Электронный журнал "Спамтест" No. 294 в этом номере: Новости Спам в июле 2009 г. Спам-статистика за период 3-9 августа 2009 г. Новости Бесстрашные юзеры не верят предупреждениям 10.08.2009 Цифровые сертификаты безопасности в браузерах не обеспечивают достаточно эффективную защиту, сообщают исследователи из Университета Carnegie Mellon. Обычно, если браузер определяет сертификат сайта как подозрительный, он выдает сообщение такого рода: There is a problem with this website's security certificate. В исследовании, проведенном в Университете Carnegie Mellon, приняли участие 409 человек. Оказалось, что большинство из них игнорируют предупреждение о просроченном сертификате SSL, причем опытные пользователи делают это чаще. Конечно, иногда сертификаты SSL заканчиваются по легальным причинам, но не исключен вариант, что при попытке зайти на сайт с истекшим сертификатом пользователь подвергнется атаке «человека посередине» (man-in-the-middle). Проверка показала, что только половина приверженцев Firefox 2 может объяснить, что значит предупреждение браузера об истечении срока действия сертификата, а 71% сообщил, что проигнорирует подобное сообщение. Впрочем, отношение пользователей к другим советам браузера относительно безопасности посещаемых ими сайтов также далеко от идеала. Предупреждение о несоответствии домена, свидетельствующее о риске подвергнуться фишингу, смогли понять 59% пользователей Firefox 2, и при этом 19% сообщили, что это их не остановит. Сообщение о потенциальной опасности не останавливает пользователей Firefox 2, Firefox 3 и Internet Explorer 7 даже в тех случаях, когда они пытаются зайти на банковские сайты. Представители Carnegie Mellon считают, что следует принципиально изменить подход к обеспечению интернет-безопасности и не отдавать решение о подключении к потенциально опасным сайтам в руки пользователей — проще просто блокировать доступ к этим ресурсам. Источник: news.zdnet.co.uk У спамеров закончился кризис 11.08.2009 Кратковременный спад активности спамеров, зафиксированный в предыдущий период, закончился и по сравнению с первым карталом 2009 года его объемы увеличились почти на 80%, сообщается в отчете McAfee за второй квартал 2009 года. "Если бы экономика вела себя подобно спаму, мы были бы просто счастливы", утверждают его авторы В июне зафиксирован максимальный уровень спама, превышающий рекордные до этого момента октябрьские показатели прошлого года более чем на 20%. "Если спам можно считать индикатором состояния экономики, то нас ждут прекрасные времена", обнадеживают исследователи. Еще один рекорд последнего квартала — 14 миллионов новых зомби-компьютеров. Ежедневно их число возрастает на 150 тысяч машин, так что зафиксированный уровень спама — далеко не предел. По характеру спам-сообщений во втором квартале этого года лидирует фармацевтический спам. Источником большей его части является некий канадский фармасайт, зарегистрированный из Китая и использующий в основном китайские и российские URL. В десятку "стран-спамеров" традиционно вошли США, давшие миру за последние три месяца 2,1 миллиона новых зомби-компьютеров (что на 33% превысило прошлогодние показатели Америки за аналогичный период), а также Бразилия, Турция, Индия и Южная Корея, продемонстрировавшая максимальный среди лидеров 45%-ный рост числа пораженных компьютеров. Кроме того, в этот раз в Топ10 вернулась Испания и вошла Италия, удвоившая свои показатели по зомби-сетям. И только в Китае и России наблюдается спад в этой области, причем Китай на сей раз даже не попал в десятку самых "зомбированных" стран, поставляющих 65% мировых объемов спама. Источник: mcafee.com [PDF 2,54Мб] Графический спам возвращается 11.08.2009 По данным компании MessageLabs, на сегодняшний день объемы спама составляют порядка 90% мирового почтового трафика, или около 200 миллиардов сообщений в день. С каждым днем спамеры совершенствуют методы обхода спам-фильтров. Одним из активно развивающихся направлений в этой области является создание графического спама. Эта «гонка вооружений» началась еще в 2006 году, когда спамеры впервые стали кодировать свои сообщения в виде изображений, а не прямого текста. В 2007 году графический спам уже составлял не менее 20% «электронного мусора». Однако по мере совершенствования спам-фильтров к 2008 году спам в виде изображений практически перестал использоваться. И вот к концу мая этого года его объемы снова выросли до рекордных 41%. Задавшись целью выяснить причины столь бурного роста графического спама, MessageLabs проанализировала его характер и обнаружила, что спамеры нашли способ обходить две основных проблемы: легкость, с которой спам-фильтры определяют изображения и большой вес сообщений, содержащих изображения (графический спам может превышать по весу текстовый в 20 раз). Один из способов обойти обе проблемы — использование удаленного графического спама. При такой технологии письмо содержит в себе не изображение, а ссылку, ведущую на удаленный сервер, где и размещается спам-картинка. Именно такой спам составил 34% от общего объема мусорного трафика в конце мая 2009 года. И только 7% спам-писем представляли из себя старый добрый графический спам с вложенными или прикрепленными изображениями. Однако, чтобы использовать метод удаленных изображений, спамеру необходимо обзавестись местом для их размещения. Серверов, которыми спамеры могут свободно пользоваться, обычно немного, что делает рассылку спама уязвимой, как это произошло в ноябре 2008 года, когда падение Californian ISP McColo серьезно ударило по ботнету Srizbi. Чтобы защитить свои сервера, спамеры нередко добавляют дополнительное звено между сообщением и изображением. В конце концов, по ссылке, размещенной в спаме, пользователь попадает на так называемый bulletproof-сервер, расположенный в Китае или какой-нибудь другой стране, известной своим низким уровнем сетевой защиты. Даже если сервер, где помещены изображения, будет заблокирован, спамеру достаточно переадресовать доверчивого пользователя на другой, действующий сервер. Спамеры используют и другую методику, получившую название reputation hijacking — «подрыв репутации». В этом случае в качестве промежуточных используются легальные домены, не относящиеся к «спамоопасным». Самые современные почтовые клиенты не отображают путь к удаленным изображениям по умолчанию. В этом случае цель спамеров — заставить потенциальную жертву кликнуть на кнопку «Загрузить изображение», размещенную в их почтовом клиенте, что позволяет вывести на экран пользователя спам-изображение. Еще один вариант перенаправления пользователя на «опасный» линк — предложения отписаться от рассылки или воспользоваться скрытой ссылкой. Источник: computerweekly.com Каждые 13 секунд появляется новый спам-сайт 12.08.2009 Компания SophosLabs опубликовала свой июльский отчет, согласно которому спам в первом полугодии составлял 89,7% всей деловой электронной переписки. При этом ежедневно специалисты лаборатории обнаруживают около 6500 новых сайтов, связанных со спамом, т.е. каждые 13 секунд в мире появляется новый спам-сайт — это почти в два раза чаще, чем в июле прошлого года. В июне этого года каждое четвертое предприятие подверглось атаке спамеров, фишеров или распространителей вредоносного ПО. Среди пострадавших — такие всемирно известные социальные сети, как Twitter, Linkedln и MySpace. В результате примерно 50% компаний блокируют своим сотрудникам доступ на подобные ресурсы, что ограничивает их использование в деловых целях. С ростом активности спамеров и других представителей киберпреступного мира активизировались и государственные службы, призванные защищать своих граждан от кибер-атак. Одним из наиболее громких дел июня года стало закрытие Федеральной Службой по Торговле (FTC) США «черного» интернет-провайдера Pricewert, поддерживающего бот-сети, которые использовались для рассылки спама, фишинга и распространения вредоносного ПО. О борьбе со спамерами и хакерами заговорили и на самом высоком уровне. Так, президент США Барак Обама в мае 2009 года озвучил новую государственную стратегию, благодаря которой государство будет «удерживать, предотвращать, обнаруживать и защищать» — то есть, бороться с кибер-атаками, как в своей стране, так и за рубежом. А в июне английское правительство сообщило о необходимости создания центрального Офиса кибер-преступлений (the Office of Cyber Security, OCS) и его филиала — Центра компьютерной безопасности (Cyber Security Operations Centre, CSOC). Эти факты говорят о том, что правительства высокоразвитых государств всерьез решили взяться за проблему кибер-преступлений, и она будет решаться на мировом уровне. По мнению экспертов SophosLabs, в ближайшем будущем основным полем деятельности для спамеров станут именно социальные сети. Пока не существует надежной защиты и от внешне безобидного спама, ссылки в котором ведут на легальные, но уже зараженные сайты. Спамеры все чаще используют для своих атак несамозапускающиеся файлы, такие как документы Word и файлы PDF. И, конечно, человеческий фактор (неосмотрительность и доверчивость пользователей) будет по-прежнему вносить свой вклад в процент успешных киберпреступлений. Источник: inuit.se [PDF 1,94Мб] Спамеры стали приверженцами творчества Майкла Джексона 12.08.2009 По данным июльского отчета Symantec, объемы спама в июне составили порядка 90% от общего объема электронной почты. Чаще всего спамеры использовали имя Майкла Джексона. Из социальных сетей наиболее часто атакуемой стала сеть Twitter. Неудивительно, что в фокус внимания спамеров и распространителей зловредного ПО попал Майкл Джексон, — смерть артиста всколыхнула угасший было интерес к нему и его творчеству. На фоне этого спама, непрошенная корреспонденция, связанная с первыми 100 днями президентства Барака Обамы, составляла всего 2%. Сейчас объемы спама, паразитирующего на жизни и смерти певца, снизились до 1%, однако пока по-прежнему следует соблюдать осторожность при получении подобной почты. В частности, Symantec упоминает червя, который рассылает спам, содержащий вложение «Michael songs and pictures.zip». При запуске вложения на компьютер пользователя загружается другой файл «MichaelJacksonsongsandpictures.doc.exe», являющийся копией червя. Другим уже традиционным информационным поводом для всплеска спама стало 4 июля — День независимости США. Например, прикрепленный видеофайл, якобы содержащий съемки праздничного фейерверка, на самом деле запускает выполнение W32. Waledac. Отмечено появление очередных графических уловок спамеров, таких как использование разноцветного фона, цветных блоков и волнистого текста, для маскировки нелегальных рекламных изображений. Как и другие компании, занимающиеся анализом спама, Symantec особо отмечает интерес спамеров к социальной сети Twitter. Активно рассылаемые поддельные спам-приглашения Card.zip на самом деле содержат червь W32.Ackantta.B@mm. Среди стран — поставщиков спама, по версии Symantec, лидерами стали США (23%), Бразилия (12%), Южная Корея (по 5%). Россия только на 8 месте со своими 2% мирового спама. Основными темами, используемыми спамерами, остаются здоровье (28%), интернет (26%), продвижение товаров (13%) и финансы (12%). Источник: eval.symantec.com [PDF 1,55Мб] Спам в июле 2009 г. Татьяна Куликова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с июнем выросла на 1,7% и составила в среднем 85,7%. Ссылки на фишинговые сайты находились в 1,03% всех электронных писем, что на 0,09%, больше чем в июне. Вредоносные файлы содержались в 0,11% электронных сообщений, что на 0,2% меньше, чем в прошлом месяце. Доля спам-рекламы, связанной с реальным сектором экономики, уменьшилась. Для того, чтобы обойти фильтры, спамеры оставляли свои контакты в виде картинки, составленной из случайных символов, с определенным количеством пробелов между ними. Доля спама в почтовом трафике Доля спама в почтовом трафике в июле 2009 года в среднем составила 85,7%. Самый низкий показатель отмечен 17 июля — 80,9%; больше всего спама зафиксировано 19 числа — 90,8%. Вредоносные файлы содержались в 0,11% электронных сообщений, что на 0,2% меньше, чем в прошлом месяце. Фишинг Ссылки на фишинговые сайты находились в 1,03% всех электронных писем, это на 0,09%, больше, чем в июне. По-прежнему у фишеров наиболее популярны платежная система PayPal (40,19%) и интернет-аукцион eBay (30,01%). В июле наблюдалось несколько случаев фишинговых рассылок, когда ссылка содержалась во вложении, а не в теле письма. В англоязычном спаме для кражи конфиденциальной информации, используемой при регистрации на сайте, мошенники воспользовались необычным предлогом. Пользователям атакованного ресурса рассылалось письмо, извещавшее о том, что, в связи с регистрацией неожиданно большого количества адресов, от каждого получателя требуется подтверждение того, что он является реальным человеком. Для этого надо в течение суток выслать в ответном письме следующую информацию: логин, пароль, возраст и страна проживания. Страны — источники спама В этом месяце в рейтинге стран — источников спама с заметным отрывом лидируют США: доля этой страны увеличилась по сравнению с первым полугодием на 15, 79% и составила 24,9%. Таким образом, в июле из США рассылалось практически четверть всего спама! В остальном состав лидирующей пятерки выглядит вполне традиционно. На втором месте — Бразилия (8,5%), далее Китай (5,6%), Индия (5,5%) и Россия (4,9%). Сохранилась и тенденция, наметившаяся в первом полугодии 2009 года: западноевропейские страны в середине лета не набрали даже двух процентов, оказавшись в самом низу ТОП20. Их потеснили страны азиатского континента. Тематический состав спама Пятерка лидирующих спам-тематик июля: Медикаменты; товары и услуги для здоровья — 25,3% (+4,2%) Реклама спамерских услуг — 15,4 % (+0,2%) Образование — 14,6% (+0,3%) Спам «для взрослых» — 10,5% (+4,2%) Реплики элитных товаров — 6,8% (+0,9%) Отметим, что в июле спам-реклама, заказчиками которой являются представители малого бизнеса, составила всего около трети спама — 32,6%. Так, доля рубрики «Другие товары и услуги» в середине лета уменьшилась почти вдвое (-6,5%). Рубрика «Медикаменты; товары и услуги для здоровья» продолжает лидировать. Русскоязычные спамеры перехватили инициативу у своих зарубежных коллег, сделав тему эпидемии свиного гриппа предлогом для рекламы различных лекарственных препаратов. Так одна из рассылок была посвящена средству для лечения суставов, но в качестве дополнительного бонуса указывалась и профилактика недавно выявленной болезни. Доля саморекламы спамеров осталась практически на том же уровне. В июле заметно активизировались англоязычные предложения незапрошенных рассылок. Одна из фирм в качестве гарантии надежности своих услуг заявляла о том, что она пользуется услугами пакистанского провайдера. Русскоязычные спамеры в своей саморекламе утверждают, что только она поможет выжить во время кризиса. Более чем на 4% увеличилось количество спама «для взрослых». В июле эта рубрика пополнилась русскоязычной рекламой сайтов знакомств. Однако большая часть составлявших ее рассылок рекламировала порно-сайты, за доступ к контенту которых необходимо было заплатить, отправив SMS на короткий номер. Оригинальный спам На протяжении месяца в почтовом трафике неоднократно встречались оригинальные письма, рассылаемые с помощью спамерских технологий. Это и предложение купить компактный самолет с автопилотом для проведения фотосъемок, и предложение приобрести медаль «За доблестный труд» для награждения своих сотрудников. Но самой оригинальной стала рассылка, в которой просили помощи в поиске украденного пальмового масла. Спамерские методы и трюки В июле самым популярным приемом спамеров стали картинки из символов. Этот прием спамеры использовали в рассылках, рекламирующих реплики элитных товаров и медикаменты. Наименование предлагаемого продукта, а также адрес сайта, на котором его можно было приобрести, воссоздавались с помощью произвольно взятых букв, расположенных на определенном расстоянии друг от друга. Этот метод, получивший название «Мона Лиза», давно известен и является чуть ли не одной из первых попыток обойти антиспам-фильтры. Еще одни прием — использование социальной сети для распространения рекламы. В середине лета реклама порноресурсов распространялась в сообщениях, рассылаемых от имени администрации социальной сети «Мой мир». Пользователь получал письмо-извещение о личном сообщении, оставленном на этом веб-ресурсе. Пройдя по ссылке, получатель видел предложение пройти на сайт с контентом для лиц «старше 18». Необходимо отметить, что подобные извещения приходили даже тем, кто не был зарегистрирован на данном социальном ресурсе. Заключение Июль — середина лета, разгар отпусков. Большинство деловых сделок откладывается до осени. Именно поэтому и в области спамовых рассылок наблюдается некоторое затишье. Скорей всего, показательным для определения осенних тенденций окажется август, когда окончание сезона отпусков приведет к активизации спамерской деятельности. Полную версию статьи читайте на сайте Securelist.com. Спам-статистика за период 3-9 августа 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама За прошедшую неделю доля спама в почтовом трафике Рунета выросла на 4,6% и в среднем составила 90,5%. Распределение спама по рубрикам вновь заметно изменилось. На первое место с долей 20,5% вышла рубрика «Другие товары и услуги» (+6,4%). Рубрика «Медикаменты; товары/услуги для здоровья», потеряв 12,2%, покинула тройку лидеров и опустилась на четвертое место. Значительно выросла доля рубрик «Образование» (+4,2%) и «Недвижимость» (+5,4%), а процент писем, рекламирующих «Реплики элитных товаров», уменьшился (-3,9%). Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Другие товары и услуги   Предложения других товаров и услуг   20,5%   +6,4%   2   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   12,5%   +0,2%   3   Образование   Реклама семинаров, тренингов, курсов   11,8%   +4,2%   4   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   9,8%   -12,2%   5   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   7,6%   -2,5%   6   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   6,8%   +1,4%   7   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   6,7%   +5,4%   8   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   6,0%   -1,9%   9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   4,9%   +2,7%   10   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   4,1%   +2,1%   11   Юридические услуги и аудит   Предложения юридических услуг   3,2%   +1,0%   12   Остальной спам     3,3%   +0,4%   13   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   2,2%   -3,9%   14   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   +0,1%   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009