Электронный журнал "Спамтест" No. 186 в этом номере: Новости Спам - статистика за период 09 - 15 апреля 2007 г. Спам в первом квартале 2007 года Новости И на Солнце бывают пятна 17.04.2007 Рассылаемый открытыми релеями спам не всегда исходит с домашних компьютеров, плохо защищенных от интернет-угроз. По данным организации Support Intelligence, отслеживающей деятельность рассылающих спам зомби-машин, от заражения не застрахован никто, даже сильные мира сего, поименованные в почетных списках Fortune 1000 и Fortune 500. За две недели февраля Support Intelligence собрала со своих "ловушек" образцы нелегитимных сообщений, позволившие сделать заключение о наличии в сетях 28 крупных корпораций инфицированных компьютеров, рассылающих спам. Исследователи Support Intelligence не отрицают возможности "ложных срабатываний" при больших объемах данных, получаемых с серверов на 10000 доменах, но в целом их информация, как правило, корректна. В середине февраля Support Intelligence зарегистрировала около десятка фишерских сообщений, разосланных от имени PayPal с компьютера в одном из ресурсов Oracle. Около сотни исходящих спамовых сообщений, продвигающих акции некой корпорации NutriOne, было зафиксировано в одной из сетей Hewlett-Packard, источники спам-рассылок по схеме "накачка-сброс" были обнаружены и в ресурсах ExxonMobil, 3M и American Electric Power. Последняя уже заблокировала инфицированный ПК на одной из электростанций своего партнера, пользовавшегося IM-каналами, веб-почтой и другими средствами связи, предусмотренными контрактом. Зомби-компьютеры в сетях IndyMac Bank, Home Depot и игрового магната Electronic Arts рекламировали контрафактные медицинские препараты, релей в одной из сетей Dow Jones обещал улучшить мужскую физиологию. Рекорд по спаму поставил гигант электронных продаж Best Buy, из сетей которого в феврале было разослано более 5000 писем с нелегитимной рекламой украшений для одежды и часов от "известного производителя". Источники спама из ресурсов Electronic Arts и Best Buy попали в XBL-списки Spamhaus. На предупреждения Support Intelligence корпорации реагируют по-разному. Представители Best Buy, например, были признательны за сигнал и уже работают над исправлением ситуации. От Oracle и Hewlett-Packard ответа не последовало, неизвестно даже, была ли полученная от Support Intelligence информация доведена до сведения ИТ-персонала, ответственного за корпоративную безопасность. С подобной реакцией специалистам Support Intelligence и приходится сталкиваться чаще всего. Источники: washingtonpost.com,  The Register Конец эпохи электронной почты? 17.04.2007 По прогнозам маркетинговой компании IDC на ближайшие пять лет, спам-эпидемия в электронной почте может привести к ее постепенной замене другими средствами цифровой коммуникации - SMS-, IM- и VoIP-связью. Согласно исследованию IDC, в 2007 году глобальные объемы деловой переписки, осуществляемой по каналам электронной почты, приблизятся к 5 экзобайтам (5 миллиардам гигабайт). Количество электронных писем, ежедневно циркулирующих во всем мире, достигнет 97 миллиардов, причем 40 миллиардов из них будет составлять спам. По предсказаниям аналитиков IDC, в текущем году объемы нелегитимных сообщений впервые превысят глобальный объем персональной электронной переписки и причиной тому послужат широкое распространение графического спама, успешно обходящего защитные фильтры, и подделка спамерами адресов отправителей. По оценке IDC, популярность электронной почты как основного средства интернет-коммуникации падает, пользователи Сети, особенно молодежь, все чаще обращаются к альтернативным средствам связи - текстовой, беспроводной. В связи с этим IDC рекомендует бизнес-структурам внедрять многоуровневые антиспам-системы в корпоративных сетях и регулярно их обновлять, а также обеспечивать работникам и клиентам доступ к электронной почте как с ПК, так и с устройств беспроводной связи, использующих Ajax и программы push e-mail. С мрачными прогнозами IDC относительно грядущего снижения роли электронной почты как основного средства бизнес-коммуникации далеко не все согласны. Да, современные объемы спама раздражают и чреваты потерей производительности, но привлекательность электронной почты как основного средства цифровой связи неоспорима, а прочие, более быстрые средства связи могут только дополнять ее, - заявляют противники выраженного в исследовании IDС заключения. По результатам проведенного компанией Postini опроса более 400 представителей информационных служб и ИТ-профессионалов из крупных организаций, рост угроз в современном Интернете только раззадоривает их, заставляя активней искать новые методы сетевой защиты. 99% респондентов считает электронную почту столь же важным средством связи, что и телефон. Тем не менее, более 90% опрошенных отметили, что в дальнейшем такие средства коммуникации, как IM и VoIP, будут конкурировать с ними на равных. Источник: TechNewsWorld MessageLabs: малый бизнес не осознает растущую угрозу 18.04.2007 По оценке MessageLabs, при современной тенденции к росту агрессивности спамеров и увеличению объемов спама в электронной почте предприятия малого и среднего бизнеса будут ежемесячно получать вдвое больше спама, чем крупные корпорации. Последние располагают достаточными ресурсами для организации надлежащей защиты корпоративных сетей и не списывают спам со счетов как досадную помеху, побочный эффект использования почтового трафика. По данным отчета MessageLabs за 1 квартал 2007 года, уровень спама в глобальном почтовом трафике продолжает неуклонно возрастать; в первые месяцы текущего года нелегитимные сообщения в среднем составляли 76,3% от общего объема электронной почты, хотя в марте уровень спама незначительно снизился. Около 20% от общего количества нелегитимных писем составил графический спам. Специалисты MessageLabs отмечают активное использование спамерами ботнетов и рассылающих спам троянских программ. Основными объектами атак спамеров остаются промышленное производство, образование, ИТ-услуги, реклама и маркетинг и оптовая торговля. Главной географической мишенью спамеров, по данным MessageLabs, в марте стал Израиль, что исследователи из MessageLabs объясняют деятельностью двух злостных спамеров, занесенных Spamhaus в базу данных ROKSO, - Амихаи Инбара (Amichai Inbar) и Амира Ганса (Amir Gans). Гонконг и США занимают вторую и третью позиции в мартовском рейтинге популярности у спамеров. Кроме того, по данным MessageLabs, Гонконг в настоящее время становится хостером мошеннических веб-сайтов, рекламируемых через спам. В 1 квартале 2007 года в фишинг-атаках участвовало одно из 203,7 писем (0,32%). В общем объеме вредоносной активности доля фишинга возросла на 8,6% и составляет 70,8%. Почти половина фишерских атак направлена против пользователей eBay и PayPal. По оценке MessageLabs, атаки фишеров стали более целевыми - благодаря использованию персональных данных, собранных ими с социальных веб-сайтов. Начало 2007 года отмечено дальнейшим распространением на подпольном онлайн-рынке готовых фишерских комплектов типа "сделай сам", значительно упрощающих процедуру проведения интернет-атак. Число атак с использованием вирусов и троянских программ в 1 квартале в целом сократилось до 1 зараженного письма на 126,1, но специалисты MessageLabs отмечают повышение уровня их сложности, организации, целенаправленности и защиты. Нередко вредоносные атаки маскируются под спам-рассылки, используют каналы веб-трафика и IM-связи, разветвленную сеть поддельных веб-сайтов с зараженным контентом. Источник: MessageLabs Новый консорциум разработает стандарты антиспам-продукции 18.04.2007 Компаниями-экспертами в области антиспам-решений учрежден Консорциум разработчиков антиспам-продукции (Anti-Spam Product Developers' Consortium). В задачи Консорциума входит разработка стандартов и критериев оценки антиспамовых продуктов, разработка рекомендаций по их использованию корпоративными структурами и создание источника объективной информации для потребителей антиспам-продукции. Консорциум создан на базе ICSA Labs, независимого подразделения Cybertrust, специализирующегося на тестировании и сертификации средств компьютерной безопасности. Соучредителями консорциума являются Astaro Corporation, COMDOM Software, Fortinet, IBM, "Лаборатория Касперского", Proofpoint, Inc., SECNAP Network Security Corporation, Sendio, Inc., SonicWALL, Inc. и Symantec Corp. Уставное собрание соучредителей назначено на май, на время проведения конференции Interop Las Vegas 2007. В числе других вопросов на встрече соучредителей консорциума будут рассмотрены критерии оценки антиспам-продуктов при их сертификационном тестировании, выдвинутые ICSA Labs. Источник: Cybertrust Новый сервис блюдет чистоту репутации IP-адресов клиентов 18.04.2007 Глобальный ИТ-ресурс DNSstuff.com объявил о создании нового сервиса, осуществляющего автоматизированный круглосуточный мониторинг IP-адресов своих многочисленных клиентов, для которых внесение в "черные списки" за спам составляет угрозу репутации и бизнесу. Сервис RBLalert появился в ответ на пожелания 70% профессиональных пользователей DNSstuff.com, озабоченных случаями произвольного включения их почтовых ресурсов в "черные списки" спамеров без предварительного уведомления, что приводит к неоправданным простоям и убыткам. Новый сервис проводит периодический опрос более чем 130 "черных списков" и при внесении в какой-либо список или выведении из него IP-адреса клиента немедленно высылает владельцу уведомление, в котором указывается время его отсылки, наименование "черного списка" и рекомендации по исправлению ситуации. Для проведения мониторинга требуется сообщить координаты объекта (IP-адрес) и контактный адрес электронной почты. Членам DNSstuff.com результаты мониторинга высылаются раз в год и входят в пакет услуг по подписке. Стартовая цена на дополнительный мониторинг одного IP-адреса составляет 4 доллара в месяц. Источник: www.marketwire.com В рейтинге стран-спамеров Польша заняла третье место 18.04.2007 Согласно статистике Sophos по спаму за 1 квартал 2007 года, польским пользователям следует уделять больше внимания безопасности своих компьютеров, выходя во "всемирную паутину". По количеству рассылаемого спама Польша вышла на третье место в мире и догоняет Китай, где число подключенных к Интернету пользователей неизмеримо выше. По данным Sophos, глобальные объемы спама в 1 квартале 2007 года почти на 4,2% превышают прошлогодний показатель за тот же период. Исследователи Sophos особо отмечают выход "биржевого" спама за пределы США, на европейские просторы. В марте акции компании Stonebridge Resources Exploration Ltd, впервые зарегистрировавшейся на франкфуртской бирже, были использованы компьютерными мошенниками в классической схеме "накачка-сброс", разыгранной на немецком языке по каналам электронной почты. Чтобы обойти антиспам-фильтры, спамеры-"акционеры" включают в нелегитимные рассылки графику с произвольным набором англоязычных слов - "spamglish" ("спамглийский"). Аналитики Sophos предупреждают также о дальнейшем распространении SMS-спама, хотя по сравнению с объемами спама, рассылаемого по электронной почте, эта угроза пока невелика. Лингвистическая интернационализация спама и сокращение объемов нелегитимных сообщений, рассылаемых из Китая, вывели Европу в 1 квартале текущего года на место континентального лидера. На долю европейских источников спама в отчетный период приходилось более трети объемов спама, тогда как Северной Америке, несмотря на присутствие такого неизменного спам-лидера как США, удалось сократить исходящий поток почтового "мусора" и занять третью позицию - после Азии. "Грязную дюжину" стран-спамеров все еще возглавляют США, на долю которых в 1 квартале приходилось немногим менее одной пятой от общего объема спама в глобальном трафике. За последний год США удалось несколько сократить свое участие в этой непочтенной деятельности, что, по мнению экспертов Sophos, говорит о повышении национального внимания к вопросам сетевой безопасности. Вторую позицию в рейтинге стран-спамеров по-прежнему занимает Китай (включая Гонконг), доля которого за 1 квартал сильно уменьшилась и составляет всего 7,5%. Сюрприз преподнесли польские спамеры, поднявшие непочетный рейтинг своей страны до третьего места (7,4%). Россия занимает в квартальном рейтинге Sophos 10 позицию (3,0%). Впервые в "грязную дюжину" попала Индия (11 место, 2,8%), а Великобритания покинула список 12 лидеров и опустилась на 13 место. Источник: Sophos Спам - статистика за период 09 - 15 апреля 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Объем спама на прошедшей неделе в среднем составил 76,5%. Серьезные изменения в тематическом распределении спама на прошедшей неделе произошли в рубриках "Образование" (доля уменьшилась на 11,5%), "Медикаменты; товары и услуги для здоровья" (доля увеличилась на 8%), "Компьютерное мошенничество" (доля увеличилась почти на 10%). Увеличение доли спама тематики "Компьютерное мошенничество" произошло, в первую очередь, за счет нескольких больших рассылок, представлявших собой фальшивые уведомления о выигрыше в лотерею. Этот популярный вид компьютерного мошенничества может легко конкурировать по массовости с таким распространенным в спаме мошенничеством как "нигерийские письма". Увеличение доли спама тематики "Медикаменты" также произошло за счет рассылок вполне стандартной тематики: основная масса таких рассылок на прошедшей неделе была посвящена рекламе препаратов, помогающих при сексуальных расстройствах, и канадских медицинских препаратов (как правило, это те же препараты "для взрослых" и антидепрессанты). Любопытная рассылка, в которой предлагалось сдать в аренду "нематериальное движущее начало, именуемое в просторечье "ДУША"", была зафиксирована спам-аналитиками в прошлую среду. В другом интересном предложении на прошедшей неделе спамеры рекламировали услугу по нахождению любой необходимой информации. Примеры такого письма приведены на сайте Спамтест. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 25,0% +8,0% 2 Другие товары и услуги Предложения других товаров и услуг 15,6% -5,6% 3 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 15,0% +9,9% 4 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 13,3% +2,3% 5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 9,4% +3,7% 6 Образование Реклама семинаров, тренингов, курсов 7,8% -11,5% 7 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 6,7% +0,8% 8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 3,9% -0,3% 9 Остальной спам   2,8% Без изменений 10 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% -1,4% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -2,0% 12 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -0,6% Образчик самого массового спама, а также самые оригинальные спам-предложения вы найдете на сайте Спамтест. Спам в первом квартале 2007 года Анна Власова, "Лаборатория Касперского" Основные тенденции Доля спама в Рунете оставалась стабильной: 70 - 80% от всей почты. Уменьшилась доля тематики "Личные финансы". Наметилась тенденция снижения доли "графического" спама. Доля спама в почте В первом квартале 2007 года доля спама в Рунете оставалась стабильной и составляла от 70 до 80% общего объема почты. Минимальное значение спама было зафиксировано 7 февраля (69,8%), максимальное - 11 февраля (86,0%). Первые три месяца 2007 года продемонстрировали, что сезонные колебания доли спама, обусловленные рекламным характером рассылок, постепенно "сглаживаются" и могут уйти в прошлое. В первом квартале 2007 года не зафиксировано ни серьезных "падений" доли спама в январские и весенние праздники (8-е марта), ни резкого роста доли спама непосредственно перед праздниками, характерных в прошлом. Причина такой равномерности - в меняющемся характере спама. Все большая его часть криминализируется и отходит от традиционного рекламного жанра. Криминализированный спам не подчиняется законам рекламного рынка и практически не подвержен колебаниям, зависящим от спроса/предложения в тот или иной период. Тематический состав спама В первом квартале 2007 года состав тематических лидеров спама выглядел следующим образом: "Образование" (15,2% от всего спама). "Медикаменты; товары и услуги для здоровья" (14,0%) "Личные финансы" (10,7%) "Услуги по электронной рекламе" (9,0%), "Компьютеры и Интернет" (9,0%) В статистике Рунета большую долю спама занимают рассылки тематики "Образование" (15,2%). Доля спама данной тематики росла в течение трех месяцев (январь - 10,3%; февраль - 16,2%; март - 18,6%), и по итогам квартала тематика вышла в лидеры. Спам тематики "Образование" - это предложения купить дипломы/аттестаты; реклама семинаров, тренингов, курсов. В первом квартале 2007 года наиболее популярными темами тренингов и семинаров были: годовая бухглатерская отчетность, налоговая отчетность, проверка на налоговую "чистоту" и прочие темы, связанные с годовой отчетностью предприятий и организаций. Традиционно велика доля спама тематики "Медикаменты; товары и услуги для здоровья" - реклама дешевых медикаментов (виагра, циалис и т.п .), которые представяют из себя агрессивные и массовые рассылки, использующие графические технологии. Четвертое место поделили сразу две тематические категории. По-прежнему высокие показатели тематики "Услуги по электронной рекламе" - признак того, что спамеры продолжают искать все новых клиентов. Доля спама тематики "Личные финансы" сократилась с 13,3% в январе до 6,9% в марте. Напомним, что спам данной тематики в основном используется для создания исскуственного спроса на рекламируемые акции при реализации схемы "накачки и сброса" и в большей части представлен письмами с графическими вложениями. Причиной падения доли "финансового" спама является снижение его эффективности, обусловленное, с одной стороны, насыщением спроса со стороны пользователей, с другой - успешной фильтрацией "графического" спама спам-фильтрами различных производителей. Тематические особенности 1-го квартала 2007 В первом квартале 2007 года активизировался русскоязычный спам тематики "Недвижимость" (предложения риэлтерских услуг, предложения сдать/снять квартиру и т.п.). Спам такого содержания типичен именно для Рунета и достаточно давно появился среди других видов спама. Но только в последнее время реклама, связанная с недвижимостью, заняла стабильную долю в потоках "мусорной почты" (около 2-4%) (подробнее см. отчет за март 2007 года). Наметились изменения в рекламе собственно спамерских услуг. Теперь спамеры предлагают рассылку спама и по специализированным базам (например, по базе адресов "деловая Москва", база адресов физических или юридических лиц). Максимальный размер предлагаемой базы адресов Рунета (общей) составляет более 14 миллионов адресов. Сбор адресов и подготовка адресных баз явно выделены в отдельную отрасль спамерского бизнеса. Базы собирают и продают независимо от проведения спам-рассылок. В первом квартале 2007 года спам-аналитики обнаружили предложение по подготовке целевой базы адресов для рассылки спама - "Собeрeм для Вас по ceти интepнeт бaзу дaнных Bашиx потeнциальных клиентoв" - с учетом сферы деятельности предпринимателей и мест, где могут находится потенциальные клиенты (т.е. заказчик может указать список специализированных форумов, откуда надо собрать адреса). Также в первом квартале 2007 года была зафиксирована попытка фишинга по отношению к российскому банку. Это редкость, т.к. обычно мишенями фишеров становятся западные банки, обладающие бОльшим числом клиентов, использующих доступ к счетам online. Мишенью атаки, прошедшей в 20-х числах февраля 2007 года, стал Альфа-банк. Фишеры, по сути, скопировали новостное сообщение Альфа-банка об усилении системы безопасности, но ссылка, размещенная в теле фишингового письма только на первый взгляд должна была привести пользователя на сайт Альфа-банка. В действительности она вела на сайт злоумышленников (в домене ...co.kr), где пользователя просили ввести персональные данные. Надо отметить, что Альфа-банк оперативно отреагировал на случаи мошенничества, разместив у себя на сайте предупреждение для своих пользователей. Спамерские приемы и методы В первом квартале 2007 года спамеры вновь предприняли несколько попыток обновить технологии генерации графических вложений в спаме (спам в "картинках"). В частности, в феврале они пытались реанимировать технику анимированной графики. Но были испробованы и другие приемы, в частности, спамеры пытались использовать разные, причем далеко не самые распространенные, шрифты. Тем не менее, попытки разнообразить графический спам не принесли успеха спамерам, и доля спама с графическими вложениями начала постепенно снижаться. В январе доля такого спама составила 33% от всего спама, но уже в феврале этот показатель снизился до 27,4%, а в марте - до 25,7%. С содержательной точки зрения современный "графический" спам, в котором используются анимация или специфичные приемы по зашумливанию бэкграунда и пр., чаще всего содержит предложения медикаментов, софта, а также продвигает различные акции. В основном это спам на английском языке, хотя бывают и исключения. Например, русскоязычная спам-рассылка, рекламирующая услуги по настройке компьютеров и установке программ (содержит вложенный анимированный gif со случайным шумом на заднем плане информативного кадра): Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005