Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 267

в этом номере:


Новости

MessageLabs о финансовом кризисе и увеличении объема мошеннической корреспонденции

16.01.2009

По оценке компании MessageLabs, в первую неделю января нового года количество «нигерийских» писем и ложных уведомлений о выигрыше в лотерею составляло 10,2% от общего объема спама в Интернете.

Этот показатель более чем втрое превышает объем мошеннической почты с посулами быстрого обогащения, зафиксированный в первой половине января 2008 года: год назад вклад этой разновидности нелегитимной корреспонденции в спам-трафик составлял 3,1%. Согласно статистике MessageLabs, за последнюю декаду минувшего декабря доля таких писем в общем объеме спама увеличилась до 4,2%, тогда как в декабре 2007 года этот показатель составлял 2,0%.

Такую тенденцию эксперты объясняют усугублением мирового финансового кризиса. Они также отмечают, что «нигерийские» схемы отъема денежных средств у пользователей стали более изощренными и технически подготовленными. Первоначальные письма-приманки теперь лаконичны и нацелены на вовлечение реципиента в продолжительную переписку, постепенно раскрывающую подробности требуемых от него действий в рамках мошеннической схемы.

Однако исследователи прогнозируют, что количество мошеннической корреспонденции финансового характера в дальнейшем не будет увеличиваться и остановится на уровне 10% от общего объема спама. Рассылка писем такого рода - дело трудоемкое и, как правило, проводится без применения шаблонов.

Источник: internetnews.com

Источник: pcworld.com

Галерея ботнетов, год 2009-й

19.01.2009

Главный вирусолог компании SecureWorks Джо Стюарт (Joe Stewart) представил обзор современного состояния зомби-сетей, используемых спамерами, и оценил возможности их дальнейшего развития.

В минувшем году интернет-сообщество стало свидетелем падения нескольких крупнейших плацдармов для рассылки спама. Прекращение деятельности криминального веб-хостинга Atrivo в сентябре стало последней соломинкой, переломившей хребет «штормовому» колоссу, который почти два года доминировал среди своих конкурентов. В ноябре отключение от Сети другого криминального веб-хостинга, McColo, послужило прелюдией к уходу со сцены ботнета Srizbi, который так и не сумел оправиться от этого удара. В конце года иссякли потоки спама, распространявшегося с ботнета Bobax, или Kraken, все командные серверы которого были заблокированы его единственным хостинг-провайдером 18-го декабря.

Спамеры постепенно откочевывали к конкурентам владельцев пострадавших ботнетов. Теперь, помимо известных игроков – таких как Pushdo, Rustock, Mega-D, насчитывающих по 120-175 тысяч зараженных машин, в рассылке спама участвует целая плеяда «темных лошадок» и новоявленных ботнетов, операторы которых используют благоприятную ситуацию для наращивания своих мощностей.

К числу крупнейших ботнетов Стюарт отнес Donbot, он же Bachsoy, в зомби-парк которого входит, по его оценкам, более 125000 ПК. Этот ботнет предположительно не монолитен и находится в руках множества арендаторов, распространяющих спам с рекламой средств для похудания и предложениями «выгодных» займов и ссуд, а также продвигающий мелкие акции по схеме «накачка-сброс».

Специализирующийся на рассылке фармаспама ботнет Xarvester, он же Rlsloup и RUcrzy, тоже вырос в размерах и насчитывает около 60 тысяч зомби-компьютеров. Его боты замечены также в рассылке рекламы поддельных дипломов, часов престижных марок и русскоязычного спама. По данным компании Marshal, в настоящее время он ответственен более чем за 13% нелегитимной корреспонденции в почтовом трафике, а modus operandi его ботов во многом напоминает сценарий Srizbi.

Размеры ботнетов Grum (Tedroo) и Gheg (Tofsee) несколько скромнее, - они насчитывают по 50000 единиц каждый. Первый специализируется на рекламе средств повышения потенции, которая в целях обхода спам-фильтров рассылается в формате информационного бюллетеня. Спамбот Gheg весьма неординарен и может рассылать спам не только с прокси-сервера, но и с почтовых серверов, привязанных к сетям интернет-провайдера.

Ботнеты Cimbot и Waledac насчитывают по 10000 инфицированных ПК. Первый популярен у фармаспамеров. В отличие от прочих спамботов, деятельность которых маскируется под стандартные процессы Windows, основной компонент Cimbot работает только в системной памяти и потому трудноуловим.

Организация ботнета Waledac, по мнению экспертов, во многом напоминает инфраструктуру «штормового» ботнета. Однако его владельцы используют совершенно новую программу, а обмен между инфицированными компьютерами в р2р-сети защищен надежным 1024-битовым ключом RSA. Ожидается, что этот ботнет доставит еще много неприятностей интернет-сообществу.

По мнению Стюарта, совершенствование организации ботнетов, внедрение новаторских средств защиты и функционирования спамботов гарантируют жизнеспособность этих криминальных инструментов обогащения и позволяют их владельцам удерживать передовые позиции в нелегальном бизнесе.

Источник: voices.washingtonpost.com

Источник: secureworks.com

McAfee о спаме: тенденции и перспективы

21.01.2009

Согласно опубликованному отчету компании McAfee за 2008 год и заявленным в нем прогнозам, фармаспам и реклама поддельных «ролексов» сохранят свои лидирующие позиции в тематическом рейтинге спам-рассылок.

Эксперты McAfee, как и прочие специалисты по сетевой безопасности, отметили, что в минувшем году более всего отразилось на спам-трафике прекращение деятельности хостинг-провайдера McColo. По данным компании, после отключения McColo объем спама уменьшился на 65%: уже сутки спустя количество спама в почтовом трафике составляло половину обычного уровня и, несмотря на обычную активизацию спам-рассылок во время праздников, в настоящий момент оно все еще ниже того уровня, который был непосредственно перед отключением McColo от интернета.

С прекращением деятельности криминального веб-хостинга резко сократились и объемы политического спама, связанного с выборами президента США. К удивлению исследователей, в условиях ограниченного спамооборота расцвела увядшая было реклама поддельных «ролексов», которая быстро заняла опустевшую нишу.

Основной вклад в спам-траффик по-прежнему вносит фармаспам. Стараясь повысить эффективность своей нелегитимной рекламы, фармаспамеры маскируют ее под другие виды спама, используя в качестве приманки горячие новости, предложения знакомств, отчеты о курсах акций на бирже. Они используют различные способы маскировки целевых URL и графический формат, хотя последний в течение года утратил популярность и сошел на нет вместе с «биржевым» спамом.

По мере усугубления экономического кризиса у спамеров появилась новая мишень – безработные. Эксперты отметили активизацию спам-рассылок, рекламирующих фальшивые дипломы и курсы перепрофилирования и повышения квалификации, которые по времени нередко совпадали с кампаниями по сокращению рабочих мест в крупнейших корпорациях. Эти темы пользовались особой популярностью у спамеров в минувшем декабре, наряду с предложениями новых кредитов, займов, взаимопогашений по закладным, а также «надомной работы» и улучшения кредитной истории.

С приближением периода подачи налоговых деклараций увеличилось количество фишинговых атак. Исследователи отмечают, что поддельные веб-сайты, создаваемые злоумышленниками в целях хищения пользовательской информации, оформляются все более профессионально.. По их мнению, этот вид фишинга будет процветать, пока существует система налогообложения, основанная на сборе персональных данных, и бороться с ним можно только внедрением репутационных систем фильтрации..

Среди прочих использованных спамерами тем оказались Рождество и Новый год. Традиционные спам-рассылки продвигали, в основном, виагру. Отдельная серия вредоносных посланий была нацелена на распространение инфекции под видом виртуальных открыток.

На протяжении всего года неизменно эффективны были вредоносные спам-рассылки, эксплуатирующие интерес к эротической тематике. В качестве приманки получателю предлагалось просмотреть некий видеоролик с обнаженными Бритни Спирс, Пэрис Хилтон, Анджелиной Джоли или даже женой кандидата в президенты США.

В качестве перспективных приемов, обкатанных спамерами в минувшем году, исследователи отметили использование возможностей общедоступных веб-сервисов Google и Microsoft, а также бесплатной почты – такой как Gmail, Hotmail и Yahoo. В качестве защиты корпоративного бизнеса от подобного спама эксперты рекомендуют использование двухуровневой системы аутентификации.

Источник: mcafee.com [PDF 981Кб]

«Пока живут на свете…»

21.01.2009

За полтора года 22-летний канадский безработный, задолжав друзьям и родным, отдал в руки «нигерийских» мошенников 150000 канадских долларов (по современному курсу более 120000 долларов США).

Начало этой длинной истории было положено в 2007 году, когда Джон Рампель (John Rempel) из г. Лемингтон получил электронное письмо от «поверенного» некоего Дэвида Рампеля (David Rempel), якобы погибшего во время теракта в Лондоне в 2005 году. «Почивший» был холостяком и завещал передать все свое состояние – 12,8 миллионов канадских долларов (10,26 млн. долл. США) дальней родне, если таковая найдется.

Обрадованный «наследник» сразу связался с «поверенным» по указанному в письме телефону и узнал, что оформление нежданного богатства обойдется ему в 7500 долларов (немногим более 6000 долларов США). Кроме того, он должен открыть счет в одном из английских банков, куда будет переведена страховая часть суммы наследства. Попутно оказалось, что за вступление в наследство ему предстоит заплатить государственный налог.

Заняв необходимую сумму у родственников и друзей, Рампель отвез деньги в Лондон. При встрече ему продемонстрировали набитый деньгами чемодан, и с этого момента он как зачарованный следовал всем инструкциям мошенников. Примечательно, что сумма, взимавшаяся с жертвы под разными предлогами, ни разу не превышала 5000 долларов США.

Через некоторое время Рампель вернулся в Канаду, чтобы дождаться известия о готовности «благодетелей» вылететь с «отмытыми» деньгами в Северную Америку. Оплатив для них авиабилеты и чемоданы для транспортировки купюр, канадец сел ждать у телефона. Однако звонок принес весть о новых неприятностях: чемоданы с купюрами якобы арестованы в нью-йоркском аэропорту, и для подкупа таможенников нужны деньги.

Это известие переполнило чашу терпения несчастной жертвы, и Рампель объявил, что больше в эти игры не играет. В порыве отчаяния он еще раз слетал в Нью-Йорк, но ни денег, ни самих мошенников там не обнаружил. Поняв, наконец, что обманут, канадец вернулся домой и заявил в полицию.

Источник: theregister.co.uk

Источник: sophos.com/blogs

Обамания: «зловредные» слухи

21.01.2009

Накануне инаугурации нового президента США специалисты по безопасности зафиксировали спам-рассылку с ботнета Waledac, нацеленную на расширение его боевого потенциала. В злонамеренных письмах утверждалось, что Барак Обама якобы отказался от высокого поста, так как признал свою программу по спасению «тонущего корабля» несостоятельной.

По свидетельству экспертов, эти ложные сообщения были оформлены одной текстовой строкой и снабжены ссылкой. Заголовки отличались релевантностью и относительным разнообразием; в качестве отправителя было указано произвольное частное лицо. Пройдя по указанной ссылке, получатель попадал на новостную страницу, искусно имитирующую веб-сайт barackobama.com. Однако сфальсифицированный пост о самоотводе Обамы содержал несколько грамматических ошибок.

Поддельная страница была заряжена эксплойтами, ориентированными на уязвимости в веб-браузере. Более того, при активации любой ссылки на этой веб-странице на компьютер пользователя загружался исполняемый файл, содержащий один из вариантов W32.Waledac. Исследователи отмечают, что имя этого файла, как и имя домена в URL поддельной веб-страницы, отличаются большим разнообразием и, в основном, связаны с темой спам-рассылки.

По данным компании PandaLabs, все задействованные в данной кибератаке домены оформлены китайским регистратором Xinnet Technology Corp. На настоящий момент исследователи зафиксировали 75 таких доменов; вредоносные веб-хосты защищены от обнаружения технологией fast flux.

Waledac ориентирован на хищение конфиденциальной информации, сбор адресов электронной почты для рассылки спама и может выполнять функции бэкдора, открывая злоумышленникам возможность удаленно управлять инфицированной машиной.

По оценке экспертов, производительность данного ботнета в настоящее время составляет 5-16 тысяч сообщений в час. Его вклад в спам-трафик пока невелик – менее 1% от общего объема спама в Сети, однако ожидается, что по мере распространения инфекции этот показатель будет неуклонно возрастать.

Источник: mxlogic.com

Источник: marshal.com

Источник: pandalabs.pandasecurity.com


Спам-статистика за период
12 - 18 января 2009 г.

"Лаборатория Касперского"

Объем и тематические особенности спама

На прошедшей неделе доля спама в почтовом трафике Рунета в среднем составила 85,8%.

В тематическом распределении спама произошли значительные изменения. Заметно упали доли рубрик «Спам для взрослых» (-7,4%), «Медикаменты; товары/услуги для здоровья» (-6,9%) и «Реплики элитных товаров» (-5,1%). Возросшая после каникул деловая активность проявилась в увеличении долей тематик «Образование» (+5,6%), «Другие товары и услуги» (+5,3), «Реклама спамерских услуг» (+4,4%) и «Недвижимость» (+2,1%). В большинстве писем рубрики «Другие товары и услуги» содержалась ссылка на один и тот же сайт, где предлагается заказать сериалы на DVD-дисках. Владельцы этого ресурса, по всей видимости, решили развивать свой бизнес именно с помощью массовой рассылки спама. Доля таких сообщений составила 12,5% от всего спам-потока.

Популярные тематики

Тематика Описание Доля тематики Изменения за неделю
1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   23,2%   -6,9%  
2   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   19,4%   -7,4%  
3   Другие товары и услуги   Предложения других товаров и услуг   17,5%   +5,3%  
4   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   13,6%   +4,4%  
5   Образование   Реклама семинаров, тренингов, курсов   7,4%   +5,6%  
6   Реплики элитных товаров   Копии часов, обуви, аксессуаров и других товаров известных марок   6,5%   -5,1%  
7   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   2,5%   +2,1%  
8   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   2,4%   +0,4%  
9   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   Менее 2%   +1,5%  
10   Юридические услуги и аудит   Предложения юридических услуг   Менее 2%   +1,0%  
11   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   -1,3%  
12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   +0,5%  
13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   +0,2%  
14   Остальной спам     Менее 2%   -0,5%  

Примеры спамовых писем смотрите на сайте Спамтест.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2009


В избранное