Электронный журнал "Спамтест" No. 285 в этом номере: Новости Спам-статистика за период 25 – 31 мая 2009 г. Новости А по ночам испанские евро уплывали в Россию… 01.06.2009 В Испании задержаны 10 участников международной фишерской группировки. Выступая от имени местных финансовых организаций, они под разными предлогами провоцировали получателей на раскрытие конфиденциальной информации. В дальнейшем эти данные использовались для снятия денег со счетов жертв фишинга. Операции по перекачке денежных средств проводились в ночное время, чтобы владельцы счетов не сразу обнаружили недостачу. Используемая испанскими резидентами классическая фишинговая схема включала вербовку агентов по отмыванию денег. «Дропы» принимали похищенные суммы на свои банковские счета, а затем переводили их в российские города — в основном, в Москву и Санкт-Петербург. По оценкам полиции, в результате реализации этой схемы со счетов испанских граждан было похищено 350’000 евро. Источник: elmundo.es Источник: espanarusa.com/ru Вместо депортации — 8,5 лет за фишинг 01.06.2009 В штате Миннесота закончился процесс по делу Сергиу Даниэла Попа (Sergiu Daniel Popa), иммигранта-нелегала из Румынии, занимавшегося фишингом в американском секторе Интернета. 23-летний правонарушитель приговорен к 8,5 годам тюремного заключения. Суровость наказания объясняется солидным стажем и большим количеством жертв фишера. По собственному признанию подсудимого, за семь лет охоты за пользовательскими реквизитами на территории США ему удалось снять около 700’000 долларов со счетов 7000 клиентов различных банковских и платежных веб-сервисов. Молодой румын работал по классической фишинговой схеме, распространяя со своих почтовых адресов письма-приманки со ссылками на веб-страницы, имитировавшие сетевые ресурсы финансовых структур. Вводимую на них пользовательскую информацию он использовал для изготовления пластиковых карт, с помощью которых изымал чужие денежные средства через банкоматы. Уголовное дело в отношении фишерской деятельности румына было возбуждено за день до рассмотрения вопроса о его депортации. Источник: startribune.com Источник: sophos.com Фармаспамеры-плагиаторы 02.06.2009 В компании Marshal обнаружили, что нелегитимная реклама медицинских препаратов, рассылаемая с ботнетов в последнее время, часто маскируется с помощью шаблонов легальных информационных бюллетеней. Исследователи полагают, что спамеры оформляют подписку на новости из легального источника, такого как WebMD, Health.com или MensHealth, а затем внедряют в html-код его информационного бюллетеня свои ссылки и «картинки». Такой трюк не нов, но придает солидный вид «мусорным» сообщениям, увеличивая процент доставки и повышая шансы на получение положительного отклика. По данным Marshal, в настоящее время фармаспам, оформленный по готовому шаблону, в больших объемах распространяется с ботнетов Rustock, Pushdo, Mega-D и Grum. Спамботы Rustock, ответственные за треть спама в Интернете, рекламируют изделия интернет-аптек только в таком формате. Источник: marshal8e6.com Динамика и география майских спам-рассылок 03.06.2009 Исследователи компании MessageLabs в течение недели замеряли колебания потоков спама в Сети. Оказывается, в разных регионах суточная активность спамеров проявляется неодинаково. В США, например, пик спам-рассылок приходится на 9-10 часов утра по местному времени, а вечером и ночью количество нелегитимных писем минимально. Европейский спам-трафик устойчив в течение всего рабочего дня, а в азиатско-тихоокеанском регионе к началу трудовой деятельности почтовые ящики уже основательно замусорены и днем приток спама незначителен. Практически во всех странах максимальный уровень спама наблюдался в понедельник и пятницу. В середине недели интенсивность спам-трафика заметно спадала, а в воскресенье была минимальной. Согласно статистике, представленной в отчете MessageLabs за май, количество спама из новых и неизвестных источников увеличилось на 5,1% и составило 90,4% почтовой корреспонденции. Географически источники спама (IP-адресов отправителя) сейчас распределены достаточно равномерно: 34,8% почтового «мусора» отправляется из Америки (из Латинской – 21,4%, из Северной 13,4%), 31,6% – из Европы, 27,8% из Азии. Более половины спама рассылается ботами крупнейших зомби-сетей, которые также относительно равномерно распределяются по континентам и странам. По оценке MessageLabs, вклад Donbot в майский спам-трафик составлял 18,2%, Rustock – 16,1%, Cutwail 8,6%, Bagle 6,3%, Xarvester 1,9%. При этом от атак Donbot страдали, в основном, страны Азии, Rustock и Bagle – американский континент, Xarvester – Латинская Америка, США и Индия. Спам-рассылки с Cutwail отличались наибольшим охватом и были замечены в странах Европы, Африки, Ближнего Востока, Латинской Америки и азиатско-тихоокеанского региона. Прочий спам поступал, как правило, с территории США и представлял собой рекламу фармацевтических изделий. Большая часть писем была оформлена в виде коротких сообщений с бесплатных почтовых аккаунтов, снабженных ссылкой на поддельный профиль в социальной сети. Настоящее местонахождение рекламной «картинки», воспроизводимой при активации ссылки, было замаскировано с помощью редиректа из китайской доменной зоны. Источник: messagelabs.com Источник: messagelabs.com [PDF 1,96Mб] Фишеры ценят легальный веб-хостинг 03.06.2009 Статистика, представленная в последнем отчете Рабочей группы по борьбе с фишингом (Anti-Phishing Working Group, APWG), показывает, что фишеры все реже регистрируют новые домены для проведения кибератак, отдавая предпочтение чужой «белой» репутации. Более 80% доменов, в зонах которых в июле-декабре были найдены фишинговые веб-страницы, принадлежат легальным владельцам. Обычно злоумышленники используют бесплатные услуги в субдоменах, чтобы скрыть свою деятельность от оператора сайта и его посетителей. По данным APWG, во второй половине прошлого года наибольшее количество злоупотреблений было выявлено в сетях Pochta.ru, 12 доменов которого использовались при проведении 716 фишинговых атак. Однако этот интернет-провайдер, по всей видимости, активно борется с киберкриминалом, так как в предыдущем полугодии атак с привязкой к его ресурсам было вдвое больше. Кстати, в APWG отметили, что одиозная группировка Rock Phish с прошлого лета исчезла с виртуального горизонта, а из фишинговых URL сразу пропали домены .uk и .es. В декабре в Сети объявился новый конкурент — группа фишеров, называющих себя Avalanche («лавина»). Если верить экспертам, новички пользуются практически той же методикой и инфраструктурой, что и Rock Phish, но добавили в арсенал технологию динамической перерегистрации IP-адресов (fast-flux) и отдают предпочтение доменным зонам .be и .eu. Интересно, что время жизни фишингового веб-сайта сейчас составляет в среднем 52 часа. Использование технологии fast-flux позволяет фишеру держать сайт на плаву вдвое дольше. По приблизительным оценкам, каждый час работы сайта-подделки обходится американскому банку из ведущей «десятки» в 300 долларов. За трое суток в руки фишера попадут реквизиты к полусотне клиентских счетов, с которых он снимет в среднем по 400 долларов. Стремясь извлечь максимальную выгоду из криминального ресурса, злоумышленники предпочитают размещать его в тех доменных зонах, где нет надлежащего контроля со стороны провайдеров, регистраторов и реселлеров. Например, домены в зоне .com предоставляет множество самых разных организаций, поэтому, согласно статистике APWG, фишинговый сайт здесь просуществует почти на 7 часов дольше. Операторы доменов высшего уровня .info, .cn, .fr и .ru, по всей видимости, применяют эффективную антифишинговую политику, и уличенные в криминале ресурсы быстро удаляются из сети. Источник: apwg.com Источник: cybersecurity.ru Источник: darkreading.com Спам-статистика за период 25 - 31 мая 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама За прошедшую неделю доля спама в почтовом трафике Рунета в среднем составила 86,1%. Тематическое распределение спама за прошедшую неделю изменилось незначительно. Заметно увеличилась доля рубрики «Медикаменты; товары/услуги для здоровья» (+4,9%), понизилась доля тематики «Образование» (-2,9%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   29,7%   +4,9%   2   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   18,6%   -1,7%   3   Образование   Реклама семинаров, тренингов, курсов   10,9%   -2,9%   4   Другие товары и услуги   Предложения других товаров и услуг   8,1%   +0,1%   5   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   7,4%   +0,9%   6   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   6,0%   -0,8%   7   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   5,0%   +0,7%   8   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   3,4%   -0,2%   9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   3,1%   -1,0%   10   Юридические услуги и аудит   Предложения юридических услуг   2,5%   +0,3%   11   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   2,0%   +0,2%   12   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   -0,3%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   +0,2%   14   Остальной спам     Менее   -0,3%   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009