Электронный журнал "Спамтест" No. 209 В этом номере: Новости Спам-статистика за период 05 - 12 ноября 2007 г. Спам в октябре 2007 Новости Нарушитель CAN-SPAM Act лишится свободы на два года 09.11.2007 Согласно окончательному приговору, вынесенному федеральным судом Нью-Йорка, Тодд Мёллер (Todd Moeller) подвергнется штрафу на сумму более 180000 долларов и тюремному заключению на 2 года и три месяца. Мёллер и его сообщник Адам Вайтале (Adam Vitale) признались в нарушении американского антиспамового законодательства - нелегитимной рассылке миллионов рекламных писем пользователям сервиса AOL. Данная спам-рассылка была спровоцирована секретным агентом и проводилась в августе 2005 года. Во избежание обнаружения источника спама подельники искажали заголовки писем и использовали 40 различных веб-серверов. Доход спамеров от нелегального бизнеса измеряется десятками миллионов долларов. Окончательный приговор Вайтале будет вынесен 13 ноября. Источник: AFP Спамеры "собирают пожертвования" пострадавшим от лесных пожаров в Калифорнии 09.11.2007 Symantec зарегистрировала спам-рассылку, призывающую от лица Налоговой службы США (Internal Revenue Service, IRS) материально помочь жертвам лесных пожаров в Калифорнии. По данным исследователей компании, указанная в поддельных сообщениях ссылка осуществляла редирект сердобольных пользователей Интернета на мошеннический веб-сайт, предназначенный для отъема денежных средств. Стихийные бедствия и мировые катастрофы не теряют своей привлекательности для любителей легкой наживы. Играя на милосердии, сострадании, сочувствии к человеческим несчастьям, они преследуют свои корыстные цели, устраивая фиктивные лотереи и аукционы, придумывая поддельные благотворительные фонды, которые рекламируют с помощью спам-рассылок. Так было и в этот раз. В Калифорнии еще не закончили бороться с огнем и подсчитывать потери, а сетевые мошенники уже повели атаку на интернет-сообщество. Компания Websense поспешила опубликовать предупреждение о появлении фиктивных благотворительных веб-сайтов, активно рекламируемых мошенниками. Зафиксированная Symantec спам-рассылка традиционно использует имя одной из авторитетнейших организаций, чтобы убедить получателей поддельных писем в "легитимности" проводимой акции. Специалисты Symantec призывают пользователей к бдительности и рекомендуют удостовериться в легитимности источника почтовых сообщений, прежде чем активизировать сомнительную ссылку или раскрывать свои персональные данные. Источник: SYMANTEC Отчет Symantec по спаму за октябрь 12.11.2007 Согласно статистике Symantec, уровень спама в октябре по сравнению с сентябрем повысился незначительно и составил 70,5% почтового трафика. По оценке экспертов компании, за отчетный период возросла активность сетевых мошенников: на долю посланий от охотников за персональными данными и чужими кошельками в прошедшем месяце суммарно приходилось 18% от общего объема спама. Уровень графического спама пока остается неизменным и по-прежнему составляет 7% глобального спам-трафика. Спамовых писем с pdf-вложениями за отчетный период зарегистрировано не было. Тематическое распределение спама в октябре, согласно отчету Symantec, выглядело следующим образом: промтовары и услуги - 27%, Интернет - 18%, финансы - 14%, мошеннические схемы - 11%, медицинские препараты и услуги - 10%. Основным источником спама остается Северная Америка - ее доля в спам-трафике не изменилась (43%). Около трети спам-рассылок, зафиксированных Symantec, производилось с территории Европы, 18% - из Азии. Специалисты Symantec особо отмечают зафиксированную ими в октябре "биржевую" спам-рассылку, использующую в качестве вложений mp3-файлы. Средний размер звукового файла в этих посланиях составлял 63,3 КБ, продолжительность записи - около 30 секунд. В преддверии президентских выборов в США были также зарегистрированы несколько спам-рассылок в поддержку кандидата Рона Пола (Ron Paul). Исследователи Symantec не усматривают его прямой связи с агитационной спам-кампанией, но не исключают возможности появления других нелегитимных агиток по мере приближения дня выборов. Кроме того, в октябре Symantec обнаружила спам-рассылку на тему глобального потепления, призывающую поддержать мифическую акцию в защиту окружающей среды. По мнению экспертов, инициаторы данной рассылки охотились за персональными данными пользователей. Указать их должны были сами "участники" акции, чтобы некие "спонсоры" могли сделать благотворительный взнос от их имени. Источник: SYMANTEC Рецидив фишерского трюка спровоцировал эпидемию спама на MySpace 12.11.2007 Завлекая пользователей MySpace предложением подарочной карты на сумму 500 долларов от имени торгового сервиса MACY, фишеры вновь открыли охоту на аккаунты этой социальной сети. Похищенные регистрационные данные злоумышленники используют для дальнейшего распространения своей приманки - осуществляют рассылку спамовых сообщений по всем контактам жертвы. Привлекательные предложения "от MACY", опубликованные в профилях без ведома их владельцев и рассылаемые с их аккаунтов по спискам друзей, нередко украшены изображением полуобнаженной молодой особы и снабжены релевантной ссылкой. Текст комментария к ссылке оформлен в лучших традициях молодежной субкультуры: "Hey dude, check it out! You ain't gunna believe this! " (в вольном переводе - "Эй, чувак, зацени! Обалдеть можно!"). При клике по ссылке заинтригованный юнец попадает на поддельную страницу регистрации MySpace, требующую от него повторно ввести логин и пароль. Жертва фишеров даже не заподозрит о своем участии в распространении спама, пока не ознакомится с комментариями разъяренных друзей и не догадается сменить пароль. Пока трудно сказать, сколько конкретно членов сообщества MySpace оказались вовлеченными в лавинообразный поток этого спама. На настоящий момент, по экспертным оценкам, их число измеряется тысячами. Представители MySpace объявили СМИ, что уже нейтрализовали злоумышленников и проводят внутреннее расследование, хотя доказательств решения проблемы не представили. В MACY также нет никаких сведений о поимке инициаторов акции. Источник: CBS Проект Knujon: спамеров нужно прежде всего бить по карману 12.11.2007 Уже два года создатели проекта Knujon (анаграмма от "No junk" - "Нет мусору"), отец и сын Бруены (Bruen), исследуют миллионы нелегитимных сообщений, изучая ссылки на веб-хостинги спамеров и добиваясь закрытия этих незаконных кормушек сетевого андеграунда. Некоммерческий проект Knujon был задуман как средство уничтожения материальной основы спамерской рекламы - нелегальных интернет-магазинов и веб-сайтов, которые осуществляют продажу товаров и услуг, рекламируемых в спам-рассылках. Получая образцы спамовых писем от участников проекта и добровольцев, семейный дуэт Бруенов анализирует указанные в них URL и направляет релевантные отчеты на рассмотрение интернет-провайдерам, в сетях которых находятся обнаруженные веб-хостинги спамеров. Гарт (Garth) Бруен скептически относится к целесообразности использования традиционных средств защиты от спама, ориентированных на выявление и блокирование источников спам-рассылок. Он уверен, что сетевых охотников за наживой надо бить по карману, ликвидируя их "торговые точки". Бизнес спамеров будет процветать, пока есть покупатели. Согласно последнему опросу, проведенному с целью изучения потребительского спроса, в течение месяца более 650000 пользователей Интернета сделали заказ на товары и услуги, рекламируемые с помощью спам-рассылок. В настоящее время проект Knujon насчитывает примерно 2000 зарегистрированных пользователей, ежедневно присылающих для анализа около 20000 образцов спамовых писем. В целях поддержания проекта и ограждения его от злонамеренных посягательств с недавних пор его участники платят ежегодный взнос в сумме 27 долларов. У проекта есть около 2000 добровольных помощников, также пополняющих его базу данных. С 2005 года на веб-сайте knujon.com было собрано и обработано 4 миллиона спамовых сообщений, а также информация по 350000 веб-сайтам спамеров, более 50000 из которых удалось закрыть. Отец и сын Бруены работают над созданием схемы распределения криминальных структур в Интернете - с указанием используемых злоумышленниками сетевых ресурсов и рекламируемых ими товаров и услуг. Источник: NetWorkWorld Криминальное лицо спама 13.11.2007 "Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, зафиксировала спам-рассылку с предложением DDoS-услуг. DDoS-атаки (Distributed Denial of Service - "Распределенный отказ в обслуживании") - криминальный метод, запрещенный законами большинства стран, в которых хорошо развит Интернет. По словам руководителя отдела аутсорсинга IT-безопасности Андрея Никишина, рассылки подобного содержания встречаются крайне редко - как правило, предложения криминальных "услуг" публикуются на хакерских сайтах. "Видимо, у владельцев бот-сетей появился излишек мощностей, и они решили подзаработать на DDoS-атаках, - говорит А. Никишин. - Не исключено и то, что какая-то новая криминальная группировка таким образом пытается найти клиентов." Предложение "услуги по устранению нежеланных сайтов", адресованное пользователям Рунета, носит откровенно криминальный характер. И создание ботнетов, и проведение DDoS-атак противозаконны; между тем, злоумышленники откровенно нагло заявляют о том, что в их распоряжении имеется международная зомби-сеть, и они готовы использовать ее для проведения заказных DDoS-атак. Спам-аналитики "Лаборатории Касперского" отмечают, что данная рассылка является яркой иллюстрацией продолжающегося процесса криминализации спама в Рунете. (Пример письма, предлагающего DDoS-услуги, можно найти на сайте Спамтест.) Источник: "Лаборатория Касперского" Спам-статистика за период 05 - 12 ноября 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 87%. Тематическое распределение спама на прошедшей неделе показало относительную стабильность. Самые серьезные изменения произошли в рубриках "Личные финансы" (+5,7%), "Компьютеры и Интернет" (-4%) и "Другие товары и услуги" (-4,3%). Продолжается рост относительной доли спама тематик "Полиграфия" (за счет предновогодних предложений) и "Юридические услуги и аудит" (увеличилось количество предложений по бухгалтерским услугам и аудиту в преддверии конца финансового года). Спектр полиграфических услуг с каждым годом становится шире. На прошедшей неделе в дополнение к календарям и другой традиционной сувенирной продукции спамеры предлагали такие нетипичные вещи, как печать логотипов на полотенцах и "корпоративный чай". Увеличение относительной доли спама тематики "Личные финансы" на прошедшей неделе было обусловлено не привычными уже рассылками, посвященными акциям, а спам-письмами, призывающими принять участие в сетевом маркетинге. Эта популярная тема никогда не покидала потоков спама, но в последнее время отмечается новый всплеск ее популярности у спамеров. Продолжает поступать в почтовые ящики пользователей и предвыборный спам. Рассылка, произведенная на прошлой неделе, критиковала правительство и провозглашала народ носителем суверенной власти в России. Необходимо отметить, что на прошедшей неделе были зафиксированы и письма на другие темы, разосланные также от имени "русского писателя". Имя, которым подписано послание, знакомо спам-аналитикам "Лаборатории Касперского" еще по предвыборным рассылкам 2005 года, когда "писатель" являлся кандидатом в депутаты. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 21,0% -4,3% 2 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 19,0% +0,1% 3 Образование Реклама семинаров, тренингов, курсов 15,4% -3,1% 4 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 10,5% +3,3% 5 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 8,5% +5,7% 6 Полиграфия Визитки, календари, печать, услуги типографии и пр. 5,2% +1,2% 7 Юридические услуги и аудит Предложения юридических услуг 4,9% +0,9% 8 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 3,6% -4,0% 9 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 3,3% -0,3% 10 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 2,6% +2,2% 11 Остальной спам   2,6% -3,0% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 2,3% +2,2% 13 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества Менее 2% -1,0% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Спам в октябре 2007 Катерина Калиманова, "Лаборатория Касперского" Особенности месяца Доля спама в почте Рунета достигла 85-90%. Предвыборный спам. Принципиально новый вид спама: вложенные аудиофайлы в формате mp3. Атака фишеров на пользователей системы "Яндекс.Деньги". Доля спама в почтовом трафике Тематический состав спама Рейтинг спам-тематик Предвыборный спам Спамерские методы и трюки Атака фишеров на "Яндекс.Деньги" Доля спама в почтовом трафике Доля спама в почтовом трафике в октябре возросла и составила в среднем от 85 до 90% общего объема почты в Рунете. Среднемесячный показатель достиг 85,8%. Неожиданный "провал" доли спама до 72,9% был зафиксирован 23 октября. Максимальное значение доли спама в октябре составило 94,9% и пришлось на 13 число. Тематический состав спама Рейтинг спам-тематик Медикаменты; товары/услуги для здоровья - 32,7% Другие товары и услуги - 11,5% Образование - 10,6% Компьютеры и Интернет - 10,1% Отдых и путешествия - 8,0% Компьютерное мошенничество - 7,0% Услуги по электронной рекламе - 5,8% Личные финансы - 4,3% Спам "для взрослых" - 3,6% Недвижимость - 3,4% Полиграфия - 1,6% Юридические услуги и аудит - 1,5% За истекший месяц в состав лидирующих спам-тематик вновь вернулась тематика "Компьютерное мошенничество", доля которой увеличилась почти на 3% и по итогам октября составила 7%. Стабильно высокие показатели сохраняет рубрика "Медикаменты; товары/услуги для здоровья", которая давно уже лидирует в потоках спама и явно не собирается сдавать позиции в ближайшее время. Основная масса рассылок, посвященных образованию, в октябре традиционно рекламировала курсы повышения квалификации и тематические семинары. Также были отмечены рассылки, посвященные услугам по написанию дипломных и курсовых работ, а также несколько экзотических рассылок наподобие предложения изучить "практический аспект знаний Ведической культуры". Тематика "Отдых и путешествия" в октябре была представлена главным образом рекламой поездок на ноябрьские праздники и предложениями новогоднего отдыха. Предвыборный спам В связи с приближающимися в России выборами в октябре существенно возросло количество политического спама. Впечатляет не только число подобных писем, но и их разнообразие. В течение месяца наблюдались: уже ставшая привычной политическая пропаганда (спам с заголовком "Американцы готовят Революцию в нашей стране"), местечковые "разборки" в Пушкинском муниципальном районе Подмосковья, а также настоящая партийная программа. Последним методом общения с электоратом отличилась ЛДПР, заявившая, что такая незапрошенная массовая рассылка - единственно верное для партии средство ознакомить потенциальных избирателей со своей программой. Отметим, что помимо русскоязычных предвыборных рассылок спам-аналитики "Лаборатории Касперского" зафиксировали англоязычный спам, имеющий отношение к президентским выборам в США: сообщения, разосланные пользователям электронной почты, расписывали достоинства одного из кандидатов. Спамерские методы и трюки В октябре спамеры протестировали принципиально новый метод - в спамовые письма были вложены аудиофайлы в формате mp3. В последнее время спамеры, как правило, проводят всяческие эксперименты, рассылая "финансовый" спам. Очередная новинка не стала исключением - "звуковые" письма принадлежали к категории "pump-and-dump" спама (он же stock spam) - спама, продвигающего акции. Спамовые письма с mp3-файлами не содержали никакого текста. После открытия вложенной записи пользователь в течение 25-33 секунд мог слышать искаженный звуковым фильтром женский голос, предлагающий купить акции некой компании. Спамеры, завладевшие акциями данной компании, пытались таким образом поднять их котировку с целью последующего выгодного сбыта возросшей цене. Очевидно, спамеры сделали ставку на то, что пользователи довольно часто пересылают друг другу короткие звуковые файлы с шутками и песенками. Однако из-за необходимости сделать спамовые письма как можно более компактными злоумышленники были вынуждены использовать аудиозапись очень низкого качества. Кроме того, в целях уменьшения размера файла спамеры изменяли его технические характеристики с каждым новым письмом, отчего восприятие записи ухудшалось еще больше. Предсказания о грядущем появлении mp3-спама звучали уже довольно давно, однако, по мнению экспертов, его развитие и дальнейшее распространение будет сильно ограничено упомянутыми техническими недостатками и необходимостью искать компромисс между качеством записи и объемом писем. Учитывая, что большинство пользователей не будут даже пытаться разобрать содержание спамовой mp3-записи плохого качества, эффективность и целесообразность таких рассылок представляется сомнительной. Атака фишеров на "Яндекс.Деньги" В октябре в течение всего месяца продолжались атаки фишеров на пользователей платежной системы "Яндекс.Деньги". За истекший период спам-аналитики "Лаборатории Касперского" зафиксировали самую масштабную атаку русскоязычных фишеров в Рунете. В фишинговых письмах, имитировавших официальное сообщение системы "Яндекс.Деньги", пользователям предлагалось пройти по ссылке с целью реактивации счета. Ссылка выглядела схожей с легитимным адресом. При переходе по ней пользователь попадал на поддельную фишинговую страницу, в деталях имитировавшую настоящую страницу "Яндекс.Денег". В том случае, если доверчивый пользователь вводил свои данные, его логин и пароль попадали в руки мошенников. К счастью, фишеры допустили ряд технических ошибок, а адреса используемых ими фальшивых страниц оказались занесенными в антифишинговые базы. Современные интернет-браузеры выдавали пользователю соответствующее предупреждение. Необходимо отметить, что до недавнего времени русскоязычные фишинговые рассылки в Рунете были относительно редки. Однако в связи с развитием в России системы интернет-банкинга русскоязычные фишеры заметно активизировались. Российским пользователям следует ожидать новых фишинг-атак, быть внимательными и помнить, что солидные компании никогда не присылают своим клиентам писем с просьбой отправить по электронной почте конфиденциальную информацию. (Иллюстрации доступны на сайте Спамтест.) Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005