Электронный журнал "Спамтест" No. 218 В этом номере: Новости Спам-статистика за период 21 - 27 января 2008 г. Новости Методы вирусописателей на вооружении у спамеров 30.01.2008 В течение двух последних месяцев спам-фильтры Websense ежедневно отсеивали десятки тысяч нелегитимных сообщений со ссылками на ресурсы googlepages.com и blogspot.com. По данным компании, спамеры используют эти бесплатные сервисы Google для размещения редиректов, перенаправляющих посетителей на целевой спам-хостинг. Внедренные в спамовые письма URL веб-страниц, созданных с помощью Google Page Creator или аккаунтов Google Blogger, воспринимаются спам-фильтрами как легальные, что повышает шансы по доставке непрошеной рекламы получателям. Кроме того, спамерские редиректы защищены от автоматического обнаружения JavaScript-кодом. Исследователи Websense отмечают, что за время наблюдения за деятельностью спамеров, эксплуатирующих сервисы Google, в спам-письмах были выявлены не только адреса-редиректы, но и непосредственные URL спамерских сайтов. Эксперты полагают, что инициаторы спам-рассылок таким образом проверяли оба способа на эффективность и, судя по увеличению тиража писем с Google-редиректами, отдали предпочтение именно им. Тактику использования незапятнанной репутации легитимных сайтов для обхода систем безопасности спамеры переняли у вирусописателей и применяют не в первый раз. По данным той же Websense, оба названных ресурса Google ранее использовались вирусописателями для хостинга вредоносных программ. Исследователи отмечают и другие средства маскировки, используемые при проведении вредоносных атак и постепенно принимаемые на вооружение спамерами: частую смену JavaScript-кода, варьирование редиректов в зависимости от спам-контента, смену IP-адресов по методу "fast-flux". В Websense полагают, что эксплуатацию легального веб-хостинга при проведении спам-рассылок можно считать новой вехой в эволюции спама. Источник: WEBSENSE Источник: ComputerWorld Остановить неукротимого Уоллеса 30.01.2008 Федеральная торговая комиссия США (ФТК) обвинила "короля спама" Сэнфорда Уоллеса (Sanford Wallace) и Уолтера Райнза (Walter Rines) в нарушении наложенных ранее судебных запретов. Истец намерен через суд добиться конфискации 555850 долларов, нажитых подельниками за полгода злонамеренных атак на сервис MySpace. История судебных тяжб ФТК с Райнзом и Уоллесом насчитывает не один год. Уличенный в посягательстве на права потребителей, специалист по установке шпионских программ на чужие ПК без ведома их владельцев Райнз каждый раз давал зарок и отделывался мизерными выплатами, ссылаясь на бедственное финансовое положение. Уоллес привык к публичному покаянию еще со времен своей карьеры спамера, полюбовно решая конфликты с ведущими американскими интернет-провайдерами. Занявшись более прибыльным "бизнесом" по внедрению шпионского ПО и программ показа рекламы (AdWare), он неоднократно попадал на радары ФТК, но вновь снимал претензии во внесудебном порядке и не скупился на обещания. Осенью 2006 года Уоллес и Райнз благополучно урегулировали очередные раздельные иски ФТК, уплатив суммарно 50000 долларов в качестве компенсации ущерба и согласившись с наложением многочисленных судебных запретов и ограничений на свою деятельность в Сети. Не успел утихнуть праведный гнев ревнителей закона, как криминальный дуэт - в нарушение только что принятых условий - развернул комплексное наступление на пользователей MySpace. Учитывая сложность пресечения подобной асоциальной деятельности, а также не обладая правомочиями требовать применения уголовного наказания или штрафных санкций, ФТК сочла себя вправе привлечь внимание общественности к неоднократным нарушениям ответчиками судебных запретов и на основании собранных улик спровоцировать ряд частных судебных исков с наложением крупных штрафов. Остается надеяться, что на этот раз теневые "бизнесмены" не уйдут от ответственности. Источник: TheRegister "Нигерийская" троица созналась в содеянном 31.01.2008 Два жителя Нигерии - 31-летний Ннамди Чизубе Анисьоби (Nnamdi Chizuba Anisiobi) и 35-летний Кесанду Эгвуонву (Kesandu Egwuonwu), а также 34-летний сенегалец Энтони Фрайдэй Эхиз (Anthony Friday Ehis), которым было предъявлено обвинение в мошенничестве, признали свою вину. Четвертый обвиняемый, Линн Нуокифор (Lenn Nwokeafor), ожидает экстрадиции американскими властями в Нигерии, куда он бежал и где скрывался. Мошенники действовали по типичной "нигерийской" схеме. Их письма рисовали в сознании тысяч жертв образ страдающего раком горла миллионера, которому осталось недолго и который не имеет возможности самостоятельно распорядиться своим состоянием. За помощь во вложении 55 миллионов долларов в благотворительность сулилось вознаграждение в виде 20% от этой суммы. Мошенническая группировка не поскупилась на средства убеждения жертв в правдоподобности предприятия. В качестве доказательств высылались "доверенности", "депозитные сертификаты" и прочие "документы", фотографии больного, иллюстрирующие его плачевное состояние; кроме того, Анисьоби выходил с жертвами на телефонный контакт, имитируя обезображенный раком горла голос. Основательно заглотившим крючок искателям легкой наживы предлагалось перевести некоторую сумму на необходимые расходы по уплате налогов, подготовке дополнительных документов и т.п. Напомним, что жертвы данной кампании лишились в общей сложности около 1,2 миллиона долларов. Наказанием для "нигерийцев" по трем пунктам обвинения - мошенничество с использованием каналов почтовой и проводной связи, финансовые махинации и преступный заговор - может стать тюремное заключение сроком до 20, 30 и 5 лет соответственно. Источник: InfoWorld Спамеры торопятся предложить выгодную ипотеку 31.01.2008 Сокращение процентной ставки Федеральным резервом США вызвало бурное оживление электронной переписки по поводу рефинансирования закладных на недвижимость. Этим не преминули воспользоваться спамеры: по данным компании Commtouch, количество нелегитимных сообщений релевантной тематики за неделю увеличилось до 10% от общего объема спама в Интернете. Как отмечают эксперты, увеличение тематического спам-трафика на фоне напряженного почтового обмена между банками и миллионами американцев, жаждущих переоформить условия ипотечного кредита, уже привело к возрастанию количества ложноположительных срабатываний. Специалисты Commtouch предупреждают о возможности дальнейшего роста "финансовых" спам-рассылок в связи с ожидаемыми дальнейшими изменениями в американской системе кредитования. Согласно статистике Commtouch, в IV квартале 2007 года на долю спамовых писем категории "Финансы" приходилось всего 2% от общего объема спама. Источник: COMMTOUCH Недобросовестный рекламодатель согласился уплатить $200000 во внесудебном порядке 31.01.2008 Федеральная торговая комиссия США (ФТК) подала иск против очередного рекламодателя, который пытался под предлогом раздачи "бесплатных подарков" склонить посетителей своей веб-страницы к покупке товаров и услуг, предлагаемых его партнерами. Подобно фигуранту другого недавнего гражданского иска ФТК, Member Source Media привлекала посетителей на свои веб-сайты объявлениями о выигрышах в виде iPod-плееров, лэптопов и подарочных карт. При посещении ConsumerGain.com, PremiumPerks.com, FreeRetailRewards.com или GreatAmericanGiveaways.com откликнувшиеся на эти объявления пользователи обнаруживали, что для получения "подарка" им необходимо поучаствовать в рекламных акциях партнерских компаний, но уже в ущерб собственному карману. Сокрытие рекламодателем важной для потребителей информации о дополнительных условиях получения рекламируемых призов и подарков ФТК сочла открытым нарушением федеральных правил торговли. Кроме того, рассылка релевантных рекламных уведомлений по электронной почте в отсутствие упоминания об этих условиях проводилась ответчиком в нарушение американского антиспамового законодательства, так как данные сообщения содержали вводящие в заблуждение заголовки и информацию. Руководство Member Source Media согласилось урегулировать конфликт с ФТК во внесудебном порядке. Как и предыдущий ответчик, компания обязалась открыто и четко оговаривать все сопряженные с получением рекламируемых товаров и услуг условия и материальные затраты и строго соблюдать требования CAN-SPAM Act при проведении электронных рассылок рекламного характера. Федеральный суд северного округа Калифорнии также назвал сумму административного штрафа и вменил ответчику в обязанность предоставлять ФТК всю необходимую документацию для контроля над соблюдением условий достигнутого соглашения. Источник: FTC MessageLabs: экономическая нестабильность на руку спамерам 31.01.2008 Согласно выводам январского отчета MessageLabs по сетевым угрозам, увеличение количества спам-рассылок финансового характера (схемы быстрого обогащения, сообщения о выигрыше в лотерею, предложения трудоустройства, ссуд и займов) является реакцией спамеров на дестабилизацию мировой экономики и воцарение атмосферы персональной финансовой уязвимости, ощущаемой каждым членом интернет-сообщества. По данным MessageLabs, в январе уровень спама из новых и неизвестных источников увеличился на 0,3% и составил 73,4% всего спам-трафика (составляющего, в свою очередь, 81,1% общего почтового трафика). Основным источником спама по-прежнему являются США, на долю которых в январе приходилось 36,6% от общего объема спама в Интернете. В пятерку стран-лидеров по рассылке спама вошли также Турция, Корея, Россия и Германия. Главной мишенью спамеров вновь стал Израиль, где уровень спама достиг 87,3% от общего количества электронных писем. Самые высокие показатели по уровню спама в январе наблюдались в сельскохозяйственном и производственном секторах; меньше всего пострадали от спама финансовые структуры, где он составил в среднем 65,5% почтового трафика. Увеличение объемов "финансового" спама, против ожидания, не коснулось такой его разновидности, как "биржевое" мошенничество по схеме "накачка-сброс". По данным MessageLabs, уровень "биржевого" спама в январе снизился до беспрецедентной отметки - 2% от общего объема спама. Специалисты MessageLabs также зафиксировали сокращение объемов спам-рассылок с традиционной рекламой поддельных наручных часов и увеличение количества нелегитимных писем с предложением способов похудания и "авторских" моделей одежды по сниженным ценам. Кроме того, эксперты компании зарегистрировали рост числа спамовых писем со ссылками на страницы поисковых систем, в том числе на их региональные версии (google.com.hk, google.co.uk). Спамеры все активнее используют функциональные возможности сервисов Google и Yahoo для маскировки URL конечного спам-хостинга и обхода систем фильтрации почты. Согласно статистике MessageLabs, на долю этой относительно новой разновидности спама в отчетный период приходилось 17% спам-трафика. Исследователи отмечают, что большая часть отсеянных спам-фильтрами компании нелегитимных сообщений была выполнена в текстовом или html-формате. По данным MessageLabs, объемы текстового спама за последние полгода удвоились и в настоящее время составляют около 60% спам-трафика. Спам в html, напротив, теряет свою популярность: если летом 2007 г. половина нелегитимных писем была выполнена именно таким образом, то сейчас этот показатель составляет примерно 38%. На долю графического спама в январе приходилось около 2% спам-трафика, спама с вложениями в других форматах - менее 1%. Источник: MessageLabs Источник: InformationWeek Спам-статистика за период 21 - 27 января 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 86,9%. Тематическое распределение спама на прошедшей неделе отличалось редкой стабильностью - даже самые серьезные изменения не вышли за рамки традиционных еженедельных колебаний. На 6,1% увеличилась относительная доля рассылок рубрики "Медикаменты; товары/услуги для здоровья", уменьшились доли тематик "Отдых и путешествия" и "Недвижимость" - на 3,6% и 3,8% соответственно. Продолжает расти количество спама "взрослой" категории. На истекшей неделе его доля составила 7,7% от общего спам-трафика. Как мы уже не раз отмечали, в последнее время большая часть рассылок "для взрослых" имитирует личную переписку (попытки восстановить якобы утраченный контакт) или приглашает ознакомиться с анкетой на сайте знакомств. По форме подобные письма предельно просты, зачастую состоят всего из одной строчки. При переходе по предлагаемой ссылке вместо обещанной милой девушки пользователя ожидает, как правило, либо предложение скачать эротический контент за определенную плату, либо банальная вредоносная программа. Впрочем, среди заказчиков спам-рассылок встречаются и те, кто не преследует ни коммерческих, ни киберкриминальных целей. Яркий пример тому - уже фигурировавший в наших отчетах "Варяг, Великий Князь и русский писатель". На прошедшей неделе он использовал нелегитимную корреспонденцию в качестве рупора своих идей, на сей раз послав "Открытое письмо владыкам Свято-Успенской Киево-Печерской Лавры". Логично предположить, что отправка послания с конкретной адресной направленностью при помощи массовой рассылки имела целью вызвать резонанс в обществе. Осваивают спамеры не только новые тематические пространства. На прошедшей неделе спам-аналитики зафиксировали новый трюк, направленный на обход спам-фильтров. Суть его в следующем: случайные последовательности букв (прием, уже давно используемый спамерами для создания мешающего работе фильтров "шума") вплотную присоединяются с обеих сторон к ссылке - основополагающему элементу письма. С целью акцентировать внимание пользователя ссылка визуально отделяется от "мусорных" фрагментов этого длинного "слова" с помощью html-дескрипторов (тэгов). Таким образом, происходит маскировка интернет-адреса, на который спамерам необходимо заманить получателей рассылки, но который в "чистом" виде может быть определен спам-фильтром. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 30,1% +6,1% 2 Другие товары и услуги Предложения других товаров и услуг 18,8% -1,3% 3 Образование Реклама семинаров, тренингов, курсов 14,4% -1,7% 4 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 7,7% +3,7% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 5,8% -3,6% 6 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 5,2% +0,6% 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 4,9% +0,9% 8 Юридические услуги и аудит Предложения юридических услуг 4,2% -3,1% 9 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 2,4% +0,6% 10 Остальной спам   2,4% +1,1% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% +0,1% 12 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -0,6% 13 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -3,8% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005