Электронный журнал "Спамтест" No. 283 в этом номере: Новости Спам-статистика за период 11 – 17 мая 2009 г. Новости Фишеры любят Facebook больше, чем Morgan Chase 18.05.2009 Социальный веб-сервис Facebook в марте занимал седьмое место по популярности у фишеров. Аудитория Facebook насчитывает 200 миллионов пользователей и представляет большой интерес для злоумышленников. В ходе работы некоммерческого проекта Phishtank обнаружено 104 фишинговых веб-сайта, используемых для проведения атак на клиентуру Facebook. В среднем, в течение марта проводилось три таких атаки в сутки. Фишинговые рассылки, как правило, осуществляются с целью заманить пользователей на веб-страницу, созданную для хищения персональных данных – например, поддельную страницу регистрации Facebook. Введенная на ней информация далее используется для рассылки спама с взломанных аккаунтов по всем контактам жертвы. В конце апреля был зафиксирован новый ряд фишинговых атак на Facebook, при этом использовались по меньшей мере три домена – fbaction.net, fbstarter.com и mygener.im (последний привязан к латышскому датацентру, неоднократно уличенному в криминальной деятельности). Результатом атак стали рассылка фармаспама и распространение программ показа рекламы (adware). Администрации Facebook пришлось поменять пароли к взломанным аккаунтам и установить дополнительный уровень защиты в сети, позволяющий заносить фишинговые веб-сайты в публикуемый «черный» список и блокировать их. В десятку основных мишеней фишинговых атак также входят крупнейшие банки, платежная система PayPal, онлайн-аукцион eBay и Налоговая служба США. Крупнейший банк Morgan Chase занимает в рейтинге организаций, интересующих фишеров, 9-е место, уступив, таким образом, социальной сети. Источник: voices.washingtonpost.com Источник: pcworld.com McAfee: возврат спама к прежним рубежам – дело времени 18.05.2009 По оценке компании McAfee, в первом квартале текущего года уровень спама в почтовом трафике составлял 86%. Показатели по спаму были на 20% ниже, чем в тот же период 2008 года, и на 30% отличались от пиковых значений, зафиксированных в третьем квартале. Исследователи отмечают, что обычно в марте количество спама увеличивается, однако в этом году интенсивность мартовских потоков составляла лишь 100 миллиардов нелегитимных сообщений в сутки. В марте прошлого года, по данным McAfee, рассылка спама осуществлялась с производительностью 153 миллиарда в сутки. По всей видимости, спамеры еще не окончательно оправились от удара, нанесенного им международным интернет-сообществом путем отключения от Сети криминального веб-хостинга McColo. Увеличение потоков спама осуществляется медленней, чем можно было предполагать. Однако, по оценке McAfee, потенциал спамеров растет и готов заработать в полную силу. В отчетный период по сравнению с предыдущим кварталом мировая армия зомби-компьютеров, способных рассылать спам, увеличилась в полтора раза. В тематическом разделении спам-рассылок в отчетный период преобладали такие категории, как медицинские препараты (25,0% от общего объема спама), товары и услуги (21,9%), поддельные предметы роскоши (преимущественно наручные часы – 18,8%) и средства повышения мужской потенции (17,5%). Среди стран-источников спама бесспорным лидером являются США, вклад которых в спам-трафик составляет, по оценке McAfee, 35%. Второе место занимает Бразилия (7,3%), на третьем – Индия (6,9%). Более подробный анализ источников нелегитимных рассылок, проведенный экспертами, показал, что в России, откуда распространяется 3,4% спама и вредоносных писем, спамботами заражены многие правительственные и банковские учреждения. Та же картина наблюдается и во многих странах СНГ. За отчетный период исследователи зарегистрировали около 12 миллионов новых IP-адресов, вовлеченных в криминальную деятельность. 63% из них зарегистрированы на территории 10 стран, причем 18,0% - в США, а 13,4% в Китае. Источник: McAfee [PDF 1,12Мб] Рецидив графического спама 20.05.2009 Исследователи компании Marshal отметили, что в последнюю неделю апреля количество спама увеличилось на 30%. Этот всплеск, по мнению экспертов, вызван активизацией спамеров, использующих графический формат. В настоящее время, по оценке Marshal, «письма в картинках» составляют 10% от общего объема спама в Интернете. Эксперты компании IBM наблюдают возврат графического спама с марта текущего года и отмечают, что к концу апреля его вклад в спам-трафик достиг 15-22%. Основная часть этих писем рекламирует фармацевтические изделия. По данным Marshal, особую активность в рассылке графического спама проявляют ботнеты Rustock и Pushdo, ответственный за 27% майской «мусорной» почты. Ряд спамовых писем, зафиксированных Marshal, содержал рекламную «картинку» в виде pdf-вложения. Исследователи IBM отмечают, что многие из используемых спамерами графических изображений «зашумлены» произвольными текстовыми вставками. Как правило, «картинка» не имеет внедренных ссылок, но предваряется общим URL, который получатель должен самостоятельно ввести в окно браузера. Все используемые в графическом спаме доменные имена находятся в зоне .com, состоят из шести цифр, имеют идентичные регистрационные записи и оформлены регистраторами, неоднократно уличенными в отсутствии контроля над злоупотреблениями. Источник: marshal8e6.com Источник: blogs.iss.net Дешево и сердито 20.05.2009 За три месяца текущего года исследователи из университета Алабамы, г. Бирмингем, обнаружили более 22300 доменов, используемых для рассылки фармаспама. Все они оказались привязаны к шести абузоустойчивым серверам, расположенным на территории Китая. Аренда сервера в этой стране, который можно неограниченно использовать для рассылки спама, не опасаясь санкций, стоит 700 долларов в год. Анонимная регистрация домена, приостановить делегирование которого практически невозможно, обходится еще дешевле – всего в 100 долларов. Университетские исследователи на протяжении четырех месяцев пытались аннулировать более 70 доменов, используемых операторами ботнета Waledac, но их усилия не увенчались успехом. Многие китайские регистраторы просто игнорируют подобные запросы, подаваемые в соответствии со стандартным протоколом. Рекламируя свои услуги, китайские хостинг-провайдеры без обиняков заявляют, что клиентам не придется беспокоиться о негативных последствиях, которые может вызвать рассылка спама. Единственное, от чего должны воздерживаться арендаторы, - это использование ресурсов для распространения порнографии. Этот вид деятельности с середины 90-х годов причислен в Китае к серьезным правонарушением. Дешевизна и надежность китайских «пуленепробиваемых» сервисов обеспечивают им широкую популярность в сетевом андерграунде. Университетские исследователи отмечают, что в настоящее время в Интернете функционируют несколько десятков таких сервисов, причем преобладающее большинство их находится на территории Китая. К услугам китайских хостинг-провайдеров и регистраторов прибегают даже криминальные элементы из стран, правовая система которых не обеспечивает надлежащего контроля над спамерской деятельностью. Остается надеяться, что китайские власти, неоднократно демонстрировавшие непримиримый подход к злоупотреблениям в национальном секторе Интернета, обратят внимание на масштабы проблемы и примут соответствующие меры. Источник: networkworld.com Symantec: спам-трафик возвращается к норме 20.05.2009 По оценке компании Symantec, апрельские потоки спама составляли 94% от объема, зафиксированного на момент отключения от Сети веб-хостинга McColo. Рейтинг стран-источников спама от Symantec по-прежнему возглавляют США (26% спам-трафика) и Бразилия (10%). В тематическом разделении спам-рассылок преобладают реклама интернет-услуг (28% от общего объема спама) и медикаментов (25%), хотя количество нелегитимных сообщений, относящихся к первой категории, уменьшилось на 7%. В значительной мере – на 8% - сократилось и число предложений от спамеров в отношении свободного времяпрепровождения. «Мусорной» корреспонденции финансового характера, напротив, стало на 6% больше; в настоящее время на ее долю приходится 12% от общего объема спама в Интернете. Исследователи особо отметили возврат спамеров к такой форме нелегитимных посланий, как графический спам. К концу апреля его вклад в спам-трафик, по оценке Symantec, в среднем составлял 16%. Письма «в картинках», как правило, рекламируют опекаемые спамерами интернет-аптеки. Возврат графического спама отразился на числе сообщений, относящихся к категориям 5-10К и более, которое суммарно возросло на 5%. Количество спамовых посланий, снабженных ссылками, уменьшилось, так как рекламные «картинки» нередко рассылаются в виде вложений. Однако URL-спам остается доминирующей разновидностью и составляет, по данным компании, 91% почтового «мусора». Наиболее популярен у спамеров домен .com, на долю которого в минувшем месяце приходилось 64% нелегитимных писем со ссылками. На втором месте – домен .cn (20%). В апрельском спаме нашли отражение все значительные общественные события минувшего месяца – землетрясение в Италии, вспышка «свиного» гриппа, празднование Дня Матери. В заголовках спамовых писем с рекламой товаров и онлайн-услуг нередко присутствовало имя нового американского президента. В увеличении потоков спама основной вклад вносят крупнейшие ботнеты, к которым, по мере распространения инфекций в странах с бурно развивающейся ИТ-инфраструктурой, присоединяются новые зомби-сети. По данным Symantec, в апреле количество активных зомби-компьютеров в странах, ведущих по этому показателю, увеличилось на 1-2%. Первое место удерживает Бразилия (16% мирового зомби-парка), на втором – Россия (8%), третью позицию занимает Турция (7%). Источник: eval.symantec.com [PDF 2,4Мб] Спам-статистика за период 11 - 17 мая 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама За прошедшую неделю доля спама в почтовом трафике Рунета в среднем составила 85,0%. Тематическое распределение в послепраздничную неделю претерпело значительные изменения. Заметно выросли доли рубрик «Образование» (+2,2%), «Реплики элитных товаров» (+3,3%), «Спам "для взрослых"» (+2,0%), понизились доли тематик «Реклама спамерских услуг» (-4,9%) и «Недвижимость» (-2,4%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   30,3%   -1,4%   2   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   15,2%   -4,9%   3   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   12,4%   +3,3%   4   Образование   Реклама семинаров, тренингов, курсов   9,1%   +2,2%   5   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   7,5%   +2,0%   6   Другие товары и услуги   Предложения других товаров и услуг   7,1%   +0,9%   7   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   4,8%   +1,6%   8   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   3,6%   -0,1%   9   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   3,5%   -2,4%   10   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -0,7%   11   Юридические услуги и аудит   Предложения юридических услуг   Менее 2%   0,9%   12   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   Без изменений   13   Остальной спам     Менее 2%   0,20%   14   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее   -0,80%   Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009