Электронный журнал "Спамтест" No. 280 в этом номере: Новости Спам в первом квартале 2009 г. Спам-статистика за период 13 – 19 апреля 2009 г. Новости Waledac предлагает читать чужие SMS 20.04.2009 Специалисты по сетевой безопасности обнаружили масштабную спам-рассылку с ботнета Waledac, нацеленную на распространение одноименной вредоносной программы. В качестве приманки пользователям предлагалась возможность анонимно следить за SMS-перепиской друзей и близких. Вредоносные сообщения, предлагающие бесплатно опробовать программу считывания SMS, оформлены одной строкой и снабжены ссылкой. При активации последней получатель попадает на привлекательную страницу загрузки, имитирующую реальный онлайн-сервис. Однако, как определили исследователи, на самом деле под видом продвигаемой прикладной программы пользователю предлагается скачать одну из версий Waledac. По свидетельству экспертов, для проведения данной спам-рассылки владельцы ботнета зарегистрировали более сотни доменных имен в зоне .com. Их время жизни установлено на ноль, так что IP-адрес поддельной веб-страницы меняется с каждым запросом (технология fast flux). В спам-ловушки компании Websense попали также сотни русскоязычных писем, зараженных Waledac. В них продвигалась ознакомительная версия программы-автомата SMS Reader V4.0, позволяющая анонимно скачивать чужие SMS на любой номер мобильного телефона. Как обнаружили эксперты, вредоносные файлы, которые загружаются на машину пользователя при активации ссылки, указанной в теле письма, размещены на российских серверах. Источник: marshal8e6.com Источник: f-secure.com Спамеры «зашумляют» сообщения легитимными ссылками 20.04.2009 Исследователи компании Symantec обнаружили ряд спамовых сообщений, продвигающих интернет-аптеки и веб-сайты знакомств, в которых, помимо URL целевой рекламы, присутствовали от 5 до 15 ссылок на легальные онлайн-сервисы. В качестве темы в этих письмах указаны такие ни к чему не обязывающие фразы, как «Good Day To You» («Добрый день») или «Hey whats up wanna chat?» («Эй, что слышно? Поболтаем?»). Текст, размещенный в теле письма, также малоинформативен и имитирует попытку завязать знакомство. Добавленные в html-код ссылки с «белой» репутацией взяты произвольно и не связаны с темой спам-рекламы. Цвет шрифта, которым они набраны, сливается с общим фоном сообщения и делает их невидимыми для получателя. Как правило, это URL информационной страницы администратора почтовой службы или новостных веб-сайтов легальных компаний. По всей видимости, назначением этого трюка является попытка обойти спам-фильтры, основанные на сигнатурном анализе, и повышение коэффициента доставки нелегитимных писем. Источник: forums2.symantec.com Новый поворот в развитии CAPTCHA 21.04.2009 Специалисты компании Google разработали новую версию защиты от автоматической регистрации аккаунтов (CAPTCHA), основанную на выборе правильной ориентации изображения в пространстве. Испытуемым предлагается несколько вариантов одной и той же картинки, повернутой на произвольный угол. Чтобы успешно пройти тест, нужно правильно определить, где у картинки верх, а где низ, и выбрать корректный вариант. Как оказалось, эту задачу легко выполняет человек, а для компьютерной программы она может оказаться «крепким орешком». Проверка новой системы на эффективность показала, что при случайном выборе вероятность корректного решения составляет 1/22. Такая версия CAPTCHA не привязана к определенному языку, не требует ввода текста и намеренного искажения контрольного изображения, которое может затруднить зрительное восприятие. Кроме того, при наличии в Интернете огромного количества графических материалов реализовать ее не составит труда, а число тестовых вариаций практически не ограничено. Исследователи отмечают [PDF 1,39Мб], что важно подобрать такие контрольные изображения, пространственная ориентация которых очевидна для человека и плохо определяется компьютером. Например, фотографии людей в качестве теста неприемлемы, так как современные программы умеют распознавать лица и способны правильно ориентировать человеческие фигуры. Такие картинки во время испытаний автоматически отсеивались специальными детекторами. С другой стороны, некоторые изображения, повернутые под небольшим углом, даже человека могут ввести в заблуждение. Эксперты предъявляли их группе испытуемых и отвергали варианты, разброс ответов по которым был недопустимо велик. Пока неизвестно, будет ли новая разработка применена на веб-сервисах Google. Источник: theregister.co.uk Источник: f1cd.ru Шотландский офтальмолог отдала «нигерийцам» полмиллиона 22.04.2009 В английском графстве Эссекс начат судебный процесс по делу Чайнаени Мокелу (Chinaenye Mokelu), который вместе с подельниками выманил 350000 фунтов стерлингов (более 510000 долларов) у жительницы Шотландии, пообещав большие комиссионные за осуществление межбанковского перевода в размере 300 миллионов долларов. Как установило следствие, «нигерийские» мошенники провели спам-рассылку, адресованную клиентам британских банков. Письма содержали просьбу о помощи в переводе баснословного наследства из Нигерии в Великобританию и щедрые посулы. Уроженка Кувейта, глазной хирург Фозия Ашканани (Fawzia Ashkanani) имела неосторожность откликнуться на такое послание и вступила с мошенниками в переписку. Она даже встретилась с Мокелу в Лондоне, где он показал ей сумку, набитую фальшивыми купюрами. Поддерживая с жертвой постоянный контакт по электронной почте и по телефону, аферисты время от времени просили ее под разными предлогами переводить небольшие суммы на два банковских счета, созданных для реализации мошеннической схемы. В настоящее время полиции удалось обнаружить только 30000 фунтов (43750 долларов) из всей суммы, которую шотландский врач отдала в руки «нигерийцев». 44-летний Мокелу, проживавший в Эссексе по фальшивому паспорту, признался в преступном сговоре и мошенничестве и находится под стражей в ожидании приговора, который будет вынесен в июне. Его ждет длительный тюремный срок. Остальные соучастники пока не найдены. Источник: thescottishsun.co.uk Парниковый эффект от спама 22.04.2009 По оценке компании McAfee, в прошлом году затраты электроэнергии на рассылку, обработку и фильтрацию спама составили 33 миллиарда киловатт-часов – столько же потребляют 2,4 миллиона американских домашних хозяйств. В углеродном эквиваленте экологические последствия деятельности спамеров были столь же негативны, как эксплуатация 3,1 миллиона легковых автомобилей с суммарным расходом бензина 7,57 миллиарда литров. Исследования по воздействию спама на экологию были проведены McAfee совместно с консалтинговой компанией ICF International Inc. Оценка производилась на основе количества электроэнергии, потребляемой сетевыми ресурсами на подготовку, проведение и ликвидацию последствий спам-кампаний. Поскольку главным энергоносителем в настоящее время является ископаемое топливо, в качестве критерия оценки было избрано количество углекислого газа, который выделяется в атмосферу при производстве электроэнергии. Анализ статистики, собранной по 11 странам, показал, что из-за одного спамового письма в атмосферу выделяется в среднем 0,3 грамма углекислого газа. Примерно столько же содержится в выхлопе современного автомобиля при его перемещении на один метр. Если умножить этот показатель на 62 триллиона сообщений – а именно такое количество спама было зафиксировано в прошлом году, углеродный след спама будет эквивалентен 1,6 миллиона автопробегов по экватору. Исследователи обнаружили, что около 80% расходуемых из-за спама энергоресурсов приходится на обработку «мусорных» сообщений пользователями и извлечение ими легитимной корреспонденции из спам-карантина. На просмотр и удаление одного нежелательного письма уходит в среднем 3 секунды. Хотя большая часть спама в настоящее время отсеивается на входе и не доходит до конечного получателя, на обработку осевшего в почтовых ящиках «мусора» ежегодно затрачивается 100 миллиардов человеко-часов. Годовой расход электроэнергии типового предприятия среднего бизнеса на поддержку электронной почты составляет 50000 киловатт-часов. Ежегодные затраты электроэнергии при обработке почтовой корреспонденции одним сотрудником таковы, что в результате этой деятельности в атмосферу выделяется 131 кг углекислого газа (если считать, что для выработки этой энергии сжигалось ископаемое топливо, то есть, уголь). Более одной пятой этого количества обусловлено наличием спама. Вклад систем фильтрации почты в энергопотребление, связанное со спам-рассылками, составляет 16% от общего объема. Однако исследователи определили: если каждый пользователь будет применять современные спам-фильтры, годовой расход электроэнергии на спам можно уменьшить на 75%, то есть на 25 миллиардов киловатт-часов. В углеродном эквиваленте это равнозначно изъятию 2,3 миллиона автомобилей из машинопотока. Разумеется, ликвидация источников спама стала бы еще более значимым шагом в борьбе с загрязнением окружающей среды. Источник: avertlabs.com Источник: theregister.co.uk Источник: tech.yahoo.com Спам в первом квартале 2009 г. Дарья Гудкова, "Лаборатория Касперского" Основные итоги квартала Доля спама в почтовом трафике в первом квартале составила в среднем 86,6%. Доля фишинговых писем составила 0,54 % от всего почтового трафика. Доля графического спама выросла на 6,7% и составила 16,3%. Доля тематики «Реклама спамерских услуг» возросла в три раза и составила 15% всего спама. Больше 20% спама в Рунете приходит из стран восточного региона. Спамеры активно используют старые трюки. Долевое распределение спама Доля спама в почтовом трафике в первом квартале 2009 года составила 86,8% - почти на 5% больше, чем среднестатистический показатель предыдущего года. Тем не менее, это не свидетельствует о росте количества спама в почте. Начало года традиционно характеризуется высокими показателями доли спама в почтовом трафике. Так, в первом квартале прошлого года доля спама составила 88%. Для первого квартала текущего года этот показатель даже несколько ниже. Самый низкий долевой показатель спама наблюдался второго марта, он составил 78,8%. Самая высокая доля спама была зафиксирована 22 февраля - 93% почтового трафика. Существенно возросла доля графического спама, в среднем она составила 16,3% (для сравнения: в последнем квартале 2008 г. – 9,6%). Страны-источники спама в Рунете Среди стран–источников спама в Рунете по-прежнему лидируют Россия (14%) и США (10,3%). На третьем месте оказалась Бразилия (7,7%) (Испания, занявшая третье место в 2008 году, в первом квартале 2009 года даже не вошла в десятку). Также увеличилась доля спама, который приходит к нам с Востока. Если в прошлом году из восточных стран в десятку лидеров попадали только Корея, Китай и Турция, которые вместе являлись источником 9% спама, то в первом квартале текущего года в десятку лидеров вошла также Индия. В сумме, из этих четырех стран рассылается 20,1% спама. Языки спама в Рунете 72% спамовых писем в Рунете – на русском языке. По сравнению с прошлым годом на 6% увеличилось количество англоязычных сообщений: они составили 20% спам-почты. Также в пятерку лидеров, как и в 2008 году, вошли португальский, французский и немецкий языки. Размеры спамовых писем График распределения размеров спамовых писем практически повторяет распределение, наблюдавшееся в 2008 году. Спамеры по-прежнему предпочитают рассылать короткие сообщения, хотя изредка встречаются и тяжелые, превышающие 100Кб, письма (их общая доля составила в этом квартале 6,7%). Типы спамовых писем По сравнению с прошлым годом несколько снизилось количество писем в формате text/plain. В целом же график весьма традиционен. В качестве вложений в письмах фигурируют, в основном, картинки, — файлы в формате jpg и gif. Интересно, что сообщений с вложенными файлами других форматов было настолько мало, что они не набрали даже одного процента. Фишинг С начала 2009 года процент электронных писем, содержащих ссылки на фишинговые сайты, постепенно снижается. По итогам первого квартала на долю таких писем в среднем пришлось 0,54 % всего почтового трафика. Растущая популярность оплаты услуг с помощью виртуальных денег сделала платежную систему PayPal лидером среди атакуемых фишерами организаций. Однако мошенники не потеряли интереса и к банковским системам, о чем говорит агрессивная январская фишинг-атака на Fifth Third Bank, обеспечившая этому банку третье место в рейтинге наиболее активно атакуемых фишерами организаций. В марте в тройку наиболее популярных мишеней фишинг-атак неожиданно вошла файлообменная система Rapidshare - фишеры воровали у пользователей аккаунты с целью их дальнейшей продажи. Несколько раз в начале года от имени различных банков спамеры рассылали сообщения о том, что в связи с крупной фишинговой атакой некоторые из финансовых учреждений были вынуждены ввести ограничения на проведение финансовых операций. В письме утверждалось, что, пройдя по ссылке, можно ознакомиться со списком атакованных банков и узнать о мерах, принятых в этой связи Государственным казначейством США. На самом деле пользователь попадал на поддельную страницу с формой для ввода банковских логина и пароля. Эта атака была нацелена на клиентов целого ряда финансовых организаций, и фишеры явно рассчитывали на большой «улов». Тематические особенности спама Лидирующие тематики спама: Медикаменты; товары/услуги для здоровья - 19% (- 0,6%) Спам "для взрослых" - 16% (- 4,7%) Реклама спамерских услуг - 15% (+ 10%) Образование - 10% (+0,2%) Реплики элитных товаров - 7% (+ 1,6%) Спамеры пытаются привлечь новых клиентов В первом квартале 2009 в тройку лидеров вошла рубрика «Реклама спамерских услуг». По сравнению с предыдущим кварталом доля этой рубрики выросла в три раза и достигла 15% всего спам-трафика. Были недели, когда недели самореклама спамеров составляла более 20% спамовых писем, и рубрика выходила на первое место в рейтинге спам-тематик. Вероятно, в условиях экономического кризиса некоторые заказчики спама разорились или отказались от спамерских услуг. Это вынуждает спамеров активней рекламировать собственные услуги, чтобы добиться притока новых клиентов. Скорее всего, такими клиентами могут стать компании, которые ранее считали невозможным использовать спам-рекламу, но в условиях кризиса и сокращения рекламных бюджетов могут решить воспользоваться услугами спамеров. В письмах, предлагающих рассылку спам-рекламы, стало больше попыток «обелить» этот нелегальный бизнес. Раньше спамеры привлекали клиентов посредством выгодных ценовых предложений, то есть рассчитывали на заказчика, знакомого со спам-бизнесом. Теперь же, обращаясь к «новичкам», спамеры пытаются убедить потенциального заказчика в том, что спам – это законно, что не соответствует истине. В то же время обострение конкуренции между различными спамерскими группировками находит своеобразное отражение и в текстах рекламных писем: все чаще спамеры пытаются очернить конкурентов. Динамика рассылок спама двух тематик коррелирует Интересная закономерность отмечена спам-аналитиками «Лаборатории Касперского». Сравнив активность, с которой в различные периоды времени рассылался спам тематик «Медикаменты; товары и услуги для здоровья» и «Реплики элитных товаров», можно заметить, что на графиках совпадают минимумы и максимумы (см. полную версию отчета на сайте Спамтест). Письма обеих рубрик похожи по сути – в них рекламируются дешевые аналоги дорогой продукции. Построение рекламного текста в письмах двух этих видов спама почти идентично. Кроме того, в некоторых случаях видно, что сайты по продаже продукции находятся на одних и тех же доменах. «Медикаменты» и «Реплики» - старейшие спамерские рубрики. На долю этих рубрик приходится почти треть всего спама. Это дает веские основания полагать, что основной заказчик такого спама – отнюдь не малый бизнес. Можно предполагать, что за этими двумя направлениями стоит одна большая теневая организация, располагающая своими службами рассылки, ботнетами и торговой сетью. Судя по всему, мощности, которыми располагает этот бизнес, огромны, - спам рубрики «Медикаменты; товары/услуги для здоровья» занимает лидирующие позиции во всем мире. Спамерские методы и трюки В первом квартале 2009 года в спамовых письмах наблюдалось сильное замусоривание текста. Особенно это касалось номеров телефонов и ICQ. Спамеры чередовали цифры и буквы, писали числа словами, и даже вставляли между цифрами телефонного номера различные смайлы. В результате этих ухищрений контактная информация зачастую становилась совершенно нечитаемой. В некоторых письмах телефонный номер описывался целыми абзацами, в которых порядок набора цифр описывался словами. Периодически замусоренность текста спамовых писем нарастает, однако чрезмерное увлечение лишними символами проходит у спамеров довольно быстро. Очевидно, что подобные приемы не приживаются надолго, так как обход фильтров - не единственная задача спам-писем. Реклама должна привлекать клиентов, а для этого необходимо, чтобы сообщение легко читалось. Также, спамеры продолжают использовать различные уязвимости крупных интенет-порталов. Так, в этом квартале, в качестве редиректа на свой сайт, они использовали баннерный редиректор почтовой службы Mail.ru. Сам же сайт, как правило, находился на бесплатном хостинге, например http://rb.mail.ru/clbkjb/<>.narod.ru. Заключение Количество спама в почтовом трафике в первом квартале 2009 г. было весьма велико. Доля спама вновь достигла уровня, предшествовавшего закрытию провайдера McColo. Похоже, что спамеры делают ставку на количество в ущерб качеству. Пытаясь разослать как можно больше спама, они меньше внимания обращают на оформление писем и новые приемы для обхода спам-фильтров. Хотя процент спама в почте высок (86%), свыше 15% (в марте до 20%) спамовых писем пришлось на собственную рекламу спамеров. Для сравнения: в первом квартале 2008 года реклама спамерских услуг составила всего 3,7% общего потока спамовых писем. То есть, доля заказной рекламы сократилась. Это говорит о том, что в условиях кризиса заказчиков спама стало существенно меньше. Пока неясно, удастся ли спамерам в ходе их агрессивной рекламной кампании привлечь новых клиентов, или российский бизнес уже осознал, что спам заведомо компрометирует рекламодателя и при этом не является настолько эффективным методом рекламы, как это утверждают спамеры. В любом случае, вероятно, во втором квартале доля спама в почтовом трафике увеличиваться не будет. Можно ожидать даже некоторого ее уменьшения по сравнению с первым кварталом, так как в начале года, как правило, процент спама в трафике несколько выше, чем в среднем за год. Что касается спамерских трюков, сейчас в этом отношении наблюдается некоторое затишье, однако, трудно сказать, долго ли оно продлится. Полную версию статьи читайте на сайте Спамтест. Спам-статистика за период 13 - 19 апреля 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама На прошедшей неделе доля спама в почтовом трафике Рунета в среднем составила 84,6%. Распределение спама по тематикам на прошлой неделе изменилось не очень значительно. Возросли доли рубрик «Реклама спамерских услуг» (+2,7%), «Медикаменты; товары/услуги для здоровья» (+2,6%), «Спам для взрослых» (+2,0%), понизилась доля тематики «Образование» (-2,8%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   22,9%   +2,6%   2   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   21,7%   +2,7%   3   Образование   Реклама семинаров, тренингов, курсов   10,9%   -2,8%   4   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   9,0%   +1,0%   5   Другие товары и услуги   Предложения других товаров и услуг   8,6%   -1,9%   6   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   6,8%   +2,0%   7   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   5,4%   -1,3%   8   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   3,9%   -0,9%   9   Юридические услуги и аудит   Предложения юридических услуг   3,2%   -0,5%   10   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   2,4%   -1,2%   11   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   Без изменений   12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,3%   13   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   +0,1%   14   Остальной спам     Менее 2%   +0,3%   Спамеры, рекламирующие собственные услуги, «порадовали» целой серией оригинально оформленных предложений, разосланных в виде картинок. Судя по единству стиля (и повторяемости контактов), все эти письма рассылались из одного и того же источника. Кроме того, спамеры используют для своей рекламы своеобразные «письма счастья» (аналогичная англоязычная новость). Новая интересная особенность медицинского спама, самого массового на прошлой неделе, - предложения лекарств от простуды, астмы или кровяного давления, которые добавились к обычной рекламе средств для увеличения потенции или похудания. Ссылки вели на сайты, рекламирующие виагру и медикаменты, указанные в письме. Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009