Электронный журнал "Спамтест" No. 296 в этом номере: Новости Спам-статистика за период 24-30 августа 2009 г. Новости «Черный август» для спамеров Компания MessageLabs опубликовала августовский отчет, согласно которому самыми громкими происшествиями прошедшего месяца стали: закрытие латвийского провайдера, вызвавшее резкое снижение активности спамеров; рост спама, содержащего короткие ссылки; новые DDoS-атаки на социальные сети. По данным MessageLabs, спам в августе этого года составил 88,5% от мирового почтового трафика. Из 296,6 электронных писем одно несло в себе вредоносное ПО, а частота встречаемости фишерских писем составила 1 на 341,2 мейла. Кроме того, благодаря усилиям антиспамовых компаний ежедневно блокируется 3510 сайтов, - правда, этот показатель в августе снизился на 2,9% по сравнению с июлем. Главным событием стало отключение 1 августа рижского провайдера Real Host, обеспечивавшего поддержку одной из крупнейших мировых бот-сетей Cutwail. Эффект превысил все ожидания экспертов: в последующие двое суток объемы спама сократились на 38%! И это неудивительно, ведь бот-сеть Cutwail производила 15-20% мирового спама. При остановке Real Host поток спама от Cutwail сократился на 90%. Однако, после перехода Real Host на автономное питание, спамеры в течение суток увеличили свой трафик на 5-7% и теперь быстро приближаются к прежним показателям. Это не первый случай, когда происходит отключение провайдера, обвиняемого в распространении спама и вредоносного ПО. За последнее время такой процедуре подверглись по меньшей мере три американских провайдера: Atrivo, McColo и Pricewert (3FN), причем последний был отключен решением FTC. MessageLabs обращает внимание на увеличение объемов спама, содержащего короткие ссылки (URL-shortening), имитирующие ссылки на легитимные ресурсы. Пик такого спама пришелся на 26 июля, когда 9,2% мирового спам-трафика составил спам с короткими ссылками, что эквивалентно 10 миллиардам спам-сообщений. В своем исследовании MessageLabs не обошла вниманием и серию DDoS-атак на социальные сети. При этом эксперты подозревают, что атаки были связаны с технологией распространения спама, получившей название “Joe Job”, и направлены против блоггеров, демонстрирующих антироссийские настроения. При использовании “Joe Job” в графе "Отправитель" прописывается реально существующий адрес, обладатель которого и не подозревает, что стал жертвой спамеров. В целом, в августе страной-лидером в области распространения спама стал Гонконг, хотя его спам-трафик и сократился на 0,8% до 93,4. Зато увеличились объемы спама в других странах, претендующих на первые места в этом рейтинге: в США (до 89,5%) и в Канаде (88,7%). Источник: MessageLabs (pdf) Главный сайт американских демократов стал источником спама Спамеры, которые распространяют письма, предназначенные для выманивания крупных сумм денег у наивных пользователей, получили неожиданную «поддержку». Согласно данным компании Cloudmark, 419 мошенников проводили свои спам-рассылки через домен democrats.org, принадлежащий Национальному комитету демократической партии США (Democratic National Committe). Произошедшее наносит серьезный урон репутации демократов, считает Джейми Томазелло (Jamie Tomasello), представитель службы поддержки Cloudmark. Спам-письма содержали совершенно фантастические сюжеты о миллионах, оставшихся в наследство от американцев, якобы трагически погибших в Сомали, Зимбабве и других африканских странах. По мнению экспертов, такая ситуация сложилась из-за того, что создатели главного сайта американских демократов не озаботились должной спам-защитой. Например, PHP-скрипт работал без CAPTCHA, а ведь ее наличие могло бы гарантировать реальность пользователя, рассылающего письма. Cloudmark предупреждает, что в свете постоянного совершенствования спам-фильтров, спамеры ищут максимально дешевые способы обойти их. А небрежность разработчиков democrats.org сильно облегчила им задачу. Источник: TheRegister IBM X-Force: куда движется спам? Спамеры постоянно развивают технологии создания и распространения спама, нередко возвращаясь к, казалось бы, уже отвергнутым ими методам, сообщается в отчете IBM Internet Security Systems X-Force 2009 Trend and Risk Report. В 2008 году спамеры сосредоточились на самой не вызывающей подозрений категории писем, созданных на основе html без вложений. Однако во второй половине 2009 года появилась вновь тенденция к увеличению объемов спама на основе изображений. Незадолго до отключения американского провайдера McColo, известного своей поддержкой ряда крупнейших бот-сетей, спам на основе изображений продемонстрировал небольшой всплеск активности. Однако она практически сошла на нет в ноябре 2008 года. В марте этого года любители спама на основе изображений взяли реванш, запустив три новых волны спама с изображениями, и в конце июня последняя из них все еще не завершилась. По данным X-Force, в 2007 году большая часть такого спама была посвящена продаже акций, а сегодня спамеры больше интересуются фармацевтическими продуктами. Спам на основе изображений отличается рядом общих признаков: спам на основе изображений редко содержит произвольно размещенные пиксели; многие из спам-сообщений содержат произвольный текст под изображением и не несут в себе ссылок, по которым пользователь может кликнуть; большинство писем предлагает пользователю посетить сайт с названием, состоящим из 6 цифр, расположенный на домене .com (например, 123456.com). При этом название сайта пользователь вводит вручную. Эксперты предполагают, что на следующем витке спам-эволюции мы, возможно, столкнемся со спамом на основе PDF, MP3-файлов или даже со спамом, содержащим скрытый текст на белом фоне. Однако это дело будущего, а в настоящем времени 60% спам-трафика приходится на спам, содержащий интернет-адреса, зачастую принадлежащие вполне легальным компаниям с мировым именем. И объемы такого спама постоянно растут. А менее всего вызывают подозрения сайты с доменом .com, поскольку на этом домене размещается 55% всех сайтов мировой паутины. Срок жизни сайтов, на которые ведут ссылки, рассылаемые спамерами, постоянно сокращается. Еще 3 года назад не менее половины адресов, используемых спамерами, успешно работали в течение месяца и более. В прошлом году 95% таких ссылок были активными в течение недели. Во втором квартале 2009 года почти 99% из них продержались меньше недели. Причем от 70 до 90% спам-ссылок активны лишь в течение суток. Источник: IBM Россия вышла в лидеры по фишингу По данным, представленным в отчете IBM Internet Security Systems X-Force 2009 Trend and Risk Report, все страны БРИК (англ. BRIC — аббревиатура от названия четырёх быстро развивающихся стран: Бразилия, Россия, Индия и Китай, - Brazil, Russia, India, China) демонстрируют повышенный уровень киберпреступности, и Россия не стала исключением. Более того, она даже заняла сомнительное почетное место во главе рейтинга стран, лидирующих по распространению писем, нацеленных на сбор конфиденциальных данных пользователей - 50% общемирового фишинг-трафика приходится на Россию. Кроме нее, в лидеры по фишингу вышли Турция, Украина и Индия, которым уступили места Израиль, Франция и Германия. Список стран, предпочитаемых фишерами, для размещения своих сайтов, практически не изменился. В первой тройке - США (17,1%), Румыния (14,3%) и Китай (13,8%). Россия в этом рейтинге только на 7 месте (4%), а вместо Таиланда на 10-е место вышла Польша (2,1%). Более разнообразными стали и темы рассылаемых фишерами писем. Если в 2007 году 40% писем приходилось на небольшое количество наиболее популярных тем, то в 2008 фишеры бросились активно расширять свою целевую аудиторию, и эта цифра составила уже только 6,23%. Однако к первой половине 2009 года все вернулось на круги своя: 38% всего объема фишинга представляют собой письма на десяток самых востребованных у пользователей тем. Основная цель фишеров не изменилась: финансовые учреждения, куда рассылается 66,3% всех фишинговых писем. На системы электронных платежей приходится 31,4%, а оставшиеся 2,3% писем расходятся по сетевым аукционам и другим ресурсам, так или иначе связанным с деньгами. От атак фишеров больше всех страдают жители Северной Америки (65%) и Европы (35%), причем в первом квартале этого года фишеры явно предпочитали европейские компании американским. Эксперты X-Force, предполагают, что фишеры чувствуют, что Северная Америка быстрее справится с финансовым кризисом - и поэтому фокусируют свое внимание на более успешных странах. Источник: IBM Спам-статистика за период 24-30 августа 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама За прошедшую неделю доля спама в почтовом трафике Рунета в среднем составила 85,3%. Тематическое распределение спама за прошедшую неделю изменилось мало. На первом месте держится рубрика «Образование». Уменьшились доли тематик «Недвижимость» (-2,3%), «Реклама спамерских услуг» (-3,5%), «Компьютеры и интернет» (-2,3%). Возросла доли тематики «Медикаменты; товары/услуги для здоровья» (+4,1%), продолжает укреплять свои позиции рубрика «Компьютерное мошенничество» (+3,2%). Колебания долей других рубрик остались в пределах 2%. Категории спама № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   16,6%   +0,5%   2   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   13,3%   -1,0%   3   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   12,5%   +4,1%   4   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   11,3%   +3,2%   5   Другие товары и услуги   Предложения других товаров и услуг.   11,1%   +0,3%   6   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   9,5%   +1,0%   7   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   6,9%   -2,3%   8   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   5,4%   -3,5%   9   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   4,2%   +0,4%   10   Юридические услуги и аудит   Предложения юридических услуг.   3,5%   -0,3%   11   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,1%   +0,6%   12   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   Менее 2%   -2,3%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -0,6%   14   Остальной спам     Менее 2%   +0,2%   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009