Электронный журнал "Спамтест" No. 188 в этом номере: Новости Спам - статистика за период 30 апреля - 13 мая 2007 г. Новости "Кошелек или жизнь" или повторение пройденного 26.04.2007 В конце апреля специалисты SecureWorks зафиксировали новую волну спамовых писем от имени наемного убийцы, требующего от адресата выкуп в обмен на жизнь. Новая спам-рассылка осуществляется с валидных электронных адресов, более ограничена по масштабам и нацелена на владельцев толстых кошельков. Текст спамовых сообщений от "киллера" не отличается большой оригинальностью и использует прежние каноны: якобы нанятый киллер следил за заказанным третьей стороной объектом, убедился в его невиновности и предлагает сохранить ему жизнь и снабдить записью разговора с заказчиком в обмен на круглую сумму (в данном случае 30000 долларов); обязательное условие - невмешательство властей (в полицию не сообщать, письмо не показывать). За несколько дней исследователи SecureWorks зарегистрировали около 1000 вымогательских писем, разосланных для пущей убедительности с валидных почтовых аккаунтов Gmail, Yahoo и Hotmail; ее инициаторы предположительно находятся за пределами территории США. Реальный объем рассылки может оказаться несколько иным: ее адресаты не торопятся сообщать о получении грозных посланий. По данным SecureWorks, на этот раз круг мишеней спамеров-"киллеров" ограничивается зажиточными профессионалами - врачами, юристами, владельцами собственного бизнеса. Как и в прошлый раз, вымогательские послания сопровождаются второй волной писем, от имени лондонского филиала ФБР. Эти мошеннические послания призывают адресата принять участие в расследовании по делу "арестованного киллера" и нацелены на проверку активности почтового аккаунта и хищение персональных данных его владельца. Источник: ComputerWorld Троянский спам с шифром 10.05.2007 Интернет-провайдер Email Systems зафиксировал скромный, но устойчивый поток спам-рассылок с шифрованными zip-вложениями, заражающими пользовательские компьютеры "штормовым" троянцем. Спамовые сообщения озаглавлены довольно броско: "Worm Detected!", "Virus Detected!", "Spyware Alert!", "Warning!" ("Обнаружен червь!", "Обнаружен вирус!", "Осторожно, шпион!", "Опасность!"). Вложенный вредоносный zip-файл объемом 77 Кбайт зашифрован или защищен паролем, что позволяет "троянскому" посланию обойти большинство современных фильтров, не настроенных на блокировку зашифрованных аттачей. Специалисты Email Systems наблюдают рассылку шифрованного спама уже в течение нескольких месяцев. За это время количество спам-сообщений с вложениями, попавших в карантин на Email Systems, увеличилось вдесятеро и сейчас измеряется сотнями тысяч. Поскольку в настоящее время основная часть спама в Интернете рассылается с зомби-компьютеров, подобные шифрованные вредоносные рассылки, по мнению экспертов Email Systems, нацелены на увеличение армии инфицированных машин. Поиск новых путей обхода сетевой защиты заставляет спамеров постоянно совершенствовать свои технологии; каждые полгода "Email Systems" фиксирует появление нового вида атак, обеспечивающих успех их инициаторам. Источник: Techworld.com Антиспам-защита может нанести ущерб бизнесу 10.05.2007 Согласно исследованию экспертной компании Brockmann & Company, более трети американских бизнес-структур страдают от утери деловой корреспонденции, присылаемой по каналам электронной почты. Основная причина этого - ложное срабатывание спам-фильтров. По данным опроса 475 представителей бизнес-структур, проведенного Brockmann & Company в рамках исследования "The Problem with E-mail" ("Проблема с электронной почтой"), эффективность деловых контактов при помощи этого важного способа связи в полтора раза выше, чем общение по мобильному телефону, вдвое выше по сравнению с использованием проводной телефонной связи и вдесятеро - по сравнению с факсимильной. Тем не менее, все респонденты отмечали неудовлетворительное функционирование электронной почты. По оценке Brockmann & Company, 68% электронных писем, адресованных корпоративным пользователям, присылается из источников, находящихся за пределами корпоративной сети. Несмотря на использование средств антиспам-защиты, ежедневно в каждый корпоративный почтовый ящик попадает в среднем 11 нежелательных сообщений. К сожалению, современные системы фильтрации спама допускают так называемое "ложноположительное срабатывание", в результате которого блокируются важные деловые письма. Это приводит к затягиванию переписки, неоправданным задержкам в деловых процессах и даже к разрыву деловых отношений. 36% опрошенных указали, что в их компаниях имели место случаи срыва важных сделок по причине утери входящей электронной корреспонденции. Источник: Crm2day.com Технический прогресс на службе у древнейшей из профессий 10.05.2007 Специалисты компании Sophos зарегистрировали появление графического спама, рекламирующего эскортные услуги. Инициаторы новой спам-кампании снабдили рассылку дополнительными средствами защиты от антиспам-решений. Сообщения, озаглавленные "How about finding a girl in your town who is ready to help you take the pressure off?" ("Поможем найти в вашем городе девушку, готовую скрасить ваш досуг"), содержат веб-ссылку, "зашитую" в графическое изображение. Данный URL ведет на поисковую страницу, специализирующуюся на подборе проституток в заданной клиентом местности. Очевидно, что включение в графическое изображение спамового письма ссылки и наличие "шума" в виде произвольного текста призваны ввести в заблуждение спам-фильтры и донести непрошеную рекламу до получателей. Источник: Sophos.com Сборщики электронных адресов для рассылки спама ответят по закону 10.05.2007 В федеральном окружном суде штата Вирджиния (США) был зарегистрирован коллективный иск на сумму 1 миллиард долларов от имени 20000 клиентов компании Unspam Technologies LLC из более чем 100 стран. Впервые со времени принятия закона CAN-SPAM в качестве ответчиков будут фигурировать не только непосредственно спамеры, но и их пособники в лице сборщиков адресов электронной почты. Сообщество пользователей антиспам-сервиса Project Honey Pot (PHP) компании Unspam намерено добиться от спамеров денежной компенсации в соответствии с федеральным законом CAN-SPAM и антиспам-законодательством Вирджинии. Последнее предусматривает за проведение массовой нелегитимной рассылки штраф в размере 1 доллар за каждое письмо (или 25000 долларов за сутки рассылки спама). Сумма штрафа в рамках закона CAN-SPAM может составлять 100 долларов за каждую попытку рассылки электронного сообщения, содержащего ложную или вводящую в заблуждение информацию; штрафы увеличиваются втрое, если адрес жертвы был позаимствован с общедоступного веб-сайта. Имена ответчиков пока неизвестны и должны быть выявлены в ходе расследования. Материалом для проведения судебного разбирательства послужит внушительная база данных PHP на более чем 2,5 миллиона IP-адресов, с которых собираются адреса пользователей электронной почты и осуществляются спам-рассылки, - плод совместных усилий участников проекта PHP за последние два года. Программное обеспечение PHP позволяет создавать одноразовые почтовые адреса-"ловушки" для спамеров. При этом фиксируется время визита злоумышленников и IP-адрес, а также последующая их активность. В отличие от спам-операторов лица, занимающиеся сбором почтовых адресов, обычно не пытаются скрыть свой IP, поскольку доказать их противозаконную деятельность весьма нелегко. Активисты PHP сумели выявить уже более 15000 сборщиков, из которых 22% проживают на территории США, а также 668 спам-комментаторов, засоряющих веб-форумы и блоги. Истцы надеются, что суд обяжет провайдеров раскрыть информацию о владельцах "засвеченных" интернет-адресов. Впрочем, привлечь к ответственности им удастся лишь нарушителей-резидентов США. Источник: Washingtonpost.com Источник: Thewhir.com Апрельские новинки от спамеров 11.05.2007 В апрельском отчете по спаму специалисты компании Symantec особо отметили: включение спамерами легитимных веб-сайтов в схему рассылки графического спама; появление писем, компрометирующих имидж легальных бизнес-структур; новый поворот сюжета "нигерийской" саги. По данным Symantec, в апреле спамовые сообщения составляли 65% от общего объема электронной почты. Распределение спама по тематическим категориям незначительно изменилось по сравнению с предыдущим месяцем: реклама промтоваров и торговых услуг - 22% от общего объема спама, медицинских товаров и услуг - 21%, предложения финансового характера - 21%, интернет-услуги - 18%. Основным источником спама остается Северная Америка, на долю которой, по оценке Symantec, в апреле приходилась половина глобального объема спама. Ее доля в общем почтовом трафике составила 60%. Европейские спамеры обеспечили более 30% общемирового спама, азиатские - более 15% (следует отметить, что общий почтовый трафик Европы составляет четверть, а Азии - 12% глобального). Специалисты Symantec отмечают сокращение объемов графического спама в апреле - на 10% по сравнению с предыдущим месяцем, но пока не готовы дать заключение о характере этого изменения. Зарегистрированный в апреле пиковый показатель - 48% от общего объема спама - говорит скорее в пользу временности этого спада. В поисках путей обхода антиспам-защиты спамеры начали использовать общедоступные веб-хостинги легитимного фотоконтента, размещая на них графическую спам-рекламу и снабжая рассылки зашифрованными ссылками на нее. В апреле в Symantec зафиксировали подобную рассылку, продвигающую мелкие акции по схеме "накачка-сброс". Интересна новая разновидность спам-писем, также зарегистрированная Symantec в апреле и отнесенная к категории "подрыв корпоративного имиджа" ("corporate character assassination spam"). Данные сообщения завлекают призовыми акциями компании (к примеру, "бесплатный обед в сети фаст-фуд"), а вместо подробностей, обещанных в ссылке, подвергают ее товар и услуги незаслуженной критике и оговору. Что касается новой "нигерийской" волны, то она играет на доверчивости американцев по отношению к соотечественникам и описывает безвыходное положение бывшего американского военнослужащего, нашедшего в Ираке клад и жаждущего отдать его в руки надежного помощника. Миллионы следует забрать у временного хранителя (английского военного летчика), ибо автор письма сам это сделать не в состоянии (причины называются разные, вплоть до смертного одра), причем половину отдать в благотворительный фонд, а остальное оставить себе. Для пущей достоверности мошенническое письмо снабжено ссылкой на релевантную новость на веб-сайте CBS News и запрашивает: финансовые реквизиты реципиента. Кстати, специалисты Sophos зафиксировали еще один свежий поворот в "нигерийской" саге: фамильные сокровища желает уберечь от посягательств новой власти внук Пиночета, скрывающийся после своей нелояльной речи на похоронах деда (в письме мошенников приводится ссылка на отчет о похоронах на веб-сайте компании ВВС). Обещается, что заокеанский адресат будет извещен о характере требуемой помощи после отправки подробной информации о себе. Источник: Symantec.com Источник: Scmagazine.com "Финансовый" спам на российском фондом рынке 15.05.2007 7 и 8 мая неизвестные злоумышленники провели масштабную спам-рассылку от имени компании "Тройка Диалог" с призывом покупать акции ОАО "Томская энергосбытовая компания". В результате несанкционированных действий фальсификаторов акции ТЭК выросли на 15%, а объем торгов по ним - в 30 раз. Спам-сообщения с темой "ТРОЙКА ДИАЛОГ. Инвесторы получат сверхприбыль" ссылались на фальшивый аналитический отчет, якобы подписанный аналитиком ИК "Атон" Стивеном Дашевским. Рекомендации к покупке акций ТЭК обосновывались предстоящим выкупом контрольного пакета одним из лидеров российской энергетической отрасли РАО "ЕЭС России". Как впоследствии выяснилось, С. Дашевский во время проведения спам-рассылки был в отпуске и в Москве вообще отсутствовал. "Тройка Диалог" поспешила информировать клиентов и общественность о подделке: несмотря на использование логотипа компании, непрошеные рекламодатели указали несуществующий исходящий электронный адрес. Компания категорически отрицает свою причастность к действиям спамеров и полна решимости начать расследование и найти организаторов данной акции. Спам как способ манипулирования акциями - новое явление на российском фондовом рынке. В конце апреля спамеры уже использовали авторитет ИК "Тройка Диалог" в аналогичной рассылке с целью повысить котировки акций "Сургутнефтегаза". Непрошеные "доброжелатели" сыграли на слухе четырехлетней давности о грядущем объединении этой компании с "Роснефтью"; в итоге акции "Сургутнефтегаза" выросли более чем на 4%, а "Роснефти" - почти на 3%. Источник: securitylab.ru Превратности контент-фильтрации 15.05.2007 Деловое письмо Гей Хамильтон (Gay Hamilton) было заблокировано контент-фильтром интернет-провайдера Telecom New Zealand - ее имя, неоднократно упоминавшееся в электронном сообщении, программа восприняла как ненормативное слово. Новозеландка Гей Хамильтон обратилась по электронной почте в справочную службу интернет-провайдера Telecom New Zealand, желая уточнить подробности оформления подписки. Автоответчик Telecom уведомил потенциального клиента, что ее письмо было классифицировано как содержащее лексику, неуместную в деловой переписке. Как выяснилось впоследствии, камнем преткновения стало имя незадачливой корреспондентки. В целях предотвращения злоупотребления каналом электронной почты на рабочем месте и борьбы с почтовыми хулиганами в Telecom используется система внутреннего мониторинга входящей почты. В настройках контент-фильтра системы, помимо слова "гей", как ненормативное присутствует также слово "гетеросексуал". Раздосадованная Гей Хамильтон, по иронии судьбы являющаяся лесбиянкой, заявила, что ведущий интернет-провайдер страны тратит свое время и ресурсы, "вылавливая блох". "Если уж использовать фильтрацию контента, надо настраивать фильтры на блокирование истинно ненормативной лексики", - возмущается владелица "веселого" имени. Источник: NEWS.com.au RSA: апрельская статистика по фишингу 16.05.2007 По данным отчета RSA за апрель, 73% подделываемых фишерами брэндов принадлежат финансовым учреждениям США, а гонконгские фишеры становятся все более агрессивными. Апрельский рейтинг фишерских мишеней от RSA устойчиво возглавляют США, второе место с начала 2007 года занимают английские финансовые структуры (10% от общего количества по всему миру). Число брэндов, использованных в апреле в фишерских схемах, сократилось, что позволяет говорить о случайном характере увеличения этого показателя, отраженного в мартовском отчете RSA. Число фишерских атак, проводимых с территории США, продолжает уменьшаться; в апреле на долю американских фишеров, по данным RSA, приходилось 46% от общего количества атак (в марте этот показатель составил 55%, в феврале - 74%). Специалисты RSA особо отмечают активизацию фишерских атак, проводимых с территории азиатских государств. Доля Гонконга в глобальном фишинге за последние два месяца резко увеличилась и составляет 15% (2 место), в ведущую "пятерку", помимо Германии, теперь входят также Южная Корея (8%) и Китай (6%), а Россия покинула этот непочетный список. Источник: vnunet.com "Лаборатория Касперского" предупреждает о фишинговой атаке на платежную систему Яндекс.Деньги 16.05.2007 "Лаборатория Касперского", ведущий разработчик систем защиты от вирусов, хакерских атак и спама, сообщает, что в ночь с 15 на 16 мая спам-аналитиками компании была зафиксирована фишинговая атака на пользователей электронной платежной системы Яндекс.Деньги. Злоумышленники рассылали по почтовым адресам российского Интернета сообщение, якобы направленное от администрации системы Яндекс.Деньги. Текст сообщения гласит: "Уважаемый пользователь, Согласно пункту 4.6.2.5. Соглашения об использовании Системы "Яндекс.Деньги" , Ваш счет заблокирован. Необходима реактивация счета в системе. Для реакцивации проследуйте по линку: {LINK} Либо свяжитесь с одним из наших операторов: .... " Интернет-адрес, приведенный в сообщении, ведет на сайт мошенников yanclex.ru (по данным специалистов "Лаборатории Касперского", домен был зарегистрирован всего несколько дней назад). Для того, чтобы ввести пользователя в заблуждение, фишеры не просто сочинили текст от имени администрации платежной системы, но и использовали нехитрый прием: зарегистрировали домен, написание которого визуально похоже на написание yandex. Сочетание латинских букв c и l при беглом и невнимательном прочтении можно легко принять за букву d. Цель этой рассылки стандартна для фишинговой атаки: обманным путем вынудить пользователя раскрыть персональную информацию. Таким образом, фишеры могут получить доступ к личным счетам обманутых пользователей. "Лаборатория Касперского" напоминает о необходимости сохранять бдительность при получении писем с запросами конфиденциальной информации, которые во многих случаях исходят от злоумышленников. Источник: "Лаборатория Касперского" Спам - статистика за период 30 апреля - 13 мая 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Несмотря на праздничные дни, ни количества спама в общем почтовом потоке, ни его тематические особенности в первые две недели мая не претерпели серьезных изменений. Средний объем спама составил 73,9%. Тематическое распределение спама оставалось стабильным. В начале мая единственным серьезным изменением оказалось увеличение доли спама, посвященного рекламе услуг по электронной рекламе (+10%), однако уже на следующей неделе доля спама данной тематики в общем объеме спама уменьшилась на 6,9%. Продолжает увеличиваться количество предложений по летнему отдыху и путешествиям. К сезонному спаму можно также отнести рекламу специфических летних товаров. Увеличилось и количество рекламы, посвященной кондиционерам. Несколько необычно смотрится спам-предложение по участию в Бородинском сражении, которое, как пишут авторы письма, будет повторено для любителей отдыха с историческим уклоном в конце мая. Как правило, традиционный подмосковный праздник, в ходе которого моделируется Бородинское сражение, проходит в начале осени, на годовщину этого события. (Пример такого письма приведен ниже.) Популярные тематики No Тематика Описание Доля тематики 30.04 - 06.05 Доля тематики 07.05 - 13.05 1 Другие товары и услуги Предложения других товаров и услуг 24,3% 22,6% 2 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 15,2% 18,4% 3 Образование Реклама семинаров, тренингов, курсов 7,0% 12,0% 4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 11,1% 11,4% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 7,9% 10,6% 6 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 10,0% 8,2% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 14,1% 7,2% 8 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 4,7% 2,9% 9 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% Менее 2% 10 Остальной спам   2,6% 2,4% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% Менее 2% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% Менее 2% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005