Электронный журнал "Спамтест" No. 183 в этом номере: Новости Спам - статистика за период 05 - 11 марта 2007 г. Спам в феврале Новости В США развернули наступление на "биржевой" спам 13.03.2007 Комиссия США по торговле ценными бумагами (SEC) приостановила торговые операции с акциями 35 компаний, имена которых в последнее время часто фигурировали в мошеннической схеме "накачка-сброс" с использованием каналов электронной почты. Следующим этапом "Операции Спамалот" (Spamalot, по названию бродвейского комедийного скетча), призванной защитить инвесторов от компьютерного мошенничества, станет поимка злоумышленников и передача их в руки правосудия. Операции с ценными бумагами фигурантов спам-рассылок приостановлены на основании сомнений в адекватности и достоверности публикуемой информации. Если расследование подтвердит непричастность этих компаний к спам-рассылкам, играющим на повышение их акций, 21 марта арест будет снят. Все компании, акции которых были заморожены, упомянуты в "Розовых страницах" (Pink Sheets), публикующих информацию о внебиржевом рынке ценных бумаг. Стоимость одной акции таких компаний, как правило, не превышает 1 доллара; брокеры, размещающие информацию на веб-сайте этого частного электронного сервиса, не несут ответственности за достоверность своего поста, как это требуется в сводках на биржевом сервисе или в официальных информационных бюллетенях по внебиржевому рынку. По данным Secure Computing, за последний год более 600 продаж ценных бумаг, зафиксированных в "Розовых страницах" и на электронной доске информационных бюллетеней по внебиржевому рынку, было совершено благодаря игре на повышение с помощью спам-рассылок. Акции 35 "подследственных" компаний чаще других "светились" на антиспам-фильтрах Secure Computing. По оценке SEC, "биржевой" спам измеряется 100 миллионов электронных сообщений в неделю, 5,2 миллиарда сообщений в год. Спам-рассылки с зазывными заголовками "Ready to Explode", "Ride the Bull" и "Fast Money" ("Грядет взрыв", "Возьми быка за рога", "Быстрые деньги") за несколько дней вздувают стоимость мелких акций вдвое, втрое, всемеро, а затем следует неизбежный дефолт, принося мошенникам баснословные прибыли, а доверчивым ловцам удачи - пустые карманы. Представители SEC оценивают убытки инвесторов, вложивших деньги в акции 35 фигурантов "Операции Спамалот", десятками миллионов долларов. По всему миру жертвы собственной доверчивости и алчности теряют ежегодно около миллиарда долларов, внимая советам анонимных "комбинаторов" сетевого андеграунда. Источник: www.sec.gov Зарубежная статистика по спаму и фишингу за февраль 14.03.2007 Несмотря на разницу в многочисленности, территориальном охвате и статусе обслуживаемой клиентуры, все компании, специализирующиеся на обеспечении безопасности почтового трафика, отмечают в феврале сохранение высокого уровня спама - 80-90% от общего объема - и большой доли фишерских писем в общем объеме вредоносной корреспонденции. Февральская статистика Marshal по спаму в разных странах и организациях колеблется в пределах 55-85% от общего объема входящей почты, специалисты Postini зафиксировали средний уровень спама в 80,9% (из 12 сообщений 10 спамовых). По оценке Symantec, объемы спама в SMTP-трафике более умеренны - 70%, MessageLabs дает показатель доли спама 77,8%, хотя на незащищенных "ловушках" этой компании доля спама значительно выше - 86,6% от общего количества входящих электронных писем. По данным компании IE Internet, охраняющей онлайн-благополучие ирландского бизнеса, уровень спама в Ирландии в феврале был выше обычного и составил 62,3%, а исследователи SoftScan зарегистрировали рекордный средний показатель по спаму - 90,3%, с пиковой отметкой в 96,22%. Как отмечают исследователи Marshal, в тематическом распределении спамовых сообщений на первое место впервые вышел "биржевой" спам (схема "накачка-сброс", 49,0% от общего количества), опередив рекламу медицинских препаратов (28,3%) и потребительские товары (10,6%). Статистика Symantec отражает несколько иную картину: "товарный" и "медицинский" спам - по 24%, "биржевой" - 21%. Эксперты Symantec отмечают тенденцию к интернационализации спамовой рекламы игорного бизнеса. С ужесточением американских законов против онлайн-казино в Интернете выросли объемы спам-рассылок, рекламирующих игорный бизнес на итальянском, немецком и французском языках. В отчете MessageLabs за февраль отражен уровень спама по отдельным отраслям: промышленное производство - 68,1%, образование - 62,3%, ИТ-услуги - 60,0%, реклама и маркетинг - 59,5%, оптовая торговля - 57,9%. По данным MessageLabs, наиболее высокие темпы увеличения объемов спама (на 8,3%) наблюдались в Италии, где уровень спама составил 70,7% от общего объема почтового трафика. В Гонконге объем спам-рассылок уменьшился, но уровень спама здесь остается высоким - 63,5%. Третье место по этому показателю (62,0%) занимают США, в которые, как отмечает Postini, половина спама попадает из-за рубежа, позицией ниже - Германия (57,7%), далее Израиль (56,1%). Во второй половине февраля специалисты Marshal зафиксировали бурный приток спам-рассылок с территорий Китая и Южной Кореи; последняя даже опередила США и вышла на первое место в рейтинге стран-спамеров, отслеживаемом этой компанией. На настоящий момент в этом рейтинге лидирует Китай (15% от общего объема спама). В Ирландии, по данным IE Internet, главным спамером остаются США, с территории которых в почтовые ящики ирландских компаний засылается 36% спама. Второе место в ирландском рейтинге спамеров занимает Россия (30% от общего объема), что исследователи IE Internet объясняют активизацией крупной российской группировки, разославшей вирусы на плохо защищенные компьютеры жителей Польши. В феврале 10% спама поступало в Ирландию с ботнетов, расположенных на территории Польши. В февральском рейтинге стран-спамеров от Marshal Польша занимает 4 место, за ней с периодическим "успехом" до недавнего времени следовала Россия. Что касается статистики зарубежных компаний по фишингу, она лишена единообразия. Специалисты Marshal, например, разделяют "фишинг" и "компьютерное мошенничество" ("scam") и определяют количество подобных рассылок в процентном отношении к объему спама. В феврале зафиксированные Marshal фишерские рассылки составили 0,6% от общего объема спама, мошеннические послания - 1,0%. MessageLabs отмечает, что в отчетном месяце одно из 203,7 электронных сообщений было фишерским (примерно 0,005%). Но доля фишерских посланий в общем объеме перехваченной MessageLabs вредоносной корреспонденции составила 55,4%. Эксперты SoftScan также включают фишинг в категорию вредоносных писем; по их оценке, в феврале на долю фишинга приходилось 74,93% от общего объема вредоносных рассылок. По данным Marshal, треть фишерских атак проводится с территорий США и Испании. McAfee включает светофоры в доменных зонах 15.03.2007 Глобальное исследование 265 доменов верхнего уровня, проведенное специалистами McAfee, позволило определить, что в современном Интернете 4,1% веб-сайтов представляют потенциальную опасность. По заключению McAfee, распространению спама и вредоносных программ в Сети благоприятствует чрезмерная простота и доступность регистрации доменных имен. Исследователи McAfee протестировали деятельность 8,1 миллиона веб-сайтов, на долю которых приходится 95% глобального трафика на 13 наиболее употребительных языках. С помощью плагина SiteAdvisor на эти сайты засылался электронный адрес и подсчитывалось число ответных посланий. Сайты-респонденты проверялись на благонадежность в отношении вредоносных программ, автоматически рассылающих рекламу, шпионского ПО, вирусов, браузерных эксплойтов, избыточной рекламы в виде всплывающих окон и рассылки спама. Проводился также учет посещаемости веб-сайтов. Источники спама выявлялись на основе коммерческого характера контента ответных писем и характерных уловок, используемых спамерами для обхода защитных фильтров. Результаты тестирования систематизировались в зависимости от степени риска. Красным помечались веб-сайты, "провалившие" тестирование по одному или нескольким критериям; как правило, они являются источниками вредоносного ПО. Желтым цветом высвечивались сайты, требующие известной доли осмотрительности при посещении; это обычно источники, изобилующие всплывающими рекламными окнами. "Зеленую улицу" получили веб-сайты, безопасные для посещения. "Красно-желтая" угроза оказалась не так уж велика - всего 4,1% от всех протестированных веб-сайтов, но их число сильно различается в разных доменных зонах. Кроме того, популярность веб-сайтов у интернет-сообщества тоже неодинакова. По данным McAfee, пользователи более 550 миллионов раз посещают "красно-желтые" сайты, среди которых числятся и размещенные в относительно безопасных доменных зонах - в Германии (.de), Великобритании (.uk), Голландии (.nl). В объектив исследователей McAfee попали как национальные, так и общие, трансграничные домены. По оценке McAfee, самым безопасным доменом является .gov, который используется исключительно правительственными органами США; в этой зоне не найдено ни одного сайта "теплых тонов". Жесткие правила регистрации .edu также обеспечивают благонадежность операторов веб-сайтов в этой зоне: на долю "рискованных" сайтов в домене приходится всего 0,3%. Согласно исследованию, наиболее безопасными для посещения можно признать веб-сайты стран со строгими национальными нормами регистрации - Финляндии (.fi, 0,10%), Норвегии (.no, 0,16%), Швеции (.se, 0,21%), Исландии (.is, 0,19%) и Ирландии (.ie, 0,11%). Длительный процесс регистрации в Австралии (.au) и Японии (.jp) также отпугивает киберкриминал (соответственно 0,4 и 0,2% веб-сайтов в "зоне риска"). Невысокий показатель степени риска в доменных зонах Колумбии, Чили, Бразилии, Мексики и Аргентины объясняется слабым развитием Интернета в этих странах. В высшей степени опасным специалисты McAfee считают пребывание в доменных зонах малых островных государств: Сан-Томе и Принсипи (.st, 18,5% представляющих угрозу сайтов), Токелау (.tk), Тёркс и Кайкос на Багамах (.tc), Южная Георгия и Южные Сандвичевы острова в Антарктике (.gs), Британские Виргинские острова (.vg), где 9-10% веб-сайтов полыхают пожаром. Для криминального интернет-бизнеса они привлекательны низкими ценами и анонимностью регистрации. Семь доменов - .com, .info, .net, .biz, .tv (Тувалу), .cc (Кокосовые острова) и .cn (Китай) - фигурируют в двадцатке лидеров по всем показателям криминальной деятельности, использованных McAfee при тестировании. Домен .info, созданный как альтернатива переполненному .com, благодаря дешевизне регистрации, особо ценимой спамерами, обогнал его по степени риска. .biz также привлекателен для спамеров и фишеров, так как регистрация имени на этом домене вступает в силу немедленно. Ведущая десятка "красных" зон опасных для посещения веб-сайтов, составленная исследователями McAfee, выглядит следующим образом: TK (Токелау) - 10,1% INFO (информация) - 7,5% WS (Самоа) - 5,8% RO (Румыния) - 5,6% COM (коммерция) - 5,5% BIZ (бизнес) - 4,9% RU (Россия) - 4,5% NET (сетевые услуги) - 4,4% NAME (персональные имена) - 4,2% SK (Словакия) - 3,9% Российский и румынский домены включены сюда как одни из главных источников эксплойтов. А так выглядит десятка лидеров по спаму в рейтинге McAfee: INFO (информация) - 73,2% RU (Россия) - 21,7% KR (Южная Корея) - 19,6% CN (КНР) - 17,2% JP (Япония) - 16,1% BIZ (бизнес) - 13,2% UA (Украина) - 12,9% NET (сетевые услуги) - 12,9% TW (Тайвань) - 11,6% CC (Кокосовые острова) - 11,4% Результаты исследования специалисты McAfee отразили тремя цветами на географической карте, выложенной в Интернете. Флэш-карта будет обновляться ежемесячно. Источник: www.siteadvisor.com Спам - статистика за период 05 - 11 марта 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Объем спама на прошедшей неделе составил 75,6% от общего объема почтового трафика. В первую половину недели наблюдалось плавное уменьшение доли спама в общем почтовом трафике, к концу недели она снова увеличилась. Наименьший показатель был зафиксирован в четверг, восьмого марта, и составил 72%. Самым ярким событием прошедшей недели, естественно, стало 8 марта. Как уже было отмечено выше, количество спама в этот день было самым низким за всю неделю. Это произошло, в основном, за счет снижения количества русскоязычного спама. С точки зрения тематик спама 8 марта также определило лицо прошедшей недели. Вплоть до самого праздника увеличивалось количество рассылок, посвященных рекламе подарков для женщин и цветов. В последние дни недели количество таких рассылок в общем почтовом потоке уменьшилось, но не исчезло, проходили последние серии этих рассылок. В целом тематическое распределение спама на прошедшей неделе не претерпело серьезных изменений по сравнению с предыдущей. Наиболее заметным стало уменьшение относительного количества спама тематик "Медикаменты; товары и услуги для здоровья" и "Компьютеры и Интернет", а также увеличение числа рассылок, относящихся к рубрике "Недвижимость", доля которых достигла рекордных 7,7%. В последние недели наблюдается также уверенный рост количества спама, посвященного продаже и аренде земли, офисных и жилых помещений. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 20,7% -3,5% 2 Образование Реклама семинаров, тренингов, курсов 16,9% +0,7% 3 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 12,3% -4,7% 4 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 10,7% +0,1% 5 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 7,7% +3,7% 6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 6,1% -3,5% 7 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 5,4% -0,5% 8 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 5,0% +1,5% 9 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 6,6% +0,5% 10 Остальной спам   3,1% +2,8% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. 2,7% +1,7% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% +0,1% Образчики самого массового спама, а также самые оригинальные спам-предложения вы найдете на сайте Спамтест. Спам в феврале Анна Власова, "Лаборатория Касперского" Особенности месяца Спам по-прежнему составляет 70-80% от всей почты Рунета. Графический спам не сдает позиции: в феврале его доля составила 27,4% от всего спама. Вторая попытка анимированного спама: теперь с поворотом фрагментов изображения. Доля спама тематики "Образование" (тренинги и семинары) выросла в 1,5 раза по сравнению с январем 2007. В феврале спам с ценами на выступления звезд отечественной эстрады заполнил ящики пользователей Рунета. Доля спама в почте В феврале доля спама в почтовых потоках полностью соответствовала ожиданиям и прогнозам экспертов "Лаборатории Касперского". Спам составляет от 70% до 80% общего объема почты, и это значит, что, как и в прошлом году, 7-8 писем из 10 - спамерские. Максимальное значение доли спама - 86,8% от всей почты - было зафиксировано 11 февраля. Минимальное значение доли спама - 69,8% от всей почты - пришлось на 7 февраля. Тематический состав спама В феврале состав тематических лидеров не изменился, хотя они поменялись местами: "Образование" - 16,2% (в январе было 3-е место). "Медикаменты; товары и услуги для здоровья" - 13,9% (в январе также 2-е место). Личные финансы - 13,3% (1-е место в январе). Компьютеры и Интернет - 9,2% (5-е место в январе). "Услуги по электронной рекламе" - 8,9% (в январе 2-е место вместе с тематикой "Медикаменты; товары/услуги для здоровья"). По сравнению с январем 2007 в полтора раза увеличилась доля тематики "Образование". Спамеры ищут новых клиентов. Наиболее популярные темы тренингов и семинаров: годовая бухгалтерская отчетность, налоговая отчетность, проверка на налоговую "чистоту" и прочие темы, связанные с годовой отчетностью предприятий и организаций. Почти вдвое сократилась доля спама тематики "Компьютерное мошенничество". Спамеры-мошенники, видимо, собрали урожай с неосторожных пользователей и взяли небольшую передышку. Праздничный спам Февраль продолжил череду праздников: день всех влюбленных и день защитника отечества привлекают спамеров как рекламный повод. Да и восьмое марта уже не за горами. В спаме сформировался свой круг праздничных рекламных предложений. Не первый год спамеры предлагают в подарок мужчинам арбалеты и ночные прицелы, а женщинам - постельное белье и цветы. Подарки, напоминающие ассортимент "магазинов на диване", с точки зрения спамеров, подходят лицам обоего пола: непромокаемое радио для душа, обереги, забавные безделушки. Звезды на продажу Весь февраль спамеры настойчиво рекламировали российских звезд эстрады и театра. Обилие и разнообразие таких предложений удивляет. Сотни тысяч пользователей в течение месяца получили множество спама как с кричащими заголовками "Расценки на звезд", "Звезды Ленкома" и пр., так и с более скромными "Гастрольный график" или совсем по-простому "Прайс на артистов". Ниже приведен фрагмент такого спама: Неизвестно, сколько пользователей пытаются заказать выступление популярных артистов по спамерскому сообщению, и кто именно приедет к ним выступать (да и приедет ли вообще). Спамерские приемы и методы В феврале доля спама с графическими вложениями составила 27,4% от всего спама, это чуть меньше, чем в предыдущем месяце. Можно ли назвать такое снижение тенденцией покажет март, пока еще рано делать выводы. Спамеры неожиданно попытались реанимировать технику анимированной графики, практически заброшенную ими в конце ноября прошлого года. Новая разновидность анимации отличалась тем, что исходная "картинка" была разбита на фрагменты, и каждый из этих фрагментов был повернут под разными углами. Как и многие другие попытки разнообразить "графические" технологии, эта попытка вряд ли будет иметь успех и поможет спамерам серьезно пробить защиту спам-фильтров. Скорее всего, она так и останется единичным экспериментом, который не будет иметь существенного продолжения. Дело в том, что при использовании этого и аналогичного приемов реклама становится практически нечитаемой. Следовательно, ее рассылка не окупается. Для спамерского бизнеса такая ситуация вряд ли приемлема, так что антиспамерам надо готовиться к следующим шагам, которые предпримут спамеры, но уже в других направлениях. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005