Электронный журнал "Спамтест" No. 175 в этом номере: Новости Спам - статистика за период 25 декабря 2006 г. - 7 января 2007 г. Энциклопедия спама. Фишинг Новости IronPort: обновление спамерских технологий представляет серьезную угрозу 27.12.2006 По оценке компании IronPort, 2006 год прошел под флагом активизации спаминга, изменение характера которого может в ближайшем будущем составить серьезную угрозу интернет-сообществу. По мнению экспертов IronPort, в настоящее время спамерская деятельность осуществляется группами спамеров, создавшими свою инфраструктуру в глобальном масштабе. Эти криминальные группировки способны рассылать миллиарды нелегитимных сообщений со 100000 различных серверов, расположенных на территории 120 стран. Типовая спам-атака представляет собой миллиардную рассылку нелегитимных сообщений, снабженных хитроумными средствами обхода традиционных способов антиспам-защиты; как правило, она проводится с ботнетов криминальными группами, связанными с миром организованной преступности. По данным аналитического годового отчета IronPort, объемы спама в глобальном трафике за год удвоились. В ноябре количество спамовых сообщений увеличилось еще на 35, специалисты компании дважды регистрировали резкий скачок суточного уровня спама до 85 миллиардов сообщений. Декабрьский уровень спама не превысил данные за ноябрь, но прогноз экспертов IronPort на 2007 год неутешителен. Причиной роста мировых объемов спама аналитики IronPort считают совершенствование криминальных технологий и рост организованности и сплоченности рядов киберпреступников. Использование спамерами ботнетов позволяет проводить многомиллионную рассылку за несколько часов и быстро менять источник рассылки - в обход черных списков и традиционных методик безопасности на основе правил. По оценке IronPort, в настоящее время более 80% спама рассылается с ботнетов, а средняя продолжительность использования бота составляет менее 30 суток. В середине ноября специалисты IronPort зафиксировали массированную спам-рассылку, в результате которой эффективность антиспам-фильтров снизилась на 10% и миллионы нелегитимных сообщений попали в ящики пользователей. Исследователи IronPort отмечают также резкое увеличение количества зарегистрированных спамерами доменных имен, что позволяет им оперативно менять источник рассылки, избегая его фиксации в черных списках. По мнению специалистов IronPort, увеличение числа инфицированных корпоративных ПК в 2006 году в полтора раза объясняется использованием спамерами специализированного вредоносного ПО для зомбирования пользовательских компьютеров. Поменялась и тактика ведения спам-рассылок: теперь перед проведением крупномасштабной акции спамеры, как правило, осуществляют пробный прогон новой версии нелегитимных сообщений с ограниченным тиражом, чтобы проверить эффективность ее маскировки от антиспам-фильтров и отсортировать активные адреса на основе результатов отбивки. Расширилось использование графического спама, позволяющего злоумышленникам обходить традиционные средства защиты. Размер графических сообщений в 10 раз превышает текстовые, поэтому, по данным IronPort, в 2006 году нагрузка на пропускную способность трафика утроилась. Источник: IronPort Trend Micro: анализ криминогенных тенденций в 2006 году и прогноз на 2007 год 27.12.2006 Подводя итоги уходящего года, компания Trend Micro в своем аналитическом отчете выделяет несколько характерных особенностей современной криминальной деятельности в Интернете. По данным Trend Micro, на протяжении 2006 года объемы спама неуклонно увеличивались. Ежедневно фильтры компании, обслуживающей 3000 бизнес-организаций, регистрировали 1,5 миллиарда спам-сообщений. Каждый месяц 2006 года Trend Micro фиксировала более 2 миллионов разновидностей спам-рассылок на разных языках с преобладанием английского (61%). Основную часть перехваченных спам-рассылок составлял спам коммерческого характера (продажа товаров и услуг, 13% от общего объема спама). На долю финансового спама (ипотечные кредиты, конверсия задолженности) приходилось 8%, рекламы контрафактных медикаментов и медицинских услуг - 6% от общего количества спамовых сообщений. Широкое распространение получил графический спам. Использование спамерами ботнетов позволяет сменять источник рассылки по цепочке, что сводит на нет эффективность работы черных списков. Проведение спам-атак с ботнетов, зараженных специализированными червями-спамерами, такими как Stration (Warezov) и Nuwar, повышает эффективность криминальных кампаний, а развитие этой технологии, по оценке Trend Micro, может привести к резкому возрастанию угрозы сетевой безопасности. Эксперты отмечают, что в последнее время спам-рассылки все чаще стали приобретать криминальный характер. В 2006 году аналитики Trend Micro зафиксировали возобновление фишерских атак с использованием вредоносного ПО, в особенности троянских программ. По данным Trend Micro, объем этих атак за год вырос на 163% и в условиях расширения популярности электронного почтового сервиса приобрел катастрофические размеры - в среднем 1.4 миллионов атак за месяц. Главной мишенью этих атак остается финансовый сектор. Благодаря своевременному принятию решений в области безопасности финансовых сервисов и кампаниям по повышению осведомленности интернет-пользователей единственным действенным фишерским трюком осталась подделка URL. Основными логотипами, используемыми в фишинг-атаках, по-прежнему являются eBay (54,66%) и PayPal (21,53%). На основании анализа состояния криминогенной обстановки в Интернете в 2006 году исследователи Trend Micro сделали следующие прогнозы: - в 2007 году продолжится смещение вектора криминальной активности в сторону интернет-пространства, с проведением целевых и региональных атак в пределах одной базы данных с адресами отдельных компаний, организаций и групп пользователей; инструментарий криминальных атак будет включать комбинированное ПО, снабженное средствами маскировки и защиты от систем сетевой безопасности; - дальнейшее развитие получит тенденция к использованию криминальными группировками ботнетов, средств социального инжиниринга для зомбирования пользовательских компьютеров, шпионского ПО и агрессивных вредоносных программ для рассылки рекламного спама; укрепится альянс сетевых криминальных бизнес-структур и создателей вредоносных программ. Источник: Trend Micro Проект ORDB оправдал себя, но исчерпал свой ресурс 09.01.2007 Некоммерческий проект Open Relay Database (ORDB) - база данных по открытым релеям - долго служил источником данных в борьбе со спамерами. Изменение тактики киберкриминала снизило эффективность черных списков ORDB и вынудило участников проекта переключиться на более перспективные методики. Пять с половиной лет назад, когда был создан проект ORDB, спамеры активно использовали почтовые прокси-серверы для проведения нелегитимных рассылок - с таких посреднических SMTP-серверов рассылалось 90% спама. Теперь этот показатель составляет менее 1%. О снижении эффективности проекта ORDB говорит и тот факт, что его списки за прошлый год практически не пополнились, в базе данных числилось около 225 тысяч устаревших адресов. Кроме того, блокирование открытых релеев создавало определенные неудобства для пользователей электронной почты, которые с их помощью могли подключаться к почтовым серверам с различных URL. Современные спамеры используют другую тактику. Большая часть спам-рассылок теперь ведется с зомби-компьютеров - инфицированных троянцами пользовательских машин, объединенных в ботнеты и засылающих нелегитимные сообщения непосредственно в Интернет. Добровольные участники проекта ORDB приняли решение прекратить рассылку черных списков и закрыть веб-сайт ORDB.org. Системные администраторы уже предупреждены о необходимости переключения на другие методы фильтрации спама, например, "серые списки" и контент-анализ в рамках проектов dspam, bmf или Spam Assassin. Источник: Techworld Спамеры используют университетские серверы 09.01.2007 Стремясь действовать скрытно и с минимумом затрат, спамеры за символическую плату нанимают интернет-поденщиков и используют серверы американских университетов для размещения нелегитимной рекламы. Для маскировки своей деятельности и обхода антиспам-защиты спамеры стали использовать невостребованные ресурсы высших учебных заведений. Устаревшие прикладные программные средства времен относительного благополучия в Интернете, "зависшие" в недрах университетских компьютерных лабиринтов и лишенные современных средств защиты от злонамеренного вторжения, являются в наши дни идеальным инструментом для анонимного распространения спама, порнографии, вредоносных программ. На заброшенных университетских электронных досках объявлений и дискуссионных сайтах теперь красуется реклама контрафактной виагры и прочая информация сомнительного содержания. Сотни низкооплачиваемых поденщиков во всех уголках Интернета распространяют ссылки на "славные сайты" и "заслуживающие внимания материалы" через активные доски объявлений, сетевые форумы, новостные подписки и комментарии к блогам, не говоря уже о ссылках в традиционных спамовых электронных посланиях. Создание многостраничных нелегитимных рекламных веб-сайтов на базе заброшенных университетских ресурсов позволяет мошенникам варьировать ссылки в обход антиспам-фильтров, а использование в ссылках университетских URL способно ввести в заблуждение и средства защиты, и пользователей. Находкой для спамеров и фишеров стали устаревшие версии указателя ресурсов PURL, позволяющие создавать произвольные редиректы на другие ресурсы. Более современные версии PURL снабжены надлежащими средствами безопасности и используют списки управления доступом (ACL), ограничивающие авторизацию подобных модификаций. В список спамерских инструментариев попали ресурсы таких уважаемых американских университетов, как Пердью, Корнелльский, университеты штатов Канзас, Айова, Техас, Мичиган. Источник: NIST.org Commtouch: 2006 - год зомби 10.01.2007 Исследователи Commtouch назвали в годовом отчете 2006 год годом зомби. Основанием для этого послужили итоговые результаты еженедельного анализа 2 миллиардов спамовых сообщений, рассылаемых по всему миру в течение 2006 года. По данным Commtouch, уровень спама в 2006 году в среднем составил 87% от общего количества электронных сообщений, превысив показатели предыдущего года на 30%. Уровень спама на предприятиях малого бизнеса составил 45%, тогда как в крупных корпорациях этот показатель был вдвое больше. В целом деловая почта страдала от спама меньше, чем индивидуальные пользователи. Атаки спамеров в 2006 году были массированными, оперативными и технически подготовленными. Специалисты Commtouch приписывают возросшую агрессивность спамеров использованию ими разветвленных ботнетов. По статистике Commtouch, в 2006 году 85% спама в Интернете рассылалось с зомби-компьютеров. В сутки исследователи Commtouch фиксировали активность 6-8 миллионов зомбированных IP-адресов. Каждый день армия ботнетов пополнялась на 500000 новых источников спама. По статистике Commtouch, стандартный ботнет способен разослать 160 миллионов спам-писем всего за два часа. По данным отчета Commtouch, в 2006 году на долю "графического" спама приходилось 70% пропускной способности каналов электронной почты. Множественные спам-рассылки с использованием графики, позволяющей обойти такие традиционные способы защиты, как анализ контента, эвристика и черные списки, иногда увеличивали ежедневную нагрузку на почтовый трафик на 1,7 миллиардов МВ. Главными мишенями фишеров, по данным Commtouch, были еBay и PayPal, на долю которых приходилась половина всех фишерских атак в 2006 году. Источник: SPAMfighter В Израиле намерены ужесточить закон против спама 10.01.2007 Правительство Израиля готовит законопроект об ответственности за распространение спама. Недавно Комитет министров по законодательству одобрил внесенную Министерством связи поправку, налагающую на спамера штраф в размере до 1000 шекелей без представления истцом доказательств о нанесенном ущербе. Законопроект вместе с поправкой будет поставлен на голосование во втором и третьем чтениях. Пока судиться с распространителями спама для израильских пользователей - крайне неблагодарное и бесперспективное занятие, поскольку доказать в суде, что приходящие на твой сотовый телефон или в электронный почтовый ящик рекламные сообщения причинили какой-то ощутимый ущерб, обычно невозможно. Источник: Israelinfo.ru Спам - статистика за период 25 декабря 2006 г. - 7 января 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама В последнюю неделю 2006 года доля спама в среднем составляла 79%, в первую неделю 2007 года - 75,9%. Как и следовало ожидать, тематическое распределение спама в течение прошедших двух недель очень сильно отличалось от нормы. Резко снизилось количество спама, посвященного отдыху, путешествиям, разным товарам и услугам, образованию. Отчасти это связано с тем, что количество русскоязычного спама на этих неделях серьезно снизилось по сравнению с англоязычным. Именно ввиду этого четко прослеживается увеличение относительного количества писем тех рубрик, которые, в основном, представлены англоязычным спамом, и, напротив, уменьшение тех, которые наполняются русскоязычными рассылками. Несмотря на такую общую тенденцию, удивительным выглядит беспрецедентный скачок рассылок "взрослой" тематики. Этот скачок произошел благодаря одной очень крупной рассылке, проведенной в первые дни нового года. Последние дни предыдущего года ознаменовались огромным количеством новогодних поздравлений в почтовом трафике. Естественно, спамеры не остались в стороне - многие рекламные предложения были замаскированы под поздравления друзьям, коллегам и клиентам. Кроме рекламы под поздравления маскировались и вирусные рассылки, содержащие в теме письма поздравление, а во вложении вредоносный "подарочек" на Новый год. Популярные тематики No Тематика Описание Доля тематики Изменения за период 1 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 18,8% +3,9% 2 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 18,1% +17,8% 3 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 17,3% +8,2% 4 Другие товары и услуги Предложения других товаров и услуг 13,4% -24,6% 5 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 12,3% +7,4% 6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 10,4% +1,8% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3,8% -1,6% 8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 2,7% -7,6% 9 Образование Реклама семинаров, тренингов, курсов Менее 2% -5,8% 10 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -0,7% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -0,5% 12 Остальной спам   Менее 2% -0,8% Образчики самого массового спама, а также самые оригинальные спам-предложения вы найдете на сайте Спамтест. Энциклопедия спама. Фишинг Дарья Гудкова, "Лаборатория Касперского" Фишинг (англ. phishing, от fishing - рыбная ловля, выуживание и password - пароль) - вид интернет-мошенничества, цель которого - получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации. Фишинг представляет собой пришедшие на почту поддельные уведомления от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать/обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и прочее. Атаки фишеров становятся все более продуманными, применяются методы социальной инженерии. Но в любом случае клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении ("если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован"). Забавно, но часто в качестве причины, по которой пользователь якобы должен выдать конфиденциальную информацию, фишеры называют необходимость улучшить антифишинговые системы ("если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свой логин и пароль"). Фишинговые сайты, как правило, живут недолго (в среднем - 5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их остается неизменен - он в точности совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники. Зайдя на поддельный сайт, пользователь вводит в соответствующие строки свой логин и пароль, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, в худшем - к электронному счету. Но не все фишеры сами обналичивают счета жертв. Дело в том, что обналичивание счетов сложно осуществить практически, к тому же человека, который занимается обналичиванием, легче засечь и привлечь мошенников к ответственности. Поэтому, добыв персональные данные, некоторые фишеры продают их другим мошенникам, у которых, в свою очередь, есть отработанные схемы снятиея денег со счетов. Наиболее частые жертвы фишинга - банки, электронные платежные системы, аукционы. То есть мошенников интересуют те персональные данные, которые дают доступ к деньгам. Но не только. Также популярна кража личных данных от электронной почты - эти данные могут пригодиться тем, кто рассылает вирусы или создает зомби-сети. Характерной особенностью фишинговых писем является очень высокое качество подделки. Адресат получает письмо с логотипами банка/сайта/провайдера, выглядящее в точности так же, как настоящее. Ничего не подозревающий пользователь переходит по ссыке "Прейти на сайт и залогиниться", но попадает на самом деле не на официальный сайт, а на фишерский его аналог, выполненный с высочайшей точностью. Еще одной хитростью фишеров являются ссылки, очень похожие на URL оригинальных сайтов. Ведь достаточно наблюдательный пользователь может обратить внимание на то, что в коммандной строке браузера высвечивается ссылка, совершенно отличная от легитимного сайта. Такие "левые" ссылки тоже встречаются, но рассчитаны они на менее искушенного пользователя. Часто они начинаются с IP-адреса, хотя известно, что настоящие солидные компании давно не используют подобные ссылки. Поэтому фишинговые URL часто похожи на настоящие. Они могут включать в себя название настоящего URL, дополненное другими словами (например, вмето www.examplebank.com стоит www.login-examplebank.com). Также в последнее время популярный фишинговый прием - ссылка с точками вместо слешей, внешне очень похожая на настоящую (вместо www.examplebank.com/personal/login стоит www.examplebank.com.personal.login). Можно привести еще такой фишерский вариант: www.examplebank.com-personal.login. Также в самом теле письма может высвечиваться ссылка на легитимный сайт, но реальный URL, на который она ссылается, будет другим. Бдительность пользователя притупляется еще тем, что в письме может быть несколько второстепенных ссылок, ведущих на официальный сайт, но основная ссылка, по которой пользователю надо пройти и залогиниться, ведет на сайт мошенников. Иногда личные данные предлагается ввести прямо в письме. Надо помнить, что никакой банк (либо другая организация, запрашивающая конфиденциальную информацию) не будет этого делать подобным образом. Технологии фишеров совершенствуются. Так, появилось сопряженное с фишингом понятие - фарминг. Это тоже мошенничество, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опасней, так как заметить подделку практически невозможно. Одни из наиболее популярных фишерских мишеней - аукцион Ebay и платежная система PayPal. Также страдают различные банки по всему миру. Атаки фишеров бывают случайными и целевыми. В первом случае атака производится "наобум". Атакуются наиболее крупные и популярные объекты - такие как аукцион Ebay - так как вероятность того, что случайный получатель имеет там учетную запись, довольно высока. Во втором случае мошенники узнают, каким именно банком, платежной системой, провайдером, сайтом пользуется адресат. Этот способ более сложен и затратен для фишеров, зато больше шансов, что жертва купится на провокацию. Воровство конфиденциальных данных - не единственная опасность, поджидающая пользователя при нажатии на фишерскую ссылку. Зачастую, следуя по ней, можно получить программу-шпиона, кейлоггер или троян. Так что если даже у вас нет счета, которым мошенники могли бы воспользоваться, нельзя чувствовать себя в полной безопасности. Согласно данным Gartner, в США в 2006 году ущерб, нанесенный одной жертвы фишинга, в среднем составил 1244 долларов США. В 2005 году эта сумма не превышала 257 долларов, что свидетельствует о невероятном успехе фишеров. В России ситуация несколько иная. Из-за того, что у нас электронные платежные системы пока не столь распространены, как на Западе, ущерб от фишинга не столь велик. Но с распростронением в России электронных платежных систем доля фишинга в общем почтовом потоке возрастет, и, соответственно, возрастет и ущерб от него. Так что, хотя данная проблема в России не стоит еще столь остро, готовиться к ней надо уже сейчас. Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. И хотя на многих сайтах, требующих конфиденциальной информации, опубликованы специальные предупреждения о том, что они никогда не просят сообщать свои конфиденциальные данные в письмах, пользователи продолжают слать свои пароли мошенникам. Поэтому несколько лет назад была создана Anti-Phishing Working Group (APWG) - группа по борьбе с фишингом, в которую входят как компании-"мишени" фишеров, так и компании, разрабатывающие анти-фишинговый/анти-спамерский софт. В рамках деятельности APWG проводятся ознакомительные мероприятия для пользователей, также члены APWG информируют друг друга о новых фишерских сайтах и угрозах. Сейчас APWG насчитывает более 2500 участников, среди которых есть крупнейшие мировые банки и ведущие IT-компании. Так что, по оптимистическим прогнозам, через некоторое время пользователи научатся остерегаться фишерских сайтов, как в свое время научились с опаской относиться к письмам с вложениями от неизвестных адресатов. Пока же основной защитой от фишинга остаются спам-фильтры. Примеры фишинговых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005