Электронный журнал "Спамтест" No. 193 в этом номере: Новости Спам - статистика за период 11 - 17 июня 2007 г. Спам в мае 2007 Новости За рассылку спама пользователям AOL спамеру грозит 11 лет тюрьмы 15.06.2007 26-летний житель Нью-Йорка признался в проведении нелегитимной рассылки по адресам более 1,2 миллиона пользователей AOL. Спамеру грозит тюремное заключение на срок 11 лет и штраф в 250000 долларов. Адам Вайтале (Adam Vitale) был обвинен федеральным судом Манхэттена в нарушении закона CAN-SPAM Act. В августе 2005 года нью-йоркский спамер и его сообщник Тодд Мёллер (Todd Moeller) заключили контракт на массовую рассылку нелегитимной рекламы программного продукта. Заказчиком оказался агент, работавший под прикрытием, который пообещал исполнителям половину прибыли от продаж, произведенных с помощью спамерской рассылки. Менее чем за неделю заказная спам-реклама разошлась по 1277000 адресам сервиса AOL, после чего карьера спамеров потерпела фиаско. Во время переговоров с "подсадным" агентом Вайтале и Мёллер активно рекламировали свои способности по обходу спам-фильтров сервиса AOL с соблюдением анонимности источника массовой рассылки. Мёллер поведал, что располагает парком в 40 серверов и ежемесячно зарабатывает на "биржевом" спаме около 40000 долларов. Для осуществления августовской спам-рассылки подельники использовали несколько релеев и традиционно искажали заголовки писем во избежание обнаружения. Окончательный приговор по делу Вайтале будет вынесен в сентябре. Против Мёллера выдвинуты аналогичные обвинения, но свою вину он пока не признал. Источник: Reuters Contactify: бесплатный сервис оградит от спама и обеспечит приватность 15.06.2007 Английский сервис позволяет отправлять электронные письма на ящик получателя, не раскрывая его почтовый адрес. Бесплатный сервис был создан отчасти как метод борьбы с потоками спама, переполняющего почтовые ящики пользователей, адреса которых "засветились" в онлайн-переписке, на персональных веб-сайтах, в блогах, интернет-форумах, на электронных досках объявлений и в социальных сетях. Contactify предоставляет доступ к персональной контактной форме через анонимную ссылку. Создав на сервисе ссылку на персональную контактную форму, например, http://www.contactify.com/1, пользователь получает электронную корреспонденцию непосредственно на свой почтовый ящик. Если ему все же начинают досаждать непрошеные послания, он просто модифицирует ссылку или удаляет ее и создает новую. Контактная форма Contactify защищена контрольным изображением, предотвращающим ее эксплуатацию ботнетами. Кроме того, для тех, кто хочет разместить контактную форму на своем веб-сайте, сервис предлагает специальный интерфейсный элемент окна (виджет). Сервис Contactify особенно удобен для блоггеров и посетителей веб-сайтов, которые не имеют своей контактной формы. Источник: YAHOO! (PRWEB) Первые успехи ФБР в крестовом походе против ботнетов 18.06.2007 В ходе расследования в рамках национальной инициативы "Operation Bot Roast" (операция "Бот") силами ФБР было выявлено более миллиона IP-адресов инфицированных ПК, контролируемых криминальными элементами. Троим операторам ботнетов уже предъявлены обвинения. Проводя в жизнь акцию "Operation Bot Roast", американские власти объявили войну ботнетам, этой "растущей угрозе национальной безопасности, национальной информационной инфраструктуре и экономике". Инициатива призвана повысить осведомленность интернет-сообщества о серьезности проблемы. По оценкам Symantec, в настоящее время во "всемирной паутине" функционирует более 6 миллионов зомби-компьютеров. Некоторые эксперты склонны верить, что их число уже превысило 13 миллионов. Владельцы инфицированных машин в большинстве случаев даже не подозревают, что их ПК используются для рассылки спама, распространения шпионских программ, хищения персональных данных и проведения DDoS-атак. ФБР совместно со специалистами по компьютерной безопасности, включая Координационный центр CERT при университете Карнеги-Меллон, разрабатывает систему оповещения владельцев зомби-компьютеров о захвате контроля над их машинами, сбора и обработки свидетельств криминальной активности с зараженных машин и восстановления нормальной работоспособности последних. ФБР также предупредило интернет-сообщество о возможности появления фишерских рассылок от его имени в связи с проводимой национальной кампанией. В результате расследования на настоящий момент предъявлены обвинения троим лицам, использовавшим ботнеты в криминальных целях. Роберт Солоуэй (Robert Soloway) рассылал с ботнета десятки миллионов писем с нелегитимной рекламой спамерских услуг и инструментария по рассылке спама. Джеймс Брюэр (James Brewer) оперировал интернациональным ботнетом из десятков тысяч машин, в который входили компьютеры окружных больниц Чикаго, засбоившие в конце 2006 года. В настоящее время Брюэр отпущен под залог в 4500 долларов. Джейсон Майкл Дауни (Jason Michael Downey), по слухам администратор релейной чат-сети Yotta-byte.net, обвинен в проведении в 2004 году 11-недельных DDoS-атак с ботнета и нанесении ущерба на сумму 20000 долларов. По свидетельству специалистов из Trend Micro, составлявшие ботнет компьютеры были инфицированы особо агрессивной версией червя Agobot, он же Phatbot, который весной 2004 года поразил более миллиона ПК. Источник: washingtonpost.com В Китае создан веб-сайт по борьбе со спамом 19.06.04 Китайское интернет-сообщество (Internet Society of China, ISC) учредило веб-сайт www.iscbl.anti-spam.cn, который будет публиковать регулярно обновляемые "черные списки" рассылающих спам серверов и "белые списки" законопослушных провайдеров электронного почтового сервиса. "Черные списки" пока доступны только операторам телесвязи и провайдерам почтового сервиса Интернета. ISC планирует со временем расширить доступ к веб-сайту и открыть его для корпоративных пользователей и общественности, чтобы развернуть широкое наступление на спамеров как внутри страны, так и в международном масштабе. Проведенные ISC опросы показали, что большую часть "мусорной почты" в Китае составляют коммерческая реклама торговых онлайн-сервисов, предложения от бизнес-структур и реклама "товаров для взрослых". Наибольшее возмущение у интернет-сообщества вызывает спам, начиненный вирусами. По данным отдела телекоммуникаций министерства информационной индустрии Китая, благодаря сотрудничеству интернет-сообщества в "черные списки" удалось занести уже более 100000 IP-адресов. ISC также опубликовало 906 IP-адресов, ответственных за рассылку значительного количества спама с марта 2006 по май 2007 года, и потребовало применить надлежащие меры к спамерам до 18 июля. Источник: XINHUA online В Италии арестована фишерская группировка, укравшая полтора миллиона долларов 19.06.2007 За рассылку фишинговых писем клиентам крупнейших итальянских банков в Италии арестовано более 150 человек. Используя похищенные персональные реквизиты, фишеры сняли с банковских счетов около 1250000 евро (более 1500000 долларов). В последние годы атаки фишеров на банки Италии были настолько агрессивными, что их даже обсуждали на телевидении. По отзывам следственных органов, некоторые пользователи банковского онлайн-сервиса ежедневно получали более 30 фишинговых писем. Расследование деятельности данной фишерской группировки велось с мая 2005 года, и только сейчас правоохранительные органы смогли призвать мошенников к ответу. Источник: www.securitylab.ru IBM: 9 из 10 фишерских веб-сайтов собраны из "конструктора" 19.06.2007 Анализ статистики по новым фишерским веб-сайтам, выявленным IBM в начале июня, позволил сделать вывод, что 92% из них созданы с помощью комплектов "сделай сам". За первую неделю июня исследовательская группа IBM X-Force зарегистрировала 3544 новых фишерских веб-сайта. "Улов" был небогат (предыдущие показатели были впятеро выше), но результаты его анализа были несколько неожиданными. 3256 фишерских веб-сайтов оказались созданными с помощью комплектов по типу "сделай сам", не требующих особых усилий или мастерства. Подобные комплекты впервые появились в криминальном обиходе пару лет назад и позволяют "юным фишерам" быстро развернуть созвездие поддельных "зеркальных" сайтов на одном хостинге. Специалистам IBM удалось определить, что все выявленные "шаблонные" фишерские веб-сайты размещены на 100 легитимных доменах, почти половина (44%) из которых зарегистрирована в Гонконге. В то же время остальные 288 новых фишерских веб-сайтов ("ручной работы") хостились на 276 зарегистрированных доменах. Таким образом, считает эксперт IBM по фишингу Гюнтер Ольманн (Gunter Ollmann), безудержный рост числа фишерских веб-сайтов, фиксируемый в последних отчетах специалистов по сетевой безопасности, объясняется использованием фишерами готовых комплектов для создания веб-сайтов. Данные проведенного анализа позволяют заключить, что, хотя проблема фишинга становится все более настоятельной, реальную угрозу представляют используемые фишерами хостинги, число которых несравнимо меньше количества выявляемых фишерских веб-сайтов. Источник: www.darkreading.com В Голландии арестованы 111 африканцев, подозреваемых в "нигерийском" мошенничестве 19.06.2007 В ходе расследования в рамках национальной операции "Аполло" полиция Амстердама арестовала более ста выходцев из Западной Африки (в основном, из Нигерии) за незаконное пребывание на территории Нидерландов. Нелегалы подозреваются в причастности к рассылке "нигерийских" писем в электронном почтовом сервисе. У восьмерых подозреваемых были обнаружены фальшивые документы, что стало основанием для возбуждения судебного преследования. Остальные задержаны до выяснения степени их причастности к деятельности "нигерийских" группировок на территории страны. Операция "Аполло" стартовала в октябре 2006 года и имеет целью выявление и нейтрализацию интернет-мошенников, работающих по "нигерийской" схеме. За прошедшие месяцы голландской полиции удалось арестовать 80 подозреваемых (большинство из них - жители Нигерии), у которых обнаружены списки электронных адресов и подложные документы. По оценке полиции, на территории страны действуют более 2000 "нигерийских" мошенников. Источник: YAHOO! В ICQ появился хакер-провокатор 20.06.2007 "Лаборатория Касперского", ведущий разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении вредоносных спам-рассылок через систему обмена мгновенными сообщениями, в которых используется новый метод социальной инженерии. На днях многие пользователи программ обмена мгновенными сообщениями ICQ получили письмо следующего содержания: Здравствуйте я собираю народ для проведении Ддос атаки на Российские сайты сайты если вы желаете мне помочь вот я выложу программу http://XXX. su/load/0-0-0-1-20 для проведения ддос атак! Программа может палиться антивирусом если вы хотите помоч скачайте и свяжитесь я скажу как ее настроить заранее спасибо! В действительности никаких DDoS-атак автор рассылок не планировал - по указанной ссылке специалисты "Лаборатории Касперского" обнаружили троянскую программу Trojan-PSW.Win32.LdPinch.bgj. Данный троянец предназначен для кражи всевозможных паролей с зараженных ПК и их отправки через Интернет. После запуска программа собирает конфиденциальные сведения (логины и пароли доступа к электронной почте, ICQ и другим интернет-службам) и впоследствии сама себя удаляет. Особенность данной спам-рассылки заключается прежде всего в ее провокационном характере - хакер предлагает получателям принять участие в противозаконных действиях. В результате, человек, который поддался на эту провокацию и решил "внести свой вклад" в DDoS-атаку на российские сайты, сам становится жертвой злоумышленника. По мнению вирусных аналитиков "Лаборатории Касперского", предупреждение о возможности обнаружения загружаемой программы антивирусом предназначено для того, чтобы недальновидный пользователь сам отключил систему защиты своего ПК. Примечательно, что первый вариант Trojan-PSW.Win32.LdPinch обнаружил еще летом 2003 года руководитель антивирусных исследований компании Евгений Касперский. До сих пор "Лаборатория Касперского" ежедневно детектирует 3-5 его новых версий. Такое количество модификаций вирусные аналитики объясняют тем, что исходный код данной программы некогда попал в Интернет. Семейство Trojan-PSW.Win32.LdPinch далеко не в первый раз распространяется через массовые рассылки - при этом каждый раз используются новые методы социальной инженерии. Источник: "Лаборатория Касперского" Спам - статистика за период 11 - 17 июня 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама На прошедшей неделе средний объем спама составил 73,1%. Тематическое распределение спама на прошедшей неделе показало относительную стабильность почти во всех тематических рубриках, за исключением рубрики "Услуги по электронной рекламе". В течение мая доля спама этой тематики постепенно снижалась и в последние недели месяца составляла около 2%. На прошедшей неделе эта доля увеличилась почти на 6% и достигла 8% от общего потока спама. По-прежнему основная доля спам-рассылок приходится на рубрику "Медикаменты, товары для здоровья". Как мы уже отмечали, в последние недели, кроме привычных англоязычных писем, рекламирующих виагру и антидепрессанты, в почтовых потоках в немалых количествах присутствуют русскоязычные письма, рекламирующие услуги для здоровья. На этой неделе в их число, кроме уже привычных фитнесс-курсов и рекламы стоматологических клиник, вошли рассылки, посвященные массажным очкам и пособию по отказу от курения. Развивается в спаме и летняя тема. Одним из наиболее рекламируемых в спаме товаров прошедшей недели стали кондиционеры. Из необычного спама недели можно отметить две англоязычные рассылки: одна из них рекламировала художественную студию, предлагающую услуги по написанию картин маслом, другая - услуги по вычитке специализированных (в том числе научных) работ на английском языке. Компания предлагает услуги носителей английского языка, "чтобы Вы были уверены, что Ваша работа написана на превосходном английском языке". Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 24,0% +0,4% 2 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 21,3% -2,7% 3 Образование Реклама семинаров, тренингов, курсов 15,5% -1,3% 4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 8,0% -0,9% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 8,0% -0,6% 6 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 8,0% +5,8% 7 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 7,1% +1,5% 8 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 2,9% -1,2% 9 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 2,5% +1,4% 10 Остальной спам   Менее 2% -2,1% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -0,4% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% +0,2% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Спам в мае 2007 Анна Власова, "Лаборатория Касперского" Особенности месяца Доля спама: 70-80% от всей почты. Спам-лидер месяца: виагра и компания. Растет количество спам-предложений поездок и путешествий (+ 4,7% по сравнению с апрелем). Спамерская реклама акций продолжает идти на убыль (- 2,3% по сравнению с апрелем). Ряд атак на платежную систему Яндекс.Деньги. Технические новинки: графические файлы не вкладываются в сообщение, а подгружаются по ссылке в теле сообщения. Доля спама в почте Доля спама в мае составила 70 - 80% от общего объема почты в Рунете. Резкие колебания не были отмечены. Максимальное значение доли спама было зафикисровано 28 мая, это 86,0%, минимальное - 21 мая, 65,4%. Тематический состав спама Распределение тематик спама в Рунете в мае 2007: "Медикаменты; товары и услуги для здоровья" - 18,2% "Образование" - 10,6% "Компьютеры и Интернет" - 10,4% "Компьютерное мошенничество" - 8,9% "Отдых и путешествия" - 8,6% "Услуги по электронной рекламе" - 7,7% "Личные финансы" - 3,9% "Недвижимость" - 3,4% "Юридические услуги и аудит" - 2,4% "Полиграфия" - 1,9% "Спам "для взрослых"" - 0,7% "Другие товары и услуги" - 23,3% Вопросы здоровья и здорового образа жизни как всегда занимают умы людей, о чем прекрасно знают спамеры. Как и в прошлом месяце, первое место в долевом распределении тематик спама заняла тематика "Медикаменты; товары и услуги для здоровья". Это не только предложения медицинских и оздоровительных услуг, но и активная реклама виагры и сходных препаратов: В мае уменьшились доли спама тематик "Услуги по электронной рекламе" и "Компьютерное мошенничество", которые в апреле занимали третье местов списке лидеров. Продолжилось сокращение доли спама тематики "Личные финансы". Постепенный спад такого спама наблюдался практически с начала года. В конце мая доля рассылок подобного типа достигла рекордно низких показателей (2,1% от всего спама в последнюю неделю мая). Тематика "Отдых и путешествия", напротив, продемонстрировала рост в почтовом трафике Рунета. Это типичные русскоязычные предложения, ориентированные, прежде всего, на жителей России. Конец весны и лето - сезон отпусков и школьных каникул. Небольшие российские туристические фирмы не брезгуют спамом как рекламным инструментом и заваливают пользователей своими предложениями. Кроме стандартных туристических предложений появились и более изощренные. Например, одна из спам-рассылок предлагала не просто отдохнуть за границей, но и отпраздновать свадьбу. Криминализация спама В мае был зафиксирован ряд атак на платежную систему Яндекс.Деньги. "Лаборатория Касперского" сообщала об одной из первых таких атак 16 мая. Цель атак была вполне стандартной: убедить пользователя ввести персональные данные в форму на фишинговом сайте и получить таким образом доступ к аккаунтам в платежной системе. Те из пользователей, кто не распознал мошенничество, лишились своих платежных средств. Технические особенности спама Сохраняется тенденция к уменьшению количества спама с графическими вложениями. В мае доля этого вида спама составила 19,3% (в апреле такой спам составлял 23%, и в марте - 25,7%). Падение доли спама с графическими вложениями отнюдь не означает, что спамеры отказались от использования "картинок" в спаме. Поскольку многие фильтры уже неплохо работают с вложенными графическими файлами и успешно останавливают спам такого типа, спамеры активно ищут новые пути доставки графической информации. В мае спамеры опробовали новый метод доставки пользователю "картинки". Теперь спамеры размещают исходных графические файлы на специализированных хостингах (например, активно эксплуатировались imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com). Когда получатель сообщения открывает письмо, изображение подгружается с сайта. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005