Электронный журнал "Спамтест" No. 204 в этом номере: Новости Спам - статистика за период 01 - 07 октября 2007 г. Спам в августе - сентябре 2007 Новости США: борьба с "биржевым" спамом дает ощутимый результат 09.10.2007 Усилия Комиссии США по торговле ценными бумагами (SEC), направленные на ограничение "биржевых" спам-рассылок и защиту инвесторов от мошенничества, увенчались успехом. За время проведения "Операции Спамалот" поток жалоб на финансовый спам вполовину уменьшился. За время проведения "Операции Спамалот" SEC заморозила акции 42 компаний. По оценке SEC, ее политика временного приостановления операций по ценным бумагам, рекламируемым спамерами, лишает последних потенциальной выгоды от проведения мошеннических кампаний. За 7 месяцев, прошедших с момента запуска "Спамалот", объемы финансового спама сократились на 30%. Эта цифра перекликается с данными последних официальных отчетов Symantec. Специалисты по безопасности отмечают, что в 1 половине 2007 года количество "биржевых" спам-рассылок сократилось на 30% по сравнению с показателями за предыдущее полугодие, и приписывают этот успех плодотворной работе SEC. По оценке Symantec, в сентябре на долю финансового спама приходилось 13% от общего объема спама. Источник: The Register Веб-сайт борцов с онлайн-мошенничеством закрылся после месячной DDoS-осады 09.10.2007 После града DDoS-атак, целый месяц терзавших веб-сайт добровольных борцов с киберпреступностью, организация Fraudwatchers вынуждена была объявить о закрытии своего плацдарма в Интернете. В начале нападения активисты Fraudwatchers прибегли к помощи своего хостинг-провайдера. Когда выяснилось, что совместно принятые меры не держат удар, веб-сайт fraudwatchers.org был перемещен на отдельный сервер. Этот маневр вызвал ответный ураганный огонь: интенсивность DDoS-атак настолько возросла, что поставила под угрозу весь банк данных сервера. Установка специализированных средств защиты от DDoS-атак добровольцам Fraudwatchers оказалась не по карману (эта услуга стоит в 4-5 раз дороже месячной аренды отдельного сервера), а расширить трафик с помощью интернет-провайдеров не представилось возможным. Свою базу данных по фальшивым лотереям, поддельным вакансиям, онлайн-сводничеству, отмыванию "грязных" денег, фиктивным аукционам активисты Fraudwatchers решили передать в распоряжение других организаций по борьбе с интернет-мошенничеством. Источник: www.darkreading.com Спамдемия в "туманном Альбионе" 09.10.2007 Исследователи английской консультативной компании uSwitch пришли к выводу, что безучастное отношение англичан к проблеме спама в эпоху расцвета телекоммуникаций может привести к плачевным результатам. Специалисты uSwitch проанализировали результаты опроса 2742 взрослых граждан Великобритании, проведенного в прошлом месяце специализированным ресурсом YouGov. Согласно статистике uSwitch, в настоящее время 90% англичан, имеющих доступ в Интернет, регулярно получают спам - на 15% больше, чем в 2006 году. Около 1,4 миллиона домашних компьютеров не оснащены никакими средствами фильтрации почты. По оценке uSwitch, в почтовых ящиках британцев ежедневно оседает около 82 миллионов спамовых сообщений. При этом 80% спама приходит из источников, находящихся за пределами Евросоюза и не подвластных юрисдикции европейских правоохранительных органов. Исследователи uSwitch также напоминают, что многие спам-рассылки в настоящее время имеют злонамеренный характер. Более четверти (28%) опрошенных YouGov отметили, что после получения спамовых писем у них возникали проблемы с удалением вредоносных программ с компьютера. По оценке uSwitch, на фоне возросшей активности интернет-спамеров Великобританию захлестнула волна мобильного спама: в настоящее время 16,6 миллионов владельцев мобильных телефонов совокупно получают 1,2 миллиона спамовых SMS-сообщений в сутки. Ситуация с текстовым спамом, по прогнозам uSwitch, будет только усугубляться, так как эффективной спам-защиты для мобильных телефонов на рынке пока нет. Источник: Easier Finance Совместный удар по "нигерийскому" бизнесу 09.10.2007 В ходе международной операции, проведенной британским Агентством по борьбе с организованной преступностью (Serious Organised Crime Agency, Soca) во взаимодействии с полицией Нигерии, США, Канады и Нидерландов, были арестованы более 80 "нигерийских" функционеров, изъяты 15000 фальшивых банковских чеков на общую сумму более 2 миллиардов долларов, тысячи поддельных паспортов и правовых документов. Среди арестованных 60 жителей Нидерландов, 16 выходцев из Нигерии, 5 англичан и один канадец. Восемь подозреваемых были арестованы на территории США; трое уже выданы властям Нидерландов и Нигерии, остальные ждут экстрадиции. Проведенная несколько лет назад проверка входящей почты в американском аэропорту Кеннеди выявила, что 70% получаемых из Нигерии почтовых отправлений имеет отношение к мошенническим схемам. В этом году английские детективы вылетели в столицу Нигерии Лагос и вместе с американскими почтовыми инспекторами в течение месяца на месте изучали адресованные за рубеж посылки, проходящие через нигерийские службы доставки. Как оказалось, мошенники научились обманывать сканеры, обкладывая криминальное содержимое бандеролей листами копировальной бумаги. По окончании расследования по выявленным адресам получателей в США, Канаде, Нидерландах, Испании и Великобритании были проведены полицейские рейды. Эта масштабная операция была нацелена на поимку главарей преступных группировок. По данным голландской организации Ultrascan Advanced Global Investigations, величина ущерба, причиненного "нигерийскими" мошенниками, в 2006 году измерялась суммой в 3,88 миллиарда долларов. В "нигерийских" схемах зачастую присутствует элемент обмена поддельного банковского чека на живые деньги, вымогаемые у жертвы. Национальная лига потребителей США с тревогой констатирует учащение случаев такого мошенничества. Количество поданных в Лигу жалоб на махинации с подделкой банковских чеков уже превысило прошлогодние показатели более чем в полтора раза, потери жертв чековой фальсификации в среднем составляют 3000-4000 долларов. Источник: Reuter Источник: Mirror.co.uk Операторы ботнетов разделяют крупные сети на более мелкие 09.10.2007 Исследователи F-Secure и Finjan отмечают тенденцию к разделению крупных ботнетов на более мелкие формирования. Специалисты по сетевой безопасности полагают, что эта реструктуризация вызвана снижением экономического эффекта, усилением конкуренции в криминальных кругах и стремлением киберпреступников удержать свои позиции в противостоянии поборникам чистого интернет-пространства. В последние месяцы эксперты F-Secure и Finjan фиксируют многочисленные "троянские" атаки, направленные на расширение армии зомби-компьютеров. В то же время, по их наблюдениям, создатели ботнетов больше не стремятся максимально укрупнить новые образования, а владельцы масштабных ботнетов начали разделять свои ресурсы на более мелкие звенья. По экспертной оценке, арендовать ботнет на пару часов в наши дни можно всего за сотню долларов, и прокат большого ресурса дает владельцам не больше выгоды, чем сдача в аренду совокупности мелких формаций. Кроме того, криминальные круги стали отдавать предпочтение готовым и простым в использовании комплектам для проведения интернет-атак. Следует также упомянуть об усилении конкурентной борьбы между криминальными элементами за обладание ботнетами, а также о возрастании эффективности мер противодействия со стороны стражей сетевой безопасности. По всей видимости, операторы ботнетов осознали, что в этих условиях потеря пешки не столь разорительна, как утрата крупной боевой фигуры. По последним наблюдениям, вирусописатели тоже сдают позиции в гонке вооружений и, чтобы выжить, нашли более прозаическое решение. Они штампуют бесчисленные версии уже обкатанных вредоносных программ и снабжают их средствами маскировки от систем безопасности. Исследователи F-Secure ежедневно фиксируют 10000 образцов вредоносного ПО, и большая часть из них представляет собой варианты "старых" программ. Источник: vnunet.com Symantec: в сентябре спамеры предлагали американцам дешевое жилье, а русским - швейцарские часы и ключ доступа в "Альфа On-Line" 10.10.2007 Согласно данным отчета Symantec, в сентябре уровень спама несколько превысил показатель за предыдущий месяц и составил 70% от общего объема электронной почты. Благодаря усилиям специалистов по сетевой безопасности объемы графического спама продолжают сокращаться: в сентябре количество спамовых сообщений-"картинок" уменьшилось на 3%, их доля в общем объеме спама составляла 7%. Спамеры вновь вернулись к текстовому и HTML-формату, применяя разные уловки для маскировки URL. Эксперты Symantec зафиксировали такие трюки спамеров, как использование одних и тех же URL в разных спам-рассылках, включение в нелегитимные письма искаженных ссылок на спамовые страницы, созданные на либеральном ресурсе Geocities; использование JavaScrip (в Symantec за неделю заблокировали 400000 спамовых писем с HTML-тэгами, вставленными в ссылку). Тематическое разделение спама от Symantec в сентябре 2007 года выглядело следующим образом: промтовары и услуги - 26%, Интернет - 19%, финансы - 13%, медикаменты и релевантные услуги - 12%, мошеннические письма - 10%. Больше всего спама было разослано с территории Северной Америки - примерно 43% (на этот регион приходится около 60% общемирового почтового трафика). Треть спама разослали из Европы (доля от глобального объема почтового трафика - менее 30%); менее 15% спама было разослано из азиатских стран, на которые приходится менее одной пятой глобального почтового трафика. В сентябре в Symantec отметили возрастание злонамеренных спам-рассылок, ориентированных на владельцев и покупателей недвижимости. Спамеры оперативно отреагировали на падение процентных ставок на американском рынке жилья и стали атаковать пользователей заманчивыми предложениями, провоцируя получателей спамовых писем выслать персональные данные - якобы для оценки их перспектив как "претендентов". Специалисты Symantec зарегистрировали также массовую спам-рассылку "Work at home" ("Работа на дому") объемом более 100 миллионов писем. Вербовка агентов для отмывания денег, замаскированная под легитимные предложения вакансий, - одна из наиболее популярных тем спамовых писем. Эксперты отмечают тенденцию к переводу англоязычного спама на другие языки стран Европы. В сентябре спам-фильтры Symantec блокировали письма порноспамеров на французском языке с URL, ранее использовавшимся в англоязычных спам-рассылках; спам-рекламу препаратов для похудания на португальском языке; "казино-спам" на привычном итальянском, а также на немецком и испанском языках. Спамовые письма на русском языке рекламировали швейцарские часы, содержали резюме (за 4 часа специалисты Symantec заблокировали более 12000 писем с резюме выпускника экономического вуза) и атаковали клиентов Альфа-Банка с целью хищения персональных данных (более 10000 писем за сутки). Источник: Symantec "Пожаловаться на спам" - теперь по-французски 10.10.2007 Правительство Франции оплатило из госбюджета разработку новой open-source панели инструментов для почтовых клиентов Outlook и Thunderbird. Теперь французские пользователи могут "пожаловаться на спам", а исследователи - собрать ценную статистику для анализа тенденций распространения спама из местных источников. До введения в эксплуатацию системы Signal Spam пользователи французского сектора Интернета попросту удаляли непрошеные письма. Теперь, установив новую панель инструментов, они получили возможность извещать интернет-провайдера о своих преференциях нажатием релевантной кнопки. Сообщения, квалифицированные пользователем как спам, пересылаются в единую базу данных. Если непрошеное послание пришло из-за рубежа, программа Signal Spam дальнейших действий не предпринимает. Коммерческая реклама от легитимных отправителей инициирует автоответчик, который информирует получателя, как отказаться от рассылки. В этом случае рекламодатель должен предварительно зарегистрироваться в ресурсе Signal Spam. Письма спамеров перенаправляются на рассмотрение интернет-провайдеру, в сети которого зарегистрирован отправитель. Некоторые интернет-провайдеры из финансовых соображений терпят спамеров в своих ресурсах, тем не менее французский проект Signal Spam пользуется у них широкой поддержкой. С мая - месяца, когда был запущен проект, - в базу данных Signal Spam поступило около 3,5 миллионов спамовых сообщений. Через пару месяцев исследователи надеются располагать уже достаточным материалом для выработки рекомендаций по ограничению спама. К концу года руководители проекта планируют предоставить в открытый доступ аналогичную панель для Outlook Express. Ведутся также переговоры о разработке механизма подачи жалоб на спам при непосредственном доступе в почтовые сервисы Microsoft и Google. Создатели Signal Spam не исключают возможности дальнейшего усовершенствования программы для борьбы с фишингом. Источник: www.networkworld.com Спам - статистика за период 01 - 07 октября 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 79%. Самые серьезные изменения в тематическом распределении спама на прошедшей неделе произошли в рубриках "Другие товары и услуги" (доля в общем потоке спама уменьшилась почти на 13%), "Компьютерное мошенничество" (+9%) и "Медикаменты; товары/услуги для здоровья" (+5,4%). Среди интересных приемов, продемонстрированных спамерами на прошедшей неделе, можно отметить использование психологического теста. Известно, что люди редко могут удержаться от того, чтобы пройти случайно попавшийся психологический тест. Именно этим неистребимым любопытством и воспользовались спамеры. В письме, рекламирующем тренинги "Рожденная быть женщиной", они поместили тест, пройдя который женщина якобы может узнать, насколько она "настоящая женщина". Тест составлен таким образом, что результат в любом случае неизбежно намекает на необходимость посещения рекламируемого курса. Полный текст письма приведен на сайте Спамтест. Другой интересный спам прошедшей недели касался предстоящих выборов. Заметим, в нем также активно эксплуатируется женская тема. "Я хочу сделать женщинам "подарок" - вернуть им мужчин!" - довольно оригинальная программа для потенциального президента. Пример такого письма также приведен на сайте Спамтест. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 32,6% +5,4% 2 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 11,7% +9,0% 3 Образование Реклама семинаров, тренингов, курсов 11,0% +0,2% 4 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 10,3% -1,6% 5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 6,2% +1,3% 6 Другие товары и услуги Предложения других товаров и услуг 5,9% -12,8% 7 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 4,8% +1,9% 8 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 4,8% +2,9% 9 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3,3% -1,9% 10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 3,3% -1,6% 11 Юридические услуги и аудит Предложения юридических услуг 2,6% -0,5% 12 Остальной спам   Менее 2% -3,6% 13 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% Без изменений Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Спам в августе - сентябре 2007 Катерина Калиманова, "Лаборатория Касперского" Особенности периода Доля спама уверенно держится на отметке 75-80 %. Лидер тематического распределения спама - рубрика "Медикаменты; товары и услуги для здоровья", - составляет около трети всего спама. Рекордно низкие показатели доли тематики "Компьютерное мошенничество". Новинка: вложения формата ".fdf". Возвращение "нечитаемого" спама: спамеры возвращаются в "старым" методам кодирования текста. Доля спама в почте В августе - сентябре 2007 года доля спама уверенно держалась на отметке 75-80% от общего объема почты. Наименьшие показатели были зафиксированы 6 сентября - 68,1%, максимального значения доля спама достигла 2 сентября - 89%. Тематический состав спама Распределение тематик спама в Рунете в августе - сентябре 2007: Медикаменты; товары/услуги для здоровья - 28,6% Образование - 11,0% Компьютеры и Интернет - 10,3% Отдых и путешествия - 8,1% Услуги по электронной рекламе - 6,1% Компьютерное мошенничество - 4,2% Личные финансы - 2,9% Юридические услуги и аудит - 2,8% Недвижимость - 2,3% Спам "для взрослых" - 1,8% Полиграфия - 1,2% Другие товары и услуги - 20,8% Безусловный тематический лидер последних месяцев - спам тематики "Медикаменты; товары/услуги для здоровья". После незначительного падения доли данной тематики с 28,2% в июле до 26,6 в августе, англоязычная реклама пресловутой виагры (а именно такими письмами, в основном, представлена данная рубрика) в сентябре составила 30,7% всего спама. На втором месте с большим отставанием - рубрика "Образование". Данная тематика представлена в подавляющем большинстве русскоязычными письмами. Здесь можно наблюдать разнообразные - как традиционные, так и весьма экзотические - предложения: курсы повышения квалификации, семинары для руководителей компании, бухгалтеров и пр., психологические занятия для детей ("Воспитайте уверенного в себе ребенка"), курсы обучения различным экзотическим видам массажа. В лидирующую пятерку вернулась тематика "Отдых и путешествия", число рассылок которой возросло с наступлением осени. Этот рост был обусловлен приближением бабьего лета и бархатного сезона на курортах. Большая часть спамовых писем данной тематики была представлена русскоязычными предложениями организации разнообразного отдыха на выходных - от стандартных путешествий по городам Золотого кольца до туров "Магия древних славян" и "Реконструкция событий 1941-го на Бородинском поле". С наступлением сентября начали появляться и нехарактерные для летнего периода виды рассылок: организация корпоративного Нового года и предложения новогодних вояжей по всему миру. Впервые за последние полгода список лидирующих спам-тематик покинула тематика "Компьютерное мошенничество" (фишинг, "нигерийские" письма, поддельные уведомления о выигрыше в лотерею и т.п.). Отметим, что в августе показатели тематики составили 5,5%, в сентябре достигли рекордно низких 2,8%, а за отчетный период доля тематики составила в среднем 4,2%, что в 2,5 раза меньше, чем в аналогичный период прошлого года. Между тем, спам-аналитики "Лаборатории Касперского" зафиксировали любопытное спамовое письмо с предложением не самой обычной услуги - оказание помощи пострадавшим от деятельности интернет-мошенников. Доля спама тематики "Личные финансы" в августе - сентябре в среднем составила 2,9% от всего спама. Процент финансового спама значительно снизился еще в мае и продолжал оставаться минимальным весь август. Однако в сентябре его доля начала расти и к концу месяца достигла 4,9%. Вероятно, этот рост, как и пик рассылок в середине августа, обусловлен тем, что именно на данной категории спама спамеры тестируют новые методы и трюки для обхода спам-фильтров, о которых речь пойдет ниже. Доля спама тематики "Личные финансы" (август - сентябрь): 30/07 - 05/08 - 0,9% 06/08 - 12/08 - 0,4% 13/08 - 19/08 - 7,4% 20/08 - 26/08 - 0,4% 27/08 - 02/09 - 0,8% 03/09 - 09/09 - 1,7% 10/09 - 16/09 - 2,8% 17/09 - 23/09 - 3,3% 24/09 - 30/09 - 4,9% Спамерские методы и трюки В последнее время все усилия спамеров были направлены на так называемый "pump-and-dump" спам (он же stock spam - спам, продвигающий акции). Именно его пользователи получали в виде графических файлов, и именно его спамеры пытались рассылать в виде pdf-вложений. В августе в завершение своих экспериментов с использованием в спаме вложений спамеры стали рассылать сообщения с вложенными файлами формата ".fdf". В теле таких писем не содержалось текста. Вложения в fdf-формате, так же, как и вложения в нашумевшем ранее pdf-спаме, можно было открыть и посмотреть с помощью Acrobat Reader. Современные фильтры вполне успешно справились со спамом с fdf-вложениями, поэтому такой спама, так и не набрав значимых долевых показателей, очень быстро сошел на нет. В сентябре спамеры вновь реанимировали тактику рассылки простых plain text-писем с использованием небуквенных символов !)+!-[[[.-!-!*)!] - ()(* )+++!]:!]. В ход были пущены старые трюки - замена букв на небуквенные символы и разделение небуквенными символами букв ключевых слов. Результаты спамерских усилий были вполне прогнозируемы - "нечитаемый" (или очень плохо читаемый) спам: Этот спамерский трюк не нов. Впервые спамеры начали заменять отдельные буквы в словах небуквенными символами или буквами других алфавитов в 2003 году. Тогда они довели письма - результаты своих экспериментов - до абсолютно нечитаемого состояния, после чего использование подобных приемов на какое-то время прекратилось. Тем не менее, время от времени спамеры делают попытки возродить хорошо забытое старое, хотя результат таких попыток известен. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005