредитам, причем, что интересно, не только на английском, но и на русском языке.

В категории "Медикаменты и товары/услуги для здоровья" уже довольно четко прослеживается разделение тематик на русско- и англоязычные. Если некоторое время назад почти весь поток этой тематики составляла янглоязычная реклама антидепрессантов и возбудителей, то на сегодняшний день отчетливо выделяется зона русскоязычного спама - это реклама клиник (стоматологические, диагностические и др.) и медицинское страхование.

Продолжает поднимать настроение спам, рекламирующий корпоративные праздники и новогодний отдых. Как уже было отмечено, особой популярностью пользуются экзотические страны. В частности, на этой неделе прошла рассылка, предлагающая отдохнуть в компании темнокожих Снегурочек и африканского Дедушки Мороза. (Отдых в Кении).

Популярные тематики

No Тематика Описание Доля тематики Изменения за неделю
1 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 22,9% +10,2%
2 Другие товары и услуги Предложения других товаров и услуг 21,4% -7,0%
3 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 17,2% +5,4%
4 Образование Реклама семинаров, тренингов, курсов 13,5% -1,0%
5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 11,0% Без изменений
6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 5,7% -0,7%
7 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 5,2% -1,7%
8 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 3,1% +1,1%
9 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 2,6% +0,6%
10 Полиграфия Визитки, календари, печать, услуги типографии и пр. 2,1% +0,1%
11 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% Без изменений
12 Остальной спам   Менее 2% Без изменений

Образчики самого массового спама, а также самые оригинальные спам-предложения вы найдете на сайте Спамтест.


UDS: реагирование на спам в режиме реального времени

Андрей Калинин, "Лаборатория Касперского"

Принципы работы

Для классификации почтовых сообщений программный комплекс Kaspersky Anti-Spam использует подготавливаемую спам-аналитиками "Лаборатории Касперского" базу данных о спаме, в которую входят как сигнатуры известного спама, так и различные эвристики, имеющие предсказательную силу и позволяющие "ловить" не только уже известный спам, но и подобный ему, который может распространяться в будущем. Для эффективной работы KAS требуется, чтобы используемая база данных поддерживалась в актуальном состоянии, то есть качество работы антиспама зависит от того, как часто обновляется база. Рекомендуемая скорость обновлений базы KAS - раз в двадцать минут.

Однако, за те два года, которые прошли с момента выхода KAS 2.0, скорость рассылки спамерских сообщений выросла на несколько порядков. Использование сетей зомби-компьютеров (ботнетов) позволило спамерам распространять миллионы сообщений буквально за минуты. Это означает, что если спамер подготовит некое письмо, "пробивающее" KAS в данный момент времени, и если он успеет разослать его в пределах 20 минут, то он может надеяться, что KAS не отреагирует на это письмо, поскольку знания об этой рассылке, о ее характерных признаках, в это время еще не будут актуализированы в локальной базе данных KAS.

Для уменьшения скорости реакции KAS на новые спамерские рассылки была разработана новая технология - Urgent Detection Service (UDS). Она позволяет программному комплексу KAS, установленному на почтовом сервере клиента, получить прямой доступ к данным антиспам-лаборатории, не ожидая следующего обновления локальной базы.

Во время обработки почтового сообщения UDS-клиент, интегрированный в KAS 3.0, подготавливает небольшой блок информации о почтовом сообщении, куда входит следующая информация:

  • размер письма;
  • путь, по которому письмо пришло к клиенту (IP-адреса трех последних почтовых релеев);
  • md5-хеши, посчитанные от нескольких вариантов преобразования исходного текста письма (удаление стоп-слов, нормализация орфографии, сортировка слов по количеству вхождений и т.п.);
  • сигнатуры GSG, то есть результат обработки графических аттачментов.

Размер такого блока обычно не превышает 150 байт. Эта информация не позволяет восстановить текст сообщения, однако она позволяет группировать одинаковые или похожие почтовые сообщения.

Затем UDS-клиент посылает подготовленный запрос выбранному UDS-серверу и ждет получения вердикта: является ли данное почтовое сообщение спамом, содержит ли вредоносную программу или UDS-серверу про него пока что ничего не известно. Таким образом, если образец некой спамерской рассылки уже попал в антиспам-лабораторию, то при помощи UDS спам-аналитики могут моментально заблокировать данную рассылку.

Наполнение базы UDS

Наполнение базы данных UDS-сервера может производиться тремя способами:

  • вручную;
  • автоматически, при наличии образца блокируемого сообщения;
  • автоматически, основываясь на статистических исследованиях запросов UDS-клиентов.

Первый вариант, ручной, подразумевает, что информация о рассылке добавится в базу UDS-серверов только после соответствующего действия спам-аналитика. Такой подход позволяет практически полностью избежать ложных срабатываний, но имеет временную задержку в блокировании рассылки, равную времени реакции спам-аналитика на новое сообщение.

При использовании второго, автоматического способа, информация о рассылках добавляется в базу без подтверждения спам-аналитиком, что повышает время реакции на новые спамерские рассылки. Поскольку имеется образец рассылки, который был добавлен в базу, то возможна последующая проверка этого образца и удаление его из базы в случае ошибки. То есть, в этой ситуации возможны ложные срабатывания, но только в течение того времени, которое нужно для доставки спам-аналитику почтового сообщения и последующей его оценки - является ли оно спамом или не-спамом.

Третий подход, статистический, подразумевает анализ журналов запросов UDS-сервера и блокирование каких-либо рассылок, на основании наличия признаков массовости их распространения, использования большого количества компьютеров, уже рассылавших спам, распространяемый из ADSL-сетей и т.п. Такой способ имеет еще большую скорость реакции, чем автоматический, так как не требует получения образца спамерского сообщения антиспам-лабораторией. Однако, количество ложных срабатываний на легигимные рассылки оценить достаточно сложно, а также сложно их контролировать.

Сейчас при наполнении базы UDS-серверов используются первые два подхода, потому что они обеспечивают достаточное время реакции на спамерские рассылки и гарантируют практическое отсутствие ложных срабатываний. Статистический подход требует большого количества исследований, проводимых сейчас специалистами антиспам-лаборатории "Лаборатории Касперского".

Технические детали

UDS-запросы и UDS-ответы передаются при помощи UDP (User Datagram Protocol). Это означает, прежде всего, отсутствие постоянного соединения между почтовыми серверами клиентов и UDS-серверами. Список доступных UDS-серверов обновляется вместе с апдейтами антиспам-баз KAS 3.0. Для обеспечения коммуникаций на UDS-серверах используется UDP-порт 7060.

UDS-клиент, интегрированный в KAS 3.0, собирает статистику доступности UDS-серверов, вычисляет среднее время ответа и на основании этой статистики использует наиболее быстро отвечающий сервер. Переключение на новый сервер происходит прозрачно и не требует никаких действий со стороны системного администратора.

При настройке KAS 3.0 системный администратор может выбрать максимальное время ожидания ответа от UDS-серверов (таймаут), по умолчанию равное 10 секундам. В течение этого времени UDS-клиент может пытаться перепослать датаграммы серверу, чтобы избежать их случайной потери по пути от клиента к серверу.

Заключение

Таким образом, технология UDS позволяет быстро и эффективно реагировать на новые спамерские рассылки, а иногда и на новые спамерские методы, так как UDS-сервера находятся под контролем "Лаборатории Касперского" и могут модифицироваться без изменений клиентской части UDS, интегрированной в KAS 3.0.

Технология UDS не является заменой старым методам, она их дополняет и дает возможность реагировать на новый спам в момент его появления. Тем самым, с одной стороны, она позволяет поднять уровень распознавания спама на еще несколько процентов, с другой стороны, позволяет нивелировать проблемы с доступностью серверов регулярных апдейтов в тех редких случаях, когда это потребуется. Результаты, получаемые с вердиктом, помогают принимать решения более точно: к примеру, UDS может вернуть вердикт "не спам", но при этом сообщить клиенту, что обрабатываемое письмо было послано с одного из серверов, подозреваемых антиспам-лабораторией в рассылке спама.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2005


В избранное