Электронный журнал "Спамтест" No. 219 В этом номере: Новости Спам-статистика за период 28 января - 03 февраля 2008 г. Спам в январе 2008 Новости Живучий онлайн-комплект для фишинговых атак 04.02.2008 Исследователи компании FaceTime Communications, специализирующейся на вопросах безопасности интернет-пейджинга, обнаружили в Сети ресурс, предлагающий проведение целевых фишинговых онлайн-атак против пользователей популярных почтовых служб и социальных сервисов. Данный сайт предоставляет неискушенному фишеру 5 мишеней на выбор: Hotmail, Yahoo, MySpace, Orkut, Facebook и hi5. Каждая из опций снабжена релевантным выпадающим меню с графой "Адрес жертвы" и целой коллекцией шаблонов виртуальных открыток. Заполнив нужные поля, клиент кликом активизирует генератор текстовых сообщений и копирует полученный текст с внедренной ссылкой на фишинговую веб-страницу в поле своего письма. При переходе по ссылке получатель фишингового послания попадает на поддельную страницу соответствующего почтового сервиса или социального сайта, предлагающую ввести пользовательские логин и пароль. В случае успешного похищения конфиденциальные данные отправляются на сайт для проведения фишинговых атак и демонстрируются клиенту на его персональной странице. Там же отображается такая информация, как количество похищенных аккаунтов, даты проведения атак, наименования атакованных сервисов. По данным FaceTime, фальшивые страницы всех пяти сервисов принадлежат одному и тому же домену - greeting4ll.com. Данный URL определяется браузером Internet Explorer как фишинговый. Выяснилось, что домен зарегистрирован на имя некоего Мухаммада Юсафа (Muhammad Yousaf) из Пакистана. В результате объединенных усилий FaceTime и хостинг-провайдера оба ресурса удалось заблокировать. Однако онлайн-комплект для фишеров "ожил" через двое суток. В настоящее время предпринимаются усилия по его окончательной нейтрализации. По мнению аналитиков FaceTime, социальные сети в настоящее время представляют собой объект повышенного риска с точки зрения корпоративной безопасности. Не секрет, что работники бизнес-структур зачастую используют корпоративные ПК для личных нужд - совершения и оплаты покупок через Интернет, общения с друзьями и близкими по IM-каналам, в чатах и на форумах; скачивания музыки, фотографий и видеороликов. По итогам опроса, проведенного компанией NewDiligence Research по инициативе FaceTime, полезное с приятным на рабочем месте совмещают 8 корпоративных служащих из 10. Источник: SearchSecurity Источник: FaceTime Blog Фармацевтический спам в овечьей шкуре 05.02.2008 В конце января компания Commtouch зафиксировала крупномасштабную рассылку нелегитимных сообщений, рекламирующих снижение цен на товары некой интернет-аптеки - традиционный ассортимент спамеров. Обнаруженные письма относятся к разряду ставшего уже хрестоматийным графического спама. Выполнены они в html-формате и при открытии автоматически подгружают рекламное изображение со спамерского сайта. Специалисты Commtouch отмечают, что для обмана почтовых спам-фильтров инициаторы рассылки использовали два трюка. Во-первых, они внедрили в исходный html-код письма фрагменты кода стартовой страницы сервиса Hotmail. Дублирование структуры и текста страницы с "белой" репутацией призвано помочь в маскировке спамерского сообщения под легитимное. Во-вторых, оригинальные ссылки в позаимствованном коде спамеры заменили на подобранные случайным образом и, соответственно, фиктивные URL, главным образом на URL изображений (с расширениями ".gif" и ".jpg"). Эта уловка также направлена на обход систем контентной фильтрации - для них, по мысли спамеров, подобные ссылки должны выглядеть вполне "легально". Разумеется, оба html-трюка остаются за кулисами. Получатель послания видит лишь стандартную "картинку" с рекламой контрафактных медикаментов. Исследователи Commtouch определили, что максимальная интенсивность описанной рассылки составила 250 миллионов писем в час. В настоящее время спам-атака практически завершилась. Однако неугомонные промоутеры контрафактных медицинских препаратов продолжают искать покупателей, рассылая рекламные объявления в pdf-вложениях. Commtouch также зарегистрировала многомиллионную спам-рассылку, в которой используются легитимные ссылки на результаты поиска в Yahoo! с редиректом на страницу интернет-аптеки, сотрудничающей со спамерами. Источник: COMMTOUCH В 2007 году каждый китайский интернет-пользователь получил 330 единиц спама 05.02.2008 Согласно статистике, представленной антиспам-центром Интернет-сообщества Китая (Internet Society of China) в годовом отчете по спаму, в 2007 году количество полученных пользователями спамовых писем составило 69,4 миллиарда - на 38,8% больше, чем в 2006-м. Число пользователей китайского сектора Интернета достигло 210 миллионов. Основными темами спамовых сообщений, полученных китайцами в отчетный период, были реклама интернет-магазинов, предложения онлайн-заработка и продвижение товаров интимной сферы. Доля каждой из этих категорий в общем объеме спама составила соответственно 17,57%, 12,55% и 9,21%. Среди прочих тематических категорий в отчете были названы реклама IT-продуктов, предложение услуг туристических агентств и услуг по продаже IP-адресов. В годовом отчете также было отмечено, что особую неприязнь китайские пользователи испытывают к спаму с вредоносными вложениями и порноспаму; на долю обоих в прошлом году приходилось 11,21% и 10,69% спам-трафика соответственно. По данным отчета, годовой ущерб, нанесенный спамерами китайской экономике, оценивается примерно в 18,72 миллиарда китайских юаней (более 2,6 миллиарда долларов). Источник: ChinaTechNews Спам-реклама контрафактных медикаментов обошлась фальсификатору в $2,5 миллиона 06.02.2008 Согласно постановлению окружного суда штата Иллинойс, канадской компании Sili Neutraceuticals предстоит выплатить около 2,5 миллиона долларов в урегулирование иска Федеральной торговой комиссии США (ФТК). В августе 2007 года ФТК обвинила Sili Neutraceuticals в распространении заведомо ложной информации о продвигаемых ею медицинских препаратах для похудания и омоложения. Ответчику также вменялось проведение массовых рекламных рассылок по каналам электронной почты с нарушением американского антиспамового законодательства: письма снабжались вводящими в заблуждение заголовками, подставными адресами отправителя и не предусматривали опции отписки от рассылки. Подготовить доказательные материалы для возбуждения иска ФТК помогали специалисты SecureWorks и Microsoft. Помимо штрафа, суд наложил запрет на ложные заявления со стороны Sili Neutraceuticals в отношении собственных товаров и услуг, распространяемых под торговой маркой Kaycon, а также на осуществление компанией рассылок незапрошенной электронной корреспонденции. Внушительные размеры наложенного на недобросовестного рекламодателя взыскания отражают негативное отношение ФТК к фальсификации данных о товарах в столь ответственной сфере, как здоровье потребителей. Источник: FTC Источник: InfoWorld Владельцы сайтов, бойтесь "нигерийцев", дары приносящих! 06.02.2008 Компания F-Secure предупреждает о появлении персонализированных "нигерийских" спам-рассылок с предложением купить рекламное место у владельцев веб-сайтов. Заголовки "нигерийских" писем гласят: "Partnership Enquiry" ("Ищу партнера"), "Website Partnership Enquiry" ("Ищу партнерский сайт"). В строке "To:" ("Кому:") проставлено доменное имя сайта, в тексте письма указано произвольное имя отправителя и изложена причина обращения к получателю - предложение купить текстовую ссылку или баннер на его ресурсе (при этом сайт вновь поименован). Ниже автор письма просит указать цены на рекламные ссылки и баннеры, расположенные на домашней странице либо на всех страницах веб-сайта (список опций прилагается). Завершается послание традиционной любезностью ("Thank you in advance!" - "Заранее благодарен") и подписью - все тем же вымышленным именем. Как отмечают специалисты F-Secure, подобный способ оформления спамовых сообщений в совокупности с выгодным финансовым предложением (а не обещанием баснословных богатств в обмен на предоплату "административных расходов"!) может усыпить бдительность самых осторожных потенциальных жертв мошеннической схемы. Тем не менее, эксперты по безопасности с уверенностью относят данные письма к разряду "нигерийских". В F-Secure полагают, что подобные сообщения рассылаются на электронные адреса, опубликованные на сайтах в разделах с контактной информацией. Если получатель отвечает, выражая согласие на продажу рекламного места и оговорив цену, ему высылается фальшивый банковский чек на сумму, превышающую указанную им цифру. Дальнейший ход событий легко прогнозируется: мошенники "обнаруживают ошибку" и просят владельца сайта компенсировать разницу посредством денежного перевода: В итоге жертва обмана, не догадавшаяся в первую очередь обналичить чек, а спешащая вернуть чужие финансы, безвозвратно утрачивает свои собственные. Будьте бдительны! Источник: F-Secure "Штормовой" троянец просыпается в 10 часов утра 06.02.2008 Специалисты компании Sophos обнаружили, что операторы "штормового" ботнета учитывают разницу в часовых поясах. Генерируемый ботнетом спам-трафик достигает пиковой величины трижды в сутки - в соответствии с началом рабочего дня в Пекине, Лондоне и Нью-Йорке. Целые армии инфицированных "штормовым" троянцем компьютеров в Азии, Европе и США в прямом смысле этого слова включаются в эстафету, выплескивая в Интернет щедрые порции вредоносного спама в 10 часов утра по местному времени. В 2007 году в Sophos было зарегистрировано более 50000 вариантов "штормового" троянца. В минувшем январе, по данным компании, объемы спама, разосланного со "штормового" ботнета, составляли в среднем 4% почтового трафика (при пиковом показателе 16%). В последнее время, по свидетельству Websense и Trend Micro, одиозный ботнет обслуживал интернет-аптеки, торгующие медикаментами сомнительного происхождения и качества. Использованные спамерами в рекламных письмах ссылки направляли получателей на веб-хостинги интернет-аптек внутри ботнета. С целью обхода спам-фильтров IP-адреса аптек постоянно менялись по методу "fast-flux". По данным Trend Micro, в настоящее время большинство этих ссылок не работает. Источник: SOPHOS Спам-статистика за период 28 января - 03 февраля 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 84,7%. Тематическое распределение спама на прошедшей неделе, как и на предыдущей, продемонстрировало значительную стабильность. Максимальные изменения не вышли за пределы 2,5% - именно на столько увеличилось относительное количество спама рубрики "Отдых и путешествия". Показатель тематики "Другие товары и услуги" вырос на 1,9%, изменения долей остальных рубрик в общем потоке спама не превысили 2%. В тематике нелегитимных рассылок снова начинают прослеживаться сезонные изменения. На сей раз они, как и ожидалось, касаются праздников конца зимы-начала весны. День святого Валентина, 23 февраля и 8 Марта - неизменные источники дохода спамеров, как и предыдущая череда праздников - Новый год, Рождество и Старый Новый год. Сейчас любой рекламируемый спамерами товар из идеального новогоднего подарка превращается в идеальный презент для любимого/любимой или коллеги противоположного пола, туристические компании в едином порыве предлагают лучшие способы отдохнуть на предстоящих праздниках, а производители полиграфической продукции в очередной раз удивляют изобретательностью в плане создания совершенно необходимых корпоративных сувениров. Любопытно, что в последнее время одним из самых распространенных в спамовой рекламе видов корпоративного подарка стали тапочки с вышивкой логотипа компании. На прошедшей неделе были зафиксированы в том числе две оригинальные рассылки, связанные с предстоящими праздниками. Первая из них предлагала к Восьмому марта широкий ассортимент букетов с доставкой. Во второй спамеры, не страдающие излишней скромностью, просили пользователей поздравить их валентинками, отправленными через специальный онлайн-сервис. Нельзя не отметить прошедшую малотиражную рассылку на религиозную тематику, заставившую спам-аналитиков задуматься о природе ее происхождения. В письмах под заголовком "Жив Господь" некий человек, "познавший Бога", призывает всех приблизиться к нему и так же познать его, а в качестве доказательства любви к Богу предлагает предоставить электронные адреса будущих получателей данной рассылки. Послание весьма напоминает "цепочечное", с той разницей, что миссию дальнейшего его распространения возлагает на себя сам отправитель. Спам-аналитики "Лаборатории Касперского" установили, что адрес отправителя является валидным, а адреса получателей в количестве около 500 проставлены в поле "To" ("Кому") полным списком. К тому же, подавляющее большинство из них являются не корпоративными (потенциально собранными роботами на различных сайтах), а частными, принадлежащими бесплатным почтовым службам (Mail.ru, Rambler, Hotmail и т.д.). Отсутствовал и один из излюбленных спамерских приемов для обхода спам-фильтров - комбинирование вариантов одного и того же текста. Все это дало основания полагать, что воззвание отправлено вручную (возможно, на уже собранные при помощи аналогичных рассылок адреса), человеком действительно верующим и решившим найти единомышленников при помощи современных информационных технологий. Однако также можно предположить, что это - оригинальный спамерский способ сбора адресов для последующих рассылок. Такой способ, разумеется, вряд ли гарантирует создание многомиллионной "спам-базы", но зато не требует усилий по верификации (проверке подлинности) адресов. Также на прошедшей неделе был зафиксирован всплеск мошеннических писем, маскирующихся под официальные сообщения от интернет-сервисов. Одно из посланий имитирует сообщение о подписке на рассылку, другое - о присоединении к группе Google, третье - извещение от службы поддержки Mail.ru о попытке взлома почтового ящика (подобный случай мы уже отмечали в декабре 2007 года). Целью всех писем такого рода является либо попытка отъема денег у доверчивых пользователей (предложения отправить sms-сообщение на указанный "бесплатный" номер), либо стремление заманить их на веб-страницу, содержащую рекламную информацию. В любом случае, специалисты "Лаборатории Касперского" призывают всех пользователей электронной почты проявлять бдительность и не поддаваться на провокации мошенников. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 29,6% -0,5% 2 Другие товары и услуги Предложения других товаров и услуг 20,7% +1,9% 3 Образование Реклама семинаров, тренингов, курсов 14,9% +0,5% 4 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 8,3% +2,5% 5 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 7,0% -0,7% 6 Юридические услуги и аудит Предложения юридических услуг 4,2% Без изменений 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 4,1% -1,1% 8 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 3,5% -1,4% 9 Остальной спам   2,6% +0,2% 10 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 2,3% +0,6% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% +0,3% 12 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -0,6% 13 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества Менее 2% -1,8% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Спам в январе 2008 Татьяна Куликова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике возросла до 86,4%. Вредоносные программы содержались в 1,13% всех электронных писем. Доля фишинговых посланий в почтовых потоках - 0,98%. "Зашумление" спам-писем html-тэгами, невидимыми для получателей. Использование блогов сервиса Mail.ru в качестве носителей спамерской информации. Доля спама в почтовом трафике Средняя доля спама в почтовом трафике в январе 2008 составила 86,4%. Самый низкий показатель был зафиксирован 28 января и составил всего 73,1%, самый высокий - 97,3% - наблюдался в первый день года. Общее количество спама в почтовом трафике по сравнению с декабрем уменьшилось. Однако в связи с новогодними каникулами сократились объемы деловой переписки, что вызвало резкое увеличение доли спама во время праздников. Тематический состав спама Спам-тематики в январе 2008: "Медикаменты; товары и услуги для здоровья" - 48,1%. "Образование" - 9,3%. Спам "Для взрослых" - 5,2%. "Отдых и путешествия" - 4,7%. "Услуги по электронной рекламе" - 4,2%. "Компьютеры и Интернет" - 4,1%. "Юридические услуги и аудит" - 3,0%. "Компьютерное мошенничество" - 2,8%. "Недвижимость" - 1,7%. "Личные финансы" - 1,5%. "Полиграфия" - 0,6%. Январские показатели рубрики "Медикаменты; товары и услуги для здоровья" значительно превосходят показатели декабря 2007, и она продолжает лидировать. Тематики "Отдых и путешествия" и "Компьютерное мошенничество" уступили место категории "Образование", что связано с окончанием новогодних праздников и началом трудовых будней. В русскоязычном спаме увеличилось количество предложений по написанию дипломов и курсовых, а также по изготовлению шпаргалок для тех студентов, которые не готовы зарабатывать оценки собственными силами. Актуальными в преддверии зимней сессии стали предложения по продаже дипломов об окончании вузов. Рубрика "Отдых и путешествия" хотя и уступила свои позиции, но не покинула четверку лидеров. Ее очередной триумф еще впереди, ведь нас ожидает День святого Валентина. Услуги и подарки к этому празднику вытеснили уже неактуальные новогодние предложения. Так, влюбленным предлагается ряд наиболее романтичных способов поздравить свою вторую половинку, например, отправив валентинку со специализированного сайта. Спамерские методы и трюки Наступление нового года охарактеризовалось появлением инновационных методов в рассылке спама. Если раньше для обхода систем фильтрации почты спамеры разбивали текст письма случайными символами, что делало его совершенно нечитаемым, то теперь они разбавляют свои сообщения html-тэгами. Тэги являются "пустышками". Это тэги по форме, но не по содержанию, и замечать их может спам-фильтр, почтовый же клиент их никак не воспринимает. В январе спамеры неоднократно пытались разрекламировать сайт, зараженный троянской вредоносной программой, рассылая фальшивые сообщения от лица администрации сервиса Mail.ru. Сначала пользователям приходили изображения с привычным логотипом. Потом появились письма со ссылкой, "зашумленной" беспорядочным набором букв. Теперь для того, чтобы заманить получателей на нужный ресурс, спамеры прибегли к использованию блогов на Mail.ru. Пройдя по основной ссылке, получатель попадал в блог, где ему демонстрировался рекламный текст с указанием URL спамерского сайта. Все остальные ссылки в письме являются настоящими. Блог, использованный в качестве спамерского инструмента, просуществовал недолго - его оперативно ликвидировали в тот же день. Еще один спамерский прием, характерный для рекламы предприятий и организаций малого бизнеса (кафе, мебельных фабрик, поставщиков строительных материалов), основывался на следующем. Как правило, у заказчиков рассылки имеется свой "корпоративный" сайт. Спамеры указывают в письме URL данного сайта, но в него "зашивают" ссылку на страницу на бесплатном хостинге. На этой странице, подобных которой создается множество, пользователя ожидает либо необходимая контактная информация, либо редирект на настоящий сайт компании. Прием направлен на затруднение работы спам-фильтров за счет постоянной смены URL, заданного в html-коде. (Иллюстрации и примеры спамовых писем вы найдете на сайте Спамтест.) Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005