Электронный журнал "Спамтест" No. 195 в этом номере: Новости Спам - статистика за период 25 июня - 01 июля 2007 г. Искусство искушения спамом Новости Не загружайте патч MS07-0065! 29.06.2007 В последнюю неделю июня специалистами по компьютерной безопасности зафиксирована массовая спам-рассылка, замаскированная под уведомление от Microsoft об уязвимости "нулевого дня". Вредоносные сообщения предлагают скачать патч и загружают на машину жертвы бэкдор. Заголовок поддельного извещения от имени update@microsoft.com гласит: "Microsoft Security Bulletin MS07-0065-- Critical Update". Получатель уведомляется, что в почтовом клиенте Outlook якобы обнаружена критическая уязвимость, которая позволяет захватить полный контроль над компьютером и приобщить его к ботнету, рассылающему спам-рекламу контрафактных медикаментов. Потенциальной жертве предлагается в неотложном порядке скачать патч с веб-сайта Microsoft, пользуясь указанной в письме ссылкой. На самом же деле загружаемый по ссылке файл инсталлирует троянца. По экспертному мнению, инициаторы подобных рассылок эксплуатируют стремление интернет-сообщества обезопасить себя в условиях роста компьютерных угроз. Вредоносные письма снабжены логотипами Microsoft и Windows и персонифицированы: в заголовках указано полное имя адресата, а в отдельных случаях - название компании, в которой он/она работает. Лжесотрудники службы техподдержки Microsoft осведомлены о том, что адресат использует лицензионное ПО и подписан на рассылку Microsoft Windows Update, и указывают даже лицензионный ключ его системы, хотя и в не свойственном ХР и Outlook формате. Получателям данных подделок стоит также обратить внимание на ошибки в правописании и вспомнить, что Microsoft не рассылает уведомления и патчи по электронной почте. Кроме того, номер последнего бюллетеня Microsoft MS07-035, а до -065 (и уж тем более -0065) нумерация пока не дошла. Целевая вредоносная рассылка от имени Microsoft, по мнению специалистов Шторм-центра SANS, направлена против ИТ-персонала высших звеньев и разошлась по большому количеству адресов. Число жертв злоумышленников пока неизвестно. Исследователи SANS зарегистрировали по крайней мере четыре отдельных вредоносных URL, задействованных в данной рассылке. Источник: InformationWeek Новая атака "штормового" троянца - следствие спамерской конкуренции 02.06.2007 Последняя неделя июня ознаменовалась вредоносной спам-рассылкой, в которой письма представляли собой уведомления о получении поздравительных открыток. При открытии пользователем содержащейся в таком послании ссылки происходила загрузка на его компьютер новой модификации "штормового" троянца, приобщающего инфицированные машины к армии ботнетов, рассылающих спам. Спамерские "поздравления", озаглавленные "You've received a postcard from a family member!" ("Открытка от ваших близких"), загружали в систему получателя downloader через JavaScript. Если JavaScript на пользовательском ПК был заблокирован, получателю предлагалось самому загрузить троянца, скопировав адрес "открытки" в окно браузера. Однако вместо обещанного поздравления по ссылке открывалось уведомление о тестовом прогоне некоей "новинки", требующей для просмотра "открытки" загрузки файла "ecard.exe" По оценке специалистов SANS, в данной атаке использовались три разных эксплойта, которые в порядке очередности работали против уязвимостей в QuickTime, WinZip и WebViewFolderIcon. Троянская спам-рассылка отличалась большой агрессивностью. Исследователи AvertLabs регистрировали десятки писем в секунду, а специалисты Symantec за несколько дней заблокировали более 18 миллионов вредоносных посланий с гонконгского домена. Согласно экспертной оценке, новая волна рассылок свидетельствует об очередном обострении борьбы двух крупных спамерских группировок за обладание ботнетами. Видимо, злоумышленникам становится тесно в Сети: исследователи MyNetWatchman наблюдали DDoS-атаку "штормового" троянца на сервер, используемый троянской программой-спамером Srizbi. Последняя с помощью php-комплекта Mpack загружается на машины жертв и удаляет оттуда "чужие" руткиты. Поскольку "штормовой" червь тоже использует руткиты, его "хозяева" выбрали наиболее эффективный способ защиты - нападение. Источник: The Register Фишер украл реквизиты MasterCard персонажа американского сериала 03.07.2007 Мониторинговая служба CardCops зарегистрировала курьезный случай хищения персональной информации: персонажа американского телешоу 60-х годов про семейство Манстеров. Специалисты CardCops считают, что фишера намеренно подставил какой-то фанат этого полузабытого комедийного телесериала. По свидетельству CardCops, реквизиты MasterCard Германа Манстера, франкенштейноподобного вымышленного персонажа из американского телешоу, были выставлены на продажу в одном из фишерских чатов. Адрес владельца кредитной карты точно соответствовал упоминавшемуся на телеэкранах, а в качестве даты рождения указывалось 15 августа 1964 года (комедия вышла в эфир в сентябре 1964 года). Как удалось определить в CardCops, продавцом похищенной информации являлся некий иностранец, называющий себя "Supra", который, видимо, был не знаком с американской массовой культурой. Сотрудники CardCops негласно посещают теневые чаты и предупреждают законных владельцев онлайн-аккаунтов о злоупотреблениях. По данным этой службы, похищенные банковские реквизиты стоят на подпольном рынке от 4 до 40 долларов. Источник: smh.com.au Вина "грязной парочки" доказана 03.07.2007 Федеральный суд присяжных Феникса (штат Аризона) признал Джефри Килбрайда (Jeffrey Kilbride) и Джеймса Шаффера (James Schaffer) виновными по всем восьми пунктам выдвинутого против них обвинения в рассылке нелегитимных писем откровенного содержания и отмывании денег. Порноспамерам грозит до 5 лет тюремного заключения по каждой статье злоупотребления Интернетом и штраф на сумму до 500000 долларов, а также содержание под стражей сроком до 20 лет за финансовые махинации: незаконный бизнес принес злоумышленникам более 2 миллионов долларов. Федеральной торговой комиссией США и почтовым сервисом AOL было зафиксировано более 660000 пользовательских жалоб на спам порнографического характера. В ходе федерального расследования удалось установить, что эти жалобы были вызваны деятельностью группировки Килбрайда и Шаффера, существовавшей с 2003 года. Заказчиками порнорекламы являлись владельцы соответствующих сайтов, платившие спамерам комиссионные с каждого посетителя их ресурсов, привлеченного рекламной акцией. Масштабы спамерской прибыли позволили Spamhaus включить альянс Килбрайда и Шаффера в Top-200 наиболее значительных спамерских организаций. Необходимо отметить, что с целью сохранения инкогнито спамеры действовали весьма изощренно: фальсифицировали информацию в полях "From" ("От") и "Reply to" ("Ответить") рекламных писем, предусмотрительно регистрировали использующиеся для проведения спам-рассылок домены на вымышленное имя. А в 2004 году вступивший в силу американский закон CAN-SPAM Act заставил сообщников с целью маскировки источника "жесткого порно" подключиться к серверам в Амстердаме. Окончательный приговор подельникам будет вынесен 24 сентября. Напомним, что другие члены данной группировки, в том числе "надомница" Дженнифер Клейсон (Jennifer Clason), уже признали свою вину и на процессе свидетельствовали против своих "работодателей". Источник: Usdoj.gov В числе арестованных в Голландии нигерийцев оказался популярный актер 04.07.2007 В Голландии о время недавнего полицейского рейда в рамках операции "Аполло" в числе прочих нигерийцев был задержан популярный комедийный актер Нкем Овох (Nkem Owoh). Член актерской гильдии Нигерии прославился исполнением роли "нигерийского" мошенника в кинофильме "The Master". А песенка его отрицательного героя "I Go Chop Your Dollar" стала гимном "нигерийcких" мошенников и в Нигерии официально запрещена. Во время рейда против нелегальных иммигрантов в Амстердаме Нкем Овох участвовал в музыкальном шоу. Исполнение Обохом песни "нигерийцев" - "I go chop your dollar, I go take your money and disappear, 419 is just a game, you are the loser I am the winner" (я вытрясу из тебя долары, заберу твои деньги и исчезну, мошенничество - всего лишь игра, в которой ты проигравший, а я - победитель) - сопровождалось эффектным появлением полицейских машин и вертолета. Полицейские арестовали практически всех, присутствовавших на шоу. Общественные деятели Амстердама выразили протест против дискриминационных действий полиции, которая воспользовалась развлекательным мероприятием с участием нигерийских актеров для проведения облавы. А группа нигерийских иммигрантов провела акцию протеста перед зданием посольства Нигерии в Нидерландах. Между тем, по данным мониторинговой организации Ultrascan, среди задержанных полицией числятся три лидера "нигерийских" группировок, базирующихся на территории Голландии. Двое из них будут выдворены из страны, третьему удалось избежать карательных санкций благодаря наличию документов, имеющих законную силу. По последним данным, около 70 нигерийцев, задержанных во время музыкального шоу, будут подвергнуты депортации, 12 арестованы как владельцы поддельных или чужих паспортов. Нигерийский "Король комедии" побыл в роли арестованного недолго и уже освобожден. Источник: www.independentngonline.com Спам как инструмент "черного" PR: атака на "Сургутнефтегаз" 05.07.2007 По данным "Лаборатории Касперского", нашумевшая спам-рассылка с ложным "релизом" "Сургутнефтегаза" являлась массовой и проводилась с зомби-компьютеров, расположенных в разных странах мира, на множество адресов Рунета. Напомним, что "пресс-релизы", разосланные в ночь с 3 на 4 июля от имени концерна и полученные многими российскими СМИ, инкриминировали первым лицам компании уклонение от уплаты налогов и сообщали о приостановлении оборота акций "Сургутнефтегаза" на биржах в связи с наложением ареста на часть корпоративных активов. 4 июня пресс-служба ОАО "Сургутнефтегаз" была вынуждена выступить с опровержением информации об аресте генерального директора и председателя совета директоров ОАО "Сургутнефтегаз" - Владимира Богданова и Николая Захарченко. Любопытно, что содержание писем напомнило политологам сообщения, рассылавшиеся в свое время относительно ЮКОСа, Лебедева и Ходорковского. Представители "Сургутнефтегаза" пояснили, что незадолго до рассылки так называемого релиза корпоративный сайт оказался заблокирован в результате массовых некорректных запросов с различных IP-адресов. Злоумышленники осуществили спам-рассылку компрометирующей "Сургутнефтегаз" информации в то время, когда веб-ресурс был недоступен, и опубликовать на нем опровержение не было возможности. Первоначальная интерпритация событий предполагала целевую рассылку по адресам российских СМИ. Однако спам-аналитики "Лаборатории Касперского" не подтвердили целевой характер рассылки: копромат был направлен на множество адресов Рунета (домены .ru и .su), в том числе и на "общие" адреса типа forum@..., info@..., admin@... и даже spam@..., т.е. рассылка была массовая; для ее осуществления использовались бот-сети, включающие компьютеры в разных странах мира. В самом фальшивом релизе логотипы "Сургутнефтегаза" подгружались с одного из южнокорейских сайтов. Таким образом, это была типичная спам-рассылка, и спам-фильтры, например, "Лаборатории Касперского", без запинки классифицировали рассылаемые письма как "спам". С какой целью была проведена эта атака и кем? Анна Власова, руководитель группы спам-аналитиков "Лаборатории Касперского", отмечает, что целенаправленные спам-атаки на конкретную компанию бывают двух видов. Во-первых, когда спам шлют на сервера атакуемой компании, и тем самым тормозят работу почтовых серверов вплоть до серьезных проблем с почтой.Во-вторых, это использование спама как инструмента "черного" PR, когда от имени компании рассылаются поддельные релизы, информация и т.п. Иногда такой спам маскируется под инсайдерскую информацию или личную переписку сотрудников компании или близких к этой сфере людей, "по ошибке" попавшую не к тому пользователю. Такие случаи пока единичные, из наиболее запомнившихся спам-аналитикам - "черные" PR-атаки на "Национальную коалицию против спама" и портал Sostav.ru в 2005 году. По версии "Сургутнефтегаза", рассылка ложной информации являлась попыткой манипулирования фондовыми рынками. Ведь заявление о прекращении операций с акциями неизбежно приводит к соответствующему результату в финансовом секторе. В этом случае хакеры просчитались - никакого влияния на рынки рассылка не оказала. Источник: "Лаборатория Касперского" Источник: ВЗГЛЯД Спам - статистика за период 25 июня - 01 июля 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама На прошедшей неделе средний объем спама составил 76,8%. В тематическом распределении спама на прошедшей неделе произошло несколько значительных скачков по сравнению с прежними показателями. В течение недели 18 - 24 июня доля спама тематики "Личные финансы" резко возросла. По всей видимости, это был единичный всплеск: на прошедшей неделе доля спама данной тематики вернулась на прежний уровень. Несколько уменьшилась и относительная доля спама, посвященного рекламе услуг спамеров. Также заметные, но незначительные колебания произошли в рубриках "Медикаменты, товары/услуги для здоровья", "Компьютеры и Интернет" и "Отдых и путешествия". Наибольшие изменения произошли в рубрике "Другие товары и услуги", доля которой увеличилась на 10,6% и составила около трети всего спама (29,2%). В эту категорию попадает весь спам, который посвящен рекламе товаров и услуг, но не может быть отнесен ни к какой другой выделенной нами тематике. Значительная доля такого спама традиционно посвящена помощи при переездах, логистике и ремонту квартир. К сезонному спаму можно отнести рекламу кондиционеров и средств против клещей. Нередко существенную долю от него составляет реклама услуг переводчиков. На прошедшей неделе большую часть спама, относящегося к категории "Другие товары и услуги", составили письма, посвященные рекламе юридического и бухгалтерского сопровождения. На прошедшей неделе внимание спам-налитиков привлекла рассылка с предложением выслать уже решенные варианты ЕГЭ. Кроме того, обратило на себя внимание количество спама "мистической" тематики: от рекламы книг о "мистической реальности" до уже ставших традиционными предложений решить все проблемы магическим путем. Среди спама, традиционно относимого к рубрике "Остальной спам", в последнее время появляется все больше объявлений о разнообразных вакансиях. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 29,2% +10,6% 2 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 18,8% -2,5% 3 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 10,5% +2,3% 4 Образование Реклама семинаров, тренингов, курсов 10,0% +0,7% 5 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 9,8% +1,2% 6 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 7,2% -3,0% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 4,3% -4,3% 8 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 3,6% +0,6% 9 Остальной спам   2,9% +1,5% 10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -7,3% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -0,4% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% +0,7% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Искусство искушения спамом Татьяна Никитина по материалам eWeek.com Активность киберкриминала обусловлена стремлением к наживе. Действия пользователя, открывающего злонамеренную ссылку, объяснить подчас сложнее. Но никто не застрахован от роковой ошибки, - таков основной лейтмотив исследования используемых спамерами методов социальной инженерии, проведенного McAfee совместно с английскими и американскими психологами. Согласно недавно опубликованному исследованию "Mind Games: A psychological analysis of common e-mail scams" ("Игры ума: Анализ общеизвестных мошеннических схем в электронном почтовом сервисе с точки зрения психологии"), в виртуальности мошенники играют на тех же слабостях рода человеческого, что и в реальном мире. При этом убедительность инициаторов спам-атак в совокупности с ситуационными и личностными факторами завлекает в коварные сети как новичков, так и искушенных пользователей. Коммуникативные возможности Интернета значительно расширили поле деятельности криминальных элементов, равно как и уровень их доходов в случае успеха. По подсчетам McAfee, в том случае, если половина жителей США (около 150 миллионов человек) ежедневно пользуется электронной почтой, половина из них излишне доверчивы, а 1% легковерных (750000 человек) купится на спам-рекламу и в день заплатит за товары/услуги, рекламируемые в спаме, всего по 20 долларов, только в США торговый оборот от этих операций составит 15 миллионов долларов в день, 105 миллионов в неделю и почти 5,5 миллиардов в год! Безусловно, доверчивость - качество человеческой натуры, наиболее ценимое мошенниками. Профессор психологии Калифорнийского университета д-р Джеймс Бласкович (James Blascovich) считает, что поднаторевшие в вычислительной технике молодые люди, как правило, имеют мало опыта в практике ведения бизнеса. С другой стороны, люди старшего поколения, с этим опытом хорошо знакомые, хуже владеют компьютерными навыками и попадают во власть обманчивых иллюзий виртуального мира. Кроме того, отмечается в исследовании, многие склонны полагаться на собственное суждение, не доверяя корректности штатной спам-фильтрации. Пытаясь определить легитимность входящей корреспонденции по заголовкам, сторонники "умственной фильтрации" ленятся даже помечать непрошеную рекламу как спам и просто удаляют ее, вновь и вновь подвергая себя атакам спамеров из одних и тех же источников. Принимая во внимание растущий профессионализм киберкриминала, подобные упражнения в "умственной фильтрации" способны подвести даже искушенных пользователей. Помимо доверчивости, недостатка интеллекта и здравого смысла, как указывают исследователи, существует фактор психологической мотивации, который также усердно эксплуатируется кибермошенниками. Глава школы психологов при Лестерском университете профессор Клайв Холлин (Clive Hollin) называет это принципом "кнута и пряника", доктор Бласкович величает эти процессы более наукообразно: мотив приближения - мотив избегания ("approach and avoidance"). Иными словами, в обмен на сотрудничество спамеры предлагают потенциальным жертвам награду или способ уйти от нежелательных последствий. В качестве примера спамерской приманки-награды исследователи приводят рекламу препаратов для похудания ("no-effort weight loss" - "похудеть без труда") и "биржевой" спам ("can't-miss stock" - "не упустите выгодные акции"). Использование спамерами опасения банковских клиентов за судьбу реквизитов своих онлайн-аккаунтов демонстрирует работу мотивации "избегания". Наконец, пользователь, "клюнувший" на спам-рекламу средств повышения потенции, движим обоими мотивами в совокупности: он стремится получить положительный эффект, не желая обращаться к врачу за рецептом. Исследующие проблему мотивации психологи классифицируют людей по предрасположенности на два релевантных типа. Мотив "приближения" управляет действиями тех, кто стремится преуспеть ("promotion-focused individuals" - "нацеленные на продвижение"). Подобные люди падки на обещания легкой наживы и быстрой карьеры, характерные для "нигерийской" схемы мошенничества. Уйти от неприятностей пытаются члены общества, "нацеленные на избегание" ("prevention-focused"), которые страшатся выпасть из обоймы. Стараясь быть убедительными, спамеры воздействуют на различные человеческие эмоции, преодолевая законный скептицизм получателей непрошеных посланий. Доверительный тон обращения ("Is it you?" - "Это ты?"; "Hi from Lenny Cabrera" - "привет от Ленни Кабрера") либо респектабельность и авторитетность уведомляющего об опасности отправителя ("Must Complete and Submit" - "Надлежит завершить и отправить") создают требуемую иллюзию легитимности источника письма-подделки. Мошенники также успешно играют на элементарном чувстве человеческого любопытства ("The report says" - "Сообщено в отчете"). Исследователи McAfee приводят в качестве примера случай, когда более 400 пользователей Интернета из чистой любознательности нажали на ссылку "Get infected here!" ("Заразиться здесь" - речь шла о ссылке на вредоносный веб-сайт). Эффективно работают предложения "бесплатной раздачи" ("Unlimited Adobe Downloads" - "Adobe-файлы без ограничений"), актуальные темы (День матери, День Святого Валентина), изъявления любви и сочувствия ("Аnother week lonely" - "Опять неделя одиночества"), схемы вербовки агентов для "грязной" работы ("Instant Payouts" - "Незамедлительная оплата"), онлайн-аукционы, лотереи, рецепты для осуществления сокровенных мечтаний ("Аttack obesity" - "Боремся с ожирением", "VIAGRA"). Как же защититься от спамерских атак? Профессор Бласкович предлагает вырабатывать иммунитет путем изменения поведенческих стереотипов. Нужно осознать, говорит он, что именно ни в коем случае, НИКОГДА не надо делать, даже если вы уверены, что ваш корреспондент абсолютно легален. Никогда не отписывайтесь от рассылки, если не знаете отправителя. Никогда не публикуйте свой электронный адрес на произвольном веб-сайте или форуме; в крайнем случае можно прибежать к иносказанию (myname at mycompany dot com). Пользуйтесь разными электронными адресами для новостной рассылки, онлайн-постинга и презентаций. Пользуйтесь антиспамом. Не отписывайтесь от рассылки сразу. Через месяц просмотрите всю нежелательную почту: схожиее элементы отвергнутых писем помогут эффективнее блокировать спам. Не отвечайте на спамовые письма. Ничего не покупайте у спамеров. Если сообщение так хорошо или дурно, что не хочется верить, - не верьте. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005