Электронный журнал "Спамтест" No. 215 В этом номере: Новости Спам-статистика за период 17 - 23 декабря 2007 г. Метод согласованных распределений для выделения бот-сетей, рассылающих спам Новости Gartner: убытки американцев от фишинга за год составили $ 3,2 миллиарда 24.12.2007 Итоги опроса более 4500 совершеннолетних интернет-пользователей США, проведенного компанией Gartner в августе 2007 года, свидетельствуют, что атаки фишеров стали более частыми и результативными. Если в 2005 и 2006 годах финансовые потери в результате фишинга отмечали соответственно 2,9% и 2,3% участников аналогичных опросов, то в 2007 году этот показатель увеличился до 3,3%. Число жертв фишинга за последний год выросло в полтора раза и достигло почти 3,6 миллиона. Сумма ущерба в каждом случае хищения персональных данных составила в среднем 886 долларов. По оценке Gartner, основным объектом внимания фишеров за отчетный период стали наименее защищенные платежные системы. 47% респондентов-жертв фишинга потеряли деньги при пользовании дебетовыми и чековыми картами, 32% - кредитными картами, 24% - через системы интернет-банкинга. (Некоторые участники опроса пострадали при использовании сразу нескольких способов оплаты.) Статистика, связанная с возмещением ущерба от фишинга, в последнем отчете Gartner выглядит более оптимистично. С сентября 2006 года по август 2007 года около 1,6 миллиона американцев смогли вернуть 64% похищенных фишерами денежных средств. Для сравнения, за аналогичный период 2005-2006 число счастливцев составило 1,5 миллиона, а процент компенсации был гораздо скромнее - 54%. По данным Gartner, наиболее популярными у фишеров брендами остаются PayPal и eBay, хотя мошенники значительно расширили репертуар и стали выступать также под именами благотворительных организаций, иностранных организаций и поздравительных веб-сайтов. Фишеры стали уделять больше внимания способам маскировки своих атак. Ограниченное использование антифишинговых средств лишь способствует расширению круга потенциальных жертв. Согласно результатам опроса, 11% взрослых американцев вообще не пользуются антивирусами и средствами защиты от шпионских программ, а 45% устанавливают на свои ПК только бесплатные продукты для защиты. В ближайшие два года исследователи Gartner прогнозируют дальнейшее увеличение количества фишинговых атак, неизменно приносящих их инициаторам неплохие дивиденды. Источник: BUSINESSWIRE "Выигрышные лотерейные билеты" составляют половину спам-трафика 24.12.2007 Согласно результатам исследования, проведенного по инициативе Microsoft в Великобритании, Германии, Италии, Дании и Нидерландах, около половины современного спам-трафика составляют мошеннические сообщения о выигрыше в лотерею. Чаще прочих "счастливый билет" выпадает англичанам: в британском секторе Интернета на долю подобных писем приходится 62% от общего объема спама. Лотерейные махинации - один из излюбленных приемов вымогательства денежных средств, широко используемый "нигерийскими" мошенниками. Как правило, для получения "выигрыша" получателя аналогичного извещения просят оплатить некие "административные расходы". Разумеется, заверения мошенников - просто миф, а перечисленная жертвой в качестве предоплаты сумма безвозвратно исчезает в их бездонных карманах. По данным Центра по рассмотрению жалоб на интернет-преступления (Internet Crime Complaint Center), "лотерейное" мошенничество, как и прочие виды вымогательства денег, обходится жертвам дороже других криминальных схем. Сумма индивидуального ущерба от "лотерейного" спама в среднем составляет 5000 долларов. Итоги проведенного Microsoft опроса показали, что 16% получателей мошеннических извещений о выигрыше открывали несколько из них, 10% отвечали как минимум на одно подобное письмо, а 20% активировали указанные в сообщениях ссылки. 3% респондентов отметили, что в течение прошедшего года перечисляли деньги по просьбе "лотерейных" мошенников. По оценке Microsoft, "лотерейное" мошенничество по темпам распространения в настоящее время опережает все прочие сферы криминальной деятельности в Сети. Рассылка фальшивых извещений о выигрыше не связана с особым риском, не требует больших технических знаний и навыков и основывается только на искусстве мошенника быть убедительным. Защитить легковерных пользователей программными средствами от посягательств на их кошельки нелегко, обнаружить мошенников и призвать их к ответу еще труднее. Единственным эффективным методом борьбы с этим видом сетевых угроз исследователи считают образовательно-просветительскую деятельность. Источник: VNUNET В Новой Зеландии проведена первая операция против спамеров 24.12.2007 В результате полицейского рейда, проведенного в новозеландском городе Крайстчёрч в рамках расследования деятельности интернациональной спамерской группировки, были задержаны двое подозреваемых, изъяты 22 компьютера и множество документов. Два месяца группа антиспам-специалистов Министерства внутренних дел Новой Зеландии при поддержке иностранных правоохранительных органов собирала доказательные материалы на местную компанию, которая подозревалась в создании сети зарубежных агентств для рассылки нелегитимной рекламы контрафактных медикаментов и наручных часов. Публикация на веб-сайте ВВС результатов частных расследований в сфере нелегальной онлайн-торговли медицинскими препаратами вынудила новозеландских стражей порядка принять срочные меры к захвату вещественных доказательств нарушения нового закона против спама. Дело в том, что английский радиожурналист и датский IT-профессионал независимо друг от друга задались целью выявить инициаторов нелегитимных рассылок и оформили заказ на медикаменты по спам-рекламе. Как и ожидалось, масштабы подпольного фармацевтического бизнеса не ограничивались рамками одной страны. Исследователи проследили цепочку от спамового письма с инфицированного компьютера в библиотеке штата Флорида через спам-хостинги Китая и Индии до конкретного IP-адреса в сети новозеландского интернет-провайдера Vodafone. Последний произвел проверку и подтвердил, что обнаруженный источник причастен к спамерской деятельности, но рассылку нелегитимной рекламы производит через посредников. В августе 2003 года этот же новозеландский "предприниматель" заявил в интервью, что спам-бизнес приносит неплохие дивиденды: за предыдущие 8 месяцев он выручил 300000 долларов от продаж с помощью нелегитимной рекламы. В его ассортименте тогда было 15 разновидностей профильного медицинского препарата, изготовленных в США, а для проведения спам-рассылок использовались серверы в Польше и Пакистане. Негативное отношение к спаму со стороны интернет-сообщества не смущало "бизнесмена". "Если вам не нравится получать спам, не подключайтесь к Интернету и не заводите почтовый адрес", - цинично прокомментировал он. В настоящее время новозеландские эксперты изучают информацию, найденную при обысках и на компьютерах правонарушителей, а также материалы допросов подозреваемых. Источник: dia.govt.nz Источник: STUFF "Штормовой" троянец едва не опоздал на праздник 28.12.2007 Против ожиданий, праздничные спам-рассылки с "подарками" от операторов "штормового" ботнета появились только в канун Рождества. Стараясь наверстать упущенное, злоумышленники распространяют под видом файла с "рождественским стриптизом миссис Клаус" и новогодних поздравительных открыток новую разновидность троянца, зарегистрированную "Лабораторией Касперского" как Email-Worm.Win32.Zhelatin.pd. Первая атака данного троянца была зафиксирована специалистами по сетевой безопасности 24 декабря. Заголовки вредоносных сообщений отражали рождественскую тематику, а их текст призывал насладиться праздничным стриптизом, пройдя по прилагаемой ссылке на веб-сайт merrychristmasdude.com. При попытке скачать с него бесплатное развлечение посетитель загружал на свой компьютер троянскую программу. По данным Центра по сетевым угрозам (Internet Storm Center, ISC) института SANS, указанный спамерами домен был зарегистрирован службой nic.ru, его хостинг находился в сети на 1000 узлов и был защищен от обнаружения технологией "fast-flux DNS" (динамическая перерегистрация IP-адресов). Эксперты F-Secure отметили, что IP-адрес сайта менялся ежесекундно. Рождество повелители "штормового" троянца отметили новой спам-рассылкой. На сей раз они решили заблаговременно разослать вредоносные "поздравления" к очередному празднику - Новому году, в которых приглашали пользователей посмотреть открытку на веб-сайте uhavepostcard.com. По данным специалистов F-Secure, на указанном ресурсе эксплойтов пока не обнаружено, но загружаемый файл под именем "happy2008.exe" содержит все тот же вариант троянской программы. Исследователи SANS определили, что регистратор "новогоднего" домена - та же nic.ru, хостинг размещен на том же ресурсе, но количество узлов в сети увеличилось до 8000. 26 декабря вредоносная открытка перекочевала на страницу happycards2008.com, имя загружаемого файла тоже изменилось - "happy-2008.exe". На следующий день специалисты по безопасности обнаружили новый вредоносный домен - newyearcards2008.com, и новое имя троянского файла - "happynewyear.exe". Для затруднения детектирования "штормовой" троянец ведет себя как вирус-полиморфик, ежеминутно меняя код. На настоящий момент английская компания Prevx зафиксировала уже 4 версии "штормового" троянца, одна из которых в течение 10 часов сменила 166 вариантов. В базу данных исследователей в течение 4 дней было также занесено более 400 модификаций другой версии этого троянца. По данным Prevx, две последние его версии дополнительно защищены руткитом. Источник: isc.sans.org Источник: F-SECURE За кулисами ботнета "поклонников знаменитостей" 28.12.2007 Вредоносную программу, распространяемую "поклонниками знаменитостей" в виде zip-вложений в спамовые письма, в компании SecureWorks опознали как даунлоудер Pushdo. Исследователи опубликовали интересные подробности о системе управления этим троянцем, позволившей данной криминальной группировке вступить в конкурентную борьбу за новые ресурсы с операторами "штормового" ботнета. Как удалось выяснить экспертам SecureWorks, управление ботнетом "поклонников знаменитостей" осуществляется через специализированный http-протокол. При активации даунлоудер устанавливает на зараженные ПК другие вредоносные программы - преимущественно для рассылки спама либо хищения паролей, - выбирая мишени по территориальному признаку. Командный сервер ведет учет IP-адресов инфицированных компьютеров, версий установленных на них операционных систем, серийных номеров жестких дисков, а также собирает статистику по активации разных вариантов Pushdo. В отличие от многих других троянских программ, этот даунлоудер не отключает антивирусы и брандмауэры, но отслеживает их работу и отсылает отчеты на командный сервер. Перед Рождеством специалисты Мarshal вновь зарегистрировали спам-рассылку с ботнета "поклонников знаменитостей". По своему обыкновению, злоумышленники использовали в качестве приманки имя Анджелины Джоли. Скрывавшийся в прикрепленном к спамовым письмам zip-файле троянец при активации превращал компьютер жертвы в автомат для рассылки графического спама с рекламой фармацевтических изделий одиозного онлайн-сервиса Canadian Pharmacy. По данным Мarshal, производительность данной программы-спамера составляет около 800 сообщений в час. Как удалось выяснить экспертам компании, указанные в спам-рекламе веб-сайты heldbear.com и goodlone.com зарегистрированы в Китае. Источник: MARSHAL Источник: SECUREWORKS BitDefender: что рекламировали спамеры в 2007 году? 28.12.2007 Компания BitDefender опубликовала список десяти тематических категорий спама, получивших наибольшее распространение в 2007 году. Представленный компанией рейтинг возглавляет "биржевой" спам. По данным BitDefender, в первой половине 2007 года продвигающие акции мелких компаний мошеннические письма рассылались с прикрепленными графическими вложениями. Позднее их сменили экспериментальные рассылки "биржевых известий" с pdf- и mp3-вложениями. К концу года "биржевые" спамеры вернулись к текстовому формату, но стали уделять особое внимание способам маскировки посланий для обхода спам-фильтров. Эксперты прогнозируют продолжение "биржевой экспансии" в грядущем году. Хотя фишинговые атаки в отчетный период не были столь агрессивными, как многие спам-кампании, специалисты BitDefender обращают внимание интернет-сообщества на очевидный финансовый урон, который ему наносит фишинг. Похищенные злоумышленниками персональные данные позволяют им опустошать банковские счета жертв за считанные дни и даже часы. Фишинговые послания исследователи разделяют на две основные группы: угрозы блокировки аккаунта и уведомления об обновлении банковской системы безопасности. По оценкам BitDefender, фишинг также получит дальнейшее развитие в ближайшем будущем, а число банков-мишеней значительно увеличится. Эксперты по безопасности выделили в отдельную категорию "политический" спам, объемы которого, по их мнению, резко возрастут по мере приближения даты президентских выборов в США. В целом список 10 главных категорий спама в представлении BitDefender выглядит следующим образом: "Биржевой" спам. Медикаменты. Порнография. Поддельные наручные часы. Денежные займы. Фишинг. Пиратское ПО. Трудоустройство. Сайты знакомств. Фальшивые дипломы. Источник: BITDEFENDER Спам-статистика за период 17 - 23 декабря 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 86,3%. Тематическое распределение спама на прошедшей неделе ярко отображает близость Нового года. Относительные доли практически всех рубрик снизились по сравнению с предыдущей неделей; наиболее серьезные изменения коснулись рубрик "Медикаменты; товары и услуги для здоровья", "Услуги по электронной рекламе", а также рассылок "взрослой" тематики. Даже мошенники в преддверии праздника уменьшили свое давление на честных граждан - относительное количество рассылок тематики "Компьютерное мошенничество" снизилось на 11,6%. Впрочем, несмотря на небольшой процент подобных писем, среди них попадались по-настоящему интересные экземпляры. Яркими примерами служат предложение заработка в Интернете и послание, авторы которого пытались сымитировать сообщение от службы поддержки. Доли рубрик "Другие товары и услуги", "Недвижимость", "Полиграфия" и "Отдых и путешествия", наоборот, увеличились. Самыми популярными предложениями в спаме на прошедшей неделе стали новогодние подарки, сувенирная продукция и новогодний отдых. Наибольшие изменения претерпела рубрика "Отдых и путешествия" (+23,5%). Основная масса относящихся к ней рассылок предлагает приобрести билеты на ёлки, встретить Новый год на плывущем по Москве-реке теплоходе и совершить недорогое праздничное путешествие по городам Золотого кольца. Неиссякаемо разнообразен ассортимент предлагаемых в спам-письмах самых лучших (по мнению каждого отдельно взятого спамера) подарков. Новогоднюю тематику эксплуатируют все, кто хотя бы с натяжкой может обозначить рекламируемый товар в качестве презента. Большой популярностью пользуются всевозможные сертификаты - от сертификатов на покупку косметики и парфюмерии до дающих право на "приключение" (например, полет на истребителе или прогулку в танке). Одно из самых интересных спам-писем последней недели, впрочем, не имело никакого отношения к Новому году. В нем анонимные доброжелатели предостерегали получателей от деловых контактов с некоторым человеком, подробно описывая его послужной список. В современном мире в связи со все большим распространением Интернета, социальных сервисов и блогов подобные акции по донесению "до всех" какой-либо важной, по мнению отправителя, информации (как правило, предостережений или сообщений о новоиспеченном фигуранте "доски позора") становятся все популярнее. Однако не стоит забывать, что в спаме подобное информирование зачастую является не актом доброй воли, а "черным" PR. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 29,4% -9,1% 2 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 24,7% +23,5% 3 Другие товары и услуги Предложения других товаров и услуг 24,7% +7,3% 4 Остальной спам   5,2% +4,6% 5 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 5,2% +4,0% 6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 3,1% Без изменений 7 Полиграфия Визитки, календари, печать, услуги типографии и пр. 2,6% +2,5% 8 Юридические услуги и аудит Предложения юридических услуг 2,1% +1,5% 9 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 2,1% -7,2% 10 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 2,1% -11,6% 11 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -2,0% 12 Образование Реклама семинаров, тренингов, курсов Менее 2% -3,2% 13 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. Менее 2% -7,1% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Метод согласованных распределений для выделения бот-сетей, рассылающих спам Андрей Бахмутов, "Лаборатория Касперского" (andrew.bkh@gmail.com) Известно, что сегодня большое количество спама рассылается через сети зараженных компьютеров, управляемых удаленно хорошо организованными группами или отдельными лицами. Такие сети называются бот-сетями и являются объектами повышенного внимания для специалистов по IT-безопасности во всем мире. В этой статье речь пойдет о методе автоматического выделения и блокирования таких сетей в режиме реального времени. Метод основан на статистическом подходе и использует тот факт, что компьютеры одной бот-сети так или иначе имеют некоторое сходство в поведении. Отслеживая почтовый трафик из большого количества разных источников в течение определенного промежутка времени, можно заметить, что некоторые потоки имеют схожие характеристики, что выделяет компьютеры - источники этого трафика из множества остальных машин, рассылающих почтовые сообщения. В зависимости от способа сравнения потоков, количества сообщений в каждом из них и числа локализованных источников можно сказать с большей или меньшей степенью вероятности, что эти источники составляют сеть зомби-компьютеров, т.е. бот-сеть. Вместе с другими вредоносными действиями, такими как DDoS-атаки, хищение персональных данных, анализ трафика, распространение вредоносного ПО и др., рассылка спама является наиболее часто используемым применением бот-сетей. Существенные всплески спам-активности сегодня связывают с возрастающим использованием спамерами бот-сетей. Большие распределенные компьютерные сети трудно отслеживать, а динамичная природа IP-адресов машин, входящих в бот-сеть, делает практически невозможным использование традиционных черных списков. В этой статье представлен метод, который может быть использован для выделения и блокирования таких сетей практически в режиме реального времени. Метод является статистическим и предполагает, что мы можем наблюдать большое количество почтовых сообщений из различных источников. Чем больше источников анализируется и чем больше сообщений из каждого источника обрабатывается, тем точнее результаты. Основная идея метода состоит в том, что распределение некоторых числовых параметров e-mail-сообщений, посланных из одного источника, сравнивается с такими же распределениями, полученными для других источников. Поскольку речь идет о почтовых операциях в большом масштабе, система, спроектированная для борьбы со спамом, рассылаемым через бот-сети, должна быть значительно распределённой. Почтовые агенты (MTA) должны передавать информацию о почтовых сообщениях, которые они получают, на один или более серверов, где она будет накапливаться и анализироваться. Получившиеся в результате этого группы IP-адресов, классифицируемые как бот-сети, вместе с числовыми коэффициентами - весами, показывающими, насколько мы можем доверять этим группам, объединяются в черные списки, которые могут быть доступны, например, через обычные DNS-запросы. Основная проблема здесь - динамическая природа IP-адресов, с которыми мы имеем дело. Большинство зараженных машин, входящих в бот-сеть, - это домашние компьютеры, подключенные к сетям своих провайдеров через dialup-, dsl-, cable- или LAN-соединения. IP-адреса для таких компьютеров часто выделяются динамически. Это означает, что обычное время жизни таких адресов измеряется часами, возможно днями. Система должна реагировать быстро, помещая адрес в черный список, как только с него начинается рассылка спама, и удаляя его, как только он перестает попадать в бот-сеть. Работа по выявлению бот-сетей, распространяющих спам, проводится в "Лаборатории Касперского" с октября 2006 года. Уже существовавшая в компании система, называемая Urgent Detection System (UDS), созданная в рамках другой технологии фильтрации спама, была адаптирована для наших целей и использована как средство доставки данных. Почтовые сообщения пересылаются из источников к пунктам назначения - системам, которые необходимо защищать от спама. В данной реализации метода единственным анализируемым атрибутом является размер сообщения. Размеры сообщений вместе с IP-адресами, с которых они были получены, передаются на один из UDS-серверов, где они накапливаются и далее передаются бот-анализатору. Для каждого полученного IP-адреса анализатор строит распределение количества сообщений по размерам и сравнивает их, создавая черные списки IP-адресов, подлежащих блокированию. Данные распределений обновляются и обрабатываются каждые 2 часа для корректировки черных списков, каждые 24 часа они заново инициализируются. Много деталей, касающихся особенностей реализации метода, упомянуто вскользь, еще больше их осталось за пределами этой статьи. Однако, зная основную идею метода, можно оценить его основные преимущества и недостатки. Главной проблемой, стоящей на пути реализации описанной технологии, является необходимость в большом объеме статистической информации, собранной из разных источников. Для уверенного анализа необходимо иметь информацию как минимум о нескольких десятках, а лучше сотен сообщений для каждого источника, что не всегда возможно. К тому же, пока статистика накапливается, спам-сообщения беспрепятственно доходят до пользователей. Другим недостатком является сложность алгоритмов анализа информации, которые также требуют тщательного тестирования и настройки для получения приемлемых результатов. К преимуществам относится простота реализации на стороне клиента и малый объем передаваемой информации. Метод является, по-видимому, одним из немногих позволяющих достаточно полно очертить границы зомби-сетей при их воздействии на определенные группы хостов. Так что помимо борьбы со спамом, он может использоваться в исследовательских целях. Дальнейшее развитие описанной технологии может быть связано с анализом распределений по другим, отличным от размера, параметрам, а также с анализом векторных распределений, построенных сразу по нескольким характеристикам сообщений. С полной версией статьи, содержащей математические рассчеты и иллюстрации, можно ознакомиться на информационно-аналитическом ресурсе Viruslist. "Лаборатория Касперского" поздравляет вас с Новым годом и Рождеством, желает праздничного настроения, здоровья, счастья и успехов! Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005