Электронный журнал "Спамтест" No. 177 в этом номере: Новости Спам - статистика за период 15 - 21 января 2007 г. Поможет ли плата за исходящие сообщения решить проблему спама? Новости Голландские операторы 1,5-миллионного ботнета сядут в тюрьму 18.01.2007 В Голландии состоялось слушание дела двух вирусописателей, причастных к управлению ботнетом из 1,5 миллионов зомбированных компьютеров и серверов. Злоумышленники были арестованы в октябре 2005 года, теперь им грозит тюремное заключение сроком до трех лет. Молодые люди в возрасте 20 и 29 лет, имя которых, по голландским правовым нормам, не разглашается, обвиняются в создании и распространении в Интернете вредоносных программ. Вирус Toxbot использовался для установления удаленного контроля над пользовательскими ПК и приобщения их к многонациональному ботнету, автоматически распространяющему нелегитимную рекламу, а Wayphisher собирал номера кредитных карт и данные аккаунтов банковских онлайн-сервисов. По предварительным оценкам, за полгода криминальный дуэт сколотил круглую сумму в 60000 евро. Помимо свидетельских показаний и перехваченной во время сеансов компьютерной и телефонной связи информации, в качестве доказательств вины подсудимых на процессе были представлены данные с изъятых у них компьютеров. Обвиняемые упорно опровергают все обвинения. Защита надеется ограничить наказание 20-летнего обвиняемого тремя годами тюремного заключения, 29-летнего - двумя. Суда ожидают еще четверо подозреваемых, в том числе 22-летний злоумышленник, который, по всей видимости, был главарем преступной группировки. Против последнего также выдвинуты обвинения со стороны ФБР в организации DoS-атаки на сеть Zango, в которой используются программы, автоматически рассылающие незапрошеную рекламу. Проведение этой атаки было, по слухам, вызвано отказом Zango оплатить использование контролируемых криминальной группой ПК для установки своих программ, рассылающих рекламный спам. По горячим следам Zango подала официальный иск против организатора DoS-атаки, но в настоящее время отозвала его, предоставив инициативу ФБР. Источник: vnunet.com Мимикрия под новостные рассылки как новый способ обойти антиспам-защиту 22.01.2007 Специалисты Symantec обнаружили новый тип спамовых писем, представляющих собой подделки под легитимные информационные бюллетени. По экспертному мнению, новый трюк спамеров призван обмануть спам-фильтры и бдительность получателей. Спамеры подделывают свои сообщения под легитимные новостные рассылки, производя небольшие модификации. Пользователь получает спамовое сообщение, которое имеет вид легитимного информационного бюллетеня, а через короткое время после открытия письма всплывает окно со спам-рекламой. По данным Symantec, изобретательные мошенники пока ограничиваются рассылкой "новостного" спама в HTML-формате. Symantec перехватила спамовые сообщения, маскирующиеся под информационные бюллетени неизвестной футбольной лиги, авиакомпании US Airways, торговой корпорации Kohl's и онлайн-сервиса по доставке цветов и подарков 1-800-flowers.com. В появлении нового спамерского трюка эксперты Symantec видят иронию судьбы. Несколько лет назад потоки легитимных информационных бюллетеней блокировались фильтрами как спам, и специалисты по компьютерной безопасности затратили немало времени и труда, чтобы решить эту проблему. Новый тип спамовых сообщений появился около месяца назад, они пока немногочисленны, но специалисты Symantec считают это пробным шаром: спамеры оттачивают свою технику и ждут результатов. Источник: www.scmagazine.com.au Глава японской службы знакомств признал себя виновным в нарушении закона об электронной почте 22.01.2007 Президент японской компании-оператора веб-сайта знакомств обвиняется в рассылке 5,4 миллиардов спамовых писем с поддельного адреса. Йосимицу Хироно (Yoshimitsu Hirono), 47-летний глава токийской компании Takumi Tsushin, владеющей веб-сайтом знакомств, был арестован вместе с тремя сообщниками по подозрению в нарушении закона об электронной почте - фальсификации адреса отправителя электронных сообщений. Четверо обвиняемых разместили 128 компьютеров в одном из зданий в китайской провинции Хейлонгджанг (Heilongjiang) и, управляя ими из Японии, за июль и август 2006 года разослали 5,4 миллиардов спам-писем с рекламой своего сайта знакомств (около 90 миллионов писем в день, если работать без выходных). Для этой спам-кампании рекламодатели приобрели на черном рынке около 23 миллиардов электронных адресов японских корпораций и индивидуальных пользователей Интернета. Особым пунктом обвинения стала рассылка нелегитимной рекламы сайта знакомств в адрес одной из финансовых корпораций столичной зоны Токио, произведенная 17-19 августа 2006 года. Подсудимые признали свою вину по всем пунктам. Пресса отмечает, что полиции впервые удалось добраться до одного из ведущих операторов онлайн-сервиса знакомств Японии. Конкуренция среди японских интернет-служб знакомств очень велика, и операторы сервисов нередко прибегают к противозаконным средствам повышения рейтинга и доходов. Размещение спам-плацдарма в Китае объясняется не только желанием спамеров уйти от преследования правоохранительных органов, но и низким уровнем затрат на ИТ-инфраструктуру. Сервис знакомств, возглавляемый Хироно, привлекал клиентов через нелегитимную рекламу по каналам электронной почты и приносил ежемесячный доход в 129 миллионов иен (1 миллион долларов). Источник: MAINICHI Daily News Российские спамеры предлагают пользователям откупиться от спама 24.01.2007 Изобретательные российские спамеры придумали новый способ увеличить свои доходы. Чтобы иметь дополнительный навар, они пустились на откровенный шантаж пользователей электронной почты и предлагают им откупиться от нелегитимной рекламы за один доллар. Схема, которую начали использовать кибермошенники, весьма проста. Сначала почтовый ящик потенциальной жертвы атакуется горами спама рекламного характера, до 50 спамовых писем в сутки. После подобной "огневой подготовки" изнемогающему адресату высылается письмо с предложением отказаться от непрошеной рекламы за пустяковую сумму - всего за один доллар, перечислив его на один из указанных счетов Web Money или Яндекс Деньги. Российские эксперты считают новую спамерскую схему банальным шантажом, который не ограничится столь незначительной суммой. Да и от спама откупные не избавят, спам-рассылки будут приходить с других адресов. Что касается спамеров-шантажистов, то при любой ответной реакции жертвы они остаются в выигрыше. Если адресат заинтересовался рекламным предложением, они получают свой процент, если жертва готова откупиться, спамеры получают дополнительную статью дохода. Действия спамеров в этом случае не связаны ни с каким риском. По российским законам, шантаж вменяется в вину, если в деле фигурируют суммы, превышающие 100 рублей. При современных объемах спама в каналах электронной почты доходы спамеров составляют немалую сумму. Российские эксперты по безопасности призывают пользователей электронной почты не реагировать на подобные предложения спамеров и не спонсировать их криминальную деятельность. Источник: "Новые известия" Троянская штормовая атака 24.01.2007 Ураган "Кирилл", нарушивший коммуникации и транспортную связь в Северной и Центральной Европе и унесший несколько десятков человеческих жизней, вызвал в Интернете вспышку спам-рассылок с троянской "начинкой". Две волны атак киберзлоумышленников, вновь сыгравших на актуальности темы, отличались оперативностью и широкими масштабами. Спамовые электронные письма с броским заголовком "230 dead as strom batters Europe" ("230 погибло в шторм, бушующий над Европой"), разосланные сотням тысяч пользователей Интернета, предлагали узнать сенсационные подробности, якобы содержащиеся во вложении с именем Full Clip.exe, Full Story.exe, Read More.exe или Video.exe. При открытии этого файла запускалась троянская программа Trojan-Downloader.Win32.Small.dam (она же .bet). По словам вирусного аналитика "Лаборатории Касперского" Александра Гостева, данная вредоносная программа после запуска загружает в систему новую версию червя Warezov, занимающего в последнее время первые места в рейтингах вирусной активности. На прошлой неделе данный троянец входил в число наиболее распространенных вредоносных программ в российском почтовом трафике. Эксперты F-Secure, перехватившие "штормовую" спам-рассылку из Малайзии в самом начале атаки, были поражены стремительностью реакции киберзлоумышленников. По мнению исследователей F-Secure, источник рассылки и ее точный расчет по времени позволяют сделать вывод об азиатском происхождении злонамеренной атаки, направленной, в основном, против европейских интернет-пользователей. Первые спамовые письма с троянцем появились в Сети в ранние утренние часы по европейскому времени. "Штормовая" атака распространялась в Интернете с невероятной скоростью. По данным Sophos, каждое из 200 электронных сообщений в почтовом трафике несло вредоносный код, две трети писем с вредоносной "начинкой" содержали Small.dam. По экспертной оценке, во всем мире не менее 10000 компьютеров были заражены этим троянцем. Основная масса вредоносных спамовых писем эксплуатировала интерес к разбушевавшейся стихии, хотя экспертами были отмечены еще несколько провокационных тем, в которых фигурировали геноцид против мусульман, детская порнография, серийный убийца и даже имя Кондолизы Райс. Вторая волна начиненного троянцем спама, последовавшая вслед за первой и зафиксированная Sophos, была слабее и исходила с территорий 80 стран, включая США, Турцию, Южную Корею, Францию, Германию, Великобританию и Бразилию. Тематика вредоносных писем была разнообразной, от восставшего из мертвых Хусейна и почившего Фиделя Кастро до сбитых китайской/российской ракетой российских/американских/китайских самолетов/спутников и ядерной войны. Выбор имен вложенных файлов тоже был расширен: Full Clip.exe, Full News.exe, Full Story.exe, Full Text.exe, Full Video.exe, Read More.exe, Video.exe. Троянской "начинкой" на сей раз стала модификация, использующая Troj/Dorf-Fam. По непроверенным данным, инициатором обеих вредоносных атак является одна и та же криминальная группировка, но доказательства пока отсутствуют. Источник: The Register Источник: Yahoo! News Миллион долларов в шведском банке украли российские фишеры? 24.01.2007 В результате проведения фишерской кампании против крупнейшего скандинавского банка Nordea счета его клиентов опустели на $1,14 миллионов. Шведская полиция проследила криминальный след, ведущий через американские серверы в Россию. В августе 2006 года клиентам шведского банка Nordea стали приходить от имени этого банка электронные письма с предложением установить антиспам-продукт, якобы содержащийся в приложении. При попытке получателя письма скачать прикрепленный файл raking.zip или raking.exe на их компьютеры устанавливалась троянская программа haxdoor.ki, - по данным экспертов McAfee, заказной вариант троянца haxdoor, ориентированный на пользователей этого банка. Троянец активировался при регистрации жертвы в онлайн-сервисе Nordea и выводил на экран сообщение об ошибке с просьбой о повторной регистрации, записывая вводимые данные для последующей передачи на сервер злоумышленников. Собранные персональные данные использовались мошенниками для опустошения клиентских счетов Nordea. По данным шведской полиции, атаки на онлайн-сервис Nordea проводились криминальной группировкой из России, которой помогали посредники из США и шведские "коллеги". Полиция уже арестовала в Швеции более 100 пособников фишерской акции, российские истоки которой пока не получили окончательного подтверждения. Первые фишерские атаки на интернет-сервис Nordea, крупнейшего банка в Скандинавии, онлайн-клиентура которого в Швеции составляет более 2 миллионов человек, были зафиксированы еще в октябре 2005 года, но набрали обороты только к осени 2006 года. На настоящее время число жертв этой беспрецедентной по масштабам кампании составляет 250 человек, еще 121 аккаунт подвешен в целях дальнейшего расследования. Специалисты McAfee отмечают, что на домашних компьютерах большинства жертв фишинга отсутствовала антивирусная защита. Большинство нелегальных переводов со счетов, к которым получили доступ мошенники, ограничивались небольшими суммами. В настоящее время активность фишеров, направленная против клиентов Nordea, снизилась, хотя отдельные атаки еще наблюдаются. Банк полностью компенсировал потери пострадавшим и производит модернизацию системы компьютерной защиты. Источник: The Register Sophos: США - мировой лидер по рассылке спама и хостингу вредоносных сайтов 24.01.2007 Согласно годовому отчету Sophos за 2006 год, США продолжают удерживать лидирующее место в мировом рейтинге стран-спамеров. Несмотря на сохраняющуюся тенденцию к сокращению объемов спама, исходящего с территории США, они все же весьма значительны. По данным Sophos, в 2006 году на долю США приходилось 22% от общего объема всех спам-рассылок. Второе место по-прежнему занимает Китай (вместе с Гонконгом - 15,9%), на третьей позиции остается Южная Корея (7,4%). Россия замыкает непочетную "дюжину", разделив последнюю позицию с Тайванем (по 1,8%). По оценке специалистов Sophos, в настоящее время до 90% спама рассылается с ботнетов, разбросанных по всему миру, поэтому инициаторы спам-атак имеют возможность укрыться от справедливого возмездия на территории стран с более мягким антиспам-законодательством. В рейтинге Sophos по хостингу вредоносных сайтов тоже лидируют США, на долю которых в 2006 году приходилось больше трети (34,2%) всех таких сайтов, зафиксированных исследователями этой компании. Почти не отстает от США по этому показателю Китай (31%), на третьем месте Россия (9,5%), замыкает "пятерку" лидеров Украина 3,2%. Специалисты Sophos отмечают тенденцию к увеличению в Сети числа веб-сайтов, зараженных вредоносным ПО: в настоящее время компания ежедневно регистрирует в среднем 5000 новых URL-хостеров вредоносных программ. С расширением обмена веб-контентом в Сети и стремительным ростом числа веб-сайтов киберзлоумышленники постепенно меняют тактику распространения вредоносного ПО в Интернете, отказываясь от рассылки червей и вирусов по каналам электронной почты и используя веб-сайты для хостинга вредоносных программ, загружаемых в компьютер жертвы троянцем. По оценке Sophos, в настоящее время количество троянских программ в Сети вчетверо превышает число вирусов и червей. Источник: Sophos Спам - статистика за период 15 - 21 января 2007 г. "Лаборатория Касперского" Тематические особенности спама Тематическое распределение спама на прошедшей неделе не сильно отличалось от показателей предыдущей, за исключением, разве что, сильного снижения количества рассылок "Взрослой" тематики. Пока не ясно, является ли это временной сдачей позиций перед окончательным триумфальным возвращением или новогодний всплеск был кратким возвращением к былым дням. Изменения в остальных тематиках невелики, показатели вернулись на свои позиции, распределение спама снова можно назвать "нормальным". Проэксплуатировав тему новогодних праздников, русскоязычные спамеры с энтузиазмом принялись за новые "горячие" темы. Уже вовсю используются темы Дня Святого Валентина и Масленицы. Если День Святого Валентина закономерно приносит в спам рекламу цветов и подарков, то Масленица представлена практически только в разделе "Отдых и путешествия". Новая тематика спама завоевывает себе место в рубрике "Компьютеры и Интернет". К привычным для этой рубрики предложениям по созданию сайтов, продаже софта, "железа" и обмену ссылками добавляются предложения скрыть IP адрес. Оптимистично настроенные спамеры призывают подарить детям на праздники снегокат и рекламируют зимнюю одежду, обещая, что в феврале нас ждут морозы. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 14,9% +3,5% 2 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 14,6% +0,2% 3 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 14,0% +0,9% 4 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 13,0% +3,7% 5 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 12,0% -1,4% 6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 9,7% +1,4% 7 Образование Реклама семинаров, тренингов, курсов 9,7% +1,4% 8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 5,2% +0,4% 9 Остальной спам   2,5% +0,1% 10 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% -8,7% 11 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% +0,2% 12 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% Без изменений Образчик самого массового спама, а также советы от спамеров, как измерить объем пирамиды хеопса и как "до 55%" увеличить один из важных органов мужского организма (редкий случай русскоязычного спама на эту тему - теперь и в Росси!), вы найдете на сайте Спамтест. Поможет ли плата за исходящие сообщения решить проблему спама? На прошлой неделе председатель правления Международной конфедерации обществ потребителей (КонфОП) Дмитрий Янин предложил бороться со спамом, введя плату за исходящие электронные сообщения. По мнению господина Янина, пользователи согласятся платить, если будут получать качественный сервис, а рассылки незапрошенных сообщений станут невыгодными. Данное средство будет эффективным лишь при согласованных действиях всех почтовых операторов, отмечает Дмитрий Янин. Прокомментировать предложение г-на Янина мы попросили Анну Власову, начальника группы спам-аналитиков "Лаборатории Касперского". Отрадно видеть, что над проблемой спама начинают задумываться не только технические специалисты. Это хорошо, т.к. спам действительно представляет серьезную угрозу электронным коммуникациям. Сама по себе идея экономического "кнута" для спамеров понятна и, в общем-то, уже давно носится в воздухе. Но к ней есть серьезные возражения. Я лично не готова сразу и безоговорочно согласиться с предложение ввести плату за электронную почту. Подразумевается, что введение платы за электронные сообщения, прежде всего, ударит по спамерам. А как же обычные пользователи? Они уже оплачивают услуги, предоставляемые им провайдерами (например, платят за трафик). Если будет введена еще какая-то плата, то это значит, что за одни и те же услуги они заплатят дважды. Фактически, это повышение платы без каких-либо оснований на это. Кроме того, сейчас существует масса бесплатных почтовых сервисов, и они очень популярны. Введение оплаты за электронную почту может привести к уничтожению самой идеологии подобного сервиса. Предвижу возражения, что у пользователей в ящике станет меньше спама. Но в ящике конечного пользователя на серверах, защищенных спам-фильтрами, его и сейчас не так уж много. Современные программы фильтрации вполне справляются с этой работой. Например, пользователи бесплатных почтовых служб - Mail.ru, Yandex-почта, Gmail и других - видят в своих ящиках лишь единичный спам, а то и вообще не видят. При этом, еще раз подчеркну, услуга по отправке почты для них бесплатна. Т.е. основной экономический груз по борьбе со спамом сейчас лежит на провайдерах, почтовых службах и владельцах корпоративных почтовых серверов. Именно они тратят мощности и средства на получение, обработку, хранение, фильтрацию "мусорной" почты. Конечные пользователи вовлечены в эти расходы только "опосредованно" (ровно настолько, насколько они учтены в провайдерских тарифах и т.п.). Введение оплаты за почту - это непосредственное вовлечение конечных пользователей в оплату расходов по борьбе со спамом. Из п. 1. также вытекают экономические проблемы для легитимных организаторов и администраторов почтовых рассылок - от больших сервисов вроде Subscribe до скромных сайтов, чьи владельцы организовали новостную рассылку для всех желающих. Предложение по оплате исходящих электронных сообщений, на первый взгляд, выглядит как исключительно прибыльное и привлекательное. Для ISP и прочих организаций, которые получат деньги. Возможно, для государства тоже. Но реализация этого предложения повлечет за собой серьезные расходы. Прежде всего, это реорганизация всей почтовой инфраструктуры. Понадобится система контроля за количеством отправленных сообщений, трекинг сообщений, разработка и совершенствование электронных систем оплаты, службы поддержки для всех этих систем и многое другое. Разработка, ввод в эксплуатацию и поддержка таких систем может обойтись дорого. Скорее всего, эти расходы как раз и "съедят" доходы, полученные от оплаты сообщений. При таком раскладе, возможно, имеет смысл подумать о более общем решении - смене почтового протокола. Это, несомненно, затратное и сложное по организации мероприятие. Но как результат спам может существенно сократиться без дополнительной финансовой нагрузки на пользователей. Есть ли уверенность, что спамеры не найдут способ так или иначе "обойти" систему оплаты? Такой уверенности нет. Сейчас основной метод распространения спама - это рассылка через зомби-сети, т.е. через сети зараженных компьютеров. Пользователь может вообще не знать, что его компьютер рассылает спам. При этом деньги за отправленные сообщения будут сняты с его счета, а не со счета спамера. Конечно, при таком раскладе спам рискует перейти в разряд более серьезных правонарушений, чем сейчас, но, допустим, спамеры окажутся морально готовы к этому... Тогда оплата за почту как способ борьбы со спамом может оказаться неэффективной. И последнее соображение, которое на самом деле могло бы быть первым. Да, как справедливо отметил Дмитрий Янин, такие серьезные решения должны быть глобальными, т.е. вводиться во всем мировом сообществе одновременно. Иначе эффективность от них будет низкой или вообще нулевой. Пока же ни с организационной, ни с технической точки зрения нет ясности, как можно реально воплотить в жизнь подобную идею. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005