"Лаборатория Касперского" Электронный журнал "Спамтест" No. 242 в этом номере: Новости Спам-статистика за период 14 - 20 июля 2008 г. Новости Румынские власти продолжают наступление на фишеров 18.07.2008 В ходе выполнения оперативного плана, разработанного румынскими правоохранительными органами и ФБР в рамках совместной борьбы с фишингом, в ряде населенных пунктов Румынии были произведены 24 ареста. По имеющимся сведениям, задержанные причастны к реализации масштабных фишинговых схем, связанных с созданием фальшивых аукционов, хищением персональной информации и изготовлением поддельных кредитных карт. В число жертв данной группировки входят посетители нескольких американских веб-сайтов, включая eBay. Общая сумма убытков, понесенных жертвами этих мошенников за пределами Румынии, оценивается в 400000 евро (более 636000 долларов). Международное сотрудничество румынских властей, направленное на искоренение национальной кибепреступности, уже не раз приносило успешные результаты. В текущем году в двух американских штатах был начат судебный процесс против интернациональной группировки фишеров, также выявленной совместными усилиями правоохранительных органов Румынии и США. Источник: mediafax.ro Источник: PCWorld Посмотри на Джоли - получи троянца 18.07.2008 Специалисты по сетевой безопасности зафиксировали серию вредоносных спам-рассылок, использующих подогреваемый СМИ интерес к личной жизни Анджелины Джоли. По свидетельству экспертов, в одной из этих спам-рассылок злоумышленники применили уже проверенный фармаспамерами трюк для обхода систем фильтрации - имитацию стандартного рекламного предложения MSN в теле письма. Данные спамовые сообщения призывают просмотреть видеоролик с участием обнаженной кинодивы, а форма официального заявления от имени упомянутого сервиса призвана уверить получателя в легитимности предлагаемого контента. При активации ссылки в виде "скрытого изображения" на машину жертвы загружается файл video-nude-anjelina.avi.exe (обратите внимание на написание имени актрисы, его правильный вариант - "Angelina"!), который в BitDefender детектируется как Trojan.Agent.AGGZ. Исследователи TrendMicro зарегистрировали еще одну вредоносную спам-рассылку, использующую "звездную клубничку" как приманку. В качестве ссылки на видеоконтент, сопровождающей релевантное фото Джоли, злоумышленники использовали открытый редирект Doubleclick. Загружаемый при ее активации файл msvideoc.exe представляет собой вариант программы-даунлоудера TROJ_DLOAD, которая награждает резидентную систему различными образцами шпионского ПО. В компании BitDefender обнаружили также злонамеренную спам-рассылку, распространяющую слухи о пятерых близнецах, которых якобы родила любимица публики вместо двойни. В данном случае указанная спамерами ссылка вела на поддельную веб-страницу, которая вместо обещанного видео автоматически загружала на машину любителя сенсаций вариант даунлоудера, занесенного в базу данных "Лаборатории Касперского" как Trojan-Downloader.Win32.Exchanger. Эта программа уже опробирована киберзлоумышленниками как скрытный загрузчик других вредоносных изделий. Кроме того, после запуска на резидентной машине она выводит на экран множественные сообщения о мифических угрозах, якобы обнаруженных в системе, и предлагает установить полную версию "антивируса" за отдельную плату. Источник: marketwatch.com Источник: blog.commtouch.com Источник: blog.trendmicro.com Эффективность систем фильтрации вынуждает спамеров разнообразить камуфляж 18.07.2008 Исследователи Cloudmark опубликовали список наиболее характерных приемов, которые спамеры используют для обхода защитных фильтров. Данные были получены на основе анализа внутренней статистики компании за истекшие полгода. По оценке Cloudmark, в настоящее время уровень спама в США составляет 90-95% почтового трафика. Чтобы повысить результативность доставки нелегитимной корреспонденции в условиях непрерывного совершенствования средств сетевой защиты, инициаторам спам-рассылок приходится прибегать к все более изощренным методам маскировки, порой доходящим до абсурда. Одним из облюбованных спамерами трюков является мозаичное представление слова, которое в соответствии с правилами рекламного искусства должно отпечататься в сознании потенциального покупателя. В качестве примера эксперты приводят императив "BUY" ("КУПИ"), набранный заглавными буквами, которые составлены биржевыми идентификаторами релевантных ценных бумаг, продвигаемых по мошеннической схеме "накачка-сброс". В "биржевом" спаме также большую популярность стало приобретать "скрэмблирование" - шифрование путём перестановки и инвертирования групп символов. При этом наименования компаний, котировки и биржевые идентификаторы подчас искажаются до полной неузнаваемости. Нередки случаи обыгрывания в спамовом контенте визуальных эффектов с подстановкой в слово буквоподобных символов - "0" вместо "о" или "1" вместо "i". Более креативным способом маскировки искомого символа является его передача в виде иносказания ("@" = "собака", "." - "точка"). Не отказались авторы нелегитимных рассылок и от такого проверенного метода, как графический спам. Хотя большинство современных средств фильтрации оснащены функцией распознавания картинок, эта разновидность спама способна ввести в заблуждение текстовые фильтры и продолжает использоваться, хотя и в ограниченном масштабе. Спамовые ссылки также подвергаются различным трансформациям. Например, существует много способов вставлять в URL дополнительные знаки без потери активности. Применяя несложные способы шифрования, спамеры внедряют в http-ссылку непечатаемые символы, не нарушая ее функциональности. По экспертному мнению, данное направление эволюции спамерских технологий совершило качественный скачок. Некоторые умельцы с криминальными наклонностями научились переформатировать URL таким образом, что несоответствие общепринятым сетевым стандартам не препятствует их активации через некоторые почтовые клиенты, веб-интерфейсы и прочие онлайн-продукты. Исследователи отметили также простой, но весьма эффективный трюк, с неизменным успехом привлекающий потенциальных покупателей на спамерский веб-хостинг, - множественную регистрацию доменов, имена которых незначительно отличаются от целевого легального. Небольшая перестановка составляющих доменного имени или введение лишнего символа, как правило, не настораживают невнимательного пользователя - в отличие от результатов случайной генерации или бессмысленных буквенно-цифровых наборов, и обеспечивают искомый "клик". Источник: cloudmark.com Исследователи подсчитали уязвимые редиректы на легальных сайтах 18.07.2008 Созданный в университете штата Индиана специализированный поисковик просканировал около 2,5 миллиона веб-страниц и обнаружил 128000 открытых html-редиректов, которые могут использоваться для распространения спама и осуществления фишинговых и мошеннических схем. Полученная статистика поразила исследователей. Если принимать во внимание, что они посещали только наиболее популярные веб-сайты и не применяли изощренные технологии - такие, как яваскрипт или сложные URL-коды, фактическое число открытых редиректов в Сети должно значительно превышать зафиксированный ими показатель. Веб-ссылки, автоматически перенаправляющие сетевой трафик с одной страницы на другую, широко используются владельцами интернет-ресурсов при реорганизации веб-сайтов, размещении стороннего контента, для компенсации возможных опечаток в имени ресурса, допускаемых потенциальными клиентами солидного сервиса, и т.п. Однако отсутствие ограничений на исполнение данной функции позволяет подобному открытому редиректу связывать пользователя с любым веб-сайтом, что создает благоприятную почву для злоупотреблений. Криминальные элементы используют данную уязвимость для привлечения потенциальных жертв на свои ресурсы, а "белая" репутация внедряемых в нелегитимные послания ссылок помогает им обманывать бдительность получателей злонамеренных писем и успешно обходить защитные фильтры. Источник: blog.washingtonpost.com Время платить по счетам 23.07.2008 После непривычно продолжительного слушания свидетельских показаний в Сиэтле, штат Вашингтон, завершился уголовный процесс по делу "короля спама" Роберта Солоуэя (Robert Soloway). Злостный нарушитель экологичности интернет-пространства пробудет в заключении 4 года без одного месяца. Согласно материалам следствия, 28-летний владелец компании Newport Internet Marketing в течение нескольких лет занимался предоставлением услуг по распространению спама и продажей спамерского инструментария, рекламируя свой бизнес через нелегитимные рассылки. Его расценки были вполне умеренными: 195 долларов по "бронзовому" тарифу за 15 дней рассылки на 2 миллиона адресов, 495 долларов по "платиновому" - при тех же сроках, но с охватом 20 миллионов адресов. В базу данных компании, систематизированную по территориальному принципу и с учетом персональных преференций, были занесены более 157 миллионов абонентов, якобы "подписавшихся" на рекламные рассылки. Захваченные правоохранительными органами два сервера, которые Солоуэй разместил на легальном веб-хостинге GoDaddy, были оснащены программой для анонимной рассылки спама - Dark Mailer, которая для обхода спам-фильтров автоматически подставляла в строку отправителя сообщения имя реципиента. На каждом сервере были обнаружены списки на 10 миллионов адресов, а применение Dark Mailer обеспечивало спамопроизводительность в 500 сообщений за одну отправку, причем текст сообщений должен был обновляться каждые пять минут. По данным расследования, за три месяца с этих серверов было разослано более 90 миллионов единиц спама. Однако никаких свидетельств использования Солоуэем ботнетов обнаружено не было. По либеральным оценкам, за три года противозаконной деятельности спаммейстер заработал немногим более 700000 долларов, хотя, по его утверждению, он любит "красивую" жизнь и компенсировать жертвам ущерб ему нечем. Напомним, что в обмен на признание вины обвинительный акт по делу Солоуэя был сокращен до трех пунктов - мошенничество с использованием средств почтовой связи, электронной почты и уклонение от налогов. Несмотря на вошедшие уже в привычку покаянные речи спамера и отсутствие таких отягчающих вину обстоятельств, как распространение вредоносных программ, нанесение умышленного ущерба чужим компьютерным ресурсам или рассылка рекламы порнографического характера, окружной суд учел факты его неподчинения прежним судебным приказам и определил умеренные меры наказания. В качестве смягчающего вину обстоятельства в деле фигурировало врожденное неврологическое расстройство, от которого страдает Солоуэй, - а именно так называемый синдром Туретта, характеризующийся дефицитом внимания и гиперактивностью, которая может послужить причиной асоциального поведения. В соответствии с приговором по выходе из тюремного заключения правонарушитель проведет три года под надзором. Ему назначено также дополнительное наказание в виде 200 часов общественных работ. Кроме того, "королю спама", похвалявшемуся, что, проигрывая процессы, он не заплатил ни цента по предъявленным искам, придется все-таки раскошелиться. В связи с трудностью оценки ущерба, нанесенного данным спамером интернет-сообществу, сумма назначенного ему штрафа будет определена позднее. Источник: seattlepi.nwsource.com Источник: PCWorld "Ищут пожарные, ищет милиция..." 23.07.2008 Пока завершался процесс над одним из профессионалов спам-бизнеса, Робертом Солоуэем (Robert Soloway), из американского исправительно-трудового лагеря сбежал другой "король спама" - Эдди Дэвидсон (Eddie Davidson), недавно осужденный за проведение нелегитимных рассылок по каналам электронной почты. 35-летний владелец компании Power Promoters в течение нескольких лет выполнял заказы на распространение несанкционированной рекламы в Интернете, используя свои домашние компьютеры. Во избежание обнаружения "предприниматель" в качестве отправителей указывал имена добропорядочных компаний и, по экспертным оценкам, за четыре года заработал около 3,5 миллиона долларов. За использование методов, запрещенных федеральным антиспам-законодательством США (CAN-SPAM), Дэвидсон был оштрафован и начал отбывать назначенное ему почти двухлетнее тюремное заключение. Он уже провел в федеральном тюремном лагере в г. Флоренс, штат Южная Каролина, больше месяца, но внезапно исчез - просто ушел с территории, охраняемой в соответствии с правилами облегченного пенитенциарного режима. О его побеге была извещены представители Службы маршалов США, Налоговой службы и ФБР. Их поиски пока не увенчались успехом. Источник: news.yahoo.com Источник: denverpost.com Спам-статистика за период 14 - 20 июля 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошедшей неделе в среднем составила 77,9%. В тематическом распределении спама произошли заметные изменения. В общем потоке значительно (+6,2%) увеличилась доля спама "для взрослых", тогда как доля спама тематики "Медикаменты; товары/услуги для здоровья" уменьшилась (-5,3%). Более чем в два раза (+4,5%) выросла доля предложений "Юридических услуг и аудита". Сдали свои позиции рубрики "Образование" (-3,9%) и "Отдых и путешествия" (-2,4%), хотя последняя продолжает оставаться на высоком уровне, традиционном для летнего периода. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   15,5%   -5,3%   2   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   14,9%   +6,2%   3   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   14,1%   -2,4%   4   Другие товары и услуги   Предложения других товаров и услуг   13,5%   -1,8%   5   Юридические услуги и аудит   Предложения юридических услуг   8,1%   +4,5%   6   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   7,9%   +1,3%   7   Образование   Реклама семинаров, тренингов, курсов   6,7%   -3,9%   8   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   4,1%   -2,0%   9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   4,0%   +0,5%   10   Остальной спам     3,9%   +1,7%   11   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   2,8%   +0,6%   12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2,0%   +0,6%   13   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   Без изменений   14   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   Без изменений   Атака на социальную сеть "ВКонтакте" На прошлой неделе зафиксирована новая атака на пользователей социальной сети "ВКонтакте". Украв пароли ряда пользователей, злоумышленники рассылали с их аккаунтов спам-сообщения, содержащие ссылку на зараженные веб-сайты, по адресам из контактного листа пользователя. Сообщение приходило от имени лица, включенного в контакт-лист получателя, и содержало личное обращение к адресату. Письма содержали ссылки на сайты с порно-роликами, для просмотра которых требовалась установка дополнительного кодека, под видом которого на компьютер пользователя загружалась троянская программа Trojan.Win32.Crypt.ey. Попав на компьютер, троянская программа передавала логин и пароль очередной жертвы к сайту "Вконтакте" на сервер злоумышлеников, с которого и осуществлялся автоматический доступ к украденным аккаунтам для рассылки спама. По данным Лаборатории Касперского таким образом было похищено около 4000 аккаунтов пользователей "ВКонтакте", с которых впоследствии осуществлялась отправка новых спам-сообщений. В связи с участившимися атаками на пользователей социальных сетей, "Лаборатория Касперского" призывает проявлять осторожность при получении подозрительных сообщений, даже если они присланы от имени знакомого человека, и в обязательном порядке использовать антивирусное программное обеспечение для защиты компьютера. Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005