Электронный журнал "Спамтест". Все о борьбе со спамом (inet.safety.spamtest) : Рассылка : Subscribe.Ru

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 5.849 RSS

← Декабрь 2008 →
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

За последние 60 дней ни разу не выходила

Сайт рассылки: http://www.securelist.com
Открыта: 09-06-2003

Автор

Лаборатория Касперского

Статистика

5.849 подписчиков
0 за неделю

← Все выпуски →

Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 262

в этом номере:

Новости
Спам-статистика за период 1 - 7 декабря 2008 г.
Спам в ноябре 2008 г.

Новости

Спамеры начинают рождественские мероприятия

08.12.2008

Эксперты по сетевой безопасности зафиксировали две злонамеренные спам-рассылки, использующие тему приближающегося Рождества.

Первый вариант вредоносных писем представляет собой виртуальную открытку с анимацией, оформление которой злоумышленники скопировали с легального ресурса. Поздравление сопровождается ссылкой на SFX-архив, размещенный на гонконгском веб-хостинге. Этот вредоносный файл содержит хорошо известную программу-бэкдор IRCbot.

Вторая спам-кампания отличается большим разнообразием. Спамовые письма с копией открытки от Hallmark или поддельными предпраздничными предложениями компаний McDonalds и Coca-Cola снабжены вложенным файлом, соответствующим образом поименованным: postcard.zip, promotion.zip, coupon.zip. При активации вложения на машину получателя загружается почтовый червь, которому исследователи McAfee присвоили имя W32/Xirtem@MM. В компании Trend Micro его детектируют как новую разновидность червя Mydoom.

По свидетельству экспертов, этот вариант червя использует для самораспространения встроенный SMTP-движок, который активируется при каждом запуске резидентной системы. С инфицированной машины копии червя рассылаются в виде вложений в письма по всем контактным адресам ее владельца либо на адреса, воспроизводимые генератором.

Кроме того, червь копирует себя в общедоступные папки, выкладываемые в файлообменных (р2р) сетях, и заражает сменные носители, обеспечивая своим копиям возможность автозапуска. И наконец, он устанавливает и запускает программу-бэкдор – один из вариантов Sdbot.

Источник: avertlabs.com

Источник: trendmicro.com

Операторы Mega-D обновили спамбот

09.12.2008

По оценкам компании Marshal, количество нелегитимных сообщений, распространяемых в настоящее время с ботнета Mega-D, составляет 48% от общего объема спама в Интернете.

Исследователи отмечают, что новый спам-шаблон, взятый на вооружение владельцами этого ботнета, идентичен тому, который использовался при рассылке спама с ботнета Rustock до отключения ресурсов McColo. Если это не подражание, то можно предположить, что обоими ботнетами распоряжается одна и та же группировка. С ботнета Rustock, судя по имеющимся данным, рассылка спама пока не ведется.

Тема спамовых писем, распространяемых Mega-D, - «Your order» («Ваш заказ»), содержимое оформлено в текстовом и html-формате. Примечательно, что в строках «To:» («Кому») и «From:» («От») указан один и тот же адрес. Этот трюк не нов, но представляет определенную проблему для тех владельцев доменов, которые занесли в «белые списки» всю доменную зону.

Сразу после отключения McColo количество спама в Сети, по оценке Marshal, сократилось впятеро. К настоящему времени количество спама уже в два раза больше, чем непосредственно после отключения скандального провайдера.

Источник: marshal.com

MessageLabs о спаме: итоги уходящего года и ближайшие перспективы

09.12.2008

Согласно прогнозам компании MessageLabs, в 2009 году получат дальнейшее развитие такие криминальные тенденции, как персонализация кибератак и эксплуатация общедоступных веб-сервисов и популярных социальных веб-сайтов. Спамовые сообщения станут короче, многоязычнее; наибольшее увеличение спам-трафика следует ожидать в странах с развивающимся рынком широкополосной связи – Бразилии, России, Индии, Китае.

По оценке MessageLabs, в уходящем году уровень спама в среднем составлял 81,2% почтового трафика, что на 3,4% ниже показателя за предыдущий год. 90% спама рассылалось с ботнетов, и все изменения в функционировании последних незамедлительно сказывались на его объемах. Так, к середине текущего года потенциал Srizbi и Cutwail (Pushdo), операторы которых приняли спам-эстафету от владельцев «штормового» ботнета, увеличился на 20-25%. В результате в течение августа объемы спама в Интернете увеличились вдвое.

После отключения от сети веб-хостинга McColo, на котором были размещены командные серверы крупнейших ботнетов, общие объемы спама за первые 12 часов уменьшились в 8 раз. По данным MessageLabs, поток спама, рассылаемого ботами Mega-D, сразу сократился на 80%, Srizbi – на 60%, Rustock – на 50%, Asprox – на 80%. Интенсивность совокупного ботнет-трафика за сутки снизилась на 30%.

В отчетный период наибольшие объемы спама были зафиксированы в Гонконге, где нелегитимная корреспонденция в среднем составляла 81,3% почтового трафика. Обилие спама также наблюдалось в Швейцарии (79,8%), Франции (78,3%), Австрии (78,2%) и Израиле (76,9%). Больше всех от спама страдали работники сферы производства, где уровень спама в электронной почте составлял 80,7%.

Большую часть собранных исследователями за год образцов спама составляли короткие сообщения в текстовом или html-формате, снабженные ссылкой. На долю графического спама к концу 2008 года приходилось менее 2% спам-трафика. Объемы единичных спам-рассылок заметно увеличились. С июня относительное количество англоязычного спама сократилось на 10%, - теперь он составляет около 80% общего объема спама. Исследователи прогнозируют, что в будущем году количество спама на других языках, в особенности азиатских, увеличится еще вдвое.

Все праздники и общественно-значимые события уходящего года были отмечены традиционной интенсификацией спам-рассылок, многие из которых были нацелены на распространение вредоносных программ. Это и Новый год, и День Святого Валентина, волнения на Тибете и российско-грузинский конфликт, Олимпийские игры в Пекине и выборы американского президента. При отсутствии новостных поводов злоумышленники придумывали их сами, как это было с «уткой» про землетрясение в Китае или про начало III мировой войны.

Мировой экономический кризис вызвал мощную волну мошеннического спама в виде предложений льготных ссуд и кредитов, «перспективных» вакансий, извещений о выигрыше в лотерею, а также фишинговых уведомлений от имени финансовых организаций. По оценке MessageLabs, с сентября по октябрь текущего года количество фишинговых посланий в электронной почте удвоилось. Помимо специализированного ботнета Asprox, для проведения рассылок фишеры использовали ресурсы Srizbi и Cutwail.

Отмечается, что спамеры все активнее используют бесплатные веб-сервисы. Освоение и совершенствование технологии взлома CAPTCHA - системы защиты от автоматического создания аккаунтов – позволило им рассылать спам с «белых» адресов и размещать на них свою рекламу.

По данным MessageLabs, в январе 2008 года с таких аккаунтов рассылалось 6,5% от общего объема спама в Интернете, а в сентябре число нелегитимных сообщений из таких источников достигло 25% при среднегодовом показателе 12%. Основной категорией спама, распространяемого таким образом, является реклама медицинских препаратов. Размещение источников спама, редиректов и скрытой рекламы в виде ссылок в легальных документах и постах на общедоступном веб-хостинге позволяет спамерам успешно обходить защитные фильтры.

Автоматически зарегистрированные «легальные» аккаунты используются злоумышленниками и для создания поддельных профилей на социальных веб-сайтах. Попытка приобщить настойчивого нового «друга» к списку контактов может закончиться для завсегдатая социальной сети и его корреспондентов потоками ненужной рекламы, потерей персональных данных или приобретением творения вирусописателей.

Источник: messagelabs.com

Pushdo теряет управление

11.12.2008

Как свидетельствуют эксперты компании FireEye, американский хостинг-провайдер Noc4Hosts и хостинг-провайдер Starline Web Services из Эстонии заблокировали доступ к ряду командных серверов ботнета Pushdo.

Владельцы Pushdo были одними из тех, кто потерял центры управления ботнетом в результате отключения от Сети McColo. Однако не все управление Pushdo было сосредоточено в ресурсах одиозного хостинг-провайдера.

Как оказалось, один из его командных серверов был размещен в датацентре таллиннской компании Starline, который пытались использовать также операторы ботнета Srizbi. Эстонцы проявили оперативность и отключили сервер Pushdo. По данным FireEye, этот ресурс обеспечивал ботнет шаблонами для рассылки спамовых предложений по трудоустройству. Исследователи полагают, что подобные предложения имели целью сбор резюме и выуживание из них персональной информации.

Шесть серверов Pushdo, обнаруженных экспертами в сетях Noc4Hosts, чей датацентр расположен в штате Флорида, также использовались для управления рассылкой спама. Они отвечали, в основном, за распространение рекламы интернет-аптек небезызвестной сети Canadian Pharmacy. Получив уведомление от FireEye об имеющих место злоупотреблениях, Noc4Hosts отключила эти серверы.

Специалисты FireEye выявили еще один сервер Pushdo, обслуживающий http-запросы на загрузку спам-ботов. Он размещен в сетях американской компании Ubiquity Server Solutions и пока активен.

По свидетельству экспертов, бинарный код Pushdo состоит из двух компонентов. Основной компонент имеет функции даунлоудера и связан с управляющим сервером через http-протокол. Большая часть таких серверов была размещена в сетях McColo. После инсталляции даунлоудер загружает в резидентную систему второй компонент - спамбот Cutwail.

Были случаи, когда этот спамбот устанавливался на инфицированную машину другой программой-даунлоудером - Trojan.Exchanger или одной из разновидностей ложного антивируса.

Оба компонента Pushdo работают на инфицированной машине раздельно и управляются разными серверами. Таким образом, если командный сервер основного компонента выйдет из строя, рассылка спама продолжается. В случае прекращения доступа Cutwail к соответствующему серверу, IP-адрес которого зафиксирован, спамбот пытается установить контакт с несколькими общедоступными DNS-серверами и переключиться на другой домен верхнего уровня. Кроме того, основной компонент Pushdo может запросить обновление у своего сервера и получить новые координаты для Cutwail.

Источник: blog.fireeye.com

Sophos: обзор спам-активности по странам и континентам

11.12.2008

Согласно статистике, опубликованной в годовом отчете компании Sophos, США являются мировым лидером по количеству разосланного за год спама и числу зараженных веб-страниц. Доля участия «дяди Сэма» по этим категориям составляет 17,5% и 37% от общего объема соответственно.

По оценке Sophos, в уходящем году спам составлял 97% деловой почты и распространялся, в основном, с домашних компьютеров из 240 стран мира. В рейтинге стран доля участия США в спам-трафике уменьшилась на 5% по сравнению с прошлым годом, что, однако, не лишило эту страну лидерства. Второе место по рассылке спама заняла Россия с показателем 7,8% от общего объема, третье – Турция (6,9%). В разделении источников спама по континентам непочетный пьедестал разделили Азия (36,6% спам-трафика), Европа (27,1%) и Северная Америка (20,7%).

Исследователи отмечают такой получивший широкое распространение метод доставки спам-рекламы, как рассылка писем в формате информационного бюллетеня. Спамеры копируют шаблоны и дизайн новостных уведомлений из легитимных источников, что придает «мусорным» письмам большую достоверность и убедительность. Сама реклама, как правило, размещается на отдельной веб-странице и вызывается активацией ссылки, указанной в спамовом письме. В отчетный период в Sophos регистрировали появление новой продвигаемой в спаме веб-страницы каждые 15 секунд.

В уходящем году наблюдалось также увеличение спамовых потоков с аккаунтов, созданных путем взлома тестов CAPTCHA на популярных почтовых веб-сервисах - Gmail, Hotmail и Yahoo. Основным средством распространения спама стали ботнеты. По мнению экспертов, их структура будет в дальнейшем совершенствоваться в сторону децентрализации: прецедент с отключением McColo, обезглавившим большинство крупнейших ботнетов, показал, насколько неосмотрительно класть все яйца в одну корзину.

По оценке Sophos, количество вредоносных вложений в спамовые письма за год увеличилось впятеро. Однако злоумышленники не отказались и от такого способа заражения, как приглашение под тем или иным предлогом загрузить целевую программу с веб-сайта, указанного в спаме ссылкой.

Особую популярность приобрел метод запугивания пользователей несуществующими угрозами. Таким образом в течение года продвигались различные варианты так называемых ложных антивирусов, которые атакуют владельцев ПК многочисленными уведомлениями о якобы обнаруженных в системе угрозах и предлагают купить полную версию продукта.

В среднем, исследователи регистрировали пять новых веб-страниц с лже-антивирусом в сутки, а в особо «урожайные» дни - до 20. В одну из спам-ловушек Sophos ежедневно попадало около 5000 спамовых сообщений, заряженных вариантами этой программы.

Однако, поскольку все большее число организаций уделяет внимание безопасности корпоративной почты, основным способом распространения инфекции стало внедрение вредоносных кодов в страницы легитимных веб-сайтов.

В отношении электронной почты эксперты полагают, что следует ожидать увеличения числа вредоносных вложений и ссылок, объектом которых являются неисполняемые файлы в таких форматах, как .doc и .pdf. Они выглядят как легитимные информационные файлы, но содержат букет эксплойтов, ориентированных на различные уязвимости в резидентном ПО, и представляют опасность только для непропатченных систем.

Еще одной тенденцией, которая, по мнению специалистов, имеет большие шансы на дальнейшее развитие, является освоение злоумышленниками социальных веб-сайтов. Распространение спама и вредоносных программ со взломанных аккаунтов на этих ресурсах дает высокий эффект благодаря атмосфере доверия, имеющей место в закрытом сообществе. Возможность создания поддельных профилей и рассылки персонализированных обращений к «друзьям» особенно привлекательна для таких «специалистов» в области социальной инженерии, как «нигерийские» мошенники.

Источник: sophos.com [PDF 850Kб]

Symantec: ноябрь – знаменательный месяц для борцов со спамом

11.12.2008

Исследователи Symantec отметили, что за первые сутки после отключения от Интернета ресурсов McColo интенсивность трафика в контрольной сети компании упала на 65%.

В своем отчете за истекший месяц эксперты подчеркнули, что прекращение деятельности одиозного хостинг-провайдера оказало благотворное влияние на экологию «всемирной паутины». В сетях McColo были размещены командные серверы крупнейших ботнетов, которые после отключения потеряли связь с многочисленной армией спамботов. Глобальные показатели по спаму резко упали и только к концу ноября начали приближаться к прежним высотам.

По оценке Symantec, основными категориями в тематическом разделении спам-рассылок в прошлом месяце были интернет-услуги (23% от общего объема спама), промтовары (18%), финансы (16%) и медицинские препараты и услуги (11%). Главным источником спама остались США, на долю которых приходилось 23% спам-трафика. Второе и третье непочетные места поделили Турция и Россия (по 6%).

Количество графического спама продолжало увеличиваться и в ноябре составляло 10% от общего объема «мусорной» почты. Используемые спамерами графические изображения стали большими: 13,3% зарегистрированных в Symantec нелегитимных писем-«картинок» по размеру превышали 100 Кб, больше половины исполненных в графике сообщений в среднем попадали в диапазон 10-50 Кб. В целом размеры большинства (79%) спамовых писем, разосланных в ноябре, были не более 2-5Кб.

По данным Symantec, большая часть зафиксированного в прошлом месяце спама представляла собой короткие сообщения в текстовом или html-формате, снабженные ссылкой. Используемый в URL домен постоянно менялся. Таким образом, например, была оформлена реклама небезызвестной сети интернет-аптек Canadian Pharmacy, которая в ноябре подавалась короткими, но мощными рассылками. В отдельные дни на ее долю приходилось более половины спам-трафика.

Заключительный этап президентских выборов в США был отмечен рядом злонамеренных спам-рассылок. Это событие приковало внимание всего интернет-сообщества, чем не преминули воспользоваться злоумышленники. В некоторых случаях спамовые сообщения с вредоносным зарядом возвестили о победе Обамы, опередив легитимные новостные источники.

Захлестнувшая мир экономическая депрессия также сыграла на руку спамерам. В конце ноября в Symantec был зафиксирован ряд нелегитимных писем с предложением надомной работы, описание которой не оставляло сомнений в ее истинном содержании: сетевые мошенники вербовали агентов по отмыванию «грязных» денег. Вначале эти письма были англоязычными; через десять дней тот же текст появился в переводе на итальянский язык. Широкий географический разброс IP-адресов источников спама говорил о том, что атака проводилась с ботнета.

Среди прочих ноябрьских спам-рассылок исследователи отметили многоязычную рекламу онлайн-казино, на долю которой в начале месяца приходилось до 10% от общего объема спама. После теракта в индийском административном центре Мумбаи появилась спам-рассылка, в которой «горячая» новость использовалась как приманка с прозаической целью – привлечь посетителей в интернет-аптеку. А с приближением праздничного сезона спамеры начали предлагать интернет-сообществу традиционный ассортимент поддельных предметов роскоши и рождественские скидки.

Источник: eval.symantec.com [PDF 7,7Мб]

Спамеры осваивают сервис Google Notebook

11.12.2008

Исследователи компании Marshal обнаружили спамовые сообщения, продвигающие порносайты через ссылки на страницы Google Notebook.

Данный публичный сервис позволяет создавать подобие записной книжки, куда можно копировать различную информацию, найденную при поиске в Сети. При желании интернет-блокнот можно сделать общедоступным. Использование спамерами очередного бесплатного веб-хостинга с «белой» репутацией было лишь вопросом времени.

Короткая спам-реклама, снабженная ссылками на легитимный источник, имеет все шансы обойти традиционные защитные системы фильтрации, которые основаны на анализе URL. Кроме того, ссылка на популярный сервис способна убедить получателя в легальности самого послания.

Пройдя по ссылке в письме на созданную спамерами на Google Notebook страницу, получатель вновь видит короткий текст, снабженный ссылкой. Наконец, кликнув по надписи «ENTER HERE» («вход»), он попадает на целевую страницу, продвигаемую в спаме.

Источник: marshal.com

Спам-статистика за период
1 - 7 декабря 2008 г.

"Лаборатория Касперского"
Объем и тематические особенности спама

На прошедшей неделе доля спама в почтовом трафике Рунета составила 73,4%.

В тематическом распределении спама продолжает лидировать рубрика «Медикаменты; товары/услуги для здоровья», ее доля составляет 20,2%. Заметно увеличились доли рубрик «Другие товары и услуги» (+2,3%), «Образование» (+2,9%), «Недвижимость» (+3,5%). Уменьшились доли тематик «Отдых и путешествия» (-2,4%), спам «для взрослых» (-3,3%). Колебания долей других тематик остались в пределах 2%.

Популярные тематики

№ Тематика Описание Доля тематики Изменения за неделю

1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 20,2% -1,8%

2 Другие товары и услуги Предложения других товаров и услуг 16,3% +2,3%

3 Спам "для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 14,6% -3,3%

4 Образование Реклама семинаров, тренингов, курсов 14,4% +2,9%

5 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 7,3% +3,5%

6 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 6,6% -2,4%

7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 5,1% +0,7%

8 Реплики элитных товаров Копии часов, аксессуаров, обуви и других товаров известных марок 4,9% -1,0%

9 Реклама спамерских услуг Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3,2% -0,1%

10 Полиграфия Визитки, календари, печать, услуги типографии и пр. 2,9% +1,2%

11 Юридические услуги и аудит Предложения юридических услуг Менее 2% -0,5%

12 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -0,6%

13 Остальной спам Менее 2% +0,3%

14 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества Менее 2% -1,1%

Примеры спамовых писем смотрите на сайте Спамтест.

Спам в ноябре 2008 г.

Татьяна Куликова, "Лаборатория Касперского"
Особенности месяца

В связи с отключением провайдера McColo, на серверах которого размещались центры управления ряда ботнетов, доля спама в почтовом трафике по сравнению с октябрем снизилась на 7,2% и составила в среднем 73,7%.
Вредоносные файлы содержались в 2,28% электронных сообщений, что на 0,2% больше, чем в октябре.
Ссылки на фишинговые сайты находились в 0,76% всех электронных писем.
Доля спама с графическими вложениями составила 9%.
Спам с предложениями дешевых копий элитных товаров снова оказался в числе лидирующих тематик.
Доля мошеннических писем увеличилась на 0,8% - с 2,2 до 3%.
Спамеры по-новому использовали html-форматирование для обхода фильтров.

Доля спама в почтовом трафике

Последний месяц осени ознаменовался закрытием американского хостинг-провайдера McColo, на ресурсах которого работали командные центры нескольких крупнейших ботнетов. Это повлекло за собой резкое сокращение объемов спама в мировом трафике, в том числе в Рунете. Спад не был долгосрочным, - уже через несколько дней спамерам удалось восстановить часть своих ботнетов. О быстром восстановлении ботнетов говорит тот факт, что уже 16 ноября процент спама достиг 83,4%, что близко к максимальному уровню месяца. В целом, это событие оказало влияние на уровень спама в ноябре - его доля в почтовом трафике Рунета составила 73,7% (в октябре – 79,9%). Самый низкий показатель - 50,5% - отмечен 13 ноября, на следующий день после закрытия хостинга.

Процент писем, содержащих вредоносные вложения, несколько увеличился и составил 2,28% всех электронных cообщений. Доля фишинговых писем в ноябре уменьшилась до 0, 76% (в октябре – 0,83%). Доля графического спама осталась неизменной в сравнении с прошлыми месяцами - 9%.

Тематический состав спама
Пятерка лидирующих спам-тематик ноября:

Спам «для взрослых» - 24%
«Медикаменты; товары и услуги для здоровья» - 21%
«Образование» - 10%
«Отдых и путешествия» - 9%
«Реплики элитных товаров» - 5%

Если в октябре рубрика «Реплики элитных товаров» не попала в пятерку лидеров, то в ноябре, в преддверии приближающихся праздников, она вернулась на пятую позицию, вытеснив с нее рубрику «Реклама спамерских услуг».

Остальные рубрики первой пятерки остались на своих местах: «Образование» продолжает занимать третью строчку, а «Отдых и путешествия» - четвертую (за счет предложений новогодних туров и вечеринок). Следует отметить рост доли спама, рекламирующего «Медикаменты; товары и услуги для здоровья» - с 12,5% в октябре до 21% в ноябре.

Чтобы прорекламировать новогодние мероприятия, спамеры прибегали к различным приемам. Самым оригинальным было письмо, содержащее картинку, имитирующую скриншот поисковой системы Яндекса. Чтобы пользователь ненароком не пропустил нужные ссылки, их выделили красным. В поисковой строке стояла фраза «финансовый кризис в россии», - так лишний раз подчеркивался эконом-класс предлагаемой вечеринки.

Спамеры о политике и экономике

В ноябре спамеры не отличались изобретательностью при выборе тем: предложение самых разных товаров и услуг спамеры обосновывали желанием помочь пользователям пережить крушение мировой экономики. В одном из случаев спамеры прибегли к сложению стихов в честь чудесного спасения от лишних затрат во время кризиса:

Ссылки в письмах одной из рассылок вели на сайт, контент которого состоял из огромной статьи о мировом финансовом кризисе и о «способах спасения денег». Однако читателю, заглянувшему в конец статьи, становилась ясна основная цель «спасителей»: в качестве самого выгодного вложения средств в период кризиса предлагалась инвестиция в некий архитектурный комплекс на берегу Черного моря.

Хотя президентские выборы в США меньше обыгрывались спамерами, чем события в экономической сфере, в ряде случаев они все-таки постарались связать рекламируемые услуги с именем победителя. Так, реклама украинского семинара сообщала: «Барак Обама доверяет профессионалам». Не стоило думать, что Барак Обама доверяет именно тем профессионалам, которые составили и ведут семинар, - информация о предпочтениях американского лидера была дополнением к учебному материалу.

Англоязычный спам оказался проще и конкретнее. В письмах ряда рассылок пользователю предлагалось приобрести доллар, выпущенный в честь нового президента, и тем самым выгодно вложить свои капиталы.

Осторожно, подделка!

По сравнению с прошлым месяцем доля спама рубрики «Компьютерное мошенничество» заметно увеличилась - в ноябре она составила 3% вместо октябрьских 2,2%.

Чаще всего в этом месяце встречались письма-подделки от имени администрации Mail.Ru. Мошенники рассылали поздравительную открытку, в тексте которой сообщалось, что получатель якобы выиграл небольшую сумму и может ее получить, если отправит SMS-сообщение на четырехзначный номер. Спамеры не указали, что оплата SMS превысит сумму «выигрыша», который победителю увидеть так и не придется.

Ближе к концу месяца рассылка претерпела изменения. Видимо, спамеры спохватились, что день рождения у компании, чьим именем они прикрываются, прошел, и пользователь может это заметить. Поэтому праздничный дизайн сменился серым фоном, и письма стали напоминать обычные подделки под выигрыши в лотерею.

В другой подделке под сообщение от администрации известного ресурса фактически предлагалось оплатить несколько «руководящих указаний». Под предлогом того, что почтовый ящик пользователя попытались взломать, получателю настойчиво советовали отправить SMS-сообщение на платный номер. Каким образом SMS поможет избежать взлома аккаунта, не объяснялось, - никаких программ для защиты, либо новых логинов и паролей спамеры не предлагали. Зато они советовали поменять пароль, изменить контрольный вопрос и придумать сложный ответ на него, установить антивирусы и следить за их обновлениями. Советы правильные, но для того чтобы придерживаться безопасной политики при работе в Сети, не обязательно посылать SMS-сообщение на дорогой премиум-номер.

Письма, рассылавшиеся якобы от имени платежной системы SMSexpress, были нацелены на более крупную добычу. От пользователя требовали компенсацию за то, что он, как было сказано в письме, «неоднократно нарушал условия договора» (сумма «добровольного взноса» варьировала от 10 до 100 долларов).

Стремясь защитить своих клиентов от мошенников, администрация сайта платежной системы SMSexpress поместила на главной странице сообщение об атаке и заблокировала счет вымогателей.

Еще раз напомним: чтобы разобраться в ситуации и не отдать деньги в «нехорошие руки», получателям подобных писем следует связываться непосредственно с администрацией компании. Делать это следует с помощью координат, указанных на сайте компании, а не через ссылки или контактную информацию в спам-письме.

Спамерские методы и трюки

Чтобы удержаться на плаву в условиях кризиса, спамеры всеми силами стараются увеличить эффективность своих рассылок. Это требует совершенствования старых приемов.

Руководствуясь принципом «все гениальное - просто», спамеры нашли новый прием для маскировки контактной информации в своих письмах. Рекламный текст находится в одной колонке таблицы, адрес сайта – в другой и при этом он написан в столбик. Системы фильтрации спама не видят оформленной ссылки, что, по мнению спамеров, должно было бы осложнить борьбу с их сообщениями, но и пользователь, получив такое послание, вынужден приложить усилия, чтобы посетить страницу с предлагаемым товаром. Для этого он должен либо выучить название сайта наизусть, либо вбивать его в адресную строку браузера постепенно, сверяясь со спамерским письмом (вряд ли находится много таких желающих).

В ноябре спамеры прибегли к маскировке ключевых слов в рекламном письме с помощью HTML-тэгов. Названия медикаментов и копий элитных товаров были записаны в таблицу вместе с произвольными символами, которые были набраны блеклым шрифтом. Пользователь, не обращая внимания на почти незаметные буквы, мог видеть предлагаемый в письме ассортимент, а для фильтров рандомные знаки смешивались с буквами, образующими слова.

Заключение

Конец осени оказался непростым временем для спамеров. Негативные явления в экономике уменьшили клиентуру и аудиторию незапрошенных рассылок. В середине месяца спамерской индустрии нанесен еще один удар, - закрылся провайдер McColo, являвшийся плацдармом, с которого осуществлялось управление несколькими ботнетами. Можно предполагать, что в следующем месяце произойдет изменение в тематической структуры спама. Навязчивые рассылки с контентом «для взрослых» в декабре, скорее всего, отойдут на второй план. С приближением новогодних праздников, очевидно, увеличится число предложений, связанных с проведением досуга, а также количество рассылок с рекламой копий элитных товаров. В связи с этим хочется еще раз напомнить о необходимости осторожного отношения к информации в непрошеной корреспонденции. Внимательность поможет сохранить хорошее настроение и материальные средства, необходимые для удачной встречи Нового Года и Рождества.
Полную версию статьи смотрите на сайте Спамтест.

Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2008

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}