Электронный журнал "Спамтест" No. 210 В этом номере: Новости Спам-статистика за период 12 - 18 ноября 2007 г. Энциклопедия спама. Профилактика спама Новости Ipswitch: уровень спама в корпоративной почте продолжает увеличиваться 20.11.2007 Согласно итогам опроса, проведенного Ipswitch в июле 2007 года среди пользователей сетевого ПО этой компании, объемы спама в почтовых ящиках каждой пятой североамериканской организации за год выросли вдвое. Для каждой из них сумма корпоративного ущерба от спама с учетом снижения производительности и временых затрат на обработку нелегитимной корреспонденции за год составила в среднем 5600 долларов. В онлайн-опросе ''Managing Your Organization's E-mail and Messaging'' (''Управление корпоративной электронной почтой и обменом сообщениями'') приняли участие более 460 IT-профессионалов и корпораций Северной Америки. 76% из них отметили увеличение - в той или иной степени - годовых объемов спама, 27% получают жалобы на спам от клиентов ежедневно, 25% - еженедельно. В то же время уровень инфицирования компьютеров корпоративных пользователей троянскими программами, червями и вирусами изменился незначительно. Средний показатель за год составил 30 случаев заражения. 11% респондентов заявили об увеличении количества случаев попадания подобных программ на ПК и лэптопы своих пользователей, а 44% - об уменьшении показателя в течение года. Что касается шпионских программ и кейлоггеров, 17% опрошенных отметили рост числа заражений, 32% - уменьшение, а 31% посчитали, что показатель остался без изменений и составил в среднем 22 случая в год. По оценке Ipswitch, суммарные расходы крупных корпораций на мероприятия по защите от сетевых угроз (включая установку и обслуживание защитных средств, содержание специального персонала, ликвидацию последствий сетевых атак и обучение пользователей) в среднем составили более 13000 долларов в год. Малые и средние бизнес-структуры тратят на защиту сетевого трафика на 40% меньше. Результаты опроса показали также, что излюбленными средствами сетевой защиты североамериканского бизнеса являются ''черные'' и ''белые'' списки. 37% участников опроса отдают предпочтение бесплатным RBLS (Real-Time Blackhole Lists), считая их использование ''очень важным'', а 21% - методу идентификации по схеме ''запрос-ответ'' (challenge/response). Подписные RBLS пользуются значительно меньшим спросом. Источник: EARTHTIMES Новое амплуа "штормового троянца" 20.11.2007 Экспертами Symantec зафиксирована новая рассылка вредоносных писем на тему угрозы личной безопасности. Получателю сообщается, что за ним следит и прослушивает его телефон некий наемный сыщик, готовый отказаться от своей миссии и предоставить в качестве доказательства запись телефонных разговоров подопечного объекта в виде прикрепленного rar-файла, защищенного паролем. На самом деле вложение содержит троянскую программу. По мнению экспертов по сетевой безопасности, данная спам-рассылка - не что иное, как вариант ''писем от киллера''. Вместо элемента вымогательства злоумышленники используют вредоносное вложение в rar-формате, призванное приобщить компьютер жертвы к армии сеющего спам ботнета. По данным Symantec, вредоносные сообщения озаглавлены однозначно: ''Important'' (''Важно''), ''Attention'' (''Внимание''), ''Danger'' (''Опасность''). В теле письма сообщается о ведущемся наблюдении и готовности отправителя сообщить имя заказчика в следующем письме. Для пущей убедительности получателю письма предлагается прослушать запись его телефонных разговоров, которая якобы содержится в прикрепленном архивном файле. Имя этого файла не отличается большой оригинальностью - ''call1105-<две цифры>.rar''. Чтобы получатель смог открыть архив, услужливый ''агент'' приводит в тексте письма релевантный пароль. Открытие файла-вложения приводит к загрузке на компьютер пользователя ''штормового троянца''. Источник: SYMANTEC Популярность сервиса YouTube у спамеров растет 20.11.2007 Эксперты по сетевой безопасности снова зафиксировали нелегитимную рассылку ''для друзей'' от имени сервиса YouTube. При переходе по указанной в спамовом письме ссылке, якобы ведущей на видеоролик с ''трогательной историей соединения двух любящих сердец'', пользователь попадает на поддельную страницу, в деталях воспроизводящую оригинальный сайт сервиса. Адрес страницы также призван убедить в ее ''легитимности'' - он начинается с доменного имени ''www6.youtube.com''. При попытке просмотра ролика или отправке ''видеоответа'' пользователь видит стандартное сообщение YouTube о том, что его версия флэш-плеера устарела и для просмотра видео необходимо скачать новую. На самом деле результатом загрузки файла под именем ''install_flash_player.exe'' становится инсталляция на компьютер троянской программы. ''Антивирусом Касперского'' она была опознана как Backdoor.Win32.Agent.csv - утилита удаленного администрирования, позволяющая злоумышленникам производить с зараженных машин дальнейшую рассылку спамового письма-''приглашения''. Необходимо отметить, что открытие ссылок на другие ролики, находящиеся на поддельной веб-странице, также ведет к просьбе обновить версию флэш. Как отмечают исследователи, в описываемом случае с конкретной ссылкой браузер Mozilla Firefox предупреждает пользователя о том, что страница фальшивая и работа с ней может привести к неприятным последствиям. Однако совсем не факт, что в случае смены мошенниками хостинга ссылки окажутся занесенными в антифишинговые базы. Источник: MARSHAL источник: TRENDMICRO Прогнозы MessageLabs на 2008 год 21.11.2007 По мнению исследователей MessageLabs, в 2008 году число игроков в теневом секторе Интернета увеличится, а креативность киберкриминальных элементов возрастет. Эксперты компании прогнозируют, что для повышения финансовой выгоды от нелегитимной рекламы инициаторы спам-рассылок пойдут по стопам вирусописателей, придавая своим атакам целевой характер. Рассылки в будущем году сохранят большие тиражи, но спам-контент будет ориентирован на более узкие социальные группы пользователей. Инструментарий спамеров и сетевых мошенников получит дальнейшее развитие и станет более разнообразным. В этом году интернет-сообщество уже стало свидетелем экспериментального прогона образцов ''биржевого'' спама в формате mp3. Специалисты MessageLabs не исключают возможности появления спам-рассылок с вложенными видеороликами и презентациями в ppt-формате. Против ожиданий, освоение спамерами сферы IM в 2007 году продвигалось медленными темпами. По мнению исследователей, в грядущем году этот сектор Интернета привлечет более пристальное внимание теневых структур. Спам-рассылки по IM-каналам будут производиться аналогично системам телемаркетинга, когда пробная рассылка по 100 адресам в случае низкой эффективности мгновенно заменяется другим вариантом. Появившийся в начале текущего года мощный инструмент - ''штормовой'' ботнет, по признанию экспертов, подает пример высокой организации и профессионализма в среде криминального бизнеса. Специалисты MessageLabs полагают, что в 2008 году интернет-сообществу придется еще неоднократно столкнуться с разрушительными последствиями атак с этого ботнета, а деятельность управляющей им криминальной группировки найдет немало подражателей среди представителей теневых структур Интернета. Согласно экспертным оценкам, масштабы подпольного рынка, функционирующего в Интернете, в настоящее время составляют в денежном выражении более 105 миллиардов долларов. В условиях роста индустриализации производства криминального инструментария исследователи MessageLabs прогнозируют дальнейшее расширение и развитие этого рынка в соответствии с экономическими законами реального мира бизнеса. Повышение качества и разнообразия доступных продуктов для проведения интернет-атак снижает требования к технической подготовке их инициаторов и, как следствие, расширяет аудиторию охотников за наживой во ''всемирной паутине''. Источник: MESSAGELABS Спамеры - "поклонники знаменитостей" 21.11.2007 Вот уже три месяца эксперты Marshal наблюдают за деятельностью группы спамеров, условно названных ими ''поклонниками знаменитостей'' из-за пристрастия к громким именам, которые они используют в качестве приманки при рассылке спамовых писем. Рассылаемые ими сообщения зачастую бывают снабжены вредоносными файлами-вложениями, превращающими компьютеры пользователей в элементы ботнета. По данным Marshal, данная группа спамеров была причастна к рассылке вредоносных писем с прикрепленными zip-файлами (''game.zip'', ''update.zip''), в которых под видом ''игры с участием Анджелины Джоли'' либо ''обновления Windows'' содержалась программа-downloader. Специалисты Marshal также полагают, что этот же спамерский ботнет участвовал в одной из вредоносных pdf-атак с использованием уязвимости в функции ''mailto:'' браузера Internet Explorer 7. ''Поклонники знаменитостей'' вновь активизировались к середине ноября. В Marshal была зафиксирована рассылка новых вариантов вредоносных писем, предлагающих посмотреть стриптиз кинодивы. Прикрепленный к ''игривым'' посланиям спамеров файл под именем ''хgame.exe'' был идентифицирован как Trojan-Downloader.Win32.Agent (''Лаборатория Касперского''). Он устанавливает на компьютеры жертв другие вредоносные программы, позволяющие рассылать спам с инфицированных машин. Кроме того, в спам-фильтрах Marshal осели рассылаемые с того же ботнета письма с русскоязычной рекламой услуг по осуществлению нелегитимных рассылок. Российские спамеры предлагают гарантированную доставку 1 миллиона рекламных писем за 3 тысячи рублей и в качестве контакта приводят московский номер телефона. Еще одна многотиражная спам-рассылка с ботнета ''поклонников знаменитостей'', зафиксированная Marshal, традиционно рекламирует контрафактную Виагру. По оценке Marshal, спам-рассылки данной криминальной группировки за последний месяц составили около 20% мирового спам-трафика. Источник: MARSHAL В Бразилии арестована группа мошенников, опустошавших онлайн-счета 21.11.2007 Силами федеральной полиции Бразилии была обезврежена молодежная группировка численностью 31 человек, уличенная в хищении персональных данных пользователей банковских онлайн-сервисов и снятии денежных средств с их счетов. В полицейской операции приняли участие 160 агентов из трех бразильских штатов и столичного округа. По данным полиции, в группировку входили молодые люди в возрасте 22-25 лет, а возраст ее главаря - жителя штата Минас-Жерайс - составляет 23 года. Мошенники осуществляли вредоносные спам-рассылки от имени различных компаний. Устанавливаемые на компьютеры жертв программы-шпионы специализировались на хищении банковских реквизитов и активизировались при заходе владельца инфицированного ПК в систему интернет-банкинга. С помощью похищенных персональных данных мошенники производили различные финансовые операции в банковских онлайн-сервисах, а также перекачивали деньги со счетов своих жертв на счета подставных клиентов. По оценкам полиции, некоторые пострадавшие в ходе спамерской атаки потеряли до 8000 реалов (4500 долларов), а годовой доход каждого из участников преступной группировки составил в среднем 600000 реалов (343000 долларов). Источник: Daily News Symantec: тенденции и прогнозы эволюции сетевых угроз 21.11.2007 Компания Symantec опубликовала список десяти основных тенденций развития криминальной деятельности в Интернете. В условиях общего возрастания профессионализма и усугубления финансовой мотивации киберзлоумышленников особую озабоченность экспертов по сетевой безопасности вызывают утечки конфиденциальной информации, эксплуатация уязвимостей ОС Windows Vista и стремительное увеличение спам-трафика. По оценке Symantec, утечки персональных данных наиболее наглядно демонстрируют переход киберкриминала от любительских эскапад к целевым атакам, обусловленным стремлением извлечь финансовую выгоду. Согласно результатам исследования, проведенного в 2006 году институтом Понемон (Ponemon Institute), ущерб от разглашения конфиденциальной информации в каждом отдельно взятом случае в среднем оценивается в 4,7 миллиона долларов и, по прогнозам, сумма эта будет только увеличиваться. По мере расширения внедрения Windows Vista возможности эксплуатации уязвимостей этой операционной системы привлекают все большее внимание вирусописателей. Со времени запуска Vista Microsoft уже выпустила 16 патчей к ней. По данным Symantec, объемы спама в 2007 году достигли рекордного уровня. В отчетный период спамеры отдавали предпочтение использованию посланий большого размера: рассылка графического спама, вредоносных виртуальных открыток, нелегитимных сообщений с pdf- и mp3-вложениями значительно увеличивала нагрузку на пропускную способность почтовых серверов. Эксперты отмечают, что спам-индустрия стала серьезным бизнесом, приносящим организаторам немалые дивиденды. Четвертое место в списке важнейших тенденций развития сетевого андеграунда, составленном Symantec, занимает распространение готовых комплектов для проведения интернет-атак. 42% фишерских сообщений, зафиксированных Symantec в 1 половине 2007 года, были разосланы с помощью трех таких комплектов, а созданные с их помощью веб-сайты, предназначенные для хищения персональных данных, составляют 86% всех фальшивых страниц в Интернете. Фишинг, подделка популярных брендов и расширение использования ботнетов также занимают далеко не последние места в списке выделенных Symantec тенденций. По данным компании, в первом полугодии 2007 г. ассортимент фишинговых посланий увеличился на 18%; в 79% атак фишеры использовали логотипы финансовых структур. В грядущем году аналитики компании предсказывают активизацию киберкриминала в период президентских выборов в США, размещение фишерских веб-сайтов на инфицированных компьютерах, возрастание сетевых атак на веб-браузеры (таких как использование межсайтового скриптинга), атаки на мобильные телефоны и смартфоны и дальнейшую охоту за виртуальными ценностями. Источник: INFORMATION WEEK Спам-статистика за период 12 - 18 ноября 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 83,6%. Говоря о тематическом распределении спама, необходимо отметить несколько серьезных изменений по сравнению с предыдущей неделей. В первую очередь они коснулись рубрики ''Услуги по электронной рекламе'', относительная доля которой в общем почтовом потоке в последнее время была довольно мала. На прошедшей неделе показатель вырос на 14,1%. Снова увеличилось относительное количество спама тематики ''Медикаменты; товары/услуги для здоровья'' (+16,1%). Напротив, существенно уменьшилась доля спама, посвященного образованию (-10,2%). Необходимо отметить, что спама, посвященного предстоящим выборам, становится все больше. Даже в тех случаях, когда письмо рекламирует не имеющий отношения к предвыборной тематике продукт/услугу, упоминание выборов иногда используется с целью привлечения внимания получателей. Большая же часть ''предвыборных'' рассылок непосредственно агитирует голосовать за ту или иную партию. Интересно письмо, призывающее всех сознательных граждан голосовать против всех кандидатов (что особенно любопытно, учитывая отсутствие такового пункта в бюллетенях на грядущих выборах). Однако интересно оно не только этим, но и способом своего распространения. Данное сообщение относится к разряду так называемых ''цепочечных'' писем, дальнейшую рассылку которых обеспечивают сами получатели. Классический пример ''цепочечного'' спама - так называемые ''письма счастья'', призывающие человека разослать полученное письмо как можно большему числу знакомых, чтобы исполнилось его желание или чтобы с человеком не случилось ничего дурного. Активно эксплуатируя тему надвигающихся выборов, спамеры взяли на вооружение, казалось бы, вполне безобидные ''цепочечные'' письма, сделав их ''политизированными''. На фоне интереса к выборам, политике и общественной жизни появились и некоторые необычные предложения, эксплуатирующие социальную и правовую тематику. Например, спамеры рекламируют базу, содержащую информацию по безнаказанным убийствам. По сравнению со всем перечисленным почти безобидным выглядит предложение шестнадцатилетней девушки продать свою девственность. Несколько лет назад мировую общественность шокировало известие о том, что девушка выставила свою девственность как лот на одном из электронных аукционов. На прошедшей неделе аналогичная причуда добралась и до русскоязычных потоков спама. Впрочем, спам-аналитиков ''Лаборатории Касперского'' шокировать не так-то просто. Да и девушка на сей раз явно продешевила. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 35,1% +16,1% 2 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 16,7% +14,1% 3 Другие товары и услуги Предложения других товаров и услуг 15,6% -5,4% 4 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 8,9% -1,6% 5 Образование Реклама семинаров, тренингов, курсов 5,2% -10,2% 6 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 4,8% -3,7% 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 4,6% +1,0% 8 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 2,2% +1,2% 9 Остальной спам   2,2% -0,4% 10 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% -1,2% 11 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -2,2% 12 Юридические услуги и аудит Предложения юридических услуг Менее 2% -3,2% 13 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -4,3% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Энциклопедия спама. Профилактика спама "Лаборатория Касперского" Как уменьшить поток спама Проблемы с рекламными рассылками (спамом) у частного пользователя начинаются в тот момент, когда его email-адрес попадает в базу данных к спамерам. Выполнение приводимых ниже рекомендаций специалистов поможет максимально отдалить этот момент. Откуда спамеры узнают ваш адрес Спамеры находят email-адреса своих жертв различными способами: сканируя веб-сайты; сканируя доски объявлений, форумы, чаты, Usenet News и так далее; подбирая ''легкие'' адреса (jonh@, mary@, alex@, info@, sales@, support@) по словарю имен и частых слов; подбирая ''короткие'' адреса (aa@, an@, bb@, abc@) методом простого перебора. Исходя из этого, частному пользователю можно порекомендовать следующие меры: Заведите себе два адреса - частный, для переписки (приватный и малоизвестный, который вы никогда не публикуете в общедоступных источниках), и публичный - для публичной деятельности (форумов, чатов и так далее). Адрес для переписки никогда не должен публиковаться в открытом доступе. Адрес для переписки не должен быть легким в запоминании или ''красивым''. Ваше имя или красивое слово не подходят. Vasily.M.Pupkin-IV - подходит вполне. Чем длиннее адрес и чем менее он более удобочитаем - тем лучше. Если нужно сообщить свой приватный адрес (в конференции, на сайте) - делайте это способом, непригодным для автоматического прочтения сборщиком адресов. ''Ivan-точка-Susanin-собака-mail-точка-ру'' - хороший способ. ''Ivan.Susanin at mail.ru'' - гораздо хуже, Ivan.Susanin@mail.ru - никуда не годится. Если речь идет о публикации на сайте, можно опубликовать адрес в виде картинки. Адрес для публикации нужно заранее считать временным. Не стоит его жалеть - вы всегда можете завести новый. Как правило, спам начинает приходить на него через несколько дней после публикации. Поскольку этот адрес могут использовать не только спамеры (туда будет приходить и нормальная почта), стоит его периодически просматривать. Вы можете читать почту, приходящую на него, раз в неделю или раз в месяц. Регистрации на сайтах Некоторые интернет-магазины, конференции, форумы и т.п. требуют регистрации с указанием работающей электронной почты. Иногда переданные таким образом адреса попадают к спамерам. Далеко не всегда это злой умысел, но пользователям от этого не легче. Поэтому: При регистрациях всегда указывайте публичный адрес. Он все равно может считаться потерянным. Можно на каждую регистрацию заводить новый адрес на бесплатных почтах - тогда вы будете знать, кто из магазинов и форумов ''продал'' ваш адрес спамерам. Спам все равно приходит. Что делать? Если спама приходит немного и с ним еще можно мириться, то следует придерживаться простых правил: Никогда не отвечайте спамеру. Возможно, ничего плохого не произойдет. Но может случиться и так, что ваш ответ прочитает ''робот'' и пометит ваш адрес как ''живой'' - в результате спама будет приходить еще больше. Не пытайтесь воспользоваться ссылкой ''отписаться'', если вы не уверены, что она сработает. Возможно, вас действительно отпишет данный конкретный рассыльщик. Но при этом ваш адрес могут пометить как действующий... и спама станет больше. Узнать, что случится, можно только опытным путем. Но хотите ли вы этого? Если мириться со спамом уже никак нельзя: Смените свой ''частный'' адрес. На некоторое время это поможет. Я никому не давал адрес, кроме самых близких знакомых, но на него приходит спам К сожалению, ваш адрес мог быть украден из адресной книги вашего знакомого почтовым вирусом (который рассылается по адресной книге). Какого-либо разумного способа уберечься от этого не существует - даже если у всех знакомых есть антивирусная программа, у нее должны быть обновленные базы данных и т.д. Мне нужен адрес, куда всякий желающий мог бы написать! Если вы хотите все-таки иметь общеизвестный и общедоступный адрес, приготовьтесь получать туда сотни спам-сообщений в сутки. Если не повезет - то тысячи в сутки. Если от такого адреса вы не хотите отказываться, то остается последний совет: Используйте антиспам-фильтр - или на сервере, выбрав провайдера с услугой фильтрации спама, или у себя на компьютере, выбрав средство, подходящее для вашего почтового клиента. Современные фильтры обладают достаточно высоким качеством (процент фильтруемого спама у хороших и хорошо настроенных фильтров достигает 95-99%), и их использование резко снизит остроту проблемы. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005