Электронный журнал "Спамтест" No. 199 в этом номере: Новости Спам - статистика за период 6 - 12 августа 2007 г. Спам в июле 2007 Новости Рекордная рассылка спама "pump-and-dump": 500 000 000 писем 10.08.2007 Рассылка в течение 24 часов более чем полумиллиарда спамовых писем была зафиксирована Sophos. По словам Грэма Клули (Graham Cluley), технологического консультанта компании, "это - одна из самых больших спам-рассылок, с которыми мы когда-либо сталкивались". Спамовые письма рассылались при помощи тысяч зомби-компьютеров. Спамеры в очередной раз пытались реализовать схему "накачки и сброса" ("pump-and-dump"). В письма рассылки были вложены файлы в PDF-формате, содержащие призыв вкладывать деньги в акции малоизвестной флоридской компании Prime Time Stores, якобы открывающей 7 магазинов в Пуэрто-Рико и на Карибах. Для пущей убедительности злоумышленники проводили аналогию с вложением средств в ценные бумаги крупной мексиканской розничной сети Wall-Mart перед ее открытием. На самом деле вся эта схема, по мнению экспертов, является "naked shorting", то есть ситуацией, когда брокер продает несуществующие акции. Данная рассылка существенно увеличила общую массу спама - в частности, в Германии, на которую волна "биржевых" писем обрушилась первой, объем спама вырос на 30%. Полумиллиардная рассылка принесла свои плоды: цена на акции Prime Time Stores взлетела мгновенно. За два дня, до момента раскрытия обмана, их цена успела вырасти на 30% и 14,8% соответственно. И даже день спустя акции поднялись еще на 2,35%. Таким образом, ежедневная прибыль "биржевых манипуляторов" в среднем составила 3,53%. По данным Sophos, в настоящее время спам "накачки и сброса" составляет порядка 25% от общего объема спама (по сравнению всего с 0,8% в январе 2005 года). В марте этого года Securities and Exchange Commission (SEC) приостановила продажи 35 компаний, которые пользовались спам-рассылками в целях рекламы. Согласно статистике SEC, в мире еженедельно рассылается около 100 миллионов писем, с помощью которых реализуется схема "накачки и сброса" и которые вызывают резкие колебания цен на акции. Также компания прогнозирует, что к концу текущего года 90% всех писем в почтовом трафике будут спамовыми, и немалую роль здесь сыграет растущее число рассылок категории "pump-and-dump". Источник: usatoday.com Сбой на "фабрике тяжб" 10.08.2007 Житель штата Вашингтон Джеймс Гордон (James Gordon) проиграл процесс против компании Virtumundo, которую обвинил в рассылке спама, и должен оплатить судебные издержки в размере $111440. В феврале 2006 года компания Omni Innovations LLC и ее владелец Джеймс Гордон, ссылаясь на ряд нормативных актов, подали на компанию Virtumundo жалобу в федеральный суд. Истец заявил, что получил около 13800 спам-сообщений, и потребовал возмещения убытков в размере более $20 млн. Однако суд установил, что Omni Innovations LLC не попадает под действие федерального закона CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act, 2003), устанавливающего нормы для коммерческой рассылки и штрафы за спам, поскольку компания не понесла от спама убытков, характерных для интернет-провайдеров: снижение пропускной способности сети, увеличение потребности в персонале, необходимость установки дополнительного оборудования. В своем решении суд также отметил, что Гордон уже участвовал в 10 подобных судебных процессах против спамеров в Западном округе штата Вашингтон, и что таким образом он зарабатывал себе на жизнь. По словам доцента и директора Высшего Технико-Юридического Института Эрика Голдмана (Eric Goldman, assistant professor and director of the High Tech Law Institute), "истца впервые обязали заплатить судебные издержки в соответствии с CAN-SPAM Act. Возможно, это станет хорошим предупреждением другим желающим использовать CAN-SPAM Act в фальшивых судебных процессах по антимаркетингу". Голдман также назвал стратегию Гордона "фабрикой тяжб", мотивируя это тем, что его своеобразный "спам-бизнес" направлен на получение прибыли, а не против спамеров. Источник: PCWorld.com Google "обрушил" собственный блог, приняв его за источник спама 10.08.2007 Поисковый сервис Google блокировал собственный блог Google Custom Search, приняв его за источник спама. Первым заподозрил неладное сайт Google - Blogoscoped, который обнаружил, что в блоге Custom Search посты заменены странным комментарием от некоего Srikanth, в котором он выражает восхищение Google Custom Search и утверждает, что "это замечательное творение Google, в которое вложены идеи и мечты множества web-мастеров". А далее автор комментария бурно расхваливает систему контекстной рекламы Ad-sense, интегрированную с Google Custom Search, объясняя, как это прекрасно - получать деньги с ее помощью. Интонации комментария Srikanth настолько отличались от характера официальных гугловских сообщений, что Google Blogoscoped ошибочно решил, что блог взломан. Как выяснилось позднее, все оказалось не так ужасно: Google по ошибке классифицировал блог как источник спама и заблокировал его, в результате чего блог стал доступен для записей всем желающим. "Обычно Google позволяет владельцам блогов принимать необходимые меры, предупреждая их о подозрительном контенте, напоминающем спам. Однако в данном случае уведомление было пропущено, и по истечении определенного периода времени Google Custom Search был заблокирован", - говорит Шон Карлсон (Sean Carlson), представитель Google. В настоящее время работа блога возобновлена, и специалисты компании работают над тем, чтобы подобные инциденты не повторялись. Источник: Techworld Треть британцев не возражают против мобильного спама 14.08.2007 Треть британских абонентов сотовой связи ничего не имеет против спама, приходящего на мобильник, сообщает маркетинговая компания Pontis. При этом 11% из 752 опрошенных человек даже приобретали товары и услуги, которые предлагались в незапрашиваемых мобильных рассылках. Впрочем, остальные две трети респондентов мобильный спам терпеть не могут. Больше всего спам раздражает представителей старшего поколения. Хотя показатели количества ненавистников спама для возрастной категории от 16 и до 34 лет ненамного ниже (72%), причем 47% из них готовы даже сменить из-за этого своего оператора. Лоркен Берк (Lorcan Burke), старший администратор службы мобильной безопасности AdaptiveMobile, отмечает, что вдвойне раздражает реклама, рассылаемая самим оператором. И, прежде всего, сами сотовые операторы и должны ее ограничивать. А по мнению старшего директора по маркетингу в Pontis Гая Талми (Guy Talmi), неспособность сотовиков учитывать интересы пользователя работает против самих операторов, и не только не привлекает, но и отталкивает абонентов. Интересно, что результаты исследования мобильных рассылок в целом кореллируют с данными, полученными для традиционного, электронного спама. Он вовсе не отпугнул людей от использования электронной почты, как это пророчили некоторые эксперты несколько лет назад, когда спам начал захлестывать почтовые ящики. Более того, количество людей, недовольных несанкционированными рассылками, год от года снижается. Если, по данным Pew Internet, в 2003 году их количество составляло 71% от общего числа пользователей, в 2004 - 77%, в 2005 - 67%, то по результатам опроса этого года уже 63%. То есть, количество спама растет, а отношение пользователей становится к нему все более и более равнодушным. По мнению экспертов, это может быть связано со снижением количества порнографического спама, оскорбляющего и являющегося неприятным для большинства людей, и с совершенствованием методов защиты от несанкционированных рассылок. Источник: Techworld В спамерских ссылках все чаще используются китайские домены 15.08.2007 Специалисты компании Symantec зафиксировали всплеск спам-рассылок, письма в которых содержали ссылки с использованием ".cn" - китайского домена верхнего уровня (TLD). По данным Symantec, за июль число китайских спамерских доменов выросло практически с нуля до 450. Одна из причин такого бурного роста популярности у спамеров китайских доменов - внесение доменов верхнего уровня многих стран в антиспамовые черные списки. В результате этого спамеры вынуждены регистрировать TLD тех стран, которые в данные списки еще не попали. Китай пока принадлежит к их числу. В то же время отмечается снижение несанкционированных рассылок, использующих TLD Гонконга (".hk"), что, скорее всего, является результатом недавнего принятия в Гонконге антиспамерских законов. Источник: ZDNet Кому была выгодна полумиллиардная рассылка? 15.08.2007 Рассылка в течение суток 500000000 спамовых писем с рекламой акций стала самой большой спам-кампанией в истории. Спамовые письма, содержащие файлы в формате PDF, призывали получателей вкладывать деньги в акции небольшой компании Prime Time из Флориды, которая занимается розничными продажами. За период, пока шла рассылка, цена акций подскочила на 84%. А на днях компания Prime Time приостановила выпуск акций и заявила, что не имеет никакого отношения к спамерской деятельности, и даже дала санкцию на поиск инвесторов, нарушивших правила торговли на бирже в период "накачки" стоимости акций Prime Time, в списках NOBO (Non-Objecting Beneficial Owner - невозражающий собственник-выгодоприобретатель). В таких списках обычно содержится информация об индивидуальных инвесторах, которые не возражают против раскрытия факта их собственности. Получить эти списки можно у банка-кастоди или брокеров-дилеров. Директор Sophos Марк Харрис (Mark Harris) считает, что не все покупатели акций, цена на которые искусственно поднимается по схеме "накачки и сброса" ("pump-and-dump"), столь наивны и не понимают, что делают. Они просто тоже надеются получить прибыль с акций, даже если цена на них вздута заведомо жульническим путем. "Пока такие люди будут добровольно участвовать в подобных схемах в надежде на своего рода "чаевые", спам категории pump-and-dump не прекратится", - добавил Харрис. Источник: Techworld Спам - статистика за период 6 - 12 августа 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в общем почтовом трафике Рунета за последнюю неделю составила в среднем около 79%. Заметные изменения в тематическом распределении спама на прошедшей неделе произошли в рубриках "Медикаменты; товары/услуги для здоровья" и "Компьютеры и Интернет". Относительная доля рассылок и той, и другой тематики в общем потоке спама по сравнению с предыдущей неделей существенно увеличилась. Относительное количество рассылок, посвященных отдыху и путешествиям, напротив, продолжает снижаться - и в спаме чувствуется дыхание осени. Также на прошлой неделе серьезно снизилось количество спама, посвященного образованию. Примечательно, что большая часть этих рассылок на прошедшей неделе рекламировала не профессиональные курсы и семинары, а курсы обучения иностранным языкам и занятия по ушу, брэйку и таэквондо (пример такого письма можно видеть ниже). Спамеры продолжают поиски новых приемов, которые позволят им обойти спам-фильтры и доставить спам пользователям. В конце прошлой недели аналитики "Лаборатории Касперского" зафиксировали спам-рассылку с вложением формата ".fdf". Так же, как и предыдущую новинку - спам в ".pdf" - вложения в данном формате можно открывать и просматривать с помощью Acrobat Reader. И так же, как в случае с ".pdf"-ом, эта новинка не представляет серьезной опасности для пользователей. Современные фильтры вполне способны справиться и с ней. Продолжается рассылка спама, маскирующегося под поздравительные открытки. "Лаборатория Касперского" еще раз предупреждает: не переходите по ссылкам в тексте открыток от неизвестных вам отправителей! Скорее всего, ссылка ведет на страницу, откуда будет совершена попытка загрузить на ваш компьютер вредоносное ПО - так называемого "штормового червя". Еще одна спам-рассылка прошлой недели, заслуживающая упоминания - это так называемая тестовая рассылка. В теле письма содержалось случайным образом сгенерированное число, и больше ничего. Эта рассылка не стоила бы упоминания, если бы не ее исключительная массовость и скорость. Очевидно, что спамеры работают над технологией скоростной доставки сообщений. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 30,0% +7,7% 2 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 23,0% +14,2% 3 Другие товары и услуги Предложения других товаров и услуг 14,4% -2,6% 4 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 13,9% +1,6% 5 Образование Реклама семинаров, тренингов, курсов 8,3% -3,6% 6 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 4,3% -3,9% 7 Остальной спам   4,2% -2,3% 8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. Менее 2% -6,9% 9 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -0,3% 10 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -1,0% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% Без изменений 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% Без изменений Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Спам в июле 2007 Анна Власова, "Лаборатория Касперского" Особенности месяца Доля спама вплотную приблизилась к 80%. Почти треть всего спама - реклама виагры и других медикаментов (28,2% от всего спама). Спам с pdf-вложениями сменяется спамом с вложенными zip-архивами. Становится все меньше "традиционного" графического спама (в форматах gif, jpeg и т.п.). В июле его доля составила всего 16,9%. Доля спама в почте В июле доля спама вплотную приблизилась к 80% от общего объема почты. Самая низкая отметка была зафиксирована 10 июля и составила 74,3%, пик спама пришелся на 17 июля и составил 81%. Если сравнить с прошлым, 2006 годом, то июль тогда также оказался насыщен спамом - чуть более 80%. Тем самым незначительное, но все же явное повышение доли спама в середине лета наблюдается уже второй год. Пока сложно назвать это закономерностью - два года не такой большой срок, - но сам по себе факт интересный, особенно на фоне традиционного сезонного понижения спроса на рекламные услуги в сфере товаров широкого потребления. Тематический состав спама Лидирующие спамерские тематики в июле 2007: "Медикаменты; товары и услуги для здоровья" - 28,2% "Компьютеры и Интернет" - 10,4% "Услуги по электронной рекламе" - 8,4% "Компьютерное мошенничество" - 7,6% "Отдых и путешествия" - 7,2% В июле спамеры по-прежнему делали ставку на "медицинскую" тематику, которая в сравнении с июнем набрала еще 6,3%. Помимо традиционной "виагры" особой массовостью отличились русскоязычные рассылки, рекламирующие массажные очки для восстановления зрения и некое "тибетское" средство для усиления потенции. С некоторой натяжкой сюда же можно отнести рекламу фитнес-клубов с обещаниями хороших летних скидок. Зато спам тематики "Образование" (занимавший в июне второе место в тематическом распределении спама с показателем 13,2%) в этом месяце сократился почти вдвое и составил всего 6,8%, покинув пятерку лидирующих тематик. В июле вновь возросла доля спама, посвященного рекламе услуг самих спамеров (+2,5% по сравнению с июнем) - спамеры ищут клиентов. По-прежнему на высоком уровне удерживается спам тематики "Другие товары и услуги". В июле это были услуги магов и гадалок, предложения по оформлению виз в разные страны и приглашений для иностранцев, массовые рассылки, посвященные анти-жучкам, камерам слежения и другое. Спамерские методы и трюки "Приманка" для пользователей Спамеры активно реагируют на события, происходящие в мире, и используют упоминания таких событий как "приманку" для любопытных пользователей электронной почты. Увидев в теме или теле письма ссылку на "горячую" новость, пользователь может заинтересоваться спамом. В любом случае, это шанс, что спам не будет удален сразу же. 5 июля россияне узнали, что город Сочи был выбран в качестве столицы зимней Олимпиады 2014. А уже 7 июля прошла спам-рассылка, обыгрывающая эту новость: спамеры предлагали отдохнуть "в столице зимних олимпийских игр". В течение июля спамеры также предлагали футболки с олимпийской символикой и скидки на занятия в тренажерных залах под лозунгом "подготовься к Олимпиаде" Спам во вложениях За прошедший месяц спамеры попытались освоить новые приемы обхода фильтров и доставки спама пользователям. Спам в pdf, похоже, исчерпал свои ресурсы. После первоначального всплеска, когда доля такого спама составляла до 10% от всего спама, количество сообщений с pdf-вложениями резко пошло на убыль и на конец июля составило всего 0,1 - 1%. Но распространители инвестиционного спама продолжили эксперименты в том же направлении - использовали вложения в спамовые письма. Появилась новая форма распространения инвестиционного спама, уже не в pdf -вложениях, а в архивах формата zip. Примечательно, что, рассылая архивы, спамеры добавили в текст сообщения предупреждение о возможной вирусной опасности, таящейся в архивированных вложениях от незнакомых отправителей, и о необходимости сканировать входящую почту и вложения антивирусными программами. В данном случае спамеры ничем не рисковали, т.к. в архивах был спам, а не вредоносное ПО - антивирус сочтет вложение безвредным. Зато пользователи будут более доверчивы по отношению к отправителю, который заботится о безопасности почты получателя. Спам во вложениях "отъел" еще часть у спама в традиционных графических форматах (gif, jpeg и т.п.). Доля традиционного графического спама в июле понизилась до 16,9% (в июне такой спам составлял 18,2% всего спама). Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005