Электронный журнал "Спамтест" No. 213 В этом номере: Новости Спам-статистика за период 03 - 09 декабря 2007 г. Спам в ноябре 2007 Новости Пермское УФАС объявило войну спамерам 13.12.2007 Специалисты УФАС (управления Федеральной антимонопольной службы) по Пермскому краю возбудили 4 дела против распространителей спама, нарушивших российский закон "О рекламе". Первые жалобы на рассылку корреспонденции в нарушение новой редакции закона начали поступать в краевое УФАС с осени текущего года. Получателями одной из таких спам-рассылок стали: работники управления ФАС Приморского края. Факсимильные аппараты краевой антимонопольной выдавали сообщения с рекламой мебели и оборудования для офисов, сведения о поставщике и его услугах. Компания-спамер оказалась зарегистрированной на территории Прикамья, поэтому расследованием занялось местное УФАС. После рассмотрения дела факт нарушений был установлен. Представители мебельной компании признали, что проводили массовую рассылку рекламы без согласия получателей, а автоматизацию рассылки попытались объяснить необходимостью учета разницы в часовых поясах. Тем не менее, руководству компании было вынесено предписание устранить нарушение. Кроме того, поставщик мебели будет привлечен к административной ответственности. Три других дела, принятых к рассмотрению пермским УФАС, связаны с распространением нежелательной рекламы по каналам электронной почты. В качестве заявителя во всех трех случаях фигурирует местный индивидуальный предприниматель, который обвинил в спамерской деятельности пермский филиал Высшей школы экономики, центр по изучению иностранных языков и коллегу-бизнесмена. Юрист учебного заведения отказался комментировать ситуацию до рассмотрения дела, которое назначено на 13 декабря. По словам заявителя, получение нелегитимных писем из названных им источников приводило к переполнению его почтового ящика и даже потере важной корреспонденции. В связи с этим бизнесмен попросил не только устранить данные нарушения, но и обязать спамеров компенсировать ему моральный ущерб. В краевом УФАС пояснили, что максимальная мера, которую они могут применить в случае подтверждения факта нарушения, - обязать виновника исправить ситуацию. В случае наложения штрафа за нарушение установленная сумма будет направлена в местный бюджет. Чтобы получить компенсацию за моральный ущерб, заявителю следует обратиться с решением комиссии краевого УФАС в судебные инстанции. По словам ведущего эксперта УФАС Татьяны Тудвасевой, установить факт нарушения статьи нового закона "О рекламе", оговаривающей необходимость согласия получателя на коммерческие рассылки, не составляет особого труда. В этой статье сказано, что доказывать наличие такого согласия должен сам распространитель рекламы. Доказательства же использования автоматизированных средств проведения коммерческих рассылок, являющегося противоправным, напротив, найти удается не всегда. "Если при передаче факсимильных сообщений легко определить, что использовалась именно автоматическая система, то в случае с электронными письмами сложнее доказать применение автоматической рассылки, так как закон не определяет, что именно следует под этим подразумевать", - поясняет Тудвасева. Источник: "Российская газета" Методы европейских интернет-провайдеров по обеспечению безопасности почтовых сервисов 13.12.2007 Согласно результатам исследования Европейского агентства по сетевой и информационной безопасности (European Network and Information Security Agency, ENISA), подавляющее большинство провайдеров электронных почтовых сервисов Европы производит базовую проверку всей входящей корреспонденции и около 90% исходящей. Наибольшую озабоченность интернет-провайдеров вызывают распространяющиеся в почтовых потоках вредоносные программы, спам и DDoS-атаки. Как показало исследование ENISA, в условиях возрастания сетевых угроз европейские провайдеры в полной мере осознают свою ответственность перед клиентами за их безопасность. Помимо штатной проверки входящей и исходящей почты, почти 90% европейских интернет-провайдеров предоставляют фильтрацию от спама как бесплатную услугу. Большинство из них использует не менее пяти способов проверки почтового трафика, включая "серые списки" и аутентификацию отправителя. По данным ENISA, почти половина интернет-провайдеров планирует внедрение механизма управления рисками. Эффективное противостояние современным интернет-угрозам, являющимся результатом сотрудничества спамеров и вирусописателей, требует неоднозначных решений, - считают аналитики Radicati Group. Сейчас уже недостаточно просто фильтровать почтовый трафик с целью отсеивания спамовых писем. Необходимо найти способы физически сократить объемы нелегитимных рассылок. Несмотря на то, что почти все европейские ассоциации провайдеров разработали практические рекомендации по защите почтового трафика, входящие в их состав поставщики сетевых услуг руководствуются ими далеко не всегда. Исследователи ENISA обнаружили, что только половина представителей почтового сервиса Европы осуществляет контроль или блокировку порта 25. Менее половины интернет-провайдеров ограничивают объем исходящих массовых рассылок, и только четверть из них предоставляет возможность автоматической подачи жалобы на злоупотребления в почтовом сервисе. В целях усиления безопасности электронного почтового сервиса и противостояния спамерам ENISA призывает европейских поставщиков интернет-услуг к расширению обмена информацией - как на национальном уровне, так и в глобальном масштабе. Источник: IT Week ENISA призывает объединить усилия в борьбе с ботнетами 13.12.2007 По оценке Европейского агентства по сетевой и информационной безопасности (European Network and Information Security Agency, ENISA), в настоящее время число инфицированных компьютеров, подключенных к Интернету, составляет более 6 миллионов. Одной из основных причин роста агрессивности киберзлоумышленников эксперты по безопасности считают их стремление к расширению армии ботнетов. По данным ENISA, основная часть парка зомби-компьютеров находится на территории пяти стран: Китая, США, Германии, Испании и Франции. Инфицированные ПК под управлением командных серверов могут рассылать спам, производить DDoS-атаки и принимать участие в мошеннических схемах, имеющих целью хищение конфиденциальной информации и денежных средств пользователей Интернета. По экспертным оценкам, число командных серверов в Сети, находящихся в состоянии полной боевой готовности, составляет не менее 1000, при этом в распоряжении каждого из них имеется от 10 до 300000 активных зомби-компьютеров. Ежедневно специалисты выявляют в среднем 53000 новых зараженных ПК, каждый из которых потенциально способен производить спам-рассылки с интенсивностью примерно 259000 сообщений в сутки (до 3 сообщений в секунду). Наиболее слабым звеном в обороне интернет-сообщества против ботнетов являются технически малограмотные и неосмотрительные пользователи. По мнению активистов ENISA, в настоящее время самым распространенным способом заражения компьютера является визит на вредоносную веб-страницу. В целом, согласно статистике ENISA, в 65% случаев инфицирование происходит в результате эксплуатации злоумышленниками уязвимостей в браузерах, в 13% случаев - посредством вредоносных вложений в спамовые письма, в 11% - через уязвимости в операционных системах, в 9% - при скачивании пользователем зараженных файлов. Ключевым методом борьбы с распространением бот-инфекции эксперты ENISA считают ведение образовательно-просветительской работы среди рядовых пользователей Интернета. Поскольку боевые единицы ботнетов находятся обычно на территории разных стран, ENISA призывает национальные правоохранительные органы, интернет-провайдеров, поставщиков программного обеспечения к организации координированного трансграничного противодействия киберпреступникам, использующим чужие ресурсы в своих интересах. Источник: ENISA Операция "Бот": международное сотрудничество - залог успеха 13.12.2007 ФБР опубликовала итоги второго этапа проведения расследований в рамках национальной кампании против криминального использования ботнетов под названием "Operation Bot Roast" (операция "Бот"). За истекшие пять месяцев ее участникам удалось выявить еще более миллиона инфицированных компьютеров. По оценке ФБР, экономический ущерб от деятельности операторов ботнетов составил более 20 миллионов долларов. C момента запуска операции "Бот" в руки правосудия были переданы 8 злоумышленников, причастных к использованию ботнетов в преступных целях. Кроме того, в связи с проводимыми расследованиями правоприменительными органами США и других стран были выданы 13 ордеров на обыск. К участию в расследованиях были привлечены силы семи региональных отделений ФБР, Секретной службы министерства финансов США, иностранной полиции. Показательным итогом плодотворного интернационального взаимодействия в рамках операции "Бот" является арест юного новозеландца Оуэна Уокера (Owen Walker). Талантливый 18-летний программист под ником AKILL (а также Snow Whyte и Snow Walker) предположительно возглавлял международную криминальную группировку "A-Team", которая специализировалась на создании и использовании программ для хищения банковских реквизитов. По имеющимся сведениям, эта группа производила вредоносные атаки через голландские серверы и сформировала ботнет из 1,3 миллиона зомби-компьютеров. Помимо банковского фишинга, операторы ботнета занимались рассылкой спама, проведением DDoS-атак и распространением программ для рассылки рекламы (adware), а также предоставляли свои услуги другим криминальным группам. ФБР вышла на ботнет "A-Team" после прошлогодней DDoS-атаки на сервер Пенсильванского университета и с февраля 2007 года вела расследование в тесном взаимодействии с новозеландской и голландской полицией. После ареста новозеландского вирусописателя в его квартире был произведен обыск с изъятием компьютеров. Найденная на них информация в настоящее время изучается экспертами. Со своей стороны, Уокер изъявил согласие на сотрудничество, был допрошен и отпущен под залог без предъявления обвинения. Если по окончании расследования его причастность к киберпреступлениям подтвердится, юного хакера ждет наказание в виде тюремного заключения на срок до 10 лет. Источник: FBI Источник: THEREGISTER Источник: INFORMATIONWEEK Пристрастие спамера к бухучету обернулось для него продлением срока заключения 13.12.2007 Впервые в истории американского судопроизводства при вынесении приговора была использована статья закона CAN-SPAM Act об определении наказания в соответствии с уровнем доходов от криминального бизнеса. Руководствуясь этой статьей, окружной судья Денвера (штат Колорадо) увеличил срок тюремного заключения Мин Кима (Min Kim) на полгода. В ходе расследования спамерской деятельности Мин Кима на его компьютере было найдено 7,5 миллионов адресов электронной почты. Еще 200 миллионов адресов, по признанию спамера, он приобрел в 2004 году. Пытаясь избежать обнаружения, правонарушитель использовал традиционные средства камуфляжа: прокси-серверы, вводящие в заблуждение заголовки писем, программу DarkMailer для проведения массовых спам-рассылок. По свидетельству экспертов Microsoft по антиспам-защите, подобные уловки спамеров требуют применения дополнительных мер противодействия и финансовых затрат со стороны интернет-провайдеров. В подобных случаях точно определить сумму ущерба от деятельности одного спамера за определенный период очень сложно. Тем не менее, антиспамовое законодательство США дает возможность правозащитникам избрать меру пресечения в зависимости от финансового статуса нарушителя. В соответствии с тяжестью правонарушений Мин Кима по закону CAN-SPAM должны были приговорить к тюремному заключению на 2-2,5 года. Однако спамер на свою беду оказался педантом и вел строгую отчетность о "проделанной работе". Это позволило следователям без труда определить, что за несколько лет спамерской деятельности 24-летний "предприниматель" заработал порядка 250000 долларов. Согласно CAN-SPAM, обладатель такого капитала способен причинить больший ущерб интернет-сообществу и в случае правонарушения должен подвергнуться лишению свободы на срок от 2,5 лет до 3 лет и 1 месяца. Учитывая, что Мин Ким впервые предстал перед лицом правосудия, окружной судья приговорил его к минимальному в этой категории сроку заключения (2,5 года). Отбывать его спамер начнет по окончании новогодних праздников. Источник: NetWorkWorld Результаты препарирования программы-спамера, или кто агитировал за кандидатуру Рона Пола? 13.12.2007 Эксперты SecureWorks рассекретили ботнет, рассылавший спам в поддержку кандидата в президенты США Рона Пола (Ron Paul). Проведенная в конце октября атака спамеров была достаточно агрессивной, но кратковременной - она закончилась через 3 дня. Исследователям SecureWorks удалось определить IP-адреса 3000 компьютеров, занимавшихся спам-агитацией в Сети. Как выяснилось, обнаруженный ботнет не был специализированным орудием, созданным для предвыборной борьбы в США. Он использовался также для рекламирования (в том числе на русском языке) товаров, более распространенных в ассортименте спамеров - фальшивых часов, контрафактных медикаментов. Заручившись помощью администраторов сетей, в которых были зарегистрированы боевые единицы ботнета, специалисты SecureWorks смогли найти его командный сервер, размещенный на территории США. Объединенными усилиями SecureWorks и Spamhaus сервер был закрыт, а резидентная управляющая программа попала в руки исследователей. По свидетельству экспертов, составляющие ботнет зомби-компьютеры были заражены троянской программой для рассылки спама - Srizbi. Этот троянец впервые появился в Интернете весной 2007 года; он загружается на пользовательские ПК с помощью готовых комплектов для проведения сетевых атак, таких как n404 и Mpack. Исследователи SecureWorks идентифицировали управляющую ботнетом программу как третью, усовершенствованную версию небезызвестной Reactor Mailer. По сведениям SecureWorks, автором данной программы является глава некоей компании Elphisoft, называющий себя "spm". Для написания Reactor Mailer этот спамер, по его собственным уверениям, нанял лучших программистов СНГ. Результаты исследования программ Reactor Mailer и Srizbi подтверждают это заявление: эксперты SecureWorks узнали почерк одного из их создателей - украинца, пользующегося ником "vlaman". По данным SecureWorks, доступ к Reactor Mailer предоставлялся заказчикам как услуга: спамеры создавали на сервере персональные аккаунты и для подключения предоставляли веб-интерфейс. Для оценки защищенности спамовых писем от систем фильтрации спамер мог предварительно "прогнать" их через встроенный модуль SpamAssassin. Проверка активности электронных адресов осуществлялась с помощью специального механизма обратной связи. Исследователи SecureWorks также обнаружили, что ботнет был поделен на 16 сегментов, зараженных различными вариантами вредоносных программ. По всей видимости, операторы ботнета сдавали его в аренду по частям. Эксперты SecureWorks определили, что спамовые сообщения в поддержку кандидатуры Рона Пола рассылались с аккаунта, зарегистрированного как "nenastnyj". В его базе данных числилось более 162 миллионов адресов электронной почты, ему служил мощный ресурс производительностью 200 миллионов сообщений в сутки. Тем не менее, судя по недолговечности предвыборных спам-рассылок, для "nenastnyj" это был разовый заказ - один в числе многих. Источник: SECUREWORKS 500 евро в качестве компенсации за спам 13.12.2007 Организаторы проводимой в Ирландии акции по присуждению премии "Золотой паук" ("Golden Spiders") уплатят компенсацию за распространение спама в размере 500 евро (около 735 долларов). Вручение этой премии за выдающиеся успехи в организации онлайн-бизнеса, по значимости приравниваемой к "Оскару", проводится журналом "Business & Finance" раз в год и спонсируется ирландским интернет-провайдером Eircom. В октябре генеральный директор ирландской компании Brightspark Consulting Мэрироз Лайенс (Maryrose Lyons) обратилась в Управление по защите данных (Data Protection Commission - правоохранительный орган по защите клиентов электронно-почтового сервиса) с жалобой на спамерские действия со стороны работников вышеназванного журнала. Несмотря на официально оформленный отказ от коммерческой рассылки, она получила по электронной почте несколько сообщений с предложением оплатить участие в номинации на премию "Золотой паук". Управление отреагировало предупреждением, высланным на электронный адрес организаторов рассылки. Вопреки заверениям в установлении контроля над ситуацией, Лайенс вновь получила идентичное послание, шестое по счету, и переслала его на адрес Управления. На этот раз ее действия возымели более определенный эффект: устроители акции предложили урегулировать конфликт, сделав штрафной взнос в один из ее благотворительных фондов. Бенефициаром была избрана Ассоциация помощи одиноким бездомным Daisyhouse в Дублине. Источник: SILICONREPUBLIC Источник: BRIGHTSPARK Спам-статистика за период 03 - 09 декабря 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 82,2%. Тематическое распределение спама на прошедшей неделе претерпело существенные изменения по сравнению с предыдущей неделей. Значительно уменьшилась относительная доля спама, посвященного образованию (на целых 14,5%); количество спама рубрик "Компьютерное мошенничество" и "Услуги по электронной рекламе", напротив, возросло - на 8,3% и 8% соответственно. Нишу спама еще недавно популярной предвыборной тематики после окончания выборов безраздельно заняли рассылки, посвященные надвигающемуся Новому году. Особенно интересен новогодний спам в виде "письма счастья". Мы уже отмечали всплеск подобных писем в последнее время (в том числе в течение предвыборной гонки). Особенно интересно в приведенном сообщении то, что его предлагается переслать не только другим людям, но и обратно отправителю. Западный спам не отстает от отечественного. К примеру, в немецких почтовых потоках встречаются рассылки, тематика которых связана с приближающимся католическим Рождеством. Один из наиболее интересных примеров такого спама предлагает получателю ежедневно заходить на некоторый сайт и открывать там створки виртуального адвент-календаря с обозначенными датами. Как утверждают спамеры, "за створкой могут ждать рецепты, стихи, гороскопы, а также мобильные телефоны, цифровые камеры, игровые приставки, MP3-плееры, DVD-диски и компьютерные игры. Ежедневно проводится розыгрыш 111 призов, не опоздайте открыть свою створку!". Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 31,1% +8,0% 2 Другие товары и услуги Предложения других товаров и услуг 24,4% +4,8% 3 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 11,1% +8,3% 4 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 9,6% +8,0% 5 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 6,7% -0,9% 6 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 4,4% +3,0% 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 3,0% -1,4% 8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 3,0% -9,2% 9 Образование Реклама семинаров, тренингов, курсов 3,0% -14,5% 10 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -1,0% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -1,3% (без изменений) 12 Юридические услуги и аудит Предложения юридических услуг Менее 2% -1,8% 13 Остальной спам   Менее 2% -2,6% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Спам в ноябре 2007 Дарья Гудкова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике продолжает расти. Увеличивается количество спама новогодней тематики. Большое количество политического спама. Доля спама в почтовом трафике В ноябре доля спама в почтовом трафике продолжала расти. Среднемесячный показатель составил 86,2%. Самый низкий показатель был зафиксирован 14 ноября и составил всего 74,6%, самый высокий - 94,2% - наблюдался 24 числа. Очевидна тенденция к повышению доли спама в почтовом трафике. В некоторой степени это повышение носит сезонный характер. Так, в течение последнего квартала 2006 (равно как и в 2005) года также было отмечено постепенное повышение количества спамовых писем. И, если тенденция прошлых лет повторится, в начале января можно ожидать некоторого снижения доли спама. Тематический состав спама Cпам-тематики в ноябре 2007: "Медикаменты; товары и услуги для здоровья" - 23,6%. "Другие товары и услуги" - 21,4%. "Образование" - 13,9%. "Отдых и путешествия" - 10,6%. "Личные финансы" - 6,4%. "Услуги по электронной рекламе" - 6,1%. "Компьютеры и Интернет" - 4,9%. "Юридические услуги и аудит" - 3,9%. "Недвижимость" - 3,2%. "Остальной спам" - 3,1%. "Полиграфия" - 2,6%. "Компьютерное мошенничество" - 2,0%. "Спам для взрослых" - 1,5%. В ноябре доля спама рубрики "Медикаменты; товары и услуги для здоровья" снизилась, но в целом продолжает оставаться стабильно высокой. Видимо, рекламировать виагру в англоязычных спам-рассылках не перестанут никогда. Значительно упали показатели рубрики "Компьютеры и Интернет". Ранее она в течение продолжительного времени занимала второе-третье место, теперь даже не вошла в пятерку. Зато стал набирать обороты спам тематики "Образование", составивший почти 14% всего ноябрьского спама. Спамеры уже полным ходом производят рассылки новогодней тематики. Здесь и различные предложения новогодней полиграфии, и всевозможные подарки, и организация праздников. Среди прочего наблюдается немало предложений всевозможных туров на Новый год. Именно за счет подобных писем увеличилось количество спама рубрики "Отдых и путешествия" - на 2,6% по сравнению с прошлым месяцем. Отдельно хотелось бы сказать о политическом спаме. Его, согласно ожиданиям, было очень много. Получатели могли ознакомиться с политическими программами различных партий, с агитками активистов, с призывами голосовать против всех: Благодаря такому объему политического спама удалось выделить некоторые его характерные особенности. Во-первых, спамерские трюки не отличались разнообразием. К примеру, в большинстве посланий текст не был изменен, спамеры не использовали различные варианты текста одного и того же содержания (прием перефразировки обычно применяется в целях борьбы с контентной спам-фильтрацией). Во-вторых, "политические" письма были нехарактерно объемными для спама (самое длинное составило около 13 страниц!), некоторые даже включали фотографии. И в-третьих: помимо традиционного способа проведения рассылок (отправка спам-писем на электронные почтовые ящики с помощью ботнетов), спамеры использовали так называемый "цепочечный" метод, при котором в сообщении содержится просьба разослать его своим знакомым. Вышесказанное свидетельствует о том, что отправители политического спама не считали свои письма электронным "мусором", а, напротив, надеялись вызвать у читателя живой интерес. На фоне этих постоянных обещаний хорошей жизни весьма контрастно смотрелось спам-письмо следующего содержания: "Продам почку. Звонить в любое время (только серьезные предложения)". Спамерские методы и трюки Предвыборная гонка и всеобщий интерес к политике - то, чем спамеры не могли не воспользоваться в коммерческих целях. Так, наиболее предприимчивые из них, эксплуатируя тему Выборов-2007, рекламировали свои товары и услуги. Весьма показательно в этом плане, к примеру, письмо c предложением приобрести красную икру "Путина 2007г". В предприимчивости спамерам отказать никогда было нельзя. Они всегда чутко реагировали на происходящие в стране и мире события, откликнулись и на этот раз. Что касается новых спамерских трюков и методов, их отмечено не было. Видимо, неудачные эксперименты с pdf- и mp3-спамом несколько охладили пыл спамеров. Впрочем, они стараются совершенствовать старые, давно и успешно опробованные приемы. Так, были зафиксированы несколько крупных рассылок (самая массовая из них - реклама дипломов), письма в которых представляли собой весьма качественно изготовленные "зашумленные" картинки и с трудом определялись спам-фильтрами. И, конечно же, спамеры продолжают брать скоростью. Уже очевидно, что так называемые "быстрые" рассылки в скором времени станут одной из основных спамерских технологий. (Иллюстрации можно посмотреть на сайте Спамтест.) Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005