Электронный журнал "Спамтест" No. 290 в этом номере: Новости Спам в июне 2009 года Новости SORBS ищет новый дом 2.07.2009 Один из популярнейших «черных списков», содержащий порядка 10 миллионов спамерских IP-адресов, выставлен на продажу. До сих пор систему SORBS (spam and open relay blocking system), созданную в 2002 году австралийским программистом Мишелем Салливаном (Michelle Sullivan), бесплатно размещал у себя Квинслендский Университет. В числе прочих её использовали австралийская полиция и правительственная служба, контролирующая средства связи и СМИ (Australian Communications and Media Authority, ACMA). Теперь, в связи с нехваткой компьютерных ресурсов, администрация университета отдала предпочтение внутренним проектам и попросила Салливана до 20 июля подыскать другой веб-хостинг. По предварительным оценкам, содержание SORBS составит 6 тыс. долларов в месяц. Завладеть такой базой — неслыханная удача для спамеров, но Салливан сразу отметает предложения из сомнительных источников. Продажей заинтересовались также крупные компании-поставщики средств защиты от спама. Пока наибольшая сумма, в которую оценили SORBS, составляет около 1,2 миллиона долларов. Источник: australianit.news.com.au «Нигерийцы» осваивают бесплатный веб-хостинг 7.07.2009 Признавая эффективность современных способов контент-фильтрации, «нигерийские» мошенники вслед за спамерами начали размещать целевой текст на общедоступных сетевых ресурсах. Исследователи Symantec обнаружили спамовые письма следующего содержания: Перевод письма с английского языка. «От: Дэниел Уильямс (вопросы опеки) Партнер-распорядитель (Williams Chambers) Претория, Южная Африка Прошу ознакомиться (ссылка)» При активации ссылки открывается страница с изложением привычной истории о почившем миллионере, который якобы все завещал получателю письма. Использование бесплатного веб-хостинга имеет для мошенников ряд несомненных преимуществ: отсутствие ограничений на публикацию широкий выбор сервисов возможность разнообразить URL-ссылки. Источник: symantec.com MessageLabs: спама меньше не стало 7.07.2009 По оценке MessageLabs, уровень спама в июньском почтовом трафике, как и в предыдущий месяц, составлял 90,4%. Сдерживающим фактором послужило прекращение деятельности криминального хостинг-провайдера 3FN, в сетях которого хостились командные серверы крупнейшего ботнета Pushdo, активно используемого спамерами. Однако его владельцы извлекли урок из истории с отключением McColo и заранее подготовили пути отхода. В первые часы бездействия 3FN они восстановили треть потерянных ресурсов. В настоящее время потенциал Pushdo оценивается в 1,5-2 тыс. ботов, причем каждый обладает производительностью почти 260 спам-писем в минуту. Вклад этого ботнета в спам-трафик составляет 45,8%. В целом, 83,2% июньского спама рассылалось с ботнетов. Остальная часть спам-рассылок осуществлялась через легальные почтовые серверы, контролируемые спамерами, и с почтовых аккаунтов, автоматически создаваемых путем взлома CAPTCHA на бесплатных веб-сервисах. Больше прочих от спама страдали европейские страны: Франция (96,1% почтовой корреспонденции), Германия (96%), Австрия (94,9%), Бельгия (94,3%), Швейцария (94,1%). В разделении по областям хозяйственной деятельности наивысший уровень спама — 92,3% — наблюдался в гостиничном и ресторанном бизнесе, что, скорее всего, объясняется открытием сезона летних отпусков. Потоки графического спама в июне обрели устойчивость и составляли, по оценке MessageLabs, 8-10% от общего объема спама. Спам-реклама в «картинках» распространялась, в основном, в виде вложений и не содержала никаких ссылок, кроме имени сайта, внедренного в изображение. Большинство «картинок» были зашумлены автоматически сгенерированным фоновым рисунком. В связи с увеличением количества спам-рекламы медицинских препаратов и услуг MessageLabs прогнозирует, что к концу текущего года ее вклад в спам-трафик вырастет до 90%. Кроме того, с начала года количество кибератак в секторе здравоохранения, нацеленных на распространение вредоносных программ, по оценке компании, увеличилось более чем в два раза. Исследователи также отметили увеличение потоков URL-спама, распространяемого по IM-каналам. Каждое из 78 таких сообщений было снабжено ссылкой на вредоносную веб-страницу. Источник: messagelabs.com Фармаспамеры вернут $3,7 миллиона 8.07.2009 Окружной суд штата Иллинойс обязал пятерых участников международной спамерской группировки вернуть все денежные средства, полученные от интернет-продаж БАДов для похудения и гормонов роста. Согласно иску, поданному Федеральной торговой комиссией США в октябре 2007 года, рекламируемые через спам на территории США препараты не обладали заявленными свойствами, т.е. не соответствовали установленным ФТК нормативам. Распространяемые рекламные письма в противоречие CAN-SPAM были снабжены фальшивыми адресами отправителя и вводящими в заблуждение заголовками; в них отсутствовали физический адрес рекламодателя и опция «отказаться от подписки». ФТК пришлось действовать, руководствуясь американским Законом о безопасности интернета (Safe Web Act), который дает ей полномочия преследовать правонарушителей за пределами территории США, так как штаб-квартиры одиозной группировки были расположены в Канаде и в островном государстве Карибского бассейна, а один из участников имел австралийское гражданство. В мае прошлого года двое соучастников и компания Spear Systems урегулировали конфликт с ФТК во внесудебном порядке. Нынешний судебный приказ касается тех, кто не пошел на сделку: двоих граждан Канады, двух канадских компаний и американской корпорации HBE. Ответчикам запрещено осуществлять деловые операции на территории США с нарушением федерального законодательства, а также вводить потенциальных покупателей в заблуждение относительно свойств предлагаемых к продаже продуктов питания, лекарств или пищевых добавок. Источник: ftc.gov Американский программист сознался в пособничестве спамерам 8.07.2009 Дэвид Пэттон (David Patton), проходящий по делу Ральски и Ко, признал, что разрабатывал и продавал через свою компанию, Lightspeed Marketing, специализированные программы для распространения спама. Одиозная группировка «биржевых» спамеров, возглавляемая Ральски, приобрела у него продукты Nexus и Proxy Scanner с полной поддержкой. Программа Nexus обеспечивает рассылку электронных сообщений в большом объеме и с высокой производительностью, позволяя фальсифицировать заголовки писем. Proxy Scanner маскирует источники спама, используя для рассылки сторонние прокси-серверы. 49-летнего программиста ожидает тюремное заключение сроком до 6 лет. Он также согласился на конфискацию 50’100 долларов, полученных от продаж криминального инструментария, и уплатит штраф в размере 3 тыс. долларов. Источник: usdoj.gov Спам в июне 2009 года Татьяна Куликова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с маем уменьшилась на 0,7% и составила в среднем 84%. Ссылки на фишинговые сайты находились в 0,94% всех электронных писем, что на 0,25% больше, чем в мае. Вредоносные файлы содержались в 0,31% электронных сообщений, это на 0,28% больше, чем в прошлом месяце. Для привлечения внимания к письмам, содержащим вредоносные ссылки, злоумышленники использовали имя Майкла Джексона. Мошенники играли на страхе перед возможным повышением процентной ставки на кредиты. Доля спама в почтовом трафике Доля спама в почтовом трафике в июне 2009 года в среднем составила 84%. Самый низкий показатель отмечен 12 июня — 78,3%, больше всего спама зафиксировано 28 числа — 88,9%. Вредоносные вложения и ссылки Вредоносные файлы содержались в 0,31% электронных сообщений, это на 0,28% больше, чем в прошлом месяце. Для того чтобы завлечь пользователя на страницы с вредоносными объектами, чаще всего использовались темы дешевых медикаментов и различных способов выхода из сложной финансовой ситуации. Так, реклама ломбарда содержала в себе ссылки на страницу с программой Trojan-Downloader.JS.Iframe.azt. Печальная новость о смерти Майкла Джексона, облетевшая мир 26 июня, стала удобным предлогом для распространения вредоносных файлов. Злоумышленники, рассчитывая на широкую аудиторию поклонников короля поп-музыки, осуществили рассылки с обещаниями пролить свет на его загадочную смерть. Заинтересовавшегося предлагаемой информацией ждало разочарование, а его компьютер подвергался опасности заражения. Ссылка в письме вела на страницу, которая отсылала к исполняемому файлу, троянской программе семейства Trojan-Spy.Win32.Zbot, ориентированной на кражу данных пользователя. Также была зафиксирована рассылка на итальянском языке. В ней предлагалось посмотреть шокирующее видео о последних минутах жизни американского поп-идола. В качестве дополнительной приманки в конце стояло предупреждение: «Детям до 16 не разрешается смотреть это видео!». Ссылка напоминала название популярного видеоресурса Youtube, но содержала в себе имя певца — youtubemichaelj. Вместо ролика на экране появлялось сообщение об ошибке, а пользователю предлагалось скачать кодек в формате exe, якобы позволяющий просмотреть видеосюжет. На проверку кодек оказался вредоносным червем Net-Worm.Win32.Kolab.cxa. Фишинг и мошенничество Ссылки на фишинговые сайты находились в 0,94% всех электронных писем, что на 0,25% больше, чем в мае. На первом месте по числу фишинговых атак по-прежнему электронная платежная система PayPal. Доля атак, нацеленных на ее пользователей, в июне выросла на 8% и превысила 60% всех атак фишеров. На втором месте традиционно аукцион eBay, на его долю пришлось 9% атак фишеров — на 7% меньше, чем в мае. Все новое — хорошо забытое старое. Фишеры рассылали письма от имени нескольких банков, предлагая клиентам пройти по ссылке в письме и ввести логин и пароль на открывшейся странице. Они мотивировали это тем, что с IP пользователя было зафиксировано несколько неудачных попыток ввести идентификационные данные. Русскоязычные мошенники распространяли письма о том, что процентная ставка по кредиту якобы может быть увеличена. Получателям таких писем для уточнений предлагалось связаться с оператором банка по телефону. Главное, что должно было насторожить пользователей — отсутствие координат банка, а также подозрительно короткий номер (0935) для связи с оператором. В письме содержалась подробная инструкция о том, как осуществить звонок, но не сообщалось, что разговор с «оператором» платный, и минута разговора по короткому номеру стоит около 2 долларов. Такой способ мошенничества может быть более разорителен для пользователя, чем обычный спам с просьбой отправить SMS-сообщение, так как сложно предсказать, сколько времени займет общение с фальшивым электронным оператором. Тематический состав спама Пятерка лидирующих спам-тематик июня: Медикаменты; товары и услуги для здоровья — 21,1% (-11,3%) Реклама спамерских услуг — 15,2 % (-3,3%) Образование — 14,3% (+6,4%) Недвижимость — 6,9% (+2,9%) Спам «для взрослых» — 6,3% (-0,6%) На первом месте, как и в мае, — «Медикаменты; товары и услуги для здоровья», однако доля этой рубрики уменьшилась на 11%. Преимущества продукта спамеры пытались передать минимумом средств: Спам, тематически связанный с образованием, оправдал наши прогнозы, сделанные в мае, и занял третье место в рейтинге. Перед экзаменационной страдой встречалась реклама хитроумных устройств для успешной сдачи экзаменов. Устройство, по всей видимости, предназначается для «вечных студентов», так как в сообщении говорится о «пожизненной гарантии». Рубрика «Другие товары и услуги» значительно упрочила свои позиции (+6,1%), — в июне ее доля составила 11,7%. Оживление в рекламе малого бизнеса началось уже с первых недель лета. Большая часть писем содержала предложения бытовых и транспортных услуг, востребованных в период отпусков. Рейтинг рубрики «Недвижимость» повысился почти на 3%, и она заняла четвертое место. В основном в этом спаме предлагалась аренда помещений. Возможно, это связано с концом полугодия и истечением срока договоров, заключенных на полгода. Спамерские методы и трюки Примеры забавной графической саморекламы спамеров мы не раз приводили в еженедельных спам-отчетах. В июне «веселые картинки» стали еще разнообразнее. Здесь и «Семечки» и «бабушки» и «Натаха, дура» и «засифонь друга» и даже «спам это мило». Кроме того, появились письма, оформленные в том же стиле, но адресованные узкой целевой аудитории: директорам санаториев, организаторам семинаров, бухгалтерам и представителям мелкого бизнеса. При этом спамеры, пытаясь усложнить работу спам-фильтров, меняют контрастность, яркость и цветовую гамму картинок. Стоит отметить, что этот любопытный метод используется в рекламе именно спамерских (а не каких бы то ни было других) услуг. Заключение В июне не было отмечено значительных изменений в процентном соотношении спама и легитимной переписки. Начало лета отразилось на тематической составляющей незапрошенных рассылок: заметно увеличилась доля писем, связанных с образованием, недвижимостью, а также писем, рекламирующих товары и услуги мелкого бизнеса. Важно отметить, что, как и в прошлом году, в июне наблюдалось увеличение доли писем, содержащих вредоносные вложения. Мировые сенсации в этот период использовались спамерами прежде всего для привлечения внимания к письмам с вредоносными вложениями. Несмотря на небольшое количество нововведений в области техники проведения рассылок, трудно сказать, предпочитают ли спамеры отдыхать в период летних отпусков или готовятся к началу нового сезона. Полную версию статьи смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009