Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 290

в этом номере:


Новости

SORBS ищет новый дом

2.07.2009

Один из популярнейших «черных списков», содержащий порядка 10 миллионов спамерских IP-адресов, выставлен на продажу.

До сих пор систему SORBS (spam and open relay blocking system), созданную в 2002 году австралийским программистом Мишелем Салливаном (Michelle Sullivan), бесплатно размещал у себя Квинслендский Университет. В числе прочих её использовали австралийская полиция и правительственная служба, контролирующая средства связи и СМИ (Australian Communications and Media Authority, ACMA). Теперь, в связи с нехваткой компьютерных ресурсов, администрация университета отдала предпочтение внутренним проектам и попросила Салливана до 20 июля подыскать другой веб-хостинг.

По предварительным оценкам, содержание SORBS составит 6 тыс. долларов в месяц. Завладеть такой базой — неслыханная удача для спамеров, но Салливан сразу отметает предложения из сомнительных источников. Продажей заинтересовались также крупные компании-поставщики средств защиты от спама. Пока наибольшая сумма, в которую оценили SORBS, составляет около 1,2 миллиона долларов.

Источник: australianit.news.com.au

«Нигерийцы» осваивают бесплатный веб-хостинг

7.07.2009

Признавая эффективность современных способов контент-фильтрации, «нигерийские» мошенники вслед за спамерами начали размещать целевой текст на общедоступных сетевых ресурсах.

Исследователи Symantec обнаружили спамовые письма следующего содержания:

Перевод письма с английского языка.

«От: Дэниел Уильямс (вопросы опеки)
Партнер-распорядитель (Williams Chambers)
Претория, Южная Африка
Прошу ознакомиться (ссылка)»

При активации ссылки открывается страница с изложением привычной истории о почившем миллионере, который якобы все завещал получателю письма.

Использование бесплатного веб-хостинга имеет для мошенников ряд несомненных преимуществ:

  • отсутствие ограничений на публикацию
  • широкий выбор сервисов
  • возможность разнообразить URL-ссылки.

Источник: symantec.com

MessageLabs: спама меньше не стало

7.07.2009

По оценке MessageLabs, уровень спама в июньском почтовом трафике, как и в предыдущий месяц, составлял 90,4%.

Сдерживающим фактором послужило прекращение деятельности криминального хостинг-провайдера 3FN, в сетях которого хостились командные серверы крупнейшего ботнета Pushdo, активно используемого спамерами. Однако его владельцы извлекли урок из истории с отключением McColo и заранее подготовили пути отхода. В первые часы бездействия 3FN они восстановили треть потерянных ресурсов. В настоящее время потенциал Pushdo оценивается в 1,5-2 тыс. ботов, причем каждый обладает производительностью почти 260 спам-писем в минуту. Вклад этого ботнета в спам-трафик составляет 45,8%.

В целом, 83,2% июньского спама рассылалось с ботнетов. Остальная часть спам-рассылок осуществлялась через легальные почтовые серверы, контролируемые спамерами, и с почтовых аккаунтов, автоматически создаваемых путем взлома CAPTCHA на бесплатных веб-сервисах.

Больше прочих от спама страдали европейские страны: Франция (96,1% почтовой корреспонденции), Германия (96%), Австрия (94,9%), Бельгия (94,3%), Швейцария (94,1%). В разделении по областям хозяйственной деятельности наивысший уровень спама — 92,3% — наблюдался в гостиничном и ресторанном бизнесе, что, скорее всего, объясняется открытием сезона летних отпусков.

Потоки графического спама в июне обрели устойчивость и составляли, по оценке MessageLabs, 8-10% от общего объема спама. Спам-реклама в «картинках» распространялась, в основном, в виде вложений и не содержала никаких ссылок, кроме имени сайта, внедренного в изображение. Большинство «картинок» были зашумлены автоматически сгенерированным фоновым рисунком.

В связи с увеличением количества спам-рекламы медицинских препаратов и услуг MessageLabs прогнозирует, что к концу текущего года ее вклад в спам-трафик вырастет до 90%. Кроме того, с начала года количество кибератак в секторе здравоохранения, нацеленных на распространение вредоносных программ, по оценке компании, увеличилось более чем в два раза.

Исследователи также отметили увеличение потоков URL-спама, распространяемого по IM-каналам. Каждое из 78 таких сообщений было снабжено ссылкой на вредоносную веб-страницу.

Источник: messagelabs.com

Фармаспамеры вернут $3,7 миллиона

8.07.2009

Окружной суд штата Иллинойс обязал пятерых участников международной спамерской группировки вернуть все денежные средства, полученные от интернет-продаж БАДов для похудения и гормонов роста.

Согласно иску, поданному Федеральной торговой комиссией США в октябре 2007 года, рекламируемые через спам на территории США препараты не обладали заявленными свойствами, т.е. не соответствовали установленным ФТК нормативам. Распространяемые рекламные письма в противоречие CAN-SPAM были снабжены фальшивыми адресами отправителя и вводящими в заблуждение заголовками; в них отсутствовали физический адрес рекламодателя и опция «отказаться от подписки».

ФТК пришлось действовать, руководствуясь американским Законом о безопасности интернета (Safe Web Act), который дает ей полномочия преследовать правонарушителей за пределами территории США, так как штаб-квартиры одиозной группировки были расположены в Канаде и в островном государстве Карибского бассейна, а один из участников имел австралийское гражданство.

В мае прошлого года двое соучастников и компания Spear Systems урегулировали конфликт с ФТК во внесудебном порядке. Нынешний судебный приказ касается тех, кто не пошел на сделку: двоих граждан Канады, двух канадских компаний и американской корпорации HBE. Ответчикам запрещено осуществлять деловые операции на территории США с нарушением федерального законодательства, а также вводить потенциальных покупателей в заблуждение относительно свойств предлагаемых к продаже продуктов питания, лекарств или пищевых добавок.

Источник: ftc.gov

Американский программист сознался в пособничестве спамерам

8.07.2009

Дэвид Пэттон (David Patton), проходящий по делу Ральски и Ко, признал, что разрабатывал и продавал через свою компанию, Lightspeed Marketing, специализированные программы для распространения спама.

Одиозная группировка «биржевых» спамеров, возглавляемая Ральски, приобрела у него продукты Nexus и Proxy Scanner с полной поддержкой. Программа Nexus обеспечивает рассылку электронных сообщений в большом объеме и с высокой производительностью, позволяя фальсифицировать заголовки писем. Proxy Scanner маскирует источники спама, используя для рассылки сторонние прокси-серверы.

49-летнего программиста ожидает тюремное заключение сроком до 6 лет. Он также согласился на конфискацию 50’100 долларов, полученных от продаж криминального инструментария, и уплатит штраф в размере 3 тыс. долларов.

Источник: usdoj.gov


Спам в июне 2009 года

Татьяна Куликова, "Лаборатория Касперского"

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с маем уменьшилась на 0,7% и составила в среднем 84%.
  • Ссылки на фишинговые сайты находились в 0,94% всех электронных писем, что на 0,25% больше, чем в мае.
  • Вредоносные файлы содержались в 0,31% электронных сообщений, это на 0,28% больше, чем в прошлом месяце.
  • Для привлечения внимания к письмам, содержащим вредоносные ссылки, злоумышленники использовали имя Майкла Джексона.
  • Мошенники играли на страхе перед возможным повышением процентной ставки на кредиты.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в июне 2009 года в среднем составила 84%. Самый низкий показатель отмечен 12 июня — 78,3%, больше всего спама зафиксировано 28 числа — 88,9%.

Вредоносные вложения и ссылки

Вредоносные файлы содержались в 0,31% электронных сообщений, это на 0,28% больше, чем в прошлом месяце.

Для того чтобы завлечь пользователя на страницы с вредоносными объектами, чаще всего использовались темы дешевых медикаментов и различных способов выхода из сложной финансовой ситуации. Так, реклама ломбарда содержала в себе ссылки на страницу с программой Trojan-Downloader.JS.Iframe.azt.

Печальная новость о смерти Майкла Джексона, облетевшая мир 26 июня, стала удобным предлогом для распространения вредоносных файлов. Злоумышленники, рассчитывая на широкую аудиторию поклонников короля поп-музыки, осуществили рассылки с обещаниями пролить свет на его загадочную смерть. Заинтересовавшегося предлагаемой информацией ждало разочарование, а его компьютер подвергался опасности заражения. Ссылка в письме вела на страницу, которая отсылала к исполняемому файлу, троянской программе семейства Trojan-Spy.Win32.Zbot, ориентированной на кражу данных пользователя.

Также была зафиксирована рассылка на итальянском языке. В ней предлагалось посмотреть шокирующее видео о последних минутах жизни американского поп-идола. В качестве дополнительной приманки в конце стояло предупреждение: «Детям до 16 не разрешается смотреть это видео!». Ссылка напоминала название популярного видеоресурса Youtube, но содержала в себе имя певца — youtubemichaelj. Вместо ролика на экране появлялось сообщение об ошибке, а пользователю предлагалось скачать кодек в формате exe, якобы позволяющий просмотреть видеосюжет. На проверку кодек оказался вредоносным червем Net-Worm.Win32.Kolab.cxa.

Фишинг и мошенничество

Ссылки на фишинговые сайты находились в 0,94% всех электронных писем, что на 0,25% больше, чем в мае.

На первом месте по числу фишинговых атак по-прежнему электронная платежная система PayPal. Доля атак, нацеленных на ее пользователей, в июне выросла на 8% и превысила 60% всех атак фишеров. На втором месте традиционно аукцион eBay, на его долю пришлось 9% атак фишеров — на 7% меньше, чем в мае.

Все новое — хорошо забытое старое. Фишеры рассылали письма от имени нескольких банков, предлагая клиентам пройти по ссылке в письме и ввести логин и пароль на открывшейся странице. Они мотивировали это тем, что с IP пользователя было зафиксировано несколько неудачных попыток ввести идентификационные данные.

Русскоязычные мошенники распространяли письма о том, что процентная ставка по кредиту якобы может быть увеличена. Получателям таких писем для уточнений предлагалось связаться с оператором банка по телефону. Главное, что должно было насторожить пользователей — отсутствие координат банка, а также подозрительно короткий номер (0935) для связи с оператором. В письме содержалась подробная инструкция о том, как осуществить звонок, но не сообщалось, что разговор с «оператором» платный, и минута разговора по короткому номеру стоит около 2 долларов. Такой способ мошенничества может быть более разорителен для пользователя, чем обычный спам с просьбой отправить SMS-сообщение, так как сложно предсказать, сколько времени займет общение с фальшивым электронным оператором.

Тематический состав спама

Пятерка лидирующих спам-тематик июня:

  1. Медикаменты; товары и услуги для здоровья — 21,1% (-11,3%)
  2. Реклама спамерских услуг — 15,2 % (-3,3%)
  3. Образование — 14,3% (+6,4%)
  4. Недвижимость — 6,9% (+2,9%)
  5. Спам «для взрослых» — 6,3% (-0,6%)

На первом месте, как и в мае, — «Медикаменты; товары и услуги для здоровья», однако доля этой рубрики уменьшилась на 11%. Преимущества продукта спамеры пытались передать минимумом средств:

Спам, тематически связанный с образованием, оправдал наши прогнозы, сделанные в мае, и занял третье место в рейтинге. Перед экзаменационной страдой встречалась реклама хитроумных устройств для успешной сдачи экзаменов. Устройство, по всей видимости, предназначается для «вечных студентов», так как в сообщении говорится о «пожизненной гарантии».

Рубрика «Другие товары и услуги» значительно упрочила свои позиции (+6,1%), — в июне ее доля составила 11,7%. Оживление в рекламе малого бизнеса началось уже с первых недель лета. Большая часть писем содержала предложения бытовых и транспортных услуг, востребованных в период отпусков.

Рейтинг рубрики «Недвижимость» повысился почти на 3%, и она заняла четвертое место. В основном в этом спаме предлагалась аренда помещений. Возможно, это связано с концом полугодия и истечением срока договоров, заключенных на полгода.

Спамерские методы и трюки

Примеры забавной графической саморекламы спамеров мы не раз приводили в еженедельных спам-отчетах. В июне «веселые картинки» стали еще разнообразнее. Здесь и «Семечки» и «бабушки» и «Натаха, дура» и «засифонь друга» и даже «спам это мило». Кроме того, появились письма, оформленные в том же стиле, но адресованные узкой целевой аудитории: директорам санаториев, организаторам семинаров, бухгалтерам и представителям мелкого бизнеса.

При этом спамеры, пытаясь усложнить работу спам-фильтров, меняют контрастность, яркость и цветовую гамму картинок. Стоит отметить, что этот любопытный метод используется в рекламе именно спамерских (а не каких бы то ни было других) услуг.

Заключение

В июне не было отмечено значительных изменений в процентном соотношении спама и легитимной переписки. Начало лета отразилось на тематической составляющей незапрошенных рассылок: заметно увеличилась доля писем, связанных с образованием, недвижимостью, а также писем, рекламирующих товары и услуги мелкого бизнеса. Важно отметить, что, как и в прошлом году, в июне наблюдалось увеличение доли писем, содержащих вредоносные вложения. Мировые сенсации в этот период использовались спамерами прежде всего для привлечения внимания к письмам с вредоносными вложениями. Несмотря на небольшое количество нововведений в области техники проведения рассылок, трудно сказать, предпочитают ли спамеры отдыхать в период летних отпусков или готовятся к началу нового сезона.

Полную версию статьи смотрите на сайте Securelist.com.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2009


В избранное