Электронный журнал "Спамтест" No. 192 в этом номере: Новости Спам - статистика за период 04 - 10 июня 2007 г. Роберт Солоуэй: профиль спамера Новости От целевых атак спамеров страдают предприятия малого и среднего бизнеса 07.06.2007 По данным отчета MessageLabs, в мае участились случаи агрессивных спамерских атак против отдельных доменов с целью "продавить" спам через защитные фильтры, работающие на основе сигнатурного анализа. Анализ майской статистики подтвердил также тенденцию к размещению графического спама на легитимных веб-сайтах с включением соответствующих ссылок в спамовые сообщения. Согласно отчету MessageLabs, объемы спама в мае несколько уменьшились по сравнению с предыдущим месяцем и составили 72,7% от общего объема почтового трафика. Уровень графического спама в традиционном оформлении был невысоким - 15-20% от общего количества спама. Основной мишенью спамеров по-прежнему остается Израиль, на долю которого в мае приходилось 61,6% спамерских атак. По оценке MessageLabs, сильнее прочих страдал от спама сельскохозяйственный сектор (63,1% атак), в котором уровень спама поднялся на 8,1%. "Штыковые" атаки спамеров направлены против отдельных доменов и по эффекту сходны с DDoS-атаками, нарушая работу почтовых серверов. От этих целенаправленных атак особенно страдают предприятия малого и среднего бизнеса, в которых антиспам-защита ограничивается, как правило, выработкой и анализом сигнатур и не справляется с подобным натиском. Специалисты MessageLabs зафиксировали одну "штыковую" атаку, когда всего за 11 часов на почтовые ящики небольшой компании поступило более 10000 спамовых сообщений, то есть три четверти всей входящей корреспонденции составлял спам. Еще одна компания со штатом в 200 человек и суточным объемом входящего трафика в 730 писем подверглась серии целевых атак спамеров, получая в сутки по несколько миллионов сообщений, рассылаемых методом подбора адресов по словарю. Анализ майской статистики MessageLabs показал, что спамеры продолжают осваивать новый метод доставки графического спама адресатам в обход традиционных технологий антиспам-защиты. Спам-реклама в графическом формате размещается на легитимных общедоступных хостингах, не требующих регистрации или валидации источника поста, а спамовые HTML-сообщения снабжаются ссылками на релевантные страницы, автоматически загружая спамовое изображение в почтовый клиент при открытии письма. Авторство этой инновации исследователи MessageLabs приписывают группе, недавно организовавшей рассылку "биржевого" спама на немецком языке, захостив при этом рекламную графику на веб-сайте ImageShack. По оценке MessageLabs, в мае возросло число фишерских и вирусных атак в электронном почтовом сервисе, причем доля фишинга в общем объеме вредоносных атак удвоилась и составила 78,9 %. Фиишинговым было одно письмо из 156,3, вредоносным - одно из 118,2. Увеличивается количество целевых атак: специалисты MessageLabs выявили небольшой ботнет на 500 зомби-компьютеров, который вел прицельный огонь по одной-единственной мишени, отправив почти четверть миллиона спам-сообщений, начиненных 10000 вирусов в 55 вариантах. Хотя число разновидностей спамовых писем, используемых в криминальных атаках, сократилось с 716 в марте до 595 в мае, участились атаки с использованием уязвимостей Microsoft Office - с 80% до 95% от общего количества атак за тот же период. Вектором 64% атак является Microsoft Word, 17% - Microsoft Excel и 14% - Microsoft PowerPoint. В качестве новой приманки киберзлоумышленники предлагают потенциальным жертвам скачать средства переформатирования документов Office 2003 в Office 2007. Источник: MessageLabs Москва - третий город-спамер мира 07.06.2007 По оценке компании Network Box Ltd. (NBL), специализирующейся на унифицированных средствах сетевой безопасности, Москва в мае заняла третье место во всемирном рейтинге городов-спамеров. Согласно статистике Network Box, среди городов-источников спама восьмой месяц лидирует Пекин, доля которого в мае незначительно увеличилась и составила 11,29% (более 440000 спамовых писем). Второе место занимает Сеул - 4,64%, третье - Москва (4,00%), далее следуют Варшава и Милан, разославшие вдвое меньше спама. По данным Network Box, Пекин также лидирует по хостингу вредоносного ПО: в мае количество разосланных из столицы Китая вирусов увеличилось почти на 15%, его доля в общем объеме составила 21,04%. Подобную ситуацию в Пекине специалисты Network Box объясняют наличием большого количества инфицированных компьютеров, которые оснащены нелицензионными копиями Windows, не имеющими возможности обновления. Второе место по рассылке вирусов занимает лидер прошлого месяца Куала Лумпур (5,33%), на третьей позиции - Мадрид (4,19%), ниже Рим и Сеул. Источник: www.itrportal.com Спамеры атакуют любителей чужой SMS-переписки 08.06.2007 "Лаборатория Касперского", ведущий разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении спамовых вредоносных рассылок, в которых используется новый метод социальной инженерии. Данные рассылки были зафиксированы специалистами компании в российском секторе Интернета. Текст и ссылка в них варьируется, но суть предложения неизменна: получателям предлагается бесплатно скачать демоверсию программы, якобы способной скачивать личные SMS-сообщения с чужих мобильных телефонов. В действительности никакой программы, считывающей чужие SMS-сообщения, по указанному адресу не существует - при открытии ссылки на компьютеры пользователей пытается загрузиться троянская программа удаленного администрирования Backdoor.Win32.IRCBot.abc, позволяющая злоумышленникам получить контроль над зараженным компьютером. Вирусописатели и спамеры активно используют методы социальной инженерии при рассылке писем с тем, чтобы спровоцировать их получателей открыть вложение или зайти на предложенный сайт. Традиционно злоумышленники эксплуатируют интерес пользователей к известным персонам, новостям о скандальных событиях, завлекают якобы случайной победой в розыгрыше или лотерее. В данном случае спамеры использовали новую уловку, решив сыграть на человеческом любопытстве и желании некоторых пользователей заглянуть в чужую частную жизнь. Специалисты "Лаборатории Касперского" не исключают возможности повторения подобных рассылок и в очередной раз напоминают пользователям об осторожности, которою следует проявлять при получении писем со ссылками и вложенными файлами от неизвестных отправителей. Первые варианты данной троянской программы были добавлены в антивирусные базы "Лаборатории Касперского" в апреле 2007 года. Вредоносная программа также детектируется модулем проактивной защиты Антивируса Касперского и Kaspersky Internet Security 6.0. Источник: "Лаборатория Касперского" CertifiedEmail завоевывает новые позиции 09.06.2007 Четыре крупных американских интернет-провайдера открыли платный сервис гарантирванной доставки CertifiedEmail. Теперь эти провайдеры будут доставлять пользователям рассылки солидных компаний-клиентов в обход спам-фильтров. Сервис CertifiedEmail (Сертифицированная электронная почта) отныне предлагают провайдеры Comcast, Cox Communications, Time Warner Cable's Road Runner и Verizon. Услуги сервиса адресованы солидным компаниям, заинтересованным в том, чтобы их легитимные рассылки гарантированно доходили до получателей и не вызывали у последних сомнений в подлинности отправителя. Речь идет прежде всего о банках, компаниях, занимающихся торговлей в Сети, и других организациях, специфика деятельности которых требует больших объемов рассылаемой легитимной корреспонденции. Проверкой репутации таких компаний и составлением белых списков занимается компания Goodmail, разработавшая CertifiedEmail и получающая 50% приносимой им прибыли. Goodmail оценивает компанию-претендента по нескольким параметрам: как долго компания существует на рынке (срок не должен быть менее одного года), какова ее кредитоспособность, сколько у нее сотрудников, нет ли на компанию нареканий за ее рассылки в прошлом и т.д. Письма, рассылаемые компанией из белого списка Goodmail, снабжаются криптографической цифровой меткой, уникальной для каждой рассылки. Эту метку распознает ПО на стороне получателя. Прошедшие проверку на подлинность отправителя легитимные сообщения помечаются специальной голубой иконкой и беспрепятственно доставляются получателям - в обход спам-фильтров. Гарантированная доставка одного письма с голубой "маркой подлинности" обойдется компаниям в 25 центов. Бесплатные массовые рассылки по-прежнему возможны, однако они будут проходить стандартным путем - через спам-фильтры. Сервис CertifiedEmail начал свою работу в мае прошлого года, когда соответствующие услуги начали предоставлять AOL и Yahoo!. Зимой 2006 года объявление крупнейших провайдеров США о планах по открытию нового сервиса вызвало бурное обсуждение и бурю протестов в Сети. Компания AOL удостоилась особого внимания со стороны недовольных, создавших коалицию противников платного сервиса и специальный сайт, где были опубликованы аргументы протестующих. Особую тревогу платный сервис вызвал у некоммерческих организаций, которые, в конце концов, добились от AOL заявления, что они смогут пользоватся услугами сервиса бесплатно. В отличие от AOL, четыре провайдера, открывшие на днях сервис CertifiedEmail, будут взимать плату с некоммерческих организаций, которая, впрочем, составит лишь десятую часть стандартной стоимости услуги. По данным Goodmail, в настоящее время CertifiedEmail используют семь американских интернет-провайдеров, обслуживающих около 60% населения страны. Источник: YAHOO! News DDoS-атака на антиспамерские организации 09.07.2007 По сообщению Internet Storm Center (ISC), в ночь на 8 июня несколько антиспамерских организаций, в числе которых оказались Spamhaus, SURBL (Spam URI Realtime Blocklists) и URIBL (Realtime URI Blacklist), подверглись "довольно серьезной" DDoS-атаке, в результате которой на некоторое время были заблокированы их сайты. Эта DDoS-атака напомнила специалистам прошлогоднюю историю с компанией BlueSecurity, которая в результате массированной DDoS-атаки была вынуждена закрыть свой антиспамовый сервис Blue Frog. DDoS-атака со стороны спамеров, с одной стороны, является серьезным напоминанием о том, что они располагают грозным оружием, способным вывести из строя антиспамовые сервисы. С другой стороны, по словам представителя ISC, есть в произошедшем и положительная сторона: из того, что спамеры предпочли тратить свои ресурсы не на рассылку спама, а на борьбу с антиспамовыми организациями, следует, что деятельность последних "довела спамеров до отчаяния". Spamhaus не в первый раз подвергается атакам со стороны недовольных спамеров. На сайте этой организации есть даже специальная страничка, посвященная типичным видам спамерских атак, направленных на то, чтобы помешать ее активности. Помимо DDoS-атак, у спамеров популярны рассылки спама от имени Spamhaus: таким образом они рассчитывают вызвать поток жалоб на Spamhaus со стороны пользователей и подорвать авторитет организации. Источник: eWeek Фишеру, атаковавшему пользователей AOL, вынесен приговор 14.07.2007 Вынесен окончательный приговор виновному в нарушении закона CAN-SPAM Act Джеффри Гудину (Jeffrey Goodin). Отсутствие предыдущих судимостей у фишера, похищавшего и использовавшего в своих интересах персональные данные пользователей AOL, послужило основанием для уменьшения срока его тюремного заключения до неполных 6 лет. Со взломанных аккаунтов Гудин рассылал тысячи мошеннических писем клиентам AOL от имени учетного отдела этого сервиса с просьбой обновить их персональную информацию, снабжая фальшивки ссылкой на поддельный веб-сайт, созданный им для сбора номеров кредитных карт. Похищенная таким образом информация использовалась фишером для осуществления несанкционированных закупок в Интернете. Помимо нарушения федерального антиспам-законодательства, Гудину вменялось в вину также использование проводной связи в мошеннических целях, хищение более 15 кредитных карт и их неавторизованное использование, незаконное использование брэнда AOL, попытки запугивания свидетелей и неявка в суд - суммарно 10 пунктов. Обвинение представило в суде свидетельства 15 жертв махинаций фишера, хотя фактическое число потерпевших значительно превышает эту цифру. Суд принял во внимание отсутствие криминального прошлого у Джеффри Гудина, которому грозил максимальный срок тюремного заключения - 101 год. Фишер проведет под стражей 5 лет и 10 месяцев и начнет отбывать срок сразу же по вынесении приговора. Источник: InformationWeek Спам - статистика за период 04 - 10 июня 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама На прошедшей неделе средний объем спама составил 71%. Тематическое распределение спама претерпело серьезные изменения в рубриках "Медикаменты; товары/услуги для здоровья" (доля в общем потоке спама увеличилась больше, чем на 9%) и "Образование" (доля увеличилась на 4%). Продолжает уменьшаться доля рассылок, посвященных личным финансам. Доля рассылок, посвященных туризму и отдыху, осталась прежней. Большинство рассылок этой тематики рекламировало отдых и путешествия на так называемые "июньские праздники" - длинные выходные, включающие 12 июня. Прошедшая неделя была охарактеризована целым рядом разных рассылок, посвященных техническим новинкам. Так, одной из многочисленных рассылок этой недели стала русскоязычная рассылка, посвященная часам, совмещенным с плеером. В другой рассылке спамеры предлагали приобрести MP3 проигрыватель для автомобиля и беспроводную видеокамеру. Своеобразную новинку продемонстрировали на прошедшей неделе и спамеры: спам-аналитиками "Лаборатории Касперского" были зафиксированы спамовые письма, в которых получателям предлагалось бесплатно скачать демоверсию программы, якобы способной скачивать личные SMS-сообщения с чужих мобильных телефонов. Однако любителей чужих SMS ждал неприятный сюрприз: при открытии ссылки на компьютеры пользователей пыталась загрузиться троянская программа удаленного администрирования Backdoor.Win32.IRCBot.abc, позволяющая злоумышленникам получить контроль над зараженным компьютером. Среди любопытных рассылок недели спам-аналитики отметили русскоязычную рассылку с предложением изготовить к праздникам фонарики любых размеров и форм. А вот типичным предложением подарков в англоязычных спам-рассылках по-прежнему остаются копии дорогих часов. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 24,0% +9,4% 2 Другие товары и услуги Предложения других товаров и услуг 23,6% -2,6% 3 Образование Реклама семинаров, тренингов, курсов 16,8% +4,2% 4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 8,9% -1,0% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 8,6% Без изменений 6 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 5,6% -1,6% 7 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 4,1% -1,8% 8 Остальной спам   3,9% +1,2% 9 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 2,2% -0,3% 10 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -2,7% 11 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -2,7% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% +0,5% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Роберт Солоуэй: профиль спамера Арест очередного "Короля спама" Роберта Солоуэя (Robert Soloway) вызвал столь бурное ликование в прессе, что экспертам пришлось вносить ясность и охлаждать горячие головы оптимистов, ожидавших чуть ли не падения уровня спама в почте после заключения под стражу "одного из самых плодовитых спамеров мира". "Послужной список" Солоуэя и впрямь выглядит весьма внушительно, а ФБР, отделу криминальных расследований налоговой службы США (IRS-CI), службе почтовой инспекции США и оперативному отделу по борьбе с хакерством и хищением интеллектуальной собственности (Computer Hacking and Intellectual Property, CHIP) в ходе годового совместного расследования удалось выяснить некоторые любопытные подробности его противозаконной деятельности. Солоуэй открыл собственное "дело", компанию Newport Internet Marketing (NIM), в 1996 году, когда ему было 16 лет, и с той поры оказание спамерских услуг и продажа инструментария для рассылки спама являются его единственным занятием, если не считать деятельность по рассылке бесчисленной нелегитимной рекламы собственного бизнеса. Как спамер Солоуэй впервые "засветился" в SBL-списках Spamhaus в 2001 году, а в 2003 году был занесен в списки ROKSO. В 2005 году Солоуэй проиграл по гражданскому иску Microsoft 7 миллионов долларов, затем 10 миллионов - интернет-провайдеру из Оклахомы и: продолжал заниматься своим криминальным бизнесом, не заплатив ни цента. По экспертным оценкам, за неполные четыре года активной спамерской деятельности Солоуэй "заработал" 1,6 миллионов долларов, разместив их на 16 разных счетах (четыре из которых в настоящее время заморожены властями). Часть этих доходов была им получена от сбыта программ для рассылки спама, которые он продавал по 149 долларов. Как выявило федеральное расследование, у Солоуэя существовала также небольшая сеть субподрядчиков. Рекламируя свой сервис, спамер-предприниматель заявлял, что за 495 долларов осуществляет рекламные рассылки с производительностью 20 миллионов электронных сообщений за 15 дней. Следователи полагают, что Солоуэй только с трех своих серверов за несколько месяцев разослал 200 миллионов спамовых писем по 80000 адресам. Для рассылки он использовал программу Dark Mailer, позволяющую подключаться к ботнету и рассылать спам практически анонимно. Чтобы замести следы, Солоуэй постоянно обновлял хостинг своего веб-сайта и за время своей "трудовой" карьеры сменил не менее 50 доменов. В материалах расследования был зафиксирован по крайней мере один случай оплаты им чужой кредитной картой доменного имени для хостинга. Многочисленные безвинные жертвы деятельного спамера попадали в "черные списки" и тонули в горах спама. В настоящее время Роберт Солоуэй устойчиво занимает далеко не последнее место среди 135 закоренелых спамеров в базе данных ROKSO, ответственных за 80% спама в Интернете. А по мнению активиста из Spamhaus Винсента Ханны (Vincent Hanna), Солоуэй даже фигурирует в двадцатке мировых лидеров по спаму. Однако, несмотря на свои очевидные "успехи", Солоуэй - не самая крупная птица в спам-бизнесе. Хотя одно время он входил в десятку самых злостных спамеров Интернета, список которых регулярно обновляется Spamhaus, его уже давно потеснили другие умельцы. В настоящее время в топ 10 самых злостных спамеров входят четверо россиян, двое украинцев, один из которых этот список возглавляет, израильтянин, австралиец, китаец из Гонконга и один соотечественник Солоуэя. Эксперты полагают, что теперешние лидеры хорошо организованного и структурированного спам-бизнеса лучше "вооружены" и гораздо опаснее, чем Солоуэй. Они располагают мощными ботнетами, которые способны рассылать гораздо большие объемы спама, чем фигурируют в деле Солоуэя, наживаются на миллионных рассылках и распространении вредоносных программ, а когда сильно сердятся, способны организовать DDoS-атаку - на конкурентов либо на антиспамерские организации. Солоуэй в семействе настоящих "королей спама", скорее всего, числится дальним родственником, и его арест не приведет к улучшению ситуации со спамом в целом, - разве что пользователи, чьи адреса фигурировали в его списках рассылок, вздохнут с облегчением. Впрочем, место Солоуэя быстро займут его более удачливые "коллеги". Так что, как сказал один из экспертов, арест Солоуэя имеет не столько практическое, сколько символическое значение и напомнит спамерам, что их противозаконный карьерный рост может внезапно прерваться самым неприятным для них образом. К сожалению, это суровое послание адресовано спамерам американским - в России ни один серьезный спамер до сих пор не предстал перед судом и не поплатился за свои противозаконные действия даже штрафом. А вот Солоуэя ждет наказание отнюдь не символическое. В США уголовные процессы против спамеров проводятся нечасто, в противовес гражданским делам, оканчивающимся многомиллионными штрафами. Пресса отмечает, что впервые за всю историю антиспамового законодательства в стране спамеру вменяется в вину использование чужих персональных данных (доменных имен) для рассылки нелегитимной рекламы. По американским законам, каждое преступление - мошенничество с использованием средств почтовой, телеграфной связи, отмывание денег - караются тюремным заключением на срок до 20 лет с последующим освобождением под трехлетний надзор. Мошенничество с использованием электронной почты влечет за собой в качестве наказания содержание под стражей до 5 лет и штраф в 250000 долларов. Солоуэею предъявлено обвинение из пяти пунктов по статье "хищение персональных данных при отягчающих обстоятельствах" в целях мошенничества на электронном почтовом сервисе. Если его вина будет доказана, ответчика ждет "надбавка" в 2 года к любому назначенному по этой статье сроку тюремного заключения. По всем 35 пунктам выдвинутого против него обвинения Солоуэй виновным себя не признал. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005