Электронный журнал "Спамтест" No. 216 В этом номере: Новости Спам-статистика за период 24 декабря 2007 г. - 06 января 2008 г. Спам-статистика за период 07 - 13 января 2008 г. Новости Спамеры "протестировали" сервис Microsoft 15.01.2008 Специалисты McAfee зафиксировали многотысячную спам-рассылку, традиционно рекламировавшую сомнительные достижения подпольных "фармацевтов". В качестве ссылки на интернет-аптеку в письмах спамеров фигурировали URL с доменом файлообменного сервиса Windows Live SkyDrive Beta компании Microsoft. По данным McAfee, злоумышленники использовали серверы SkyDrive для веб-хостинга html-файлов с редиректом. Эти файлы размером в одну строку перенаправляли пользователей на страницу интернет-аптеки, торгующей контрафактными медикаментами. Исследователи отметили низкий уровень совпадений URL в отсеянных спам-фильтрами письмах. По их оценке, в данной спам-кампании были задействованы десятки тысяч файлов с редиректами, размещенных на серверах SkyDrive. Сервис Windows Live SkyDrive Beta является составным элементом пакета Windows Live и в настоящее время проходит этап бета-тестирования, бесплатно предоставляя клиентам до 1Гб памяти под файлы, предназначенные для обмена. Пользовательское соглашение SkyDrive достаточно четко формулирует случаи неправомерного использования сервиса, хотя спам-реклама в целях повышения незаконного товарооборота отдельно не оговорена. Легитимный веб-хостинг далеко не в первый раз используется спамерами в целях маскировки. Доменное имя солидной и добропорядочной организации или корпорации, в особенности такой как Microsoft, вряд ли попадет в "черные списки". Размещенный на легальном веб-хостинге контент редко контролируется; на сервисе SkyDrive пока хватает другой работы в связи с "обкаткой", а проверки на наличие вредоносного ПО и вовсе не предусмотрено. Кроме того, практика шифрования файлов, принятая на легальных файлообменных сервисах, затрудняет просмотр контента спам-фильтрами. "Всеядность" общедоступных сетевых ресурсов и отсутствие платы за веб-хостинг также делают их привлекательной мишенью для использования в киберкриминальных целях. Источник: DARKREADING Источник: AVERTLABS Symantec: в декабре спамеры активно эксплуатировали праздничную тематику 15.01.2008 Согласно отчету Symantec, в декабре 2007 года спамеры не отступили от традиции и активно эксплуатировали оживление в почтовом трафике в связи с предпраздничным сезоном. Общие объемы спама в Интернете по сравнению с ноябрем увеличились и составили 75% почтового трафика, а в канун католического Рождества этот показатель вырос до 83%. За последний месяц ушедшего года специалисты компании зарегистрировали около 93 миллионов спамовых писем с релевантно оформленными ссылками, заголовками либо графическими изображениями. Спамеры наперебой предлагали интернет-сообществу широкий ассортимент праздничных товаров - от подарочных карт и популярной электроники до дешевых подделок и неизменных лекарственных снадобий на все случаи жизни. Праздничный сезон нашел адекватное отражение и в тематическом распределении спама: в декабрьском рейтинге акцент был смещен в пользу категории промтоваров и услуг (30% от общего объема спама) и интернет-услуг (20%). Согласно статистике Symantec, праздничный спам-трафик увеличился за счет роста нелегитимных рассылок из Европы и Азии (44% и 15% от общего объема спама соответственно). Специалисты компании отметили также ряд вредоносных спам-рассылок, в том числе масштабное праздничное наступление "штормового" троянца. Инициаторы одной из злонамеренных атак проявили особую изобретательность, эксплуатируя всеобщий интерес к изменению цен на нефть. В спамовых письмах на испанском языке от имени Мексиканского федерального управления по защите интересов потребителей вниманию получателей предлагался список владельцев бензоколонок, которые якобы обманывают клиентов, изменяя показания электронных счетчиков с помощью специальных программ. Для просмотра этого списка получателю "уведомления" предлагалось загрузить некую программу, которая на поверку оказалась троянцем. "Нигерийские" мошенники, по наблюдениям Symantec, тоже решили преподнести праздничный "подарок" пользователям Интернета. Компания зарегистрировала очередную нелегитимную рассылку от имени необычных "благодетелей", которые предлагали: компенсировать ущерб жертвам "нигерийских" мошенников в сумме 100000 долларов. Эти "нигерийские" письма были традиционно снабжены релевантными ссылками на материалы по якобы состоявшимся выплатам под надзором представителей ООН. Предвыборная кампания в США также нашла отражение в декабрьских спам-рассылках. По данным Symantec, криминальные элементы провели по каналам электронной почты "опрос" относительно шансов на победу различных кандидатов на пост американского президента, стимулируя потенциальных участников обещанием выслать подарочную карту на сумму 500 долларов. Получатели подобных писем, пожелавшие участвовать в акции, попадали на веб-сайт, созданный мошенниками для хищения персональных данных. Источник: SYMANTEC Фишеры арендовали "штормовой" ботнет 17.01.2008 В начале второй недели января эксперты по сетевой безопасности зафиксировали две последовательные атаки фишеров на клиентов систем интернет-банкинга Barclays и Halifax (отделения Bank of Scotland). Как удалось установить, созданные злоумышленниками для хищения банковских реквизитов веб-страницы были размещены на серверах "штормового" ботнета. Первая фишинговая рассылка была произведена от имени службы технической поддержки Barclays Bank. Поддельные уведомления в типовой форме сообщали получателям о проведении штатной проверки клиентских аккаунтов и предлагали подтвердить персональные данные, пройдя по указанной в письме ссылке. Благодаря оперативности компании-регистратора фишерского домена, извещенной специалистами по информационной безопасности, данный сайт был быстро заблокирован. На следующий день Fortinet и Marshal зафиксировали новую фишинговую рассылку - на сей раз от имени службы безопасности банка Halifax. Получатели этих фальшивых уведомлений извещались о попытке манипуляции их аккаунтом; далее следовала все та же просьба подтвердить персональные данные, кликнув по релевантной ссылке. Выяснилось, что вызываемая по этой ссылке поддельная страница регистрации в системе интернет-банкинга Halifax также была размещена на серверах "штормового" ботнета. Исследователи Trend Micro обнаружили созданные фишерами для проведения данной атаки веб-сайты, отслеживая деятельность одиозной RBN. Несколько фишерских доменов удалось заблокировать, но IP-адрес подделанного ими сайта регистрации Halifax быстро менялся с помощью технологии "fast-flux DNS", используемой в сетях "штормового" ботнета. Тем не менее, браузеры Internet Explorer 7.0 и Firefox версии 2.0 определяли данную веб-страницу как фишинговую. Специалисты по информационной безопасности полагают, что часть "штормового" ботнета была сдана в аренду фишерам, и предупреждают о возможности фишинговых атак, направленных на клиентов других банков. Согласно экспертным оценкам, размеры "штормового" ботнета за последние 2-3 недели более чем удвоились; в настоящее время он насчитывает около 45000 боевых единиц. Причиной тому послужила хорошо подготовленная спам-кампания, развернутая операторами ботнета в минувший праздничный сезон, а также отсутствие релевантной политики и оперативности со стороны регистратора использованных для вредоносного хостинга доменов. Источник: DARKREADING Источник: NetWorkWorld "Король спама" и 10 его сообщников обвиняются в "биржевом" мошенничестве 17.01.2008 В Детройте, штат Мичиган, был оглашен вынесенный большим жюри обвинительный приговор по делу крупнейшей интернациональной группировки, во главе которой стоял небезызвестный спаммейстер Алан Ральски (Alan Ralsky). Злостным нарушителям американских законов инкриминируются преступный сговор с целью мошенничества, проведение противоправных массовых рассылок по каналам электронной почты, использование средств электронной, почтовой и проводной связи в целях незаконной наживы, а также отмывание денег, - всего 41 пункт. Возбуждение судебного разбирательства стало результатом трехлетнего расследования, проведенного ФБР совместно с Налоговой службой и Службой почтовой инспекции США. Основанием для начала расследования послужили материалы, обнаруженные в 2005 году во время произведенного ФБР обыска в особняке Ральски. Они свидетельствовали об осуществлении спамерами широкомасштабной операции, продвигающей акции мелких китайских компаний по схеме "накачка-сброс" с помощью многомиллионных нелегитимных рассылок. Стремясь уйти от правосудия, мошенники использовали различные трюки, обычно применяемые спамерами для обхода спам-фильтров и маскировки источника рассылки: фальшивые заголовки, прокси-серверы, регистрацию доменов под чужим именем, вводящие в заблуждение тексты рекламного характера. По оценкам исследователей, одна летняя кампания 2005 года принесла членам данной группировки около 3 миллионов долларов. В число проходящих по делу о "биржевых" спам-рассылках, помимо 62-летнего главаря, входят его зять Скотт Брэдли (Scott Bradley), "специалист" по "биржевым" махинациям Фрэнсис Триббл (Francis Tribble), криминальный авторитет в области спамерского ПО россиянин Питер Севера (Peter Severa, он же Петр Левашов), ответственный за связи криминальной группировки с китайскими компаниями гражданин Канады и Гонконга и ряд функционеров - жителей трех американских штатов. Криминальная карьера Ральски началась в 1997 году. Как спамер он достиг широкой известности в антиспамерских кругах, рассылая десятки миллионов нелегитимных писем с рекламой самых разнообразных товаров и услуг - от средств повышения потенции до мошеннических способов быстро разбогатеть. Его "выдающиеся успехи" были "отмечены" занесением его имени в список 10 лидеров по спаму, издаваемый Spamhaus. Список этот Ральски возглавлял в течение нескольких лет. Со временем деятельность этого спамера превратилась в хорошо налаженный бизнес. За 10 лет он накопил значительный опыт по использованию различных спамерских технологий и тактики и создал трансграничную организацию, предлагающую услуги по проведению спам-рассылок на заказ и предоставлению оффшорного спам-хостинга. Два года назад (после рейда ФБР) криминальная группировка начала использовать для рассылки спама ботнеты. Ральски привлекается к суду далеко не в первый раз. В частности, в 2001 году он выступал ответчиком по иску Verizon Communications в связи с рассылкой спама в сетях данной компании. Иск был урегулирован во внесудебном порядке, и спамер пообещал больше не посягать на приватность клиентов этого интернет-провайдера. Похоже, теперь "королю спама" так просто не отделаться. За нарушения по самому серьезному пункту обвинения - мошенничество с использованием почтовой и проводной связи - американские законы предусматривают наказание в виде штрафа в 250000 долларов и тюремного заключения на срок до 20 лет. Кроме того, власти настаивают на конфискации всех средств и имущества, приобретенных незаконными методами, составляющих в совокупности 2,7 миллиона долларов. В настоящее время обвинения предъявлены Скотту Брэдли и Джуди Дивиноу (Judy Devenow). "Менеджер" по связям с Китаем, имеющий двойное гражданство, был арестован в нью-йоркском аэропорту имени Кеннеди и препровожден в Детройт. Босс Алан Ральски был встречен федеральными агентами в Детройте, куда он прилетел из Германии, и в наручниках доставлен в окружной суд для предъявления обвинения. Признать свою вину он отказался и был отпущен до следующего заседания под поручительство без гарантийного залога. Остальные участники криминальной группировки в суд пока не явились. Источник: usdoj.gov Источник: SPAMHAUS Спам-статистика за период 24 декабря 2007 г. - 06 января 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за последнюю неделю 2007 года составила в среднем 87,3%, а за первую неделю 2008 года - 91,5%. Тематическое распределение спама на последней неделе ушедшего года ожидаемо отличалось от первой недели года нового. Последняя неделя года всегда характеризуется относительно большой долей рассылок тематики "Отдых и путешествия" и особенно высоким процентом рассылок тематики "Товары и услуги". Время рекламы, предлагающей организацию праздничных мероприятий и новогодний досуг, уже проходит, но подобных рассылок еще немало. Также спамеры рассчитывают под занавес продать как можно больше товаров в качестве "идеального подарка" на Новый год. Последняя неделя 2007 года не стала исключением. Не считая "идеальных подарков", самым популярным товаром в спаме последней недели года стали салюты, фейерверки и прочая пиротехника. Тематическое распределение спама в почтовых потоках в первую неделю года всегда значительно отличается от любого другого периода. На продолжительных новогодне-рождественских каникулах спамеры, как и все, отдыхают - количество русскоязычного спама сводится практически к нулю. Остаются лишь стандартные англоязычные рассылки, которые по большей части рассылаются автоматически. Таким образом, относительная доля большинства рубрик уменьшается, а процент спама, посвященного виагре и другим подобным медицинским препаратам, стремительно возрастает. Не прекращается и рассылка спама (также англоязычного), посвященного пародиям на часы элитных марок. Интересные спам-сообщения были зафиксированы в русскоязычном секторе ICQ в преддверии православного Рождества. Они эксплуатировали тематику гадания на имя суженого. Данные послания относятся к разряду "цепочечных", рассылаемых пользователями друг другу, и не являются собственно спамом. Любопытно, что аналогичные рассылки были произведены и посредством sms-сообщений. Мы наблюдаем любопытный пример слияния по воле спамеров современных информационных технологий с древними традициями. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 60,1% +30,7% 2 Другие товары и услуги Предложения других товаров и услуг 16,4% -8,3% 3 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 6,4% -18,3% 4 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 5,4% +3,3% 5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 3,1% Без изменений 6 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 2,8% +1,8% 7 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 2,3% +0,2% 8 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% Без изменений 9 Образование Реклама семинаров, тренингов, курсов Менее 2% Без изменений 10 Юридические услуги и аудит Предложения юридических услуг Менее 2% -1,7% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -2,4% 12 Остальной спам   Менее 2% -4,1% 13 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -4,7% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Спам-статистика за период 07 - 13 января 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 85,9%. Тематическое распределение спама на прошедшей неделе стало возвращаться к привычному состоянию после предпраздничного и праздничного периодов. Снизилось относительное количество спама, посвященного медикаментам, товарам и услугам для здоровья. Впрочем, показатель рубрики по-прежнему остается очень высоким - 56,2%, в основном за счет нескольких особо масштабных рассылок, которые не прекращаются в течение последних двух недель. Также уменьшились показатели рубрик "Отдых и путешествия" и "Другие товары и услуги". Напротив, вырос процент спама, посвященного услугам по электронной рекламе и образованию. Если авторы "образовательных" рассылок вернулись в "рабочую колею" и их творения мало отличаются от аналогичных писем в любое другое время года, то реклама услуг по электронным рассылкам до сих пор осуществляется с применением тяжелой новогодней артиллерии. Например: письмо начинается как дружеское поздравление с праздниками, за которым следует предложение спамерских услуг. Крайне интересно спамовое послание, маскирующееся под личную переписку. Релевантные ссылки ведут на страницу с видео и описанием чудесного изобретения. На прошедшей неделе антиспам-специалистам снова встретилось несколько интересных "цепочечных" писем. Во-первых, логичным продолжением рождественских "гадательных цепочек" оказались святочные гадания. Другой пример являлся типичным "письмом счастья", но устанавливал прямую связь между количеством пересланных писем и временем, когда должно произойти обещанное приятное событие. Такое обилие "писем счастья" породило в блогосфере своеобразный ответ - протест, который, впрочем, распространился через блоги и ICQ-каналы аналогично самим "письмам счастья". Надо отметить, что тема счастья эксплуатируется не только авторами "писем счастья", но и обычными мошенниками и прочими предприимчивыми субъектами. Зримое доказательство тому - спам, предлагающий двухдолларовые купюры. На счастье. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 56,2% -3,9% 2 Другие товары и услуги Предложения других товаров и услуг 11,4% -5,0% 3 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 6,2% +3,4% 4 Образование Реклама семинаров, тренингов, курсов 6,2% +6,1% 5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 4,6% +1,5% 6 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 3,9% -1,5% 7 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 3,4% -3,0% 8 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 3,1% +0,8% 9 Юридические услуги и аудит Предложения юридических услуг Менее 2% +0,3% 10 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% +0,5% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% +0,8% 12 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% Без изменений 13 Остальной спам   Менее 2% Без изменений Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005