Электронный журнал "Спамтест" No. 301 в этом номере: Новости Спам в сентябре 2009 г. Спам-статистика за период с 5-11 октября 2009 г. Новости Еврокомиссия: привести в соответствие штрафы за спам В последние годы государства-участники ЕС приняли ряд мер в рамках борьбы со спамом. Однако, как свидетельствуют результаты исследования, спонсированного Европейской Комиссией, наблюдаются большие различия в количестве проведенных уголовных процессов и в жесткости санкций, примененных к правонарушителям в разных странах. Директивы 95/46/EC и 2002/58/EC призвали национальные правительства активно противостоять такой незаконной практике, как несанкционированные рекламные рассылки, противоправный доступ к пользовательским ресурсам и фишинг. В соответствии с рамочным решением 2005/222/JHA, государства-участники должны были ввести частичную уголовную ответственность за эти правонарушения. В ходе аудита было рассмотрено более 140 дел, принятых к судопроизводству в 22-х странах. Наибольшее количество исков рассмотрели судебные инстанции Испании (39), Словакии (39) и Румынии (20). Самые высокие штрафы были присуждены в Нидерландах (1 млн. евро), Италии (570 тыс. евро) и Испании (30 тыс. евро). В то же время в Румынии, Ирландии и Латвии штрафы за спам составляют от нескольких сотен до нескольких тысяч евро. Хотя почти во всех странах ЕС созданы информационные веб-сайты, куда можно пожаловаться на спам и кибератаки, национальные ведомства, которые должны обеспечивать неприкосновенность частной жизни в онлайн, имеют порой недостаточно ресурсов для сбора улик, проведения оперативно-розыскных мероприятий и возбуждения уголовного преследования. В некоторых странах взаимодействие между органами правопорядка, интернет-провайдерами и правозащитными организациями носит весьма условный и неформальный характер. Результаты исследования подтвердили необходимость проведения реформы в сфере правовой защиты европейских телекоммуникаций. Пакет поправок, предложенный Еврокомиссией и переданный на рассмотрение в Европейский Парламент и Совет, должен нивелировать национальные диспропорции в эффективности и соразмерности системы штрафов за киберпреступления. Реформа также будет способствовать дальнейшему укреплению трансграничного сотрудничества в этой области и предусматривает установление тесных связей с правоохранительными органами США, так как одна шестая спама, получаемого европейцами, отсылается из этой страны. Источник: europa.eu Источник: europa.eu [PDF 902,15 Кб] Источник: www.sofiaecho.com Symantec: спама с вложениями стало больше Согласно статистике [PDF 3,15Мб] Symantec, в сентябре уровень спама в интернете составлял немногим более 86,4%. Основными распространителями почтового мусора были компьютеры США (25% спам-трафика) и Бразилии (12%). В тематическом разделении спам-рассылок преобладала реклама интернет-услуг, доля которой в общем объеме спама увеличилась на 3% и в среднем составляла 32,3%. Из прочих категорий ощутимый вклад в спам-трафик вносили реклама промтоваров (19,6%), предложения финансового характера (17,1%) и «нигерийские» письма (9,7%). В отчетный период наблюдалось увеличение количества спамовых писем, снабженных вложениями, причем зачастую содержимым прикрепленного файла являлась вредоносная программа. Соответственно выросли и объемы нелегитимных сообщений: 28,2% спама составляли письма размером 5-10К, 13% — размером более 10К. По данным Symantec, количество спама с вредоносными вложениями с предыдущего месяца увеличилось в девять раз и в среднем составляло 1,3% от общего объема, а в пиковые дни — до 4,5%. Самой масштабной атакой в сентябре была рассылка зараженных писем от имени Налоговой службы США, которая длилась три недели. Значительную часть сентябрьского спама составляли вредоносные уведомления о почтовой посылке или денежном переводе. Среди прочего исследователи отметили, что русскоязычный спам уже три месяца рассылается в определенном недельном ритме. По их наблюдениям, российские спамеры проявляют наибольшую активность в начале недели, а с четверга интенсивность их рассылок идет на спад. Количество фишинговых атак с августа сократилось [PDF 1,87 Мб] на 5%; 82% сентябрьских атак были направлены против финансовых организаций. Четверть фишинговых страниц, зафиксированных в прошлом месяце, были созданы с помощью готовых комплектов для проведения кибератак. 37% веб-страниц фишеры разместили на территории США, 18% — в Китае. Источник: eval.symantec.com [PDF 3,15Мб] Источник: eval.symantec.com [PDF 1,87 Мб] Одним махом В США и Египте выдвинуты обвинения 100 участникам фишинговой группировки, которые украли не менее 1,5 миллионов долларов со счетов тысяч клиентов Bank of America и Wells Fargo. Египетские фишеры, используя средства социальной инженерии, выуживали у пользователей конфиденциальную информацию, которая открывала им доступ к банковским счетам. Трое калифорнийцев координировали все последующие финансовые операции и руководили вербовкой агентов по отмыванию денег. По сигналу египтян они начинали перекачку денежных средств законных владельцев на счета, открытые «дропами» в разных штатах. Часть украденных капиталов затем переводилась в Египет. 47 египтян и 33 из 53 американцев-участников этой схемы были задержаны в результате совместного расследования, начатого в 2007 году и получившего название Operation Phish Phry (с учетом фонетического сходства и игры слов название операции может быть переведено как «Задай жару фишеру»). В операции принимали участие ФБР, Генпрокуратура, Секретная служба и другие спецподразделения США, а также правоохранительные органы АРЕ. Обвинительный акт, зачитанный в окружном суде Лос-Анжелеса, включает 51 пункт, в том числе преступный сговор, неправомерный доступ к компьютерным средствам, хищение персональных данных при отягчающих обстоятельствах, финансовые махинации и отмывание денег. Согласно американскому законодательству, нарушителей ожидает тюремное заключение на срок до 20 лет. Источник: losangeles.fbi.gov Источник: theregister.co.uk Перед фишингом все равны Глава ФБР Роберт Мёллер прекратил пользоваться услугами интернет-банкинга после того, как сам чуть не угодил в сети, расставленные фишерами. На электронный адрес высокопоставленного руководителя пришло письмо, очень похожее на извещение из банка, клиентом которого является Мёллер. По его словам, это была качественная подделка, и он готов был сделать роковые щелчки «мышью», чтобы ввести требуемую информацию, но вовремя остановился. Сменив пароли, Мёллер поведал о случившемся жене, чтобы преподать ей урок на будущее. «Сам мотай на ус, — ответила леди. — Счет-то общий. Отныне никаких тебе онлайн-банкингов». Теперь Мёллер всем говорит, что система интернет-банкинга, конечно, очень надежна, но в его семье просто не принято ею пользоваться. Источник: networkworld.com Ключи к бесплатной почте утекают в Сеть Еще 20 тыс. логинов и паролей к почтовым ящикам, хранящимся на веб-сервисах, стали достоянием общественности. На сей раз в обнародованных списках, кроме пропусков на Hotmail, оказались регистрационные данные пользователей Gmail, Yahoo, AOL, Comcast и Earthlink. Два новых списка появились на том же стороннем сайте, что и первый, публикация которого вынудила Microsoft принять экстренные меры по восстановлению взломанных аккаунтов. Google обнаружила еще один список, но пока не разглашает число пострадавших. Некоторые из засвеченных адресов были устаревшими и даже фальшивыми, но многие оказались действующими. Однако дело не ограничилось публикацией: с компрометированных аккаунтов уже пошли спам-рассылки. Последние несколько дней эксперты Websense наблюдают резкое (на 35-40%) увеличение потоков мошеннического спама, рекламирующего дешевую электронику. Уже зарегистрированы несколько случаев, когда предлагаемый товар был оплачен, но не доставлен. Почти все эти письма рассылаются с легальных адресов Hotmail или Gmail, причем по всем контактам отправителя. Источник: theregister.co.uk Источник: news.bbc.co.uk Источник: theregister.co.uk Британский интернет-банкинг под угрозой В первом полугодии потери британцев от мошенничества в системе интернет-банкинга удвоились и составили 39 миллионов фунтов стерлингов (около 63 млн. долларов). Подробный отчет по убыткам был опубликован новым подразделением ассоциации британских платежных сервисов – Financial Fraud Action UK [PDF 135 Кб], которое с июля включилось в борьбу с финансовыми махинациями, приняв эстафету у APACS. По мнению экспертов, столь плачевное состояние онлайн-сервисов объясняется, в первую очередь, широким распространением специализированных вредоносных программ, ворующих данные у клиентов банковских структур. Фишинговая активность тоже возросла: в отчетный период было зарегистрировано 26 тыс. кибератак, использующих средства социальной инженерии для кражи персональной информации. Убытки от мошенничества с местными пластиковыми картами, напротив, сократились. Скорее всего, этому способствовало введение в обиход кредитных и платежных карт с электронными чипами (Chip and PIN). А вот потери британцев-держателей счетов в иностранных банках, возросли на 36%. Видимо, злоумышленникам проще подделывать те карты, которые не имеют столь надежной защиты. Источник: ukpayments.org.uk Источник: theregister.co.uk Спам в сентябре 2009 г. Мария Бухарова, «Лаборатория Касперского» Особенности месяца Доля спама в почтовом трафике по сравнению с августом увеличилась на 1,2% и составила в среднем 86,3%. Ссылки на фишинговые сайты находились в 0,84% всех электронных писем, что на 0,25%, меньше чем в августе. Вредоносные файлы содержались в 1,22% электронных сообщений, что на 1,17% больше, чем в прошлом месяце. Доля саморекламы спамеров продолжает уменьшаться. Для обхода антиспам фильтров спамеры вставляли в электронные адреса лишние цифры, которые пользователь должен был самостоятельно из них убрать. Доля спама в почтовом трафике Доля спама в почтовом трафике в сентябре 2009 года в среднем составила 86,3%. Самый низкий показатель месяца был зафиксирован 18 сентября — 83,3%; больше всего спама было получено пользователями рунета 27 числа — 91,3%. Заметим, что в течение сентября количество полученного пользователями спама не опускалось ниже 83%, что наблюдается нами впервые. Вредоносные файлы содержались в 1,22% электронных сообщений. Это значительно больше чем показатели прошлых месяцев (+1,17% по сравнению с августом). В сентябре десятка лидеров среди зловредов, распространенных в спаме, сильно изменилась. Черви семейства NetSky, лидеры прошлого месяца, сдали свои позиции. Если в августе треть всех зараженных сообщений были разносчиками именно этого семeйства, то в сентябре лишь одна разновидность червя (Email-Worm.Win32.NetSky.q) сумела удержаться в десятке — на последнем месте. Явные лидеры этого месяца — троянцы семейства FraudLoad. Почти половина инфицированных писем содержала троянцев именно этого семейства. Как видно из названия, троянец инсталлирует на компьютер жертвы хит сезона — поддельный антивирус, призванный вымогать деньги. Первое место в десятке неожиданно занял Trojan-Downloader.Win32.Murlo.cba — довольно древний экземпляр, распространенный в 28,5% спамерских писем, содержавших вредоносные вложения. Подробное описание ищите здесь: Trojan-Downloader.Win32.Murlo.eb. Троянцы семейства Zbot вопреки ожиданиям довольно бедно представлены в десятке в этом месяце. На девятом месте находится модификация Trojan-Spy.Win32.Zbot.gen, распространенная в 0,81% инфицированных писем. Trojan-Spy.Win32.Zbot.gen — это троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Более подробное описание вы найдете здесь: Trojan-Spy.Win32.Zbot.ikh. Необходимо также заметить, что бэкдоры семейства Bredolab, широко представленные в десятке вредоносов в августе, в сентябре не попали в нее вовсе. Для распространения вредоносных вложений спамеры использовали не новый, но, по всей видимости, эффективный трюк. Вредоносное вложение, запакованное в zip-архив, находилось в письмах, которые выглядели как уведомления от уважаемых почтовых компаний — DHL и UPS. Рассылка подобного спама началась еще в конце мая — начале июня, о чем мы писали на нашем веблоге, однако в сентябре она сильно активизировалась. Интересно отметить то, что спам «от DHL» существенно отличается от июньского. Во-первых, июньский DHL-спам был нацелен на немецкоговорящую публику — он весь был написан по-немецки. Во-вторых, в июне зловред не был приложен к письму в заархивированном виде, а находился на веб-страничке, на которую вела ссылка, предусмотрительно вставленная злоумышленниками в письмо. В сентябре картина изменилась: рассылка от DHL стала как две капли воды похожа на рассылку от UPS, которая, к слову сказать, практически не претерпела изменений. Это говорит о том, что рассыльщики спама перенимают друг у друга приемы и технологии. Заметим, также, что зловреды, распространенные с помощью таких писем, были разнообразны. Среди прочих был замечен и Bredolab. Этот же бэкдор распространялся и в письмах якобы от Western Union. Тут прием социальной инженерии был на лицо: пользователю сообщалось, что на его имя был получен довольно крупный денежный перевод, а в приложении можно найти контрольный номер денежного перевода (MTCN =Money Transfer Control Number), который необходим для получения средств. Приложение, понятно, никакого ключа не содержало. Еще одна крупная рассылка, содержавшая вредоносное вложение, что характерно, также запакованное в zip-архив, тоже мимикрировала под легитимное уведомление — на этот раз от интернет-магазина. Сделано оно, правда, было довольно невнятно: ни названия магазина, ни обращения к адресату, ни координат для обратной связи. Фишинг Ссылки на фишинговые сайты находились в 0,84% всех электронных писем, что на 0,25%, меньше чем в августе. В сентябре на первое место рейтинга самых атакованных организаций снова вернулся PayPal, количество атак на который возросло по сравнению с августом в два раза (+18,68%) и почти достигло июльского показателя (40,19% в июле, 37,33% в сентябре). Интернет-аукцион eBay практически не изменил своего августовского показателя (+0,45%) и занял третью строчку рейтинга. На второй строчке рейтинга находится американская организация, занимающаяся налоговыми сборами IRS, на которую было совершено 11,08% всех фишинговых атак в сентябре. На самом деле это не были фишинговые атаки в классическом понимании. С помощью поддельных писем от IRS злоумышленниками распространялся Zbot (Trojan-Spy.Win32.Zbot). Банк CHASE, так стремительно вырвавшийся на первое место десятки в августе, в сентябре не попал в нее вовсе, оставшись на 11-м месте. В сентябре на него было совершено всего около 2% атак, что на 28% меньше, чем в августе. В конце сентября злоумышленники разослали фишинговые письма, умело подделанные под легитимную рассылку PayPal. Фишеры сохранили логотипы платежной системы и общий вид письма, кроме того поле From вполне ассоциируется с оригинальным. Однако внимательный пользователь сразу заметил бы нестыковки. Во-первых, все ссылки, по которым в оригинальном письме, или на сайте PayPal легко можно попасть в нужное место, в письме спамеров превратились просто в голубые надписи, а единственная настоящая ссылка — это та, по которой предлагается щелкнуть мышью, чтобы пройти верификацию. Во-вторых «новостная рассылка» датирована декабрем 2009 года, а в самом тексте упоминается «грядущий октябрь». В третьих, фраза «According the new changes in Service Agreement any unverified account will be deleted from the system in 72 hours after receiving this letter.» («Согласно последним изменениям в пользовательском соглашении все учетные записи, не прошедшие верификацию, будут удалены из системы через 72 часа после получения данного письма.») сама по себе наводит на мысли о фишинге. Фишинг этот интересен еще и тем, что в погоне за оформлением, которое должно вызватьт доверие пользователя, фишеры допустили еще одну оплошность. Они пропустили букву “h” в начале адреса (“ttp” вместо “http”) в результате чего браузер не может распознать протокол и поэтому не перенаправляет пользователя на фишинговый сайт. Таким образом, даже самый невнимательный пользователь, к счастью, не сможет передать свои регистрационные данные преступникам. Страны — источники спама В сентябре США снова вернулись на лидирующую позицию в рейтинге стран — источников спама. Почти треть всего спама отправлялась именно из этой страны (32,47%, что на 28,67% больше августовского показателя). Бразилия сместилась в рейтинге на второе место, распространив вдвое меньше спама, чем в прошлом месяце (5,97%, против августовских 11,8%). В десятке снова широко представленны азиатские государства: Вьетнам (снизивший свой показатель на 2,61% по сравнению с августовским, но сохранивший третью позицию в рейтинге), Корея (также снизившая свой августовский показатель (-1,3%), но поднявшаяся на одну строчку), Китай (+0,3% по сравнению с августом) и Индия (-3%). Польша, занимавшая в десятке августа второе место, вернулась к своим июльским показателям, распространив 3,25% спама (-4,75%). Россия в сентябре занимает 6-е место в рейтинге стран-источников спама, заняв 3,86% всего спам-трафика (-0,04%). Тематический состав спама Пятерка лидирующих спам-тематик сентября: Образование — 27,52% (+13,23%) Медикаменты; товары/услуги для здоровья — 12,74% (-1,03%) Реплики элитных товаров — 11,28% (+0,9%) Отдых и путешествия — 7,42%(-1,54%) Компьютерное мошенничество — 7,25% (-0,25) В сентябре в пятерке лидирующих спам-тематик не наблюдается сильных изменений. Рубрика «Образование» заметно укрепила свои позиции. Доля таких писем по сравнению с августом увеличилась вдвое. Что, очевидно, говорит о востребованности такого спама в начале делового сезона. Доля рубрик «Реплики элитных товаров» и «Медикаменты; товары/услуги для здоровья» практически не изменилась. Распространители виагры в сентябре попробовали пойти новым путем, подделав спам-рассылку с предложением о покупке «мужских» таблеток под рассылку медицинских новостей. Однако по любой ссылке в этом «новостном письме» открывался уже хорошо знакомый сайт с контрафактной виагрой. Рубрика «Отдых и путешествия», хотя и осталась в пятерке и даже поднялась на одну позицию, была представлена меньше чем в прошлом месяце. Следует заметить, что доля ее была довольно высока в первые две недели сентября и достигала 9%, однако уже с середины этого месяца она стала уменьшаться. Связано это, по всей видимости, с тем, что если в сентябре количество отпускников еще довольно велико, то с приближением октября оно идет на убыль, и популярные в августе-сентябре туристические сервисы становятся невостребованными. Рубрика «Компьютерное мошенничество», доля которой резко увеличилась в августе, вошла в этом месяце в первую пятерку. Доля ее, однако, практически не изменилась и даже слегка снизилась (-0,25%). Доля рубрики «Другие товары и услуги» снизилась в сентябре на 2,7%, оставшись, однако, довольно внушительной. Так, например, в сентябре спамеры продолжили распространение спама, предлагающего приобщиться к звуковым наркотикам. При этом важно отметить продолжающееся уменьшение доли писем рубрики «Реклама спамерских услуг», которая составила в сентябре всего 4,98%, что вдвое (- 4,91%) меньше чем в августе. Спамеры продолжают рассылать наиболее удачные из летних картинок, однако куда менее активно, чем раньше. Оригинальный спам Вам когда-нибудь не отдавали долг? Среди людей, или организаций, желающих взять средства в долг или получить кредит, тоже встречаются такие, которые забудут, не захотят, или не смогут вернуть полученные деньги. Об этом рассказывает одна из спамерских рассылок, рекламируя соответствующий сайт со списком должников. Надо заметить, что whois знает указанный в письме сайт и сообщает что это не однодневка. Возникает вопрос: может ли это быть черным пиаром? И если это черный пиар, то черный пиар чего? Людей и организаций, указанных в списке должников, или самого сайта, который, возможно, честно собирает подобные отзывы и сам не рассылает никакого спама? Спамерские методы и трюки В сентябре спамеры использовали трюк, который можно назвать эффективным для обхода фильтров, но неэффективным для распространения своих товаров и услуг. Пользователи получали письма, в которых содержалась зашумленная лишними цифрами ссылка. Для того чтобы выйти на рекламируемый сайт пользователь должен был удалить из адреса лишние цифры. Текст от письма к письму сильно менялся. Также менялось количество цифр и их расположение между буквами адреса. Сами цифры, разумеется, тоже менялись. Как и в случае с html-таблицами, активно использованными спамерами в прошлом месяце, такая реклама не для ленивого пользователя. Среди англоязычного спама по-прежнему встречались рассылки с определенным способом закрашенными ячейками html-таблиц. Надо сказать, что в сентябре они, однако, были выполнены далеко не так умело, как в прошлом месяце. Заключение В сентябре укрепились тенденции, обозначившееся в августе: продолжается уменьшение доли рубрики «Реклама спамерских услуг», стабильно велика доля писем «Другие товары и услуги», заметно увеличивается доля рубрики «Образование» — все это подтверждает наши августовские прогнозы: все больше клиентов из реального сектора экономики обращаются к спамерам. Следует также подчеркнуть резкий рост количества инфицированных писем. Особенно стоит обратить внимание на приемы социальной инженерии, которые спамеры используют для их распространения: подделка писем под легитимные уведомления от крупных организаций, или интернет-магазинов — это, конечно, не новый, но очень действенный прием. Полную версию статьи смотрите на сайте Securelist.com. Спам-статистика за период с 5-11 октября 2009 г. «Лаборатория Касперского» Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 86,8%. В распределении спама за прошедшую неделю произошли значительные изменения. Заметно возросли доли тематик «Реплики элитных товаров» (+6,7%) и «Компьютерное мошенничество» (+5,2%). Уменьшились доли рубрик «Образование» (-2,1%), «Отдых и путешествия» (-3,6%), «Спам "для взрослых"» (-4,2%) и «Недвижимость» (-3,2%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов   26,9%   -2,1%   2   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   15,3%   +6,7%   3   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   12,5%   +0,5%   4   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   10,8%   +5,2%   5   Другие товары и услуги   Предложения других товаров и услуг   8,1%   +1,3%   6   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   7,1%   -3,6%   7   Юридические услуги и аудит   Предложения юридических услуг   5,1%   +0,6%   8   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   3,6%   -0,7%   9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   2,6%   -0,2%   10   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   2,5%   -4,2%   11   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,1%   Без изменений   12   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   Менее 2,0%   -3,2%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2,0%   -0,9%   14   Остальной спам     Менее 2,0%   0,6%   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009