Электронный журнал "Спамтест" No. 282 в этом номере: Новости Спам-статистика за период 27 апреля – 10 мая 2009 г. Спам в апреле 2009 г. Новости Sophos: Бразилия вышла на второе место по рассылке спама 30.04.2009 По оценке компании Sophos, в первом квартале текущего года спам составлял 97% корпоративной почты. Более 10% нелегитимных писем было разослано из Бразилии, которая в рейтинге стран-спамеров поднялась с четвертой позиции на вторую. «Грязную дюжину» от Sophos по-прежнему возглавляют США, вклад которых в спам-трафик несколько уменьшился и составляет 15,8%. Третье место занимают Китай и Гонконг (7,7% от общего объема спама), а Россия опустилась с третьей позиции на седьмую (3,8%). Великобритания и Германия вовсе выбыли из непочетного списка лидеров, который теперь дополняют Польша и Колумбия. В разделении источников спама по континентам доминируют компьютерные ресурсы Азии, ответственные за 34,8% спам-трафика. На второе место, обогнав Северную Америку, вышла Европа (23,6%). Потоки спама из стран Латинской Америки в отчетный период почти сравнялись с объемами, рассылаемыми из соседних, более северных широт (19 и 19,4% соответственно). Исследователи отмечают, что практически все спам-рассылки, зафиксированные в первом квартале, осуществлялись с использованием ботнетов. Источник: sophos.com В Канаде будет свой закон о спаме 30.04.2009 Доработанный законопроект о коммерческих электронных рассылках был внесен канадским правительством на рассмотрение в палату общин. Electronic Commerce Protection Act (EPCA) дополнит действующее законодательство, касающееся использования средств связи, защиты электронной информации и свободной конкуренции. Юрисдикция нового законодательного акта ограничена коммерческими электронными рассылками, включая SMS-связь, которые используют технические средства, размещенные на территории Канады. В соответствии с новым законом коммерческие рассылки должны осуществляться с однозначно заявленного согласия получателя. Исключения делаются для политических, благотворительных, религиозных и некоммерческих организаций, а также для бизнес-структур, имевших деловые контакты с реципиентом, характер и срок давности которых оговорены отдельным положением. Все коммерческие послания должны четко идентифицировать отправителя и рекламодателя, содержать контактную информацию и удобный механизм отказа от рассылки. Заявленный с его помощью отказ считается действительным не менее двух месяцев; отправитель обязан вывести заявителя из списков подписчиков в течение 10 дней. В случае несоблюдения перечисленных выше требований к ответу могут быть привлечены все стороны, участвовавшие в рассылке: заказчик, исполнитель и лицо, санкционировавшее рассылку. Закон о спаме запрещает фальсификацию коммерческой информации, изменение маршрутных данных в криминальных целях, а также распространение и установку ПО на чужие компьютеры без согласия их владельцев. Интернет-провайдеры наделяются полномочиями прекращать обслуживание сервисов, уличенных в противозаконной деятельности. Проведение расследований в отношении правонарушений возложено на канадскую Комиссию по радио, телевидению и телекоммуникациям (Canadian Radio-television and Telecommunications Commission, CRTC). По итогам расследования она может также налагать административные взыскания в размере до 1 миллиона канадских долларов (немногим более 830000 долларов США) для физических лиц и до 10 миллионов – для юридических лиц. В рамках нового законодательства канадские суды могут издавать судебные запреты, налагать денежные штрафы за препятствование расследованию и карать правонарушителей, в том числе по гражданским искам от физических лиц при условии, что сумма наложенных штрафов не превышает 1 миллиона долларов в сутки. Контроль над сбором персональных данных и почтовых адресов в Интернете будет осуществлять Управление по защите частных интересов (Office of the Privacy Commissioner), а над достоверностью публикуемой в онлайн коммерческой информации – антимонопольный орган Competition Bureau. Все три регулятивных органа наделяются полномочиями обмениваться информацией по правонарушениям с зарубежными партнерами. Источник: cbc.ca Источник: michaelgeist.ca MessageLabs: в апреле спама стало больше на 9,6% 13.05.2009 По оценке компании MessageLabs, в прошлом месяце спам из новых и неизвестных источников составлял 85,3% почтовой корреспонденции, тогда как мартовские показатели были значительно - почти на 10% - ниже. Количество почтового «мусора» в Великобритании увеличилось на 25,6%. В отчетный период эта страна вышла на первое место по уровню спама с показателем 94%, опередив экс-лидеров Гонконг и Китай (89,9% и 90,3% соответственно). В разделении по отраслям хозяйственной деятельности наивысший уровень спама наблюдался в сфере розничной торговли – 82,9%. Увеличение спам-трафика в апреле эксперты объясняют реанимацией такой разновидности нелегитимных сообщений, как графический спам. В попытках обойти системы фильтрации авторы спам-рассылок размещают рекламные «картинки» на легитимных ресурсах и маскируют целевой веб-хостинг чередой редиректов с «белой» репутацией. В связи с ужесточением контроля со стороны интернет-провайдеров и аккредитованных в ICANN регистраторов спамеры вынуждены регистрировать домены у более толерантных зарубежных реселлеров. Исследователи отмечают, что в настоящее время графический спам продвигает, в основном, медицинские препараты и услуги. Для создания видимости легитимности такая реклама нередко оформляется в соответствии со стандартными требованиями к коммерческим рассылкам, таким как наличие механизма отказа от подписки и ссылка на декларацию конфиденциальности. Не утратил популярности у спамеров и такой трюк, как рандомизация контента, причем текстовые вставки, не имеющие отношение к предмету рекламы, зачастую внедряются в html-код и остаются невидимыми для получателя. Распространители вредоносных программ продолжают активно эксплуатировать обстановку экономической нестабильности. В отчетный период они провели ряд целевых кибератак, используя тему саммита ведущих финансистов из стран «большой двадцатки», прошедшего в Лондоне в начале апреля. По данным MessageLabs, в прошлом году такие атаки проводились с интенсивностью 53 в сутки, а в первом квартале 2009 года этот показатель увеличился до 60. Перед саммитом и сразу после него количество вредоносных атак возросло до 100 в сутки. Вредоносные письма были адресованы, в основном, финансовым организациям, включая сотрудников Центробанков стран «большой двадцатки». В эти сообщения был вложен pdf-файл, содержащий троянский даунлоудер, который при активации загружал на машину жертвы программу-шпион. Источник: messagelabs.com «Свиной» грипп заражает Интернет 13.05.2009 Распространители компьютерных инфекций вслед за спамерами начали разрабатывать актуальную тему угрозы «свиного» гриппа. В соответствующих спам-сообщениях содержится обещание предоставить важную информацию о новом опасном заболевании. Сведения, якобы, можно найти в прикрепленном pdf- или zip-файле. На самом деле вложение содержит эксплойт, нацеленный на эксплуатацию уязвимости формата pdf. При отсутствии соответствующего патча на машину жертвы загружается программа для хищения пользовательских данных. В некоторых случаях вредоносные файлы были размещены на зараженном веб-хостинге и загружались по ссылке, приведенной в спамовом письме. По оценке McAfee, в настоящее время половина спама о «свином» гриппе рассылается из Бразилии, США и Германии. Источник: forums2.symantec.com Источник: avertlabs.com Sophos: социальные сети - угроза корпоративной безопасности 13.05.2009 Четверть участников онлайн-опроса, проведенного компанией Sophos, признались, что их компании пострадали от кибератак спамеров, фишеров и распространителей вредоносного ПО, использовавших социальные веб-сайты. В неофициальном опросе, запущенном в феврале текущего года, приняли участие 709 представителей бизнес-структур. Треть из них признались, что получали спам, посещая социальную сеть, 21% стали жертвами фишинга, столько же подверглись заражению. 63% системных администраторов сочли, что сотрудники компаний публикуют слишком много персональной информации на социальных веб-сайтах. Две трети отметили, что увлечение штата социализацией в Сети ставит под удар безопасность компании. Треть организаций, принявших участие в опросе, все же указали, что главной причиной, по которой следует контролировать посещение социальных веб-сайтов с рабочих мест, является снижение производительности. Однако каждый пятый респондент выразил глубокую озабоченность угрозой заражения и утечки информации. Рост популярности социальных сетей превращает их в лакомую мишень для криминальных элементов. Частота обновления персональной информации в них велика, а ограниченность круга участников и доверительная атмосфера ослабляют бдительность постоянных пользователей этих сервисов. С начала 2009 года наблюдается увеличение количества кибератак на веб-сервисы Twitter, Facebook, LinkedIn и MySpace. В борьбу за кусок пирога включились и «нигерийские» мошенники. Обычно злоумышленники получают доступ к социальному аккаунту, воруя персональные данные с помощью фишинга или программы-шпиона. Взломанный профиль они используют для рассылки спама или вредоносных сообщений по всем контактам жертвы. Эксперты отмечают, что строгий запрет на посещение социальных веб-сайтов с рабочих мест не остановит изобретательные умы. Больший эффект дадут образовательно-просветительская работа с сотрудниками, разработка политики использования этих ресурсов и дополнительные капиталовложения в средства безопасности. Источник: sophos.com Спамеров-коммерсантов призвали к ответу 13.05.2009 Большое жюри штата Миссури выдвинуло обвинения против группы спамеров, заработавших более 4 миллионов долларов на продажах товаров, которые они рекламировали через спам учащимся американских колледжей и университетов. Согласно материалам следствия, выпускники университета Миссури Амир Ахмад Шах (Amir Ahmad Shah) и его брат Осман Ахмад Шах (Osmaan Ahmad Shah), а также 55-летний американец Пол Цукер (Paul Zucker) и гражданин КНР Лю Гуан Мин (Liu Guang Ming) на протяжении нескольких лет продвигали товары и услуги с грубым нарушением положений федерального закона CAN-SPAM Act. Используя программу-автомат, они собрали более 8 миллионов адресов с почтовых сервисов более 2000 учебных заведений США и проводили целевые спам-кампании по этой адресной базе. Как правило, соучастники получали заказы на рекламу товаров и услуг от легальных организаций или покупали товары оптом, а затем продавали их в розницу через свои интернет-магазины. Обращаясь к потенциальным покупателям, авторы спам-рассылок именовали себя «представителями кампуса» и уверяли, что рекламируемые изделия изготовлены или представлены к продаже студенческими ассоциациями. По расчетам аферистов, на каждые 400000 рекламных писем отзывались примерно 50 получателей. Спам-рассылки осуществлялись с помощью специальной программы, которая позволяла фальсифицировать заголовки, а также варьировать контент, ссылки и контактную информацию. Вначале братья Шахи распространяли спам-рекламу, подключаясь к Интернету в стенах родного университета, где Осман продолжал обучение. Когда сетевые администраторы обнаружили их деятельность, для рассылки спама стали использоваться серверы, принадлежащие Мину. Во избежание обнаружения Шахи создавали под каждую рекламную акцию десятки идентичных веб-сайтов, размещая их на 40 серверах, арендованных у Мина. Им помогал Цукер, который ранее занимался рассылкой спама с рекламой собственных изделий. Со временем братья основали свою компанию, I2O, Inc., и стали посредничать между Мином и другими спамерами. Обвинения, выдвинутые против спамеров, включают преступный сговор, неавторизованный доступ к вычислительным ресурсам, рассылку спама и компьютерное мошенничество – всего 51 пункт. Федеральные власти также настаивают на конфискации 4,2 миллиона долларов и имущества, нажитых неправедным путем. Если суд присяжных признает участников группировки виновными, их ждет тюремное заключение сроком до 10 лет. Источник: kansascity.fbi.gov Источник: kansascity.com Спам-статистика за период 27 апреля – 10 мая 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама В период конца апреля и майских праздников доля спама в почтовом трафике Рунета в среднем составила 81,9%. Тематическое распределение спама за прошедшие две недели претерпело значительные изменения. Заметно выросли доли рубрик «Медикаменты; товары/услуги для здоровья» (+8,7%), «Реплики элитных товаров» (+2,9%), уменьшились доли тематик «Образование» (-4,3%), «Другие товары и услуги» (-3,3%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   31,7%   +8,7%   2   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   20,1%   -1,8%   3   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   9,3%   +2,9%   4   Образование   Реклама семинаров, тренингов, курсов   6,9%   -4,3%   5   Другие товары и услуги   Предложения других товаров и услуг   6,2%   -3,3%   6   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   5,9%   -1,5%   7   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   5,5%   +0,9%   8   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   3,7%   -0,6%   9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   3,2%   +1,1%   10   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   2,4%   -0,1%   11   Юридические услуги и аудит   Предложения юридических услуг   Менее 2%   -1,7%   12   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   +0,3%   13   Остальной спам     Менее 2%   -0,8%   14   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%  -0,8%   Примеры спамовых писем смотрите на сайте Спамтест. Спам в апреле 2009 г. Куликова Татьяна, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с мартом снизилась на 3,9% и составила в среднем 82,7%. Доля спама с графическими вложениями составила 18%. Ссылки на фишинговые сайты находились в 0,52% всех электронных писем, что на 0,02%, меньше чем в марте. Вредоносные файлы содержались в 0,18% электронных сообщений, что на 0,17% больше, чем в прошлом месяце. Спамеры использовали ссылки на службу otvet.mail.ru для маскировки своих ссылок. Доля спама в почтовом трафике Доля спама в почтовом трафике в апреле 2009 года в среднем составила 82,7%. Самый низкий показатель отмечен 26 апреля – 72,8%, больше всего спама зафиксировано 20 числа – 88,2%. Доля спама с графическими вложениями уменьшилась на 1% и составила 18%. Фишинг и вредоносные программы Ссылки на фишинговые сайты находились в 0,52% всех электронных писем, что на 0,02%, меньше, чем в предыдущем месяце. Бесменными лидерами мошеннических атак остаются платежная система Paypal и интернет-аукцион eBay. Вредоносные файлы содержались в 0,18% электронных сообщений – это на 0,17% больше, чем в прошлом месяце. Неоднократно киберпреступники прибегали к традиционному методу, размещая вредоносные программы на сайтах, специализирующихся на продаже препаратов по улучшению потенции. Ссылки на веб-страницы с Trojan.Script.Iframer рассылались в письмах, рекламирующих виагру. Тематический состав спама Пятерка лидирующих спам-тематик апреля: Медикаменты; товары и услуги для здоровья – 23,1% (+6,3%) Реклама спамерских услуг – 19,7 % (+0,9%) Образование – 11,2% (+0,8 %) Реплики элитных товаров – 8,5% (-0,3%) Недвижимость – 7,2% (+1,7%) В апреле доля рубрики «Медикаменты; товары/услуги для здоровья» значительно увеличилась за счет англоязычных предложений все той же виагры. Любопытно, что в этом месяце спамеры размещали ссылки на сайты, продающие виагру, в письмах, рекламирующих лекарственные препараты от простуды, гриппа, отравлений и других недугов. Видимо, спамеры решили несколько разнообразить перечень брендов, уже набивших оскомину. Реклама спамерских услуг в апреле уступила первое место в рейтинге. Однако при этом она стала более агрессивной, а ее доля даже увеличилась по сравнению с мартом и достигла 20%. В каждом пятом спамовом письме, рассылаемом в Рунете, спамеры рекламировали собственные услуги! В середине месяца была зафиксирована рассылка, в которой в шутливой форме раскрывались все возможные плюсы обращения к спамерам. Для того чтобы письма могли обойти спам-фильтры, картинки постоянно менялись. Кроме того, русскоязычные спамеры стремятся расширить круг своих клиентов за счет англоязычной аудитории. В лаконичных посланиях на английском языке предлагались услуги по осуществлению массовых рассылок. На причастность к этим предложениям русскоязычных спамеров указывали адреса в поле from, которые в основном находились на хостингах в доменной зоне .ru, а также то, что заголовки (темы) части писем были написаны на русском языке. Приближение конца учебного года и выпускных экзаменов позволило рубрике «Образование» вновь подняться на третье место. Экзаменационная пора школьников, абитуриентов и студентов с высокой степенью вероятности может обусловить стабильное положение этой тематики в рейтинге в ближайшие два месяца. Еще одна особенность апреля: «Спам для взрослых» уступил свои позиции, его доля упала на 8,4%, и в отчетном периоде он выбыл из пятерки лидеров, которую не покидал с мая 2008 года. В то же время в «пятерку» вернулась рубрика «Недвижимость». В большинстве спамовых писем, относящихся к этой рубрике, рассылаются предложения аренды или покупки строящихся объектов недвижимости. Спамерские методы и трюки Наиболее оригинальным трюком спамеров в апреле стало использование одного из сервисов Mail.Ru для маскировки спамерских ссылок в письмах. Получатель в письме видел ссылку на службу бесплатного хостинга Mail.Ru, однако настоящая ссылка, скрытая с помощью html-тегов, вела на веб-страницу с предложением магических услуг. Для того, чтобы донести рекламу сайтов с виагрой до как можно большего количества получателей, спамеры прибегли к еще одной подделке. Письма, в которых предлагались уже надоевшие всем в спам-рекламе препараты для улучшения мужской потенции, были подделаны под рассылки известного ресурса Men’sHealth. Заключение Не исключено, что в мае продолжится некоторое снижение доли спама в трафике. Это может быть обусловлено длительными майскими выходными. А вот наблюдать выраженный сезонный спад спамерской активности в этом году может быть и не придется. Учитывая то, что самореклама спамеров в этом месяце составила 1/5 от всех незапрошенных сообщений, можно предположить, что, даже если искомые спамерами клиенты не будут найдены, доля спама в летнем почтовом трафике будет поддерживаться за счет становящейся все более агрессивной рекламы спамерских услуг. Впрочем, только время покажет, какая из двух тенденций – сокращение числа заказов или усиление рекламной деятельности самих спамеров – окажется более значимой. Полную статью читайте на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009