Электронный журнал "Спамтест" No. 230 в этом номере: Новости Спам - статистика за период 14 - 20 апреля 2008 г. Новости APACS: убытки английских банков от фишинга сократились, но фишеры не сдаются 21.04.2008 Согласно статистике британской Ассоциации систем межбанковских расчетов (APACS), в 2007 году по сравнению с предыдущим убытки английских банков от фишинга сократились на треть и составили 22,6 миллиона фунтов стерлингов (примерно 44,5 миллиона долларов). Однако в I квартале текущего года Ассоциация зарегистрировала более 10000 атак фишеров - на 200% больше, чем за тот же период 2007 года. Специалисты компании RSA подтверждают тенденцию к активизации фишеров в британском секторе Интернета. По их оценке, последние 14 месяцев клиентская база банковских структур Великобритании удерживает второе место в мировом рейтинге объектов фишинга. Исследователи также отмечают, что за год количество атакованных организаций увеличилось на 23%, причем, помимо крупных банков и кредитных союзов, среди них числятся и более мелкие фигуранты мира финансов. Что касается бдительности клиентов финансовых онлайн-сервисов, то, по данным APACS, число британских пользователей, игнорирующих послания фишеров, за прошедший год увеличилось с 75% до 82%. Тем не менее, хотя 93% подключенных к Интернету ПК оснащены антивирусными средствами, 29% машин не защищены от шпионских программ. Английские банки всегда с готовностью компенсировали потерю денежных средств клиентами из-за фишинга - вне зависимости от защитных мер и благоразумия последних. Новая версия рекомендательного Банковского кодекса Великобритании, опубликованная в конце марта, предусматривает возможность отказа в покрытии убытков, если клиент пренебрегает элементарными правилами безопасного пользования интернет-банкингом. Источник: The Register Повелители Srizbi идут ва-банк 22.04.2008 Специалисты компании Marshal отмечают неиссякаемую агрессивность операторов Srizbi в конкурентной борьбе за ресурсы. Распространяемый с этого ботнета злонамеренный спам в настоящее время составляет почти половину нелегитимной корреспонденции, циркулирующей в Интернете. По мнению исследователей, владельцы данного ботнета всерьез озаботились увеличением его потенциала. Еще в конце 2007 года количество рассылаемых Srizbi писем со ссылками на вредоносные порноролики не превышало 20% спам-трафика. В феврале-марте текущего года этот показатель взлетел до 39%, теперь на долю Srizbi приходится 45,1% от общего объема спама в Сети. Проводимые с ботнета злонамеренные атаки не отличаются особой изощренностью, но весьма эффективны. Короткий текст спамовых сообщений, оформленный по классическим канонам социальной инженерии (в последней спам-рассылке злоумышленники намекали на компрометирующий получателя видеоконтент) и безыскусная ссылка на вредоносный веб-хостинг оказались достаточными для стремительного роста числа заражений. По экспертным оценкам, в настоящее время ботнет Srizbi значительно опережает конкурентов по численности составляющих его зомби-компьютеров и насчитывает около 315000 активных единиц. Кроме того, его спам-боты отличаются высокой производительностью. Зафиксированный в Marshal индивидуальный рекорд по этому показателю составил 8000 сообщений в час. Что касается остальных наблюдаемых в Marshal ботнетов, то вторым, более скромным лидером по рассылке спама в настоящее время является Mega-D, доля участия которого в спам-трафике увеличилась и составляет 18,2%. Количество спам-рассылок из прочих конкурирующих источников уменьшилось. Однако, по оценкам другого специалиста по безопасности - SecureWorks, совокупный потенциал спамопроизводительности современных ботнетов составляет более 100 миллиардов сообщений в сутки. Согласно составленной данной компанией классификации, в настоящее время в Сети функционирует 11 используемых спамерами крупных ботнетов с общей численностью спам-ботов менее 1 миллиона. Кстати, низкую активность операторов одиозного "штормового" ботнета в отношении спам-рассылок эксперты SecureWorks объясняют не столько сокращением численности его ресурсов, сколько малым числом участвующих в спам-трафике зомби-компьютеров (85000 и 35000 соответственно). Вторым по величине ботнетом, по оценке SecureWorks, является Bobax (185000 спам-ботов), который в классификации Damballa возродился под именем Kraken. Источник: Marshal "Биржевой" спам по-русски 22.04.2008 Любопытная целевая спам-рассылка была зафиксирована в Рунете в середине апреля. Получателями поддельных "открытых писем правительству" с призывом ввести пошлины на экспорт металла стали некоторые российские СМИ. Электронные фальшивки эксплуатировали ажиотаж вокруг цен на металл на внутреннем российском рынке и были выполнены в форме открытого обращения к главе Минпромэнерго (в некоторых вариантах - премьер-министру РФ). Они были разосланы от имени нескольких организаций: Объединения автопроизводителей России, Ассоциации энергоменеджеров России, Российского союза строителей, Международного союза металлургов. Текст "открытого письма" творчески варьировался в зависимости от специализации мнимого отправителя. Тем не менее, все варианты выражения озабоченности завершались единым призывом - ввести экспортные пошлины на металл, чтобы приостановить внутренний рост цен. По имеющимся сведениям, все доменные имена, использованные в поддельных адресах отправителей, зарегистрированы на одно и то же частное лицо. Мобильный телефон владельца доменов, указанный в регистрационных данных, не отвечает. Организации, имена которых указаны спамерами в качестве отправителей, отрицают свою причастность к данной акции. Объединение автопроизводителей даже разместило на своем веб-сайте официальное опровержение, не скрывая, однако, своей заинтересованности в разрешении ситуации с ценами. Кроме того, в Объединении собираются провести собственное служебное расследование в отношении упомянутой спам-рассылки. Источник: Security Lab Спамеры "задержали" Усаму бен Ладена 23.04.2008 Специалисты Marshal обнаружили необычный сюжетный ход, появившийся в арсенале приемов социальной инженерии, направленных на расширение потенциала ботнета Srizbi. Зафиксированные в компании злонамеренные сообщения были замаскированы под пресс-релиз легальных информационных агентств, посвященный мнимому задержанию Усамы бен Ладена. По свидетельству экспертов, для большей убедительности злоумышленники испещрили заголовки писем броскими именами - CNN, CNBC, Financial Times. В текст сообщений внедрены две ссылки для загрузки "сенсационных материалов" с вредоносной веб-страницы. По данным Marshal, оба URL традиционно используют редирект-службу Google с целью обхода спам-фильтров. Открываемая по ссылке веб-страница предлагает посетителю самому загрузить искомый файл. Кроме того, исследователи Marshal предупреждают, что страница содержит скрытый яваскрипт, предназначенный для эксплуатации уязвимостей IE-браузера. После загрузки и активации файла videousa.exe на машину жертвы устанавливается спам-бот Srizbi. Добавим, что приведенный в качестве примера образец текста вредоносного сообщения напоминает неудачную попытку подбора англоязычного эквивалента "послужного списка" бен Ладена, составленного в подозрительном соответствии с правилами русской грамматики. Источник: Marshal Больше половины глобального парка зомби-компьютеров находится в Китае 23.04.2008 Согласно статистике министерства информационной индустрии КНР, в 2007 году количество контролируемых злоумышленниками компьютеров в китайском секторе Интернета втрое уменьшилось, но все еще выражается внушительной цифрой - 3,6 миллиона. По оценке китайских экспертов, к концу прошлого года число подключенных к Сети машин, находящихся на территории Китая, составило около 78 миллионов. На 4,6% из них - примерно на 1 компьютере из 20 - в настоящее время установлены программы удаленного администрирования, позволяющие киберзлоумышленникам использовать эти ресурсы для рассылки спама, проведения фишинговых и DDoS-атак. Исследователи полагают, что основной причиной большого числа заражений является слабая защита китайских ПК против интернет-угроз. Как отмечают специалисты Рабочей группы быстрого реагирования министерства (China's National Computer network Emergency Response technical Team, CNCERT), доля участия китайских зомби-компьютеров в мировом ботнет-потенциале весьма значительна и составляет 58%. По мнению экспертов Microsoft, приведенная в отчете Рабочей группы оценка всемирного парка приобщенных к ботнетам машин - 6,2 миллиона, или 1 компьютер из 200, - точнее многих отражает фактическое положение в современном Интернете. По данным CNCERT, более трети серверов, управляющих зараженными машинами китайских пользователей, находятся на территории самого Китая. 32% зарубежных командных серверов базируются в США, 13% - на Тайване. Источник: InfoWorld Спам - статистика за период 14 - 20 апреля 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю незначительно уменьшилась по сравнению с предыдущей и составила в среднем 87,3%. Самые заметные изменения в тематическом распределении спама на прошедшей неделе произошли в рубрике "Образование" (относительная доля рассылок этой тематики в общем потоке спама уменьшилась на 8,2%). Также снизилась доля спама, посвященного отдыху и петешествиям (- 2,2%) и личным финансам (-1,9%). Место этих рассылок занял спам, посвященный медикаментам (доля увеличилась на 6,5%), а также реклама реплик элитных часов (+4,8%). Среди технических приемов, использованных спамерами на прошедшей неделе, можно отметить массовое использование "замусоренных" телефонных номеров. Между цифрами телефонного номера спамеры вставляют буквы латинского алфавита и знаки препинания (пример такого письма приведен на сайте Спамтест). В таких письмах содержится минимум значимого текста, который к тому же из-за "замусоривания" не так-то просто прочитать, и большой кусок случайного текста. Авторы другой рассылки сделали ставку на привлечение внимания получателя. Реклама обучения для шахматистов была замаскирована под увлекательный бюллетень новостей из мира шахмат. О цели рассылки мог бы догадаться только тот, кто прочитал бы все семь страниц этого грандиозного письма, но чтение это, без сомнения, весьма увлекательное. Выдержки из такого письма также приведены на сайте. Сезонный спам на прошедшей неделе кроме рассылок, повященных туристическим предложениям (количество которых по-прежнему остается относительно небольшим), был представлен спамом, связанным с Днем Победы. В преддверии этого праздника спамеры предлагают приобрести у них DVD с фильмами о войне. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 22,5% -1,1% 2 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 18,6% +6,5% 3 Реплики элитных часов Копии элитных, в первую очередь швейцарских, часов 13,3% +4,8% 4 Образование Реклама семинаров, тренингов, курсов 12,7% -8,2% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 7,6% -2,2% 6 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 4,8% +0,3% 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 4,6% -0,1% 8 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 4,6% +0,5% 9 Юридические услуги и аудит Предложения юридических услуг 2,9% +0,3% 10 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 2,8% +0,6% 11 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 2,4% +1,4% 12 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -1,9% 13 Остальной спам   Менее 2% +0,1% 14 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -0,9% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005