Электронный журнал "Спамтест" No. 225 В этом номере: Новости Спам-статистика за период 10 - 16 марта 2008 г. Новости "Нигерийский" онлайн-календарь 17.03.2008 Специалисты Commtouch обнаружили спамовые письма с прикрепленными ics-файлами, замаскированные под оповещения об изменениях в событиях онлайн-календарей, предоставляемых сервисами Google и Yahoo. Текст сообщений не оставлял сомнений в их "нигерийском" происхождении. Получатель извещался о якобы санкционированных им банковских операциях по переводу денежных средств и направленному ему курьерской почтой чеку, доставку которого он должен оплатить. "Оповещение" содержалось не только в теле письма, но и было продублировано во вложении (одно из отсеянных спам-фильтрами Commtouch посланий сопровождалось двумя прикрепленными файлами с расширением ".ics"!). Заголовки спамовых писем и имена вложенных файлов имели стандартный вид: "Greetings", "Invite", "Meeting" ("Поздравить", "Приглашение", "Встреча"). Как удалось выяснить, сообщения были созданы с помощью релевантных сервисов Google и Yahoo. При открытии вложенных ics-файлов в почтовом клиенте Outlook пользователь мог видеть даже надлежащие опции: "Accept", "Tentative", "Decline" ("Принять", "Под вопросом", "Отклонить"). Ics-формат обычно используется для хранения текстовой информации о привязанных к электронному календарю событиях. Исследователи отмечают, что сообщения об обновлении календаря обычно генерируются вручную и сопровождаются одним вложенным ics-файлом, поэтому этот спамерский прием оправдывает себя только в таких схемах, как "нигерийское" мошенничество и целевой фишинг. Использование легальных сервисов помогает мошенникам обойти системы фильтрации и усыпить бдительность потенциальных жертв. Источник: COMMTOUCH "Король спама" заключил сделку с властями 18.03.2008 Одиозный спамер Роберт Солоуэй (Robert Soloway) сознался в своих преступлениях в обмен на сокращение внушительного списка предъявленных ему обвинений. Максимальным наказанием, которое могут назначить ему судьи по трем оставшимся пунктам обвинения - в мошенническом использовании средств почтовой связи, электронной почты и уклонении от налогов, - является тюремное заключение на срок 26 лет. Арестованному в мае 2007 года Солоуэю вменялись рассылка спама, махинации с использованием средств почтовой и телеграфной связи, а также электронной почты; хищение конфиденциальной информации, обман потребителей и отмывание денег. В результате судебного расследования в минувшем январе к первоначальным 35 пунктам обвинения были добавлены еще 4, в том числе еще один по хищению персональных данных при отягчающих обстоятельствах и два - по сознательному уклонению от налогов. Признавать свою вину подсудимый упорно отказывался. Теперь в обмен на признание с него сняты все прошлогодние обвинения - за исключением одного, связанного с рассылкой электронной нелегитимной корреспонденции. После изучения информации, хранившейся на серверах принадлежащей спамеру компании Newport Internet Marketing, следователи пришли к заключению о непричастности Солоуэя к рассылке нелегитимной рекламы медицинских препаратов и порноспама. Тем не менее, власти убеждены, что к 20 июня - дате вынесения приговора - будут найдены доказательства его косвенного участия в данной противозаконной деятельности. Федеральные обвинители сняли с Солоуэя также все пункты обвинения, связанные с хищением персональной информации, некоторые из которых были признаны сформулированными на основании "нестандартного" прочтения действующего статута. Наиболее серьезное обвинение теперь связано не с рассылкой спама, а с мошенническим использованием средств почтовой связи. В качестве наказания за него служит тюремное заключение на срок до 20 лет. Махинации с использованием каналов электронной почты караются заключением под стражу на срок до 5 лет. Уклонение от налогов считается мелким правонарушением и наказывается тюремным заключением сроком до 1 года. Федеральное законодательство США предусматривает также наложение штрафов на Солоуэя по всем пунктам предъявленного ему обвинения. Общая сумма выплат может составить 625000 долларов. Число жертв спамера и величина нанесенного им ущерба пока окончательно не определены, но, по обоюдному согласию, все подсчеты будут закончены к июньскому заседанию окружного суда. Похоже, закоренелому спамеру впервые придется заплатить по счетам: несмотря на ряд проигранных им судебных процессов, еще никому не удалось получить с него назначенную судом компенсацию. Впрочем, с учетом наложенных ранее штрафов, расплачиваться ему будет нечем. Как выяснилось, Солоуэй жил в Сиэтле (штат Вашингтон), снимая квартиру в многоэтажном доме, и ездил на арендованном "Мерседесе". Его коллекция солнцезащитных очков была оценена в сумму немногим более 3700 долларов, обувь и одежда - около 22000 долларов. Правда, на его замороженных властями счетах сохранилось некоторое количество денежных средств. Федеральное следствие не теряет надежды найти и остальные нажитые неправедным путем капиталы и заручилось согласием спамера пройти проверку на "детекторе лжи". Источник: Seattle Times $2,9 млн. за обман пользователей и пренебрежение безопасностью их персональных данных 19.03.2008 Компания ValueClick согласилась урегулировать конфликт с Федеральной торговой комиссией США (ФТК), заплатив рекордную сумму штрафа за проведение рекламных акций в нарушение антиспамового законодательства и несоблюдение обязательств в отношении безопасности персональных данных своих клиентов. В течение трех лет ValueClick и ее филиалы - Hi-Speed Media и E-Babylon - завлекали интернет-пользователей на свои веб-сайты при помощи электронных писем с предложениями принять участие в "бесплатной" раздаче Apple iPhone, лэптопов, плазменных телевизоров и прочей ходовой электроники. По свидетельству ФТК, единственной целью этих рекламных акций являлась продажа товаров и услуг партнерских компаний. Поскольку получение "бесплатных" подарков было сопряжено с дополнительными, предварительно не оговоренными ValueClick условиями и материальными затратами со стороны претендентов, ФТК сочла ее рекламные рассылки противозаконными. В соответствии с CAN-SPAM Act, заголовки электронных сообщений коммерческого характера не должны содержать вводящей в заблуждение информации. Кроме того, выяснилось, что часть хранящейся в базе данных ValueClick финансовой информации пользователей была уязвима перед хакерскими атаками. Подобное положение дел противоречило заявленной компанией политике конфиденциальности, предусматривающей шифрование данных и "надлежащие меры безопасности". По свидетельству правозащитников, ранее компаниям, пренебрегавшим безопасностью конфиденциальных данных клиентов, удавалось уходить от правовой ответственности. Для возбуждения судебного преследования истцам требовалось предъявить доказательства ущерба, нанесенного им вследствие халатности ответчика, а сделать это было непросто. При рассмотрении иска против ValueClick суд признал справедливость обвинения в халатности. Помимо уплаты назначенного штрафа и соблюдения требования четко оговаривать все сопряженные с получением рекламируемых товаров и услуг нюансы и материальные затраты, условия урегулирования тяжбы с ФТК включают разработку и реализацию "комплексной программы по обеспечению безопасности" персональных данных пользователей. Соблюдение последнего требования будет подвергаться периодической проверке независимыми экспертами на протяжении 20 лет. Судебный приказ вступит в силу после утверждения окружным судьей штата Калифорния. Источник: CNET News.com Источник: DARKREADING Ultrascan: социология жертв сетевого мошенничества 19.03.2008 Согласно результатам исследований, проведенных британским "Управлением добросовестной торговли" (Office of Fair Trading) и голландской организацией борцов с "нигерийским" мошенничеством Ultrascan, в сети онлайн-мошенников чаще попадаются образованные люди, достигшие определенного положения в обществе. Британские исследователи выявили, что, против ожиданий, почти две трети жертв распространенных схем сетевого мошенничества заняты трудовой деятельностью и составляют возрастную группу от 35 до 44 лет. Люди среднего достатка склонны верить "лотерейщикам", прорицателям, астрологам и мнимым работодателям. Представители более состоятельных кругов общества готовы сделать более крупную ставку и нередко оказываются жертвами махинаций с недвижимостью, инвестициями и "нигерийских" схем. Активисты Ultrascan полагают, что не имеющие адекватного образования и/или финансового опыта люди представляют для мошенников меньший интерес, поскольку не доверяют собственным суждениям и быстрее распознают обман. Согласно статистике компании, на ложные призывы о помощи с большой готовностью откликаются врачи. В Ultrascan зарегистрировано немалое число случаев, когда жертвами мошенничества становились психиатры, психологи и нейрохирурги. В киберкриминальных кругах даже принято афишировать высокий образовательный ценз жертв удачных афер. Любопытно отметить, что из представителей армии "белых воротничков" жертвами мошенничества чаще становятся люди, испытавшие эмоциональный стресс в связи с необратимым внутрисемейным разрывом или утратой близких. Исследователи Ultrascan проанализировали 362 отчета об эффективной реализации мошеннических схем, при которых суммы причиненного жертвам ущерба превышали 150000 фунтов стерлингов (более 300000 долларов). Выяснилось, что в 85% случаев жертвы злоумышленников в нежном возрасте перенесли одну из названных психологических травм. В Ultrascan подметили еще одну особенность жертв онлайн-мошенничества. После длительного контакта со злоумышленниками они не могли освободиться от некой внутренней связи с ними. Попавших в такую зависимость очень трудно убедить в том, что их обманули, причем достаточно изощренным методом. Исследователи полагают, что это чувство сродни "стокгольмскому синдрому", когда жертвы проникаются симпатией к тем, кто взял их в заложники. Во многих случаях люди отказывались верить, что на протяжении длительного времени доверялись аферистам, причиняя страдания и убытки своим близким. Они обращались за объяснениями к своим привычным "корреспондентам", а у тех, разумеется, для возобновления контроля над жертвой имелась наготове целая армия подставных "детективов", "агентов" ФБР, Интерпола, контрразведки и прочих "специалистов". Источник: The Times Источник: BBC Ultrascan: финансовая классификация жертв сетевого мошенничества 19.03.2008 Активисты голландской организации Ultrascan разделили жертв онлайн-мошенничества на три категории в соответствии с величиной суммы понесенных ими потерь. Согласно этой классификации, наименьший ущерб своим жертвам причиняют инициаторы фальшивых лотерей, создатели поддельных рабочих мест и способов обучения, "богатые наследники" и организаторы "благотворительных фондов". Жертвы перечисленных сетевых афер, как правило, теряют 200-30000 долларов за период от двух месяцев до полугода. Мошеннические призывы о помощи в переводе и/или инвестировании денежных средств, а также предложения ссуды под смехотворный процент, требующие от реципиента затрат на "административные расходы", обходятся претендентам дороже. Сумма ущерба здесь может составлять от 15000 до 21000 долларов при продолжительности контакта с вымогателями 1-1,5 года. Больше всех теряют искатели выгодных капиталовложений, вовлеченные в традиционную "нигерийскую" схему мошенничества, которая за 25 лет претерпела колоссальные изменения. Претенденту предлагают принять участие в реальном предприятии международных масштабов, связанном с добычей золота или алмазов, изготовлением медицинского оборудования, вакцин, химикатов; с инвестициями, строительством и/или заключением контрактов на обслуживание. Как правило, этот бизнес имеет отношение к сфере занятий потенциальной жертвы или его деловым контактам и требует от нее проявления профессионализма и опыта в осуществлении товарооборота или организации сервиса. Затем неизменно наступает этап оплаты "административных расходов". Нередко ничего не подозревающая жертва "нигерийцев" привлекает к участию в своем новом "проекте" членов семьи, знакомых или деловых партнеров. Совокупные расходы на "организацию и ведение бизнеса" лавинообразно возрастают, и в один далеко не прекрасный день жертва и сотоварищи оказываются банкротами. По оценке Ultrascan, ущерб в результате реализации "нигерийских" схем может составлять от 300 тысяч до 12 миллионов долларов, хотя известны случаи, когда присвоенные мошенниками суммы были еще внушительнее. Все эти немалые капиталы оседают в плутовских карманах в рассрочку - в течение 1,5-8 лет. Источник: ULTRASCAN Ботнеты на службе у фишеров 19.03.2008 Согласно статистике компании Cyveillance, за истекшие три года операторы ботнетов провели фишинговые атаки против 1750 финансовых учреждений и правительственных организаций, в том числе против 106 новых - в IV квартале 2007 года. За последние 4 месяца эксперты RSA зафиксировали пять ботнетов, которые начали использовать фишеры. В декабре прошлого года фишинговым атакам подверглись крупнейшие банки США, Великобритании, Италии и Испании. Используя зараженные различными модификациями троянца Zbot ресурсы, злоумышленники от имени служб безопасности банков рассылали ложные извещения об обновлении персонального цифрового идентификатора. После перехода по указанной в письме ссылке пользователь попадал на поддельную страницу, имитирующую сайт того или иного банка, и лишался всех своих сбережений. В начале текущего года фишеры атаковали клиентскую базу банков Великобритании. По данным экспертов, созданные злоумышленниками для хищения банковских реквизитов веб-страницы были размещены на серверах "штормового" ботнета. Специалисты RSA отмечают тенденцию к расширению использования ботнетов для проведения фишинговых рассылок, хостинга поддельных страниц и хранения похищенных персональных данных. По данным компании, в минувшем феврале фишеры атаковали 188 банковских организаций из разных стран, причем 20 из них - впервые. Наибольшей популярностью у злоумышленников пользуются банки и кредитные организации США, на долю которых приходится 59% совокупной фишерской активности. Мишенью номер два являются британские банковские структуры: 12% предпринятых в течение прошлого года атак были нацелены именно на их клиентов. Непревзойденным лидером по хостингу поддельных веб-страниц также являются США, на порядок опережая другие страны. Компьютерные ресурсы Гонконга и Филиппин широко используются фишерами для хостинга многочисленных сайтов с "разовыми" URL, создаваемых по канонам технологии, введенной в киберкриминальный обиход одиозной группировкой Rock Phish. Что касается фишерского инструментария, исследователи RSA отмечают расширение использования злоумышленниками готовых комплектов для проведения сетевых атак с зашифрованным php-скриптом. Шифрование защищает от обнаружения фишерские почтовые аккаунты, а также позволяет скрывать имена файлов с похищенными пользовательскими реквизитами и адреса фальшивых веб-страниц. Кроме того, во избежание отсеивания злонамеренных посланий спам-фильтрами фишеры все чаще прибегают к "зашумлению" текстов своих писем (в частности, с помощью невидимых получателю html-тэгов). Источник: USA Today Источник: RSA Online Fraud Report (pdf) Цена риска 20.03.2008 Как показали результаты опроса, проведенного интернет-провайдером VeriSign среди 1942 европейских пользователей Интернета, на онлайн-счетах британцев хранится в совокупности 361 миллиард фунтов стерлингов (около 724 миллиардов долларов). Неосторожность их владельцев, а также неадекватность защиты сетевых сервисов и социальных сетей, оперирующих пользовательскими персональными данными, могут открыть злоумышленникам доступ к сокровищам виртуального Сезама. В настоящее время к британскому сектору Интернета подключено 32 миллиона взрослых пользователей. Согласно результатам опроса, каждый из них является обладателем в среднем 10000 фунтов стерлингов (более 20000 долларов), размещенных на различных счетах в Сети, включая интернет-банкинг, онлайн-игры и интернет-магазины. Две трети опрошенных британцев еженедельно пользуются системой интернет-банкинга, 58% совершают покупки через Интернет, а 31% наслаждаются общением в социальных сетях - таких как MySpace и Facebook. Все эти сервисы требуют персональной регистрации, и такая обширная клиентская база открывает большие возможности для злоупотреблений. Кроме того, 75% респондентов признались, что не скрывают своей даты рождения, 70% готовы по первому требованию назвать свой домашний адрес, 68% - девичью фамилию матери. Тем не менее, личный опыт и просветительская деятельность приносят свои плоды. 78% участников опроса выразили обеспокоенность проблемой хищения персональной информации в Сети, а 43% заявили, что им приходилось сталкиваться с подобными случаями. Источник: VeriSign Спам-статистика за период 10 - 16 марта 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 87,5%. Основные изменения, произошедшие в тематическом распределении спама на прошедшей неделе, коснулись рубрик "Медикаменты; товары и услуги для здоровья" (относительная доля снизилась почти на 5%) и "Личные финансы" (доля увеличилась на 3,1%). Редкую стабильность продемонстрировали тематики "Реплики элитных часов", "Компьютеры и Интернет" и "Компьютерное мошенничество". Спам-рассылки финансовой направленности, прошедшие на прошлой неделе и позволившие показателю рубрики "Личные финансы" существенно увеличиться, являлись не "биржевыми" (столь популярными еще несколько месяцев назад), а были посвящены кредитам и ссудам. Весьма популярной на прошедшей неделе оказалась спам-реклама социальных сетей. В русскоязычных почтовых потоках было зафиксировано несколько масштабных рассылок подобной направленности. Спектр спамерских методов убеждения получателей был широк - от классических утверждений о том, что в рекламируемой социальной сети можно найти старых знакомых, до обещания знакомства с "лучшими школьницами украинского Интернета". Примечательно, что в некоторых письмах той же рассылки пользовательницы сети обозначались куда более крепкими выражениями - видимо, в расчете на любопытство получателей. Прошедшая неделя ознаменовалась весьма опасной вредоносной рассылкой, отдающей к тому же "черным" PR. Спамовые письма от имени российского Фонда эффективной политики (ФЭП) предлагали получателю скачать, заполнить и отправить по нужному адресу фирменный бланк резюме. По приведенной ссылке располагались два исполняемых файла. Специалисты "Лаборатории Касперского" установили, что оба являются новыми модификациями известных вредоносных программ. Один из файлов был задетектирован как Trojan.Win32.Inject.aec, второй - Trojan-PSW.Win32.LdPinch.ggr (вариант небезызвестного троянца-похитителя паролей LdPinch). ФЭП официально опроверг свою причастность к данной рассылке, назвав ее "компрометирующей вирусной атакой", и призвал пользователей электронной почты к осторожности и благоразумию. Не сдаются мошенники, выманивающие деньги у доверчивых пользователей с помощью sms. Они предлагают посредством отправки sms-сообщения на указанный номер получить бесплатный доступ в Интернет. Особенно любопытно то, что этот же короткий номер ранее был задействован в спамовом извещении о выигрыше в лотерею и в предложении предварительно проголосовать на президентских выборах. Можно предполагать, что он арендован специально для мошеннических целей и эксплуатируется одной или несколькими спамерскими группировками. Их технических особенностей рассылки спама на прошедшей неделе стоит отметить продолжение использования спамерами псевдобелого "зашумляющего" текста. Собственно рекламные строки, выведенные яркими буквами большого размера, окружены произвольным набором мелких букв близкого к фону письма цвета. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 24,9% -4,9% 2 Другие товары и услуги Предложения других товаров и услуг 15,6% -1,1% 3 Образование Реклама семинаров, тренингов, курсов 13,6% +1,8% 4 Реплики элитных часов Копии элитных, в первую очередь швейцарских, часов 9,4% Без изменений 5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 5,5% Без изменений 6 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 5,2% +3,1% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 5,2% +0,7% 8 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 4,4% +0,9% 9 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 4,1% -2,3% 10 Юридические услуги и аудит Предложения юридических услуг 2,9% +0,9% 11 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 2,6% -0,5% 12 Остальной спам   2,4% +1,4% 13 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 2,3% Без изменений 14 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% +0,1% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005