Электронный журнал "Спамтест" No. 297 в этом номере: Новости Спам в августе 2009 г. Спам-статистика за период 31 августа — 6 сентября 2009 г. Новости $4 тыс. «нигерийским френдам» Детский стоматолог из штата Миссури перевела около 4 тыс. долларов «нигерийским» мошенникам, просившим о помощи под видом ее подруги с веб-сайта Facebook. Взломав аккаунт Грейс Пэрри (Grace Parry), любители легкой наживы сменили пароль и прошлись по всем ее контактам в социальной сети, рассказывая от ее имени грустную историю об ограблении во время отпуска за океаном. Обращаясь к друзьям, лже-Грейс просила выслать 600 долларов, чтобы выйти из затруднительного положения. Сердобольная Джейн Шеррман (Jayne Scherrman), не раздумывая, поспешила выручить «незадачливую подругу», послав ей перевод через систему Western Union. Убедившись, что схема заработала, мошенники продолжили атаку. Они позвонили Джейн, представившись работниками британской иммиграционной службы, и сообщили, что ее подруга с мужем задержаны и смогут вылететь домой, как только уплатят определенную сумму. Шеррман отправила еще два перевода, но поделилась возникшими подозрениями с полицией. Двоюродный брат ее подруги оказался менее доверчивым и сначала позвонил в Лондон. Муж Грейс сразу же опубликовал на Facebook соответствующие предупреждения. Однако некоторые их друзья, как и Джейн Шеррман, уже успели отослать деньги мошенникам. Источник: theregister.co.uk Источник: kfvs12.com Источник: uk.news.yahoo.com Marshal — новое имя, новые возможности Один из крупнейших специалистов в области сетевой безопасности, компания Marshal8e6, которую мы упоминали до сих пор под прежним названием — Marshal, будет отныне именоваться M86 Security. Новый брэнд был анонсирован в связи с расширением компании и отражает эволюцию ее концепции корпоративной защиты с учетом последних тенденций развития интернет-угроз. Слияние частной калифорнийской компании Marshal и американского изготовителя систем фильтрации веб-контента 8e6 Technologies, которое произошло в ноябре прошлого года, обогатило линейку корпоративных продуктов Marshal базой данных на миллионы URL, что повысило качество фильтрации электронной почты. А с приобретением компании Avinti в апреле этого года Marshal получила возможность усовершенствовать средства защиты от комбинированных кибератак, используя опыт новой команды в области бихевиористического анализа вредоносного ПО. Исследовательские ресурсы Marshal (TRACElabs) и Avinti были также объединены на базе единой лаборатории — M86 Security Labs, которая будет осуществлять сетевой мониторинг и изучать потенциальные интернет-угрозы в реальном времени. Поменялся и адрес веб-сайта объединенной компании, который теперь выглядит как http://www.m86security.com/. Источник: m86security.com McAfee + MX Logic = новые «облачные» решения? Крупнейший изготовитель средств сетевой безопасности McAfee завершила сделку по приобретению частной компании MX Logic. Новая команда войдет в подразделение, обеспечивающее защиту как услугу (SaaS). Ожидается, что ее опыт в области обслуживания электронной почты и разработки средств защиты на «облачном» уровне поможет упростить архитектуру систем безопасности на стороне клиента и будет способствовать расширению диапазона технологических решений, предоставляемых конечному пользователю. Широкая сеть торговых партнеров MX Logic откроет новые возможности для внедрения продуктов и услуг, предоставляемых в различных комбинациях по кобрэндовой программе. Источник: newsroom.mcafee.com Symantec о снижении активности спамеров и фишеров в августе Согласно статистике Symantec, в августе уровень спама в интернете по сравнению с предыдущим месяцем сократился на 2%, а количество атак фишеров — на 45%. По данным компании, в отчетный период спам составлял 87% почтовой корреспонденции. Наибольшее количество почтового мусора отсылалось из США (23% от общего объема), источником номер два осталась Бразилия (12%). В тематическом разделении спам-рассылок преобладала категория интернет-продуктов и услуг, вклад которой в спам-трафик составил 29,3%. Значительные объемы спама были посвящены продвижению финансовых услуг (19,68%) и промтоваров (18,3%). На долю рекламы медицинских препаратов и услуг в августе приходилось лишь 6,73% спам-трафика. Основной формой нелегитимных сообщений остается URL-спам. В используемых спамерами ссылках преобладают домены верхнего уровня .cn (46% от общего количества) и .com (45%). Потоки графического спама отличались стабильностью; оформленные таким образом спамовые сообщения составляли в среднем 4% от общего количества «мусорной» корреспонденции. Размер «писем в картинках» в целом увеличился, причем 14,43% из них попадали в диапазон 10-50 КБ, а 9,3% превышали 100 КБ. В заголовках августовских спам-сообщений преобладало уведомление о недоставке письма. Вклад NDR-спама в спам-трафик в среднем составлял 5,7%, хотя в отдельные дни на его долю приходилось до 10% от общего количества почтового мусора. Исследователи отметили, что в связи с экономическим кризисом и снижением объема продаж спамеры уже начали предлагать скидки на услуги и товары для организации празднования Хэллоуина и Рождества. Что касается фишинга, 82% августовских этих кибератак носили финансовый характер. На 11% увеличилось количество неанглоязычных сайтов-подделок. Многие фишинговые веб-сайты, ориентированные на франко- и итало-говорящих пользователей Сети, имитировали финансовые структуры. Сайты-ловушки, оформленные на китайском языке, воспроизводили сетевые ресурсы служб электронной коммерции. Число сайтов, созданных с помощью готовых комплектов для проведения фишинговых атак, сократилось по сравнению с июлем на 74% и составило лишь 30% от общего количества. Исследователи объясняют это завершением фишинг-кампании в одной из социальных сетей, которая, по-видимому, проводилась с единственного, ныне нейтрализованного, ботнета. Источник: eval.symantec.com [PDF 2,94Мб] Источник: eval.symantec.com [PDF 1,90Мб] Кто на свете всех беспечней? Согласно результатам исследования, проведенного антивирусной компанией PC Tools, многие пользователи склонны пренебрегать элементарными мерами безопасности, пребывая в Сети. Помимо 4,5 тыс. анкет, заполненных на веб-сайте pctools.com, компания проанализировала ответы участников уличных опросов, проведенных в Великобритании, Германии, Франции и странах Бенилюкса. Оказалось, что 9% британцев подключаются к Интернету, не используя никакой защиты, а около трети никогда не обновляют средства безопасности. Больше половины французских пользователей применяют один и тот же пароль для регистрации на всех сайтах. Немцы, в сравнении с прочими, проявляют большую осмотрительность в вопросах онлайн-безопасности. Представительницы прекрасного пола, показавшие довольно слабую осведомленность о современных источниках интернет-угроз, отличаются, как правило, более благоразумным поведением в Сети. Лишь 26% участниц опроса заявили, что используют один-единственный пароль на все случаи жизни в виртуальном пространстве. Среди респондентов-мужчин этот показатель составил 47%. Активно реагируют на ссылки и вложения в письмах от друзей, не взглянув на адрес отправителя, около половины женщин и почти две трети мужчин. Источник: theregister.co.uk Источник: webplanet.ru Российский суд рассмотрит дело хакеров, укравших 5,6 миллиона Генпрокуратура РФ утвердила обвинительное заключение по групповому уголовному делу в отношении хищения 5,6 миллиона рублей со счетов клиентов ЗАО «Объединенная система моментальных платежей». Согласно материалам следствия, четверо участников организованной группировки отслеживали финансовые операции, осуществляемые через упомянутую систему электронных платежей, с помощью вредоносных программ. Собранные за три месяца регистрационные данные они использовали для получения доступа к чужим счетам и отъема денежных средств. Преступная группировка была создана жителем Чебоксар Андрианом Степановым, который нашел своих будущих подельников на одном из хакерских форумов. В настоящее время ее участники обвиняются в мошенничестве, совершенном в особо крупном размере (ч. 4 ст. 159 УК РФ), и неправомерном доступе к компьютерной информации (ст. 272 УК РФ). Главарю инкриминируется также незаконное хранение огнестрельного оружия (у него найден пистолет с патронами). Житель г. Орска Оренбургской области Вениамин Царинский, который успел перевести на свой почтовый адрес 15 тысяч рублей из похищенной суммы, обвиняется в легализации денежных средств, полученных преступным путем. Алексей Самойлюкевич из г. Тимашевска Краснодарского края – в использовании вредоносных программ для ЭВМ. Поскольку «компьютерно-информационный центр» соучастников располагался на квартире Царицынского, рассмотрение дела по существу будет осуществлять районный суд г. Орска. А пока Степанов сидит под стражей, москвичу Арифу Марданову предстоит внести залог в размере 1 миллиона рублей, остальные отпущены под подписку о невыезде. Источник: pravo.ru Спам в августе 2009 г. Мария Бухарова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с июлем снизилась на 0,6% и составила в среднем 85,1%. Ссылки на фишинговые сайты находились в 1,09% всех электронных писем, что на 0,06%, больше, чем в июле. Вредоносные файлы содержались в 0,05% электронных сообщений, что на 0,06% меньше, чем в прошлом месяце. Заметно снизилась доля спама, связанного с рекламой спамерских услуг. Для того чтобы обойти фильтры, спамеры оставляли ссылки на свои сайты в виде html-таблиц с закрашенными в разные цвета ячейками. Доля спама в почтовом трафике Доля спама в почтовом трафике в августе 2009 года в среднем составила 85,1%. В первый день августа был зафиксирован самый низкий показатель месяца — 76,3%; больше всего спама было получено пользователями Рунета 16 числа — 90,8%. Вредоносные файлы содержались в 0,05% электронных сообщений, что вдвое (-0,06%) меньше, чем в прошлом месяце. Рейтинг вредоносных программ, содержавшихся в спамерских сообщениях в августе этого года: Email-Worm.Win32.NetSky.q 19.61% Net-Worm.Win32.Mytob.h 12.53% Backdoor.Win32.Bredolab.fc 12.02% Backdoor.Win32.Bredolab.fd 8.54% Backdoor.Win32.Bredolab.ez 8.31% Email-Worm.Win32.NetSky.d 8.11% Email-Worm.Win32.NetSky.ghc 3.15% Email-Worm.Win32.NetSky.y 3.07% Backdoor.Win32.Bredolab.fg 2.37% Backdoor.Win32.Bredolab.mj 2.00% Other 20,19% Как нетрудно заметить, вялотекущая эпидемия NetSky продолжается, — почти половина топ-10 распространяемых в спаме вредоносов принадлежат именно к этому семейству червей. Согласно описанию, представленному на Securelist.com Email-Worm.Win32.NetSky — это вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается он по всем найденным на зараженном компьютере адресам электронной почты. Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. В общей сложности доля червей семейства NetSky, содержавшихся в зараженных спам-сообщениях в прошлом месяце превысила 33% Второе семейство-лидер — это Bredolab. Backdoor.Win32.Bredolab — троянская программа семейства бэкдор. Распространяется в виде вложений в письма. Чтобы вызывать меньше подозрений имеет иконку табличного документа «Microsoft Excel», хотя и с раширением «exe». С учетом того, что у абсолютного большинства пользователей не показываются расширения известных файлов, этот прием является вполне удачным. После запуска трояна ваш компьютер включается в ботнет. Запросив данные из командного центра, зловред выкачивает из глобальной паутины дополнительные модули, которые являются либо надоедливыми лже-антивирусами, находящими сотни несуществующих вредоносных программ и просящих за их лечение вполне реальные деньги, либо шпионские программы ворующие пароли пользователя. Такая схема работы сильно напоминает Net-Worm.Win32.Kido, который совершенно аналогичным образом устанавливал спам-бота Iksmas и лже-антивирус. Доля зараженных писем, содержавших зловредов семейства Bredolab в общей сложности превысила 32%. Один из червей семейства MyTob занял вторую строчку рейтинга, доля зараженных писем, содержавших этот зловред составила в августе 12,53%. Эпидемия MуTob, как и эпидемия NetSky, находится в вялотекущей фазе уже не первый год. Вирус семейства MyTob — это сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Вирус распространяется, используя уязвимости Microsoft Windows LSASS (MS04-011) и Microsoft Windows DCOM RPС (MS03-026), а также через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC. Для распространения вредоносных вложений спамеры использовали старый трюк: рассылку электронных лже-открыток. «Открытка» находилась во вложении с говорящим названием «что-то там.card.zip» и на деле оказывалась троянской программой семейства Trojan-Spy.Win32.Zbot, ориентированной на кражу данных пользователя, либо, в некоторых рассылках — backdoor.irc.zapchast.zwrc — бэкдором, управляющим компьютером через Internet Relay Chat с помощью программы mIRC. Чаще всего именно эти два вируса получал пользователь такой «открыткой» . Упомянутый бэкдор ходил по сети и в спам-рассылке, посвященной памяти Майкла Джексона. Пользователь, желающий пройти по ссылке в письме, получал предложение скачать файл в формате exe, который и являлся бэкдором. Фишинг Ссылки на фишинговые сайты находились в 1,09% всех электронных писем, это на 0,06%, больше, чем в июле. В августе интернет-ресурсы PayPal и eBay, так полюбившиеся фишерам и в течение полугода не покидавшие первых строчек нашего рейтинга, наконец сдали свои позиции. Доля атак на лидировавший с начала года PayPal снизилась в два раза (-21,54%) и составила всего 18,65%. Его соратник по несчастью интернет-аукцион eBay за август был атакован в три раза реже, чем в июле, доля атак на него составила 10,05% (-19,96%). На первое место неожиданно вышел банк CHASE (30,60%), который в прошлом месяце даже не вошел в десятку наиболее часто атакуемых организаций. Подобная ситуация уже наблюдалась в декабре 2008 года, когда банк CHASE так же нежданно взлетел откуда-то из-за пределов десятки на первую позицию. Тогда доля фишинговых атак на него составила 55,9%! Bank of America поднялся всего на одну позицию вверх по сравнению с июлем, однако, доля атак на него возросла внушительно — до 19,45% против 3,18 в июле. В одной из фишинговых рассылок, нацеленных на пользователей PayPal злоумышленники умело подделали адрес администрации портала, заменив английскую «l» в слове Pal на цифру «1». Таким образом, поддельный адрес был похож на оригинальный практически как брат-близнец: service@PayPa1.com. В англоязычном спаме клиентам Citibank предлагалось ввести все свои личные данные на предварительно взломанном сайте свободной протестантской церкви. Рост количества фишинга был особенно заметен в конце августа. В последнюю неделю этого месяца процент писем тематики «Компьютерное мошенничество» увеличился на 4,6%. Страны — источники спама В августе наблюдались серьезные изменения в рейтинге стран — источников спама. Первое место заняла Бразилия (11,8%), что обусловлено не столько ростом объемов спама, распространяемого из этой страны (они увеличились всего на 3,3%) сколько тем, что значительно уменьшилась доля США (-21,33% по сравнению с июлем). Второе место в рейтинге заняла Польша, — 8% мирового спама (+ 5,5% по сравнению с июльским показателем). Пятерку замыкают три азиатские страны: Вьетнам (6,83%), Индия (6,55%) и Корея (5,52%), «улучшившие» свои результаты по рассылке спама и вытеснившие из пятерки Китай и Россию. Китай, занимавший в июле третью строчку рейтинга, снизил обороты на 2% и опустился на 9 строчку. Доля России в рейтинге стран-источников спама уменьшилась на 1%, что обусловило ее перемещение на седьмое место. Тематический состав спама Пятерка лидирующих спам-тематик июля: Образование — 14,29% (-0,3%) Медикаменты; товары/услуги для здоровья — 13,77% (-11,53%) Реплики элитных товаров — 10,38% (+3,58%) Реклама спамерских услуг — 9,89% (-5,51%) Отдых и путешествия — 8,96 (+5,66%) Спам категории «Образование» занял первое место в пятерке лидирующих спам-тематик. Однако доля писем этой тематики почти не изменилась по сравнению с прошлым месяцем. Более того, она немного уменьшилась (на 0,3%). Рубрика оказалась на первом месте за счет того, что уменьшилась доля спама категорий «Медикаменты и товары для здоровья» и «Реклама спамерских услуг». Кроме того, стоит отметить, что первенство тематики «Образование» не означает притока спама посвященного сезону «снова в школу» и возвращению школьников и студентов за парту. Большая часть писем рекламировала семинары. Рубрика «Медикаменты; товары и услуги для здоровья» уступила первое место, но ее доля, даже снизившись почти вдвое (-11,53%), осталась довольно внушительной (13,77%), а сам спам, связанный с этой тематикой по-прежнему разнообразен. В этом месяце спамеры использовали имя безвременно скончавшегося короля поп-музыки Майкла Джексона не только для распространения вирусов. Кликнув, например, на фотографию кумира (уточним: на зашумленную спамерским методом фотографию кумира), полученную в письме с заголовком «Michael Jackson dead? NO!!!» («Майкл Джексон мертв? НЕТ!!!») пользователь оказывался на странице с рекламой виагры. Заметные изменения коснулись также доли писем тематики «Отдых и путешествия», которая вошла в пятерку после того, как процент ее вырос с 4,3% в июле до 8,96% в августе. Создается впечатление, что клиенты спамеров спохватились в конце лета и решили распродать все запылившиеся туры. Важно отметить также рост тематики «Компьютерное мошенничество», не вошедшей в пятерку. По сравнению с прошлым месяцем доля мошеннических писем в спаме выросла почти в два раза и в августе составила 7,5% (+3,4%). Заметно (на 8%) возросла доля рубрики «Другие товары и услуги», — клиенты спамеров возвращаются из летних отпусков. Доля саморекламы спамеров заметно уменьшилась (-5,5%) по сравнению с предыдущими двумя месяцами. Очевидно это вызвано активизацией заказчиков спама. Спамерам, в преддверии сентября, уже нет необходимости так активно рекламировать свои услуги, как это приходилось делать в самый разгар кризиса и в период летнего спада деловой активности. И хотя доля рекламы спамерских услуг еще остается на достаточно высоком уровне, спамеры уже не так усердствуют, и, рассылая свою рекламу, пользуются старыми несложными трюками. Оригинальный спам В числе любопытных рассылок этого месяца были письма с рекламой химического сырья, портативных дозиметров, анти-шпионского оборудования и другие. Однако самой оригинальной оказалась рассылка, посвященная тарифам ЖКХ. На момент проверки она выглядела как альтруистическое начинание: письма не содержали в себе ни вредоносных программ, ни фишинга, ни предложения купить что-либо или заплатить за какую-либо услугу. Гражданам предлагалось проверить насколько справедливы тарифы, по которым ЖЭКи взымают с них плату, и ознакомиться с реальными тарифами на ЖКХ. При этом ссылка, содержащаяся в письме, действительно перекидывала пользователя на сайт с тарифами на оплату жилищно-коммунальных услуг. «Альтруизм» спамерской рассылки может быть обусловлен разными причинами. Часто такие мероприятия служат для раскручивания новых интернет-ресурсов. Кроме того, известны случаи, когда сайт запускают и раскручивают для того, чтоб в дальнейшем подсадить на него вредоносную программу. Спамерские методы и трюки В этом месяце спамеры вновь применили заброшенный было прием: электронный адрес «нарисованный» закрашенными ячейками html-таблицы. Судя по всему, пока мы отдыхали от писем с такими «мозаиками», спамеры совершенствовались в искусстве закраски ячеек. Неудобочитаемые надписи превратились в качественные изображения. Основной недостаток этого приема в том, что ряд пользователей предпочитает html-формату обычный текстовой формат письма, в котором красивая надпись не видна. Кроме того такая рассылка, конечно, не для ленивого получателя: адрес, нарисованный при помощи html-таблицы не является кликабельной ссылкой, и пользователю нужно самому вбивать его в строку браузера. Даже самые любопытные и неосторожные пользователи, как правило, этого не делают. Было зафиксировано несколько спамерских рассылок довольно умело подделанных под легитимные. Спамеры старались подделать не только заголовки в поле “from”, но и другие технические заголовки писем. Подобные сообщения якобы от ВКонтакте.ру были замаскированы под письма, полученные в неправильной кодировке. По ссылке открывалось не приглашение в друзья, а порно-видео. Заключение Август, как мы и предполагали, стал месяцем активизации спамеров. В преддверии нового делового сезона и в условиях некоторого улучшения экономической ситуации, число заказов у спамеров, по всей видимости, увеличилось. Об этом говорит снижение доли саморекламы спамеров и возвращение в спам рекламы товаров и услуг, связанных с реальным сектором экономики. Уменьшение доли саморекламы спамеров в потоках спама и отсутствие в ней новых трюков также говорит в пользу того, что спамеры перестали испытывать ощутимый дефицит заказов. Активизация фишеров и прочих интернет-мошенников также пришлась на конец лета. Рассылки, подделанные под письма от социальных сетей, вероятно, будут использоваться все шире. Несмотря на опасности, которые таит в себе web2.0, доверие пользователя к соцсетям очень высоко и последние, по всей видимости, надолго попали в поле зрение киберпреступников. Полную версию статьи читайте на сайте Securelist.com. Спам-статистика за период 31 августа — 6 сентября 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама За прошедшую неделю доля спама в почтовом трафике Рунета в среднем составила 85,9%. В распределении спама за неделю произошли ощутимые изменения. На первом месте по-прежнему рубрика «Образование», ее доля увеличилась на 8,7% и составила четверть всего потока спама (25,3%). Также выросли доли тематик «Другие товары и услуги» (+2,7%) и «Компьютеры и интернет» (+3,5%). Уменьшились доли рубрик «Спам "для взрослых"» (-2,0%), «Реплики элитных товаров» (-2,2%), «Медикаменты; товары/услуги для здоровья» (-2,3%), «Недвижимость» (-3,0%), «Компьютерное мошенничество» (-5,4%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   25,3%   +8,7%   2   Другие товары и услуги   Предложения других товаров и услуг.   13,8%   +2,7%   3   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   11,1%   -2,2%   4   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   10,2%   -2,3%   5   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   8,9%   -0,6%   6   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   5,9%   -5,4%   7   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   5,5%   +0,1%   8   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   5,0%   +3,5%   9   Юридические услуги и аудит   Предложения юридических услуг.   4,8%   +1,3%   10   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   3,9%   -3,0%   11   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   2,2%   -2,0%   12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,6%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   0,4%   14   Остальной спам     Менее 2%   -0,7%   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009