"Лаборатория Касперского" Электронный журнал "Спамтест" No. 231 в этом номере: Новости Спам - статистика за период 21 - 28 апреля 2008 г. Новости Rock Phish вновь меняет тактику 25.04.2008 Согласно наблюдениям исследователей компании RSA, одиозная группировка Rock Phish вознамерилась повысить эффективность фишинговых атак, дополнив свой арсенал троянской программой семейства Zeus. Теперь, получив фишинговое послание с ботнета, контролируемого Rock Phish, неосторожный пользователь рискует попасть под двойной удар. Пройдя по указанной злоумышленниками ссылке на поддельную веб-страницу, он может, утратив бдительность, оставить на ней персональную информацию. Однако, вне зависимости от того, поддастся он искушению или нет, велика вероятность, что на его компьютер будет скрытно установлена многоцелевая модификация троянца Zeus. Специалисты RSA отмечают, что при проведении данных атак процент заражений очень высок, так как злоумышленники используют уязвимости "нулевого дня" пользовательских ОС, браузеров и прикладных программ. Кроме того, троянец загружается с веб-хостинга, в адрес которого внедрен домен одного из сервисов Google; сами URL динамически изменяются, затрудняя работу защитных систем. По сведениям экспертов, злоумышленникам даже не пришлось прибегать к услугам вирусописателей: последняя модификация Zeus продается на подпольном рынке готовым комплектом за умеренную цену - 700 долларов. Во избежание обнаружения бинарный файл троянской программы автоматически обновляется перед каждой атакой, сводя на нет использование занесенных в антивирусные базы сигнатур. За последние полгода в RSA было зарегистрировано более 150 вариантов Zeus, производительность которых составляет в среднем 4000 заражений в сутки. В функционал бота, помимо стандартных процедур инсталляции и внедрения в запущенные процессы, входит комплексная процедура кражи информации. Троянец ворует сохраненные в системе пользовательские пароли, контролирует осуществляемый через браузер ввод данных в формы - особенно информации финансового характера, делает скриншоты экрана при использовании виртуальной клавиатуры, подменяет содержимое запрашиваемых веб-страниц. По оценке экспертов, группировка Rock Phish, которой многие приписывают российские корни, ответственна за половину фишинговых атак в Интернете. Используемые ею новаторские методы всегда обеспечивали высокую эффективность злонамеренных эскапад. С именем Rock Phish связывают появление графического спама и "одноразовых" URL, применение ботнетов для проведения фишинговых атак. Данная группировка использует такой прием обхода спам-фильтров, как "зашумление" контента и URL в электронных сообщениях, а рассылка с помощью спам-бота по спискам активных адресов, найденных в базе резидентной машины, обеспечивает впечатляющий процент доставки фишинговых посланий. Источник: RSA Источник: SearchSecurity.com CAPTCHA, которая требует воображения 28.04.2008 В ожидании удовлетворения заявки на патент специалисты из Пенсильванского университета запустили демонстрационную версию нового теста CAPCHA, призванного защитить веб-сервисы от автоматической регистрации аккаунтов. Двухступенчатый тест IMAGINATION ("воображение") основан на системе воспроизведения произвольных изображений, в которой использован хорошо зарекомендовавший себя алгоритм поиска и лингвистической индексации похожих картинок. Вначале испытуемому предлагается выбрать одну из нескольких цветных фотографий, воспроизведенных с частичным наложением границ, и кликнуть "мышью" на ее геометрический центр. Комбинированное изображение имеет большой объем, в картинки внесены произвольные цветовые, текстурные и контурные искажения. После успешного прохождения первого этапа на экране возникает другое либерально "зашумленное" изображение, к которому надо подобрать из приведенного списка определяющее слово. Создатели IMAGINATION утверждают, что предложенный ими тест устойчив к взлому оптическими и машинными системами распознавания образов, хотя эффективность последних, если верить многочисленным научным публикациям приблизилась к 90%. Алгоритм ALIPR обладает надежностью и удобен для пользователя. Единственное нарекание, которое пока вызвала новая система, касается ее цветового исполнения: такой вариант может быть неприемлемым для дальтоников. Поиск новых путей защиты от регистрации веб-аккаунтов программами-роботами вызван тревожным количеством взломов CAPTCHA на популярных почтовых сервисах. Хотя, по имеющимся сведениям злоумышленники используют при этом живую рабочую силу, технический прогресс не стоит на месте. По данным Websense, в последней атаке на Live Mail процесс незаконной регистрации аккаунтов был полностью автоматизирован, причем для взлома CAPTCHA программе потребовалось всего 6 секунд! Источник: Computerworld Источник: arstechnica.com Спаму 30 лет 28.04.2008 3 мая исполняется 30 лет со дня осуществления первой нелегитимной рассылки по каналам электронной почты. С той поры явление, которое мы привыкли называть "спамом", претерпело множественные трансформации и разрослось в мультимиллиардную криминальную индустрию. Неизменной осталась лишь мотивация - и по сей день спамеров обуревает страстное желание любыми путями получить прибыль с минимальными трудовыми затратами. Тридцать лет назад специалист по маркетингу компании DEC Гэри Труек (Gary Thuerk) с домашнего компьютера вручную разослал рекламу новой модели ПК по 393 адресам пользователей американской правительственной сети Арпанет (Arpanet) - предшественника современного Интернета. Непрошеная коммерческая реклама вызвала мгновенную бурю негодования со стороны получателей, и администраторы Арпанет поспешили выразить недовольство руководству компании. С развитием Интернета число желающих воспользоваться этим скоростным международным средством связи в коммерческих целях неуклонно увеличивалось, что создавало серьезные помехи деловому и частному общению и даже причиняло убытки. Интернет-сообщество было вынуждено обороняться от назойливого "мусора" с помощью технических средств и законодательных мер. По экспертной оценке, в настоящее время уровень спама в почтовом трафике достиг 80-90%. Пытаясь преодолеть разнообразные защитные заслоны, нелегитимная корреспонденция атакует почтовые серверы с ошеломляющей производительностью - 120 миллиардов сообщений в сутки. Тем не менее, прогнозы маркетинговой компании Radicati Group позволяют с оптимизмом уповать на технический прогресс антиспам-инструментария. По оценкам Radicati, в текущем году объемы спама в среднем будут составлять 78% глобального почтового трафика, однако в почтовых ящиках пользователей осядет только 56% от общего объема спама. Количество активных почтовых аккаунтов в Сети к концу текущего года достигнет 2 миллиардов, а в 2012 году будет составлять 2,7 миллиарда. Уровень спама в Интернете к этому времени повысится до 83%, но уже к 2011 году, благодаря совершенствованию эффективности систем фильтрации почты, количество доставляемого пользователям "мусора" уменьшится до 53% спам-трафика. Однако спам недешево обходится участникам "всемирной паутины". Помимо затрат на приобретение, установку и обслуживание защитных средств, пользователи вынуждены покрывать дополнительные расходы, связанные с перегрузкой почтового трафика, сбоями серверов и потерей производительности. По оценке компанииFerris Research в текущем году глобальная сумма убытков от спама составит около 140 миллиардов долларов, а в США - 42 миллиарда, тогда как в прошлом году эти показатели были значительно ниже - 100 и 35 миллиардов долларов соответственно. Источник: NewScientist Три четверти юных британцев получают мобильный спам 28.04.2008 Согласно итогам опроса, проведенного в Великобритании по инициативе компании Cloudmark, 75% британцев в возрасте 18-25 лет на собственном опыте убедились в назойливости SMS-спамеров. 66% из 2150 респондентов-владельцев мобильных телефонов, принадлежащих к разным возрастным группам, отметили, что получали нелегитимные текстовые сообщения. Однако, как показал опрос, современные британские SMS-спамеры не ограничиваются распространением навязчивой рекламы. Помимо рассылки традиционных для европейского мобильного сервиса предложений перезвонить на номер, обслуживаемый по завышенному тарифу, злоумышленники также используют каналы мобильной связи для проведения фишинговых атак. Почти 10% получателей SMS-спама заявили, что некоторые из присланных им сообщений были нацелены на выуживание персональных данных. 38% участников опроса, ставших объектом внимания спамеров, получали SMS со ссылкой на некий веб-сайт, а 45% - с просьбой позвонить на номер, обслуживаемый по завышенному тарифу. Источник: ComputerWeekly В Колорадо ужесточили закон против спама 28.04.2008 Согласно новой версии закона против спама, принятой в американском штате Колорадо, проведение коммерческих рассылок с нарушением требований федерального антиспам-законодательства (CAN-SPAM Act) является противоправным действием и карается суровыми штрафами. Новый закон об ограничении спама (Spam Reduction Act of 2008) приведен в соответствие с федеральным законодательством и квалифицирует массовую рассылку нелегитимной корреспонденции коммерческого характера как мелкое правонарушение. В отличие от CAN-SPAM, правовой акт штата предусматривает возбуждение судебного расследования по гражданскому иску, поданному в местные органы частным лицом. Если получатель спама идентифицировал его отправителя и может представить доказательства причиненного спамером ущерба, он может требовать по суду компенсации в размере до 1000 долларов за каждое нелегитимное письмо или совокупно до 10 миллионов долларов. По оценке инициаторов пересмотра местного антиспам-законодательства, из-за спама американский бизнес ежегодно теряет около 70 миллионов долларов. Такова сумма убытков, связанных с потерей производительности и дополнительными расходами на сетевое администрирование. Закон об ограничении спама штата Колорадо вступит в силу 8 августа текущего года. Источник: Denver Business Journal Источник: Rocky Mountain News Спам - статистика за период 21 - 28 апреля 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю незначительно уменьшилась по сравнению с предыдущей и составила в среднем 82,7%. Тематическое распределение спама на прошедшей неделе оказалось относительно стабильным по сравнению с неделей предыдущей. Основные количественные изменения коснулись рубрик "Компьютерное мошенничество" (+4,3%), "Отдых и путешествия" (перед майскими праздниками относительная доля этой рубрики ожидаемо увеличилась, разница с прошлой неделей составила 2,9%) и "Медикаменты; товары и услуги для здоровья" (-2,4%). В середине апреля Госдума одобрила законопроект о запрете рекламы оккультных услуг. Как и следовало ожидать, это не замедлило сказаться на количестве такой рекламы в спаме. Если раньше в потоках спама регулярно рекламировался только один центр подобной направленности, то на прошедшей неделе было зафиксировано несколько рассылок, рекламирующих услуги разных специалистов в области черной и белой магии. Примечательно, что каждый такой специалист предлагает быстро и эффективно решить все вопросы, с которыми не справились остальные горе-специалисты. Активизировались на прошедшей неделе и спамеры, предлагающие свои программы или услуги по незаконному проникновению в чужую почту, ICQ, взлому сайтов и рассылкам. Ознаменовалась прошедшая неделя и новым способом применения спамерской рассылки. Ниже приведено письмо из подобной рассылки, в котором предлагается пройти по ссылке и там ответить на ряд вопросов. Заданные таким образом вопросы не содержат предложений о предоставлении личной или конфиденциальной информации, это обычный социологический опрос. Гораздо менее невинной оказалась другая рассылка, отмеченная нашими спам-аналитиками. Письма этой рассылки выглядели как стандартные предложения посмотреть полученную открытку. При переходе по предложенной ссылке пользователь попадал на страницу, копирующую главную страницу сервиса mail.ru. В адресной строке указывался адрес http://cards-mail-ru-.c-o.cc/, который похож на стандартный адрес сервиса открыток и не привлекает к себе внимание неискушенного пользователя. При внимательном изучении страницы можно было заметить, что новости, размещенные на ней, устарели, а новостные ссылки никуда не ведут. Доверчивый пользователь, оказавшийся на этой странице и решивший с неё войти в "свою" почту, рисковал тем, что его логин и пароль попадут в руки злоумышленников. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 25,5% +3,0% 2 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 16,2% -2,4% 3 Реплики элитных часов Копии элитных, в первую очередь швейцарских, часов 13,7% +0,4% 4 Образование Реклама семинаров, тренингов, курсов 10,8% -1,9% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 10,5% +2,9% 6 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 6,7% +4,3% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3,8% -1,0% 8 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 3,0% -1,6% 9 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 2,8% -1,8% 10 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 2,2% -0,6% 11 Юридические услуги и аудит Предложения юридических услуг 2,1% -0,8% 12 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -0,1% 13 Остальной спам   Менее 2% -0,7% 14 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% +0,3% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005