Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 270

в этом номере:


Новости

Symantec наблюдает всплеск русскоязычного спама

09.02.2009

С конца января эксперты Symantec регистрируют в наблюдаемых ими потоках спама увеличение объемов нелегитимной корреспонденции, ориентированной на пользователей Рунета и продвигающей различные виды услуг по дешевым ценам.

По свидетельству экспертов, российский спам имеет форму прямой рекламы, снабженной контактными телефонами или номерами ICQ. Письма выполнены в текстовом или html-формате, а контактные номера иногда «зашумлены» сторонними символами. Предлагаемый спектр услуг весьма широк, от ремонтно-строительных работ и аудиокниг до вставки лобового стекла в автомобиле, но ограничивается, в основном, бытовыми услугами.

Позабавившая исследователей реклама спамерских услуг, озаглавленная «Информация для вас», уверяла получателей, что спам это хороший бизнес, позволяющий поправить дела в обстановке мирового кризиса. Авторы спам-рассылки даже блеснули знанием основ марксизма-ленинизма, утверждая, что в нашу эпоху эффективен спам, а не принцип «от каждого по способностям, каждому по потребностям»:

Источник: forums.symantec.com

Именинники, будьте бдительны!

09.02.2009

В преддверии Дня святого Валентина специалисты по сетевой безопасности обнаружили новую спам-рассылку с ботнета Waledac, нацеленную на распространение вредоносной программы под видом виртуальной открытки.

Короткий текст спамового письма снабжен ссылкой на веб-страницу с изображением пары очаровательных щенков. Картинка рекламирует некий праздничный набор Valentine Devkit, также обозначенный ссылкой. При активации последней на компьютер получателя загружается исполняемый файл, содержащий копию Waledac либо ложный антивирус MS AntiSpyware 2009.

По оценкам компании McAfee, на долю спама, эксплуатирующего тематику популярного февральского праздника, в настоящее время приходится 1-2% ежедневного спам-трафика. Слово «Valentine» содержится в каждом сороковом нелегитимном послании. Большинство этих писем продвигает медицинские препараты, праздничные карты и часы престижных марок. Ресурсы ботнетов Pushdo и Donbot задействованы для рассылки порноспама и рекламы средств повышения потенции.

Для рассылки праздничного фармаспама активно используется ботнет Waledac. По свидетельству Symantec, для проведения спам-кампании с его участием спамеры создали несколько доменных имен. Поиск в базе данных Whois обнаружил, что эти домены были зарегистрированы частными лицами в декабре-начале января через российскую компанию Regtime Ltd.

Источник: avertlabs.com

Источник: forums.symantec.com

Источник: marshal.com

Knujon: навести порядок в доменных зонах реально

10.02.2009

Согласно статистике, собранной за последние восемь месяцев некоммерческим сервисом Knujon, около 83% рекламируемых в спаме веб-сайтов привязаны к доменным зонам 10 регистраторов, аккредитованных в ICANN (ICANN – орган, регулирующий распределение доменного пространства).

Обновленный список сомнительных регистраторов по-прежнему возглавляет пекинская компания XinNet. По имеющимся сведениям, десятки доменов, зарегистрированных ею, используются операторами ботнета Waledac. Крупнейший регистратор eNom, занимавший в мае прошлого года пятое место, передвинулся на вторую позицию. Остальные в списке – это новые имена, среди которых числится российское ООО «Регтайм».

После череды успешных судебных процессов над Скоттом Рихтером (Scott Richter) с радаров Knujon исчезла контролируемая этим известным спамером компания Dynamic Dolphin, являющаяся реселлером регистраторских услуг индийской компании Directi. Последняя тоже потеряла популярность у спамеров после отзыва аккредитации другого своего реселлера, EstDomains, и отключения от Сети веб-хостингов Atrivo и McColo, на которых в числе прочих были размещены веб-сайты, зарегистрированные EstDomains.

За потворство спамерам ICANN в октябре прошлого года пригрозила лишением аккредитации еще двум фигурантам прошлогоднего списка Knujon - Beijing Innovative Linkage Technology и Joker, что возымело действие.

Оценку рейтинга популярности регистратора у спамеров Knujon производит по нескольким параметрам: общее число доменов, рекламируемых в спаме; совокупное количество спамовых писем, ориентированных на эти домены; соотношение рекламируемых спамерами доменов с общим количеством доменов, контролируемых регистратором; количество спамовых писем, в среднем затраченных на рекламу одного домена. При одинаковом рейтинге учитывается также количество зарегистрированных интернет-аптек, не обладающих лицензией.

Новые данные Knujon подтверждают прошлогодние результаты: используемые спамерами домены сосредоточены на весьма ограниченном сетевом пространстве. Общее число аккредитованных в ICANN регистраторов примерно составляет девять сотен, и только 1% из них является проблемным.

Knujon подчеркивает, что серьезность проблем, обнаруженных в контролируемых регистратором доменных зонах, не является свидетельством его криминальной деятельности либо злого умысла. Нередко регистраторы не располагают достаточной информацией, ресурсами или надлежащей политикой для эффективного регулирования вверенного им пространства. В целях маскировки криминальные группировки используют услуги разных интернет-провайдеров; большинство закрываемых веб-сайтов регистрируется заново одними и теми же лицами. Отдельной проблемой является нерегулируемая деятельность огромной армии реселлеров.

Knujon направил всем 10 регистраторам списки причастных к спамерской деятельности лиц и доменных имен, сопроводив их рекомендациями по исправлению ситуации.

Источник: voices.washingtonpost.com

Источник: knujon.com

IBM о тенденциях и источниках спама в 2008 году

11.02.2009

Согласно статистике компании IBM, с апреля по июнь прошлого года спам-трафик вырос в полтора раз, после чего стабилизировался. С прекращением деятельности компании McColo объемы спама сократились на три четверти, а в конце года составляли 70% от уровня, зафиксированного на момент отключения криминального веб-хостинга.

В декабре спамеры старались компенсировать потерю ресурсов, сокращая размеры нелегитимных посланий и увеличивая тираж рассылок. По прогнозам экспертов, спам-трафик вернется к показателям, достигнутым в первой декаде ноября, в течение первого квартала текущего года.

Исследователи отмечают, что около 30% годового спама было разослано с российских (12,0%), американских (9,6%) и турецких (7,8%) компьютеров. По оценкам IBM, за последние три года заметно увеличились потоки спама из России, Турции и Украины, потоки, идущие из Бразилии, Китая и Великобритании также увеличились, хотя и не так ощутимо. Объемы нелегитимной корреспонденции из США, Южной Кореи, Испании, Франции и Германии, напротив, уменьшились.

Отключение веб-хостинга McColo отразилось на распределении ведущих позиций между источниками спама. Перед 11 ноября: США – 14,2% спам-трафика, Россия 11,0%, Турция 7,4%. После отключения: Китай - 12,7%, Россия 11,4%, США 8,0%. Конец года: Бразилия – 11,7%, США 8,1%, Китай 6,6%. Спустя шесть дней после отключения McColo потоки спама из США сократились до 14% от своих прежних объемов, из Испании, Италии, Израиля и Турции – до 17%. К концу года спамботы Индии и Китая заработали с былой производительностью, Таиланда и Южной Кореи – тоже почти полностью восстановились. Однако многие страны все еще производят меньше спама, чем до отключения McColo.

В минувшем году спамеры практически отказались от таких форм электронных сообщений как графический спам, анимация, письма в pdf-формате и «зашумленные» случайными знаками тексты. В конце года количество спама в текстовом формате стало уменьшаться: авторы спам-рассылок стали отдавать предпочтение html-формату. В то же время усилилась тенденция к внедрению ссылок в спамовые письма.

Большинство используемых в спам-рассылках URL привязано к доменам, зарегистрированным в явно криминальных целях. Однако спамеры также расширяют использование чужих доменов с «белой» репутацией. В августе эксперты зафиксировали всплеск спам-рассылок, в которых фигурировали домены ведущих новостных веб-сайтов: cnn.com, msn.com, msnbc.com и bbc.co.uk. Среди прочих в течение года особой популярностью у спамеров пользовались веб-сервисы Google и Microsoft, а также doubleclick.net, gucci.com и yellowpages.com.

Среди доменов верхнего уровня годовым лидером по степени использования в спаме был домен .com. К концу года спамеры начали усиленно эксплуатировать китайскую доменную зону: по данным IBM, в 4 квартале 10% спама использовало ссылки с доменом .cn. По всей видимости, это связано с низкими расценками на регистрацию таких доменов, а также с увеличением количества спама, ориентированного на китайских пользователей. Исследователи также отметили расширение использования спамерами домена .ru.

В целом за год 20,6% продвигаемого в спаме контента размещалось в Китае, 19,4% - в США, 5,4% в России. За последние три года использование спамерами российских, румынских и венгерских веб-хостов увеличилось, а других стран – уменьшилось. Эксперты отметили сокращение времени жизни спамовых URL: к концу года более 97% из них были активны не более недели.

Источник: www-935.ibm.com [PDF 4,58Mb]

На Тайване будут штрафовать за спам

11.02.2009

Национальная комиссия по телекоммуникациям (National Communications Commission, NCC) Тайваня подготовила законопроект, нацеленный на ограничение злоупотреблений при проведении коммерческих рассылок с использованием электронной почты.

В соответствии с итоговым вариантом закона, рассылка спама является гражданским правонарушением и карается штрафами в размере 500-2000 тайваньских долларов (примерно 15-60 долларов США) за каждое несанкционированное сообщение. Распространителям коммерческой рекламы вменяется в обязанность указывать реквизиты рекламодателя. Рекламодатель, рассылка которого признана неправомерной, подпадает под штраф в размере до 200000 тайваньских долларов (около 6000 долларов США).

Нарушители могут быть призваны к ответу по групповому иску, поданному от имени пострадавших юридическим лицом, например, Федерацией потребителей. Новый закон также запретит использование автоматического подбора адресов для проведения коммерческих рассылок и проверки активности почтовых аккаунтов.

По новым правилам, рекламодатель может в порядке саморекламы выслать на новый электронный адрес одно несанкционированное сообщение, но обязан прекратить рассылку при отказе получателя от подписки. Рекламодатель также должен предоставить получателю бесплатную возможность согласиться получать коммерческую рассылку или отказаться от нее.

Законопроект о спаме будет передан на рассмотрение правительству в следующем месяце. Ожидается, что он поможет уменьшить нагрузку на сетевой трафик и защитит права потребителей без ущерба для свободного развития онлайн-бизнеса.

По оценкам Интернет-ассоциации Тайваня (Taiwan Internet Association, TIA), число пользователей в национальном секторе Интернета в настоящее время превышает 10 миллионов. Каждый из них получает ежедневно в среднем 29 нелегитимных сообщений, причем, согласно проведенному TIA опросу, 70% владельцев почтовых аккаунтов удаляет нелегитимные сообщения, не читая. С учетом потраченного на обработку спама времени и стоимости интернет-услуг ежегодные убытки Тайваня от почтового «мусора» составляют более 2 миллиардов тайваньских долларов (около 60 миллиардов долларов США).

Источник: taipeitimes.com

Источник: etaiwannews.com

Источник: chinapost.com.tw


Спам в январе 2009 года

Татьяна Куликова, "Лаборатория Касперского"

Особенности месяца

Доля спама в почтовом трафике по сравнению с декабрем увеличилась на 5,3% и составила в среднем 86,7%.

  • Вредоносные файлы содержались в 1,04% электронных сообщений, что на 0,75% больше, чем в прошлом месяце.
  • Ссылки на фишинговые сайты находились в 0,95% всех электронных писем.
  • Доля криминализированного спама составила 42,2%.
  • Доля спама с графическими вложениями значительно увеличилась и составила 17%.
  • Осуществлялись рассылки писем с шокирующими заголовками новостей и со ссылками на вредоносные объекты.
  • Спамеры рассылали письма со ссылками на комментарии на новостных сайтах, где размещалась рекламная информация.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в январе 2009 года в среднем составила 86,7%. Увеличение процента нелегитимной почты более чем на 5% по сравнению с декабрем можно объяснить десятидневными новогодними каникулами, во время которых практически не было деловой переписки. Самый низкий показатель отмечен 29 января – 79,8%, больше всего спама зафиксировано 7 числа – 91,1%.

Доля графического спама выросла на 6% в сравнении с прошлыми месяцами и составила 17%. Такой подъем частично объясняется большим количеством предложений подарков к новогодним праздникам, которые чаще всего сопровождались красочной рекламой распространяемого товара.

Криминализированный спам

Начиная с января текущего года в наших отчетах мы будем публиковаться данные, касающиеся процента криминализированного спама в спам-потоке. Под криминализированным спамом мы подразумеваем спам, рекламирующий незаконную деятельность или направленный на получение денег путем обмана. К такому спаму относятся нигерийские письма, поддельные уведомления о выигрышах в лотерею, письма с вредоносными вложениями или со ссылками на зараженные сайты, реклама детской порнографии, предложения о покупке-продаже ворованных банковских карт, запрещенных веществ, поддельных дипломов, контрафактной продукции, самореклама спамеров. С нашей точки зрения, выделение криминализированного спама в отдельную категорию и наблюдение за динамикой его развития особенно важно в период кризиса, когда можно ожидать усиления противоправных тенденций в самых разных сферах деятельности, в том числе и в спам-бизнесе.

В тематическом делении спама, криминализированный спам есть во многих рубриках. В рубрике «Образование» это поддельные дипломы, в спаме для взрослых - детская порнография и так далее. Рубрика «Компьютерное мошенничество», в которую входят нигерийские письма, поддельные уведомления о выигрышах в лотерею и тому подобное, включается в статистику по криминальному спаму целиком. Реклама спамерских услуг также нелегитимна, так как сама рассылка спама не является законной.

В январе доля криминализированного спама в общем потоке спама составила 42,2% не включая рекламу виагры и других контрафактных медицинских препаратов.

Распространение вредоносных программ

Вредоносные вложения содержались в 1,04% всех электронных сообщений, что значительно, в 3,5 раза, больше аналогичного декабрьского показателя (0,29%).

Характерными для января оказались массовые рассылки писем, содержащих ссылки на зараженные сайты. Для того чтобы заинтересовать получателя и заставить его скачать файл с вредоносной программой, использовались шокирующие заголовки, касающиеся происходящих в мире событий.

В начале января была зафиксирована рассылка писем, имитирующих новостной бюллетень CNN. Получателю предлагалось пройти по ссылке для того, чтобы узнать о последних новостях с места ближневосточного конфликта. На сайте нужная информация оказывалась недоступной, пока пользователь не установит у себя новую версию Adobe Flash Player, под видом которой на компьютер пользователя загружался Trojan-downloader. Нужно отметить, что подобного рода письма спамеры уже использовали в июле 2008 года .

Инаугурацию американского президента, запланированную на 20 января, злоумышленники тоже не обошли своим вниманием. В письмах сообщалось об отмене церемонии по тем или иным причинам, а для выяснения подробностей предлагалось пройти по ссылке. Ссылка обязательно содержала имя президента, а на сайте размещались материалы, связанные с жизнью и карьерой Барака Обамы. Когда пользователь пытался ознакомиться с какой-либо из статей, ему предлагали загрузить Flash Player в формате .exe. Под видом этой программы на компьютер загружался Email-Worm.Win32.Iksmas.

В течение всего месяца наблюдались рассылки, с поддельными извещениями о присланной открытке. Для заражения ПК было достаточно пройти по ссылке в письме: она вела на страницу с exe-файлом, который на самом деле был программой Trojan Backdoor.IRC.Zapchast.zwrc.

Фишинг

В январе доля писем, содержащих фишинговые ссылки, увеличилась по сравнению с декабрем на 0,17% и составила 0,95% от общего почтового трафика. Чаще всего атакам мошенников подвергалась платежная система PayPal (28,75%) и Fifth Third Bank (17,54%).

В наступившем году для получения персональных данных пользователей злоумышленники воспользовались необычным приемом. Они провели рассылку, в которой пользователи предупреждались о том, что с 21 января якобы наблюдается фишинговая атака на несколько крупных банков. В сообщении говорилось о временных ограничениях в проведении финансовых операций, и предлагалось пройти по ссылке для того, чтобы ознакомиться с перечнем атакованных банков и принятыми мерами. На сайте находилась поддельная страница с формой для ввода персональных данных.

Тематический состав спама

Пятерка лидирующих спам-тематик января:

  1. «Медикаменты; товары и услуги для здоровья»- 25,3%
  2. Спам «для взрослых» - 19,7%
  3. «Реклама спамерских услуг» - 12,2%
  4. «Реплики элитных товаров» - 7,3%
  5. «Образование» - 6,5%

В январе рубрика «Медикаменты; товары и услуги для здоровья», как и предполагалось, продолжала лидировать со значительным перевесом. Очевидно, спамеры рассчитывают, что в тяжелые времена пользователи интернета будут основное внимание уделять состоянию своего здоровья. Помимо привычной виагры в этом месяце довольно активно рекламировалась психологическая помощь, а также «средства продления жизни».

Процент спама «для взрослых» в сравнении с декабрем вырос, при этом для продвижения этого рода услуг используются все более хитрые приемы. Была зафиксирована рассылка с темой «Списки вич-инфицированных», где ссылка в письмах вела на страницу с порноконтентом.

Процент сообщений с рекламой спамерских услуг резко увеличился. Этот скачок связан в первую очередь с началом года, так как именно в этот момент возрастает необходимость набрать новых клиентов. Предлагая свои услуги, спамеры стараются внушить, что раскрутить товары, забрасывая потенциальных клиентов рекламными письмами, – самый дешевый и действенный способ в условиях кризиса. При этом замалчивается, что получатель негативно настроен по отношению к письмам, которые засоряют его почтовый ящик.

Рубрика «Отдых и путешествия» покинула пятерку лидеров, что связано с окончанием длительных новогодних каникул.

Спамерские методы и трюки

В первом месяце 2009 года спамеры применяли все методы обхода спам-фильтров, которые были популярны в прошлом году: сильное замусоривание контактной информации случайными символами, использование псевдобелого текста, указание ссылок в поле “from”.

Новинкой января стала рассылка писем со ссылками на комментарии к новостям, опубликованным на одном из популярных ресурсов. Однако, пройдя по ссылке, пользователь вместо комментариев читателей находил рекламу порноресурса. У этого способа обхода фильтров оказался один существенный недостаток: на странице комментариев есть кнопка «Пожаловаться на спам», поэтому вся реклама сайтов «для взрослых» была стерта через полчаса после ее создания.

В январе спамеры нашли еще один способ для создания нечитаемого текста. Для прохождения спам-фильтров все слова в рекламном сообщении писались слитно. С целью зашумления в конце письма добавлялись тексты новостей.

Заключение

Криминализация спама, вызванная с одной стороны кризисом, а с другой стороны укладывающаяся в общую логику развития спам-бизнеса, проявилась в январе 2008 года в увеличении процента фишинговых писем и в значительном увеличении процента писем с вредоносными вложениями, последних стало в 3,5 раза больше, чем в декабре. Активизировалась реклама спамерских услуг, что может говорить не только о сезонном праздничном затишье на рынке нелегальной рекламы, но и о том, что в период экономического кризиса бизнес, построенный на рассылке нелегальной рекламы, испытывает дефицит заказов.

В настоящее время, по нашим оценкам, доля криминализированного спама составляет 42,2% от всего спама (не включая рекламу виагры и других контрафактных медицинских препаратов). В дальнейшем можно ожидать увеличения этого показателя.

Поскольку январское увеличение доли спама обусловлено в большой своей части новогодними каникулами и уменьшением общего почтового трафика, в феврале доля спама может несколько уменьшиться. Однако надо учесть, что спам-трафик формируется под влиянием множества факторов. Так, активная самореклама спамеров, направленная на оживление ситуации с заказами на спам-рынке, может привести к тому, что это снижение не будет слишком существенным.

Ожидается, что доля графического спама в феврале останется на высоком уровне, так как свой вклад в нее внесут рассылки, рекламирующие подарки и услуги ко дню святого Валентина, 23 февраля и 8 марта.

С большой осторожностью следует относиться к сообщениям, содержащим сенсационные известия или похожим на новостные бюллетени, так как для распространения вредоносных и фишинговых ссылок спамеры все активней прибегают к социальной инженерии, стараясь под разными предлогами завлечь пользователей на страницы, зараженные вредоносными программами или страницы с поддельными формами для ввода персональных данных.

В тематическом составе спама в феврале могут произойти следующие изменения: начало нового семестра увеличит долю рубрики «Образование», а в преддверии праздников рубрика «Отдых и путешествия» укрепит свои позиции и может снова попасть в пятерку лидеров.

Разнообразие методов, которые спамеры применяли в самом начале года, позволяет говорить о том, что технологии рассылок будут совершенствоваться, и непрошеные письма доставят пользователям Рунета новую серию неприятностей.

Полную версию статьи читайте на сайте Спамтест.


Спам-статистика за период
2 - 8 февраля 2009 г.

"Лаборатория Касперского"

Объем и тематические особенности спама

На прошедшей неделе доля спама в почтовом трафике Рунета в среднем составила 86,7%.

Изменения в тематическом распределении спама на прошлой неделе были незначительны. Увеличилось количество спама «для взрослых» (+4,6%), незначительно понизились доли рубрик «Медикаменты; товары/услуги для здоровья» и «Другие товары и услуги».

Популярные тематики

Тематика Описание Доля тематики Изменения за неделю
1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   17,5%   -1,7%  
2   Другие товары и услуги   Предложения других товаров и услуг   16,90%   -1,7%  
3   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   15,7%   +4,6%  
4   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   14,9%   -1,9%  
5   Образование   Реклама семинаров, тренингов, курсов   12,5%   +0,7%  
6   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   4,3%   +0,2%  
7   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   4,1%   +0,9%  
8   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   3,8%   +0,6%  
9   Юридические услуги и аудит   Предложения юридических услуг   2,8%   +0,2%  
10   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,5%   +0,1%  
11   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   2,3%   -0,8%  
12   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   -0,5%  
13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   +0,3%  
14   Остальной спам     Менее 2%   -0,1%  

Примеры спамовых писем смотрите на сайте Спамтест.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2009


В избранное