Электронный журнал "Спамтест" No. 260 в этом номере: Новости Спам-статистика за период 17 - 23 ноября 2008 г. Новости Командный сервер Rustock переведен в Россию 21.11.2008 Отлученный от Интернета за пособничество киберкриминальным структурам хостинг-провайдер McColo воспользовался резервным соглашением с местным субподрядчиком шведского магистрального провайдера TeliaSonera AB и на короткое время возобновил свое присутствие в Сети. Это дало возможность операторам ботнета Rustock обновить клиент для части зомби-компьютеров и перенести управляющие функции на субдомен abilena.podolsk-mo.ru. Одиозный сервис ожил в субботу, 15 ноября, и проработал немногим более суток. За это время в компании Trend Micro зафиксировали перекачку информации с ресурса на российские серверы со скоростью 15 МБ/сек. По мнению исследователей, время выхода McColo в интернет было выбрано не случайно: если в выходные дни кто и заметит подозрительную активность в Сети, меры противодействия будут отложены до понедельника. Новый IP-адрес, на который перекочевал веб-хостинг Rustock, - 62.176.17.200 – уже занесен в «черные списки» Spamhaus. По данным этой организации, теперь в подсетях ООО «Зингер-Компьютер» размещены рекламируемая в спаме интернет-аптека Canadian RX Drugs и командный сервер Rustock. По оценкам экспертов, потенциальная производительность данного ботнета составляет 30 миллиардов писем в сутки. К счастью, получив от компании Sophos уведомление о допущенном злоупотреблении, служба безопасности TeliaSonera проявила оперативность и лишила McColo доступа к Сети раньше, чем было проведено тотальное обновление Rustock. Что касается операторов ботнета Srizbi, управляющие серверы которого тоже были размещены в сетях McColo, то они, судя по отсутствию спама из этого источника, пока не приняли определенного решения. Специалисты компании Marshal выяснили, каким образом хозяева ботнета Srizbi могут вернуть потерянный контроль над зомби-сетью. Каждый бот Srizbi ориентирован на один из нескольких контролирующих серверов, ранее хостившихся на McColo. Обнаружив, что с прежнего IP-адреса невозможно получить шаблоны писем и адреса для рассылки спама, бот начинает искать командный центр ботнета на одном из четырех «резервных» доменов. Если боту удастся найти управляющий сервер своего ботнета, он получит шаблоны писем, и рассылка спама с зараженного компьютера возобновится. Списки «резервных» доменов и порядок их перебора отличаются у ботов, ориентированных на разные управляющие серверы. Однако ни один из выявленных доменов пока не зарегистрирован. Возможно, в ближайшем будущем их зарегистрируют спамеры с целью возрождения ботнета Srizbi, либо конкуренты, желающие получить контроль над этим ботнетом. Источник: theregister.co.uk Источник: hostexploit.com PandaLabs: рост безработицы помогает киберкриминалу отмывать деньги 25.11.2008 Согласно статистике компании PandaLabs, за три месяца, прожитые интернет-сообществом в условиях мирового финансового кризиса, число предложений по трудоустройству, распространяемых в спаме, увеличилось более чем впятеро. Многие из предложений предусматривали аккумуляцию денежных средств на личном счете «сотрудника» и дальнейший перевод их за границу. По оценке исследователей, в августе текущего года на долю этой категории нелегитимных сообщений приходилось 0,13% от общего объема спама, в сентябре – 0,23%, в октябре – 0,31%. За этот же период, как показывает официальная статистика, уровень безработицы только в США ежемесячно увеличивался более чем на 6%. Эксперты PandaLabs полагают, что рост числа спамовых предложений по трудоустройству связан с повышением эффективности этой категории спам-рассылок. Теряя работу, люди склонны совершать опрометчивые поступки. Они используют любую возможность поправить свое финансовое положение и становятся легкой добычей сетевых мошенников. Работа money mule – «дропа», агента по отмыванию «грязных» денег – обычно подается нанимателями как надомное занятие, требующее наличия банковского счета и доступа к службам, подобным Western Union. Претенденту объясняют, что оседающие на его счету и подлежащие переводу за рубеж денежные средства вполне легальны – например, это возврат переплаты или скидки на приобретенные товары. За подобные услуги подрядчикам назначаются (но не всегда выплачиваются) комиссионные в размере нескольких сотен или даже тысяч долларов в неделю. Однако эти суммы не могут оправдать риска, связанного с соучастием в киберпреступлениях. По оценке PandaLabs, эффективность спам-рассылок, ориентированных на вербовку «дропов», за последние месяцы заметно возросла. В Северной Америке этот показатель на 66% выше, чем в других регионах. В этом секторе Интернета каждая третья объявленная таким образом вакансия находит своих претендентов. Источник: ibtimes.com Источник: news.cnet.com Return Path: при использовании электронной почты 11% рекламодателей нарушают CAN-SPAM 25.11.2008 Исследователи компании Return Path обнаружили, что, отказавшись от подписки, клиенты 11% компаний продолжают получать коммерческую рекламу в течение периода, превышающего 10 дней. Этим сроком американское антиспам-законодательство ограничивает обработку отказа и прекращение рекламных рассылок на адрес заявителя. Эксперты консультативной компании, специализирующейся на проблемах эффективности использования электронной почты в сетевом маркетинге, попытались определить, как отражается качество обратной связи с получателями коммерческой рекламы на репутации бизнес-структур. С этой целью они оформили подписку на рекламные рассылки 45 ведущих торговых организаций, турагенств, представителей индустрии развлечений и СМИ. Получая информационные бюллетени, сотрудники компании задействовали опцию «unsubscribe» («отписаться от рассылки»), а затем обобщили и проанализировали собранную информацию. Как оказалось, 20% выбранных для эксперимента бизнес-структур, получив запрос на исключение из списка подписчиков и даже подтвердив его получение, продолжают атаковать заявителя рекламными материалами. Большинство из них высылает при этом более трех рекламных писем, которые получатель неизменно квалифицирует как спам, что, по мнению исследователей, вредит репутации отправителя. Тем не менее, большинство (65%) участников эксперимента без промедления обрабатывают отказы от рассылки, стараясь оптимизировать обратную связь с подписчиками. Как правило, подтверждение заявленного отказа публикуется на отдельной странице веб-сайта рекламодателя. Около 60% компаний снабжают почтовую рекламу ссылкой на веб-страницу, где можно оформить отказ, 40% - ссылкой на страницу личных преференций. В то же время только 11% компаний предоставляют подписчикам возможность поменять адрес рассылки на странице регистрации отказа. Более четверти участников эксперимента просят получателей при оформлении отказа подтвердить почтовый адрес - во избежание ошибки. И только две компании из 45 предоставляют подписчикам возможность изменить частоту получения рекламы или получать информационные бюллетени по выбору. Ряд рекламодателей, по свидетельству Return Path, все еще требуют от клиентов обязательной регистрации при оформлении отказа от рассылки, что противоречит последним поправкам к закону CAN-SPAM. Две из обследованных компаний принимали отказ в виде оформленной отдельным письмом просьбы, что обычно вызывает недовольство со стороны клиента. Стремясь увеличить число подписчиков, два участника эксперимента поместили на странице регистрации отказов обоснование тех преимуществ, которые дает подписка на информационные бюллетени. И только 2 из 45 компаний использовали процедуру оформления отказов, чтобы оптимизировать свои рекламные акции. Они предлагают заявителям ответить на несколько простых вопросов, указав причину отказа и высказав свои пожелания. Исследователи из Return Path признают, что рассылка коммерческой рекламы по электронной почте не дает такого эффекта, как развернутые рекламные кампании, проводимые с использованием электронных средств связи или традиционными методами. Однако она позволяет напрямую и в индивидуальном порядке взаимодействовать с потенциальными клиентами, поэтому удобство и качество обратной связи при осуществлении коммерческих рассылок должно работать на поддержание доброй репутации бизнеса. Источник: marketingcharts.com Microsoft и Yahoo! оказались в списках Spamhaus 26.11.2008 В списке некоммерческой организации Spamhaus, публикующей перечень компаний, чьи сервисы наиболее часто используются спамерами, Microsoft и Yahoo! оказались в первой десятке. К этому привела ситуация полной безнаказанности тех, кто злоупотребляет бесплатными услугами этих сервисов. Microsoft в начале ноября заняла девятое место в списке компаний, ранжированном по числу IP-адресов, используемых спамерами. К 20-м числам компания поднялась уже до 5-6 позиции. При этом, по-видимому, не было предпринято адекватных мер для решения обнаруженных проблем. В сетях Yahoo!, по данным Spamhaus, положение было еще серьезней: к 20 ноября компания заняла в рейтинге «Тор 10» 2-е место. Однако ее администрация, видимо, провела чистку подведомственных ресурсов, поскольку в настоящее время Yahoo! выбыла из числа лидеров. Что касается Microsoft, большая часть ее адресов, используемых в спам-рассылках, привязана к сервису Windows Live. Различные службы этого сервиса – Hotmail, Live Spaces, SkyDrive (ранее Live Folders) - предоставляют клиентам возможность выкладывать в Сеть свой контент и обмениваться им на безвозмездной основе. Такие публичные ресурсы очень привлекательны для спамеров, так как автоматически создают URL, которые редко попадают в «черные списки». Эксперты по сетевой безопасности много раз информировали Microsoft о том, что зоны live.com и livefilestore.com используются спамерами для размещения редиректов на адреса нелицензированных интернет-аптек и порносайтов. В частности, как отмечают исследователи Marshal, ссылками на livefilestore.com активно пользуются фармаспамеры при распространении рекламы с ботнета Pushdo. По оценкам Spamhaus, объем спам-рассылок, использующих возможности Windows Live, измеряется десятками тысяч сообщений. «Белая» репутация «социальных» сервисов Microsoft привлекает также «нигерийские» мошеннические группировки. Пассивную позицию Microsoft вряд ли можно объяснить недостатком финансирования или выгодным партнерством с криминальными структурами. И все же, некоторые из 27 IP-адресов компании, замеченных Spamhaus в причастности к противозаконной деятельности, продолжают активно использоваться спамерами. Многие корпоративные фильтры уже блокируют адресное пространство Windows Live наравне с MySpace и Facebook. Но Microsoft, похоже, это не беспокоит. Источник: washingtonpost.com Facebook оштрафовала спамера на $873 миллиона 26.11.2008 За использование фишерских методов при рассылке спама и несанкционированный доступ к чужим аккаунтам окружной суд Северной Калифорнии удвоил сумму штрафа, который грозил гражданину Канады по иску Facebook в рамках CAN-SPAM. Дело спамера из Монреаля Адама Гербуэза (Adam Guerbuez) было принято в судопроизводство в августе текущего года. По свидетельству истца, канадец создал поддельные страницы регистрации на социальном сайте Facebook и, завладев чужими реквизитами, рекламировал марихуану, средства повышения потенции и порнопродукцию с аккаунтов своих жертв. Используя программу автоматической рассылки, он в течение марта и апреля отправил около 4 миллионов спамовых писем по контактам владельцев взломанных профилей. По имеющимся сведениям, в данной операции принимали участие еще 25 человек и было задействовано имя компании, владельцем которой является Гербуэз, - Atlantis Blue Capital. Судебное решение в пользу Facebook было вынесено заочно: ответчик на слушание дела не явился и даже не удосужился обзавестись адвокатом. Гербуэзу отныне воспрещается пользоваться ресурсом истца. Назначенную судом сумму компенсации, а также судебные издержки он и его компания должны оплатить до 12 декабря. Надеяться, что ответчик подчинится этому решению, не приходится. Однако, по мнению администрации Facebook, созданный прецедент заставит лишний раз задуматься тех, кто использует социальные сети для личной наживы. Источник: pcmag.com Источник: pcworld.com Спам-статистика за период 17 - 23 ноября 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама На прошлой неделе спамеры приходили в себя после отключения от сети хостинговой компании McColo. Тогда несколько больших ботнетов, используемых для рассылки нежелательной корреспонденции, лишились центра управления, благодаря чему поток спама сократился в разы. К концу недели операторы ботнетов смогли восстановить контроль над зомби-сетями лишь частично, поэтому в отдельных потоках доля спама не превышала 60%, в среднем же процент спама в почтовом трафике Рунета на прошедшей неделе достиг 74,3%. Ситуация с McColo влияет и на тематическое распределение спама. Нелишним будет вспомнить, что начиная с начала сентября и вплоть до отключения McColo, наблюдалось множество агрессивных русскоязычных порнорассылок, за счет чего спам «для взрослых» занимал первое место в тематическом распределении. По всей видимости, эти письма рассылались с тех ботнетов, которые спамерам еще не удалось восстановить. Доля спама «для взрослых» уменьшилась на 7,5%. Тематика «Медикаменты; товары/услуги для здоровья» упрочила свое лидерство, ее доля увеличилась на 9,2% и составила 29,4%. В большинстве случаев это англоязычные письма, предлагающие средства для улучшения потенции. Заметно увеличился процент сообщений тематики «Реплики элитных товаров» (+6,9%). Также уменьшились доли рубрик «Другие товары и услуги» (-4,2%), «Отдых и путешествия» (-4,3%). Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   29,4%   +9,2%   2   Образование   Реклама семинаров, тренингов, курсов   11,1%   -0,5%   3   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   9,8%   -7,5%   4   Другие товары и услуги   Предложения других товаров и услуг   9,3%   -4,2%   5   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   8,9%   +6,9%   6   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   8,3%   -4,3%   7   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   5,2%   +1,3%   8   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   4,2%   -0,2%   9   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   3,4%   -1,6%   10   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   3,2%   Без изменений   11   Юридические услуги и аудит   Предложения юридических услуг   2,9%   +0,7%   12   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   2,2%   -1,1%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   +1,1%   14   Остальной спам     Менее 2%   +0,1%   Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2008