Электронный журнал "Спамтест" No. 196 в этом номере: Новости Спам - статистика за период 09 - 15 июля 2007 г. Спам в июне 2007 Новости Symantec подводит итоги июня 16.07.2007 Согласно отчету за июнь компании Symantec, доля спама "в картинках" продолжает снижаться и составила не более 14,5% от общего объема спама в июне. В то же время эксперты Symantec наблюдают увеличение количества техник рассылки спама, содержащего изображения. По данным Symantec, в январе поток спама, содержащего "картинки", составлял более половины всех рассылок, но уже в марте его доля снизилась до 37%, в апреле она составила 27%, а в июне доля спама "в картинках" упала до 14,5% от общего объема спама. Падение доли графического спама сопровождается поиском других способов доставки изображений. Одна из спамерских новинок - использование PDF-вложений. Специалисты Symantec наблюдали такие письма в двух вариантах: во-первых, вложение, которое выглядит, как легитимная новость о курсе акций. Такие письма не содержат никаких шумов и искажений, характерных для спама "в картинках". Во-вторых, файлы PDF могут содержать изображение текста с искажениями, которое выглядит так же, как тексты в более традиционных форматах графического спама. Этот вариант был использован в рассылках финансового спама на адреса более 30 миллионов пользователей, которые Symantec зафиксировала в период между 17 и 27 июня. По данным Symantec, спам, содержащий рекламу товаров, составляет 26% всех вредоносных сообщений и является превалирующей тематикой спам-рассылок. Спам, относящийся к сфере финансов, составляет 21% от общего потока и содержит предложения, касающиеся денег, фондовых бирж и других "возможностей". 16 % спама содержат рекламу компьютерной техники, комплектующих и услуг. Источник: Yahoo! News Против спамеров-спекулянтов выдвинуты обвинения 16.07.2007 Комиссия по ценным бумагам США (SEC) выдвинула обвинения против двух жителей Техаса, в "послужном списке" которых - спекуляция, несанкционированный доступ к персональным компьютерам американских пользователей, проведение спам-рассылок, отмывание денег и обман пользователей. По данным SEC, Даррелл Юзелтон (Darrel Uselton) и его дядя, Джек Юзелтон (Jack Uselton), используя спекулятивные схемы, кампании по рассылке спама и промо-акции в Интернете, нелегально зарабатывали в течение 20 месяцев путем незаконной торговли ценными бумагами. Юзелтоны покупали акции безнадежных компаний и продавали их после активной рекламной спам-деятельности. В жалобе SEC, рассмотренной в окружном суде в Хьюстоне, утверждается, что Юзелтоны организовали целую серию спам-рассылок, используя обширные зомби-сети, с целью анонимного распространения среди американцев миллионов спамовых писем, содержащих информацию о мелких компаниях и проектах, не имеющих под собой реальной основы. Каждая такая спам-кампания длилась в среднем от нескольких дней до нескольких недель. Комиссия предполагает, что в период с мая 2005 г. по декабрь 2006 г. Юзелтоны в результате своей незаконной деятельности получили от инвесторов более 4,6 млн. долларов. Власти конфисковали более 4,2 млн. долларов со счетов криминальной парочки. Мошеннический механизм дал сбой, когда разосланное Юзелтонами спамовое письмо получил один из юристов SEC. Комиссия утверждает, что Юзелтоны нарушили указания, содержащиеся в пункте 10б закона о ценных бумагах и биржах 1934 г, а также правило 10б/5 того же акта. В качестве наказания SEC рассматривает вариант вынесения досудебного приговора и гражданское преследование каждого из обвиняемых, а также запрет на деятельность на бирже обоих обвиняемых. Это не первый случай, когда дядя и племянник попадают в поле зрения властей. Даррелл Юзелтон преследовался организацией по контролю за соблюдением правил торговли на так называемом OTC market - рынке ценных бумаг фирм, не котирующихся на обычных биржах, - в 2004 и 2005 г.г. Джек Юзелтон находился под постоянным наблюдением Комиссии в связи с нарушением законодательства по статье "мошенничество" в 2002 г. Источник: SEC Россия попала в лидирующую пятерку стран-спамеров 17.07.2007 Согласно новым статистическим исследованиям IE Internet, Россия занимает пятое место в рейтинге стран, из которых рассылается спам на адреса ирландских компаний. Возглавили список стран, из которых в Ирландию активно рассылается спам, США. Из этой страны было разослано около 37,4% спама, обнаруженного компанией IE Internet в июне. Второе место заняла КНР с 17% спама, за ней следует Великобритания - 10,9%, четвертое место за Мексикой, набравшей 9,9%. Замыкает пятерку этого своеобразного рейтинга Россия - 7,6 % от общего потока спама, разосланного на адреса ирландских фирм. По словам представителя IE Internet, заметно увеличились объемы спама, рассылаемого из США. "США и раньше были лидером в этом сегменте, однако после вступления в силу антиспамового закона многие американские спамеры стали осуществлять рассылки с территории других стран", - заявил Кен О'Дрисколл (Ken O'Driscoll), глава технического отдела IE Internet. О'Дрисколл пояснил, что именно операциями американских спамеров в оффшоре объясняются высокие позиции Мексики и Китая в рейтинге. "Дело не в самих китайских спамерах, а в том, что многие американские спамеры работают из Китая". IE Internet исследовала письма, отправленные в течение месяца около 35 тысячам ирландских бизнесменов, и обнаружила, что 67,4% из них составляет спам. 4,1% этих писем были заражены вирусами. По словам О'Дрисколла, вредоносные программы рассылаются, в основном, для того, чтобы распространять с зараженных компьютеров спам. "Вирусописатели добиваются контроля над этими компьютерами, а затем продают доступ к сети спамерам", - пояснил он. Источник: The Register Новое изобретение спамеров: троянец, способный обойти CAPTCHA 17.07.2007 Спамеры нашли способ обмануть систему безопасности CAPTCHA. К такому выводу пришли исследовтели BitDefender Labs, выявившие уязвимость почтовых сервисов Yahoo и Hotmail, аккаунты которых использовались для массовых нелегитимных рассылок. CAPTCHA (от англ. "Completely Automated Public Turing test to tell Computers and Humans Apart") - полностью автоматизированный тест, позволяющий предотвратить использование интернет-сервисов ботами. Наиболее распространенный вариант реализации CAPTCHA таков: пользователю предлагается ввести в специальном поле определенный набор символов, изображение которых он видит на рисунке (как правило, в искаженном виде, иногда с добавлением шума или полупрозрачности). Именно такой тест проходят пользователи при создании аккаунтов в почтовых системах Yahoo и Hotmail. Спамерам удалось обойти систему безопасности на указанных сервисах при помощи троянской программы Trojan.Spammer.HotLan.A, которая способна оптически распознавать символы на изображении и трансформировать их в текст. В результате этого почтовые аккаунты создаются автоматически и в дальнейшем используются для спам-рассылок. "Такая автоматическая система позволяет злоумышленникам создавать новые учетные записи электронной почты чрезвычайно быстро - до 500 каждый час и до 15000 ежедневно", - отметил Виктор Суза (Vitor Souza), один из менеджеров компании BitDefender. Подобная скорость открывает перед спамерами широчайшие возможности - каждый из тысяч созданных за короткий промежуток времени аккаунтов может быть использован для рассылки спам-писем. Для выхода из сложившейся ситуации компаниям Yahoo и Microsoft (владеющей сервисом Hotmail), видимо, придется совместно задуматься над созданием более совершенной системы безопасности. Специалисты BitDefender отмечают также, что не исключена возможность появления новых модификаций Trojan.Spammer.HotLan, призванных атаковать и другие почтовые сервисы. Источник: YAHOO! News. Американским спамерам усложнят жизнь? 18.07.2007 На организованном Федеральной торговой комиссией США (FTC) саммите, посвященном проблеме спама, прозвучал ряд заявлений, из которых следует, что власти США намерены значительно усложнить жизнь американским спамерам. Уже сейчас ФБР ведет расследование 70 дел, связанных с рассылкой спама, у Департамента юстиции США в работе также несколько дел спамеров. При этом власти обещают рост числа судебных разбирательств, связанных с деятельностью лиц, причастных к рассылке спама. Согласно озвученным на саммите планам, активность ФБР и Департамента юстиции будет направлена и против использования криминалом ботнетов для рассылки спама и осуществления DDoS-атак. Причем мишенью правоохранительных органов станут не только владельцы ботнетов, но и те, кто занимается продажей ресурсов зомби-сетей. Еще один вид криминальной деятельности, которым более серьезно займется Департамент юстиции и федеральные агентства США, - реализация спамерами схемы "накачки и сброса" (pump and dump), в результате которой спамеры наживаются на продаже дешевых акций, цены на которые искусственно поднимаются в ходе рекламной спам-кампании. Источник: PC World "Грязная дюжина" стран-спамеров от Sophos 20.07.2007 Проанализировав спамовые сообщения, попадающие в глобальную сеть Sophos, эксперты компании составили очередную "грязную дюжину" стран, из которых во втором квартале 2007 года рассылались наибольшие объемы спама. По данным компании Sophos, CША по-прежнему возглавляют мировой рейтинг стран-спамеров: во втором квартале 2007 года из этой страны было разослано 19,6% мусорной почты.Россия, с территории которой, по данным Sophos, во втором квартале было разослано 3,1% всего спама, в этом малопочетном списке переместилась с 10 на 8-е место (набрав, впрочем, всего 0,1% по сравнению с предыдущим кварталом). США - 19,6% Китай (включая Гонконг) - 8,4% Южная Корея - 6,5% Польша - 4,8% Германия - 4,2% Бразилия - 4,1% Франция - 3,3% Россия - 3,1% Турция - 2,9% Великобритания - 2,8% Италия - 2,8% Индия - 2,5% Остальные страны - 35,0% Доля спама, которая приходится на остальные страны (страны, не попавшие в "грязную дюжину"), по сравнению с первым кварталом 2007 г. выросла на 5%. Специалисты Sophos полагают, что это свидетельствует о пополнении мирового списка стран-спамеров. Половина стран, попавших в "грязную дюжину", - европейские. По мнению экспертов Sophos, доминирование Европы и США в рейтинге обусловлено увеличением числа персональных компьютеров, подключенных к Интернету, в европейских странах и США - при отсутствии надлежащих мер защиты от спама со стороны некоторых ISP. Как бы то ни было, по объемам рассылаемого спама Европа в первом квартале занимала первое место в рейтинге континентов, с территории которых рассылается спам. Во втором квартале доля спама, приходящаяся на европейские государства, снизилась на 6,6%, в результате Европа уступила первое место Азии. Азия - 35,2% Европа - 28,5% Северная Америка - 24,2% Южная Америка - 9,6% Африка - 1,6% Другие - 0,9% Эксперты Sophos также отмечают, что объемы спама, рассылаемого во всем мире, за год выросли на 9%. Источник: YAHOO! FINANCE Спам - статистика за период 09 - 15 июля 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама На прошедшей неделе доля спама в почтовом трафике составила %. Тематическое распределение спама на прошедшей неделе не претерпело серьезных изменений по сравнению с предыдущей неделей. По-прежнему лидирует тематика "Медикаменты; товары/услуги для здоровья", которая на прошедшей недели составила около трети всего спама (29,3%). Незначительно увеличилась доля спама, посвященного рекламе услуг самих спамеров. Также выросла доля спама, рекламирующего недвижимость. Продолжается отмеченная на предыдущей неделе эксплуатация новости про будущую олимпиаду в Сочи. Всем желающим предлагается посетить фитнес-центры и тренировочные залы в Сочи, которые через несколько лет будут использоваться лучшими спортсменами планеты. Кроме того, спамеры настойчиво предлагают приобрести футболки соответствующей тематики. На прошедшей неделе самыми популярными темами в спаме категории "Другие товары и услуги" стали предложения по оформлению виз в разные страны и приглашений для иностранцев. Также можно отметить все возрастающую популярность рассылок, посвященных анти-жучкам, камерам слежения и другим подобным приспособлениям. Такая тематика не нова для русскоязычного спама, но ее доля в последние недели увеличивается. Самыми необычными предложениями недели стали рассылки, посвященные "японской роботизированной технике" и центру, предлагающему услуги по планированию пола ребенка. Кроме пола, данный медицинский центр предлагает заранее установить для будущего ребенка и другие желаемые параметры - здоровье, интеллектуальные и творческие способности, сходство с одним из родителей. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 29,3% +2,9% 2 Другие товары и услуги Предложения других товаров и услуг 24,3% -0,5% 3 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 9,4% +3,6% 4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 9,2% -0,9% 5 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 6,8% -0,6% 6 Образование Реклама семинаров, тренингов, курсов 6,2% -0,8% 7 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 5,4% Без изменений 8 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 3,8% +3,0% 9 Остальной спам   2,4% +1,0% 10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -4,0% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -0,1% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% -0,7% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Спам в июне 2007 Анна Власова, "Лаборатория Касперского" Особенности месяца Доля спама: 70-80% от всей почты. И снова лидирующая тематика спама - "виагра и компания". Технические новинки: pdf-файлы во вложении. Спамеры эксплуатируют "горячие" новости для привлечения внимания пользователей. Доля спама в почте Ситуация со спамом остается стабильной. Спам составляет от 70% до 80% от общего объема почтового трафика. Минимальное значение доли спама было зафиксировано 6 июня - 69,9%, максимальное - 29 июня, 78,4%. Основной объем спама в Рунете создают англоязычные предложения медикаментов - в основном, для усиления потенции - и русскоязычная реклама тренингов и семинаров. В европейских зонах Интернета наиболее широко распространен спам с рекламой медикаментов и дешевого софта, а также продвижение акций. Тематический состав спама Тематические лидеры июня: "Медикаменты; товары и услуги для здоровья" - 21,9% (+3,7% ) "Образование" - 13,2% (+2,6%) "Компьютеры и Интернет" - 9,2% (-1,2%) "Отдых и путешествия" - 8,7% (без изменений) "Компьютерное мошенничество" - 8,0% (+ 0,9%) По-прежнему основная доля спам-рассылок приходится на категорию "Медикаменты; товары/услуги для здоровья". В июне эта тематика продемонстрировала небольшой рост. Кроме привычных англоязычных писем, рекламирующих виагру и антидепрессанты, в почтовых потоках в немалых количествах присутствовали русскоязычные письма, рекламирующие услуги для здоровья. За июнь тематика "Медикаменты, товары для здоровья" пополнилась русскоязычными спам-рассылками, продвигающими массажные очки, пособия по отказу от курения, абонементы в фитнес-клубы. Около пятой части от всей мусорной почты (20,9%) составляет спам категории "Другие товары и услуги". В эту категорию попадает весь спам, который посвящен рекламе товаров и услуг, но не может быть отнесен ни к какой другой выделенной экспертами тематике. Значительная доля такого спама традиционно посвящена помощи при переездах, логистике и ремонту квартир. К летнему сезонному спаму можно отнести рекламу кондиционеров, очень активную в июне, и предложения приобрести средства против клещей. Эксплуатация новостей и других "горячих" тем Спамеры продолжают эксплуатировать всевозможные "горячие" темы для привлечения внимания к своим творениям. При этом они не стесняются и готовы зацепиться за любой повод, который может привлечь внимание пользователей электронной почты. Тот факт, что никакой связи между указанной в спамовом письме темой сообщения и содержанием спама нет, спамеров абсолютно не волнует. Например, скандал с переносом памятника советским воинам в Таллине моментально нашел отражение в... спамерской рекламе арбалетов. Спам начинался со слов "сегодня, 9 мая, более полувека назад наши деды отдали свою кровь за победу над фашистами", а заканчивался фотографиями арбалетов и ценами на них. Не менее активно эксплуатируются имена известных политических деятелей. Здесь спамеры даже не утруждают себя привязкой к каким-нибудь новостям. Они сами сочиняют новость о гибели кого-то из известных политиков, помещают ее в тему письма, а в теле сообщения дают ссылку на сайт, куда должен перейти заинтересовавшийся пользователь. Этот вид спама уже можно выносить в отдельный жанр, подобные рассылки повторяются несколько раз в год. В июне была зафиксирована рассылка с громким заголовком "застрелена Тимошенко". Спамерские методы и трюки Новый способ доставки спама "в картинках": pdf-вложение В июне в арсенале спамеров появился новый трюк: графический спам в виде вложений в формате pdf. Ставка здесь сделана на то, что далеко не все спам-фильтры анализируют вложения такого формата. Спам в pdf-вложениях в основном использовался для продвижения акций (pump&dump stock spam). По сути, это просто новый способ доставки пользователю спамерских "картинок", т.к. при открытии pdf-файла пользователь видит все те же "зашумленные" изображения, с разнообразными цветами фона, текстом разного цвета и размера и т.п., которые рассылаются в форматах gif, jpeg и т.п. Новый трюк спамеров вполне способен создать сложности для некоторых систем защиты. Хотя наиболее продвинутые спам-фильтры, конечно, способны настроиться под него. Kaspersky Anti-Spam, например, оснащен всеми необходимыми средствами борьбы со спамом с pdf-вложениями, и сразу же начал противостоять новому виду спама. При этом нет необходимости программных изменений или обновлений модулей Kaspersky Anti-Spam. Кроме того, эффективность спама измеряется не только количеством экземпляров сообщений, доставленных пользователю, но и количеством пользовательских реакций на спам. При просмотре почты содержимое pdf-вложения не отображается автоматически, пользователь должен это вложение открыть. Это дополнительное действие, на которое пойдет далеко не каждый: о потенциальной опасности вложений в письмах от неизвестных отправителей наслышаны все. Поэтому эффективность такого спама должна быть ниже, чем обычного "графического". Будет ли увеличиваться количество спама с pdf-вложениями? Это покажет будущее. Пока же заметна другая тенденция: продолжающееся снижение доли графического спама в более привычных форматах (gif, jpeg и т.п.). В июне доля такого спама составила 18,8%, что на 0,5% ниже, чем в прошлом месяце. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005