Электронный журнал "Спамтест" No. 302 в этом номере: Новости Спам-статистика за период 12-18 октября 2009 г. Новости Кибермошенничество в Австралии По оценке Австралийского института криминологии, 90% пользователей национального сектора интернета регулярно подвергаются атакам лотерейных мошенников, фишеров, «нигерийцев» и прочих сетевых аферистов. В 80% случаев реализация мошеннической схемы начинается с рассылки почтового спама, на который 18% австралийцев реагируют ответными действиями. В опросе, проведенном в январе-марте 2008 года, приняли участие лишь 919 добровольцев, поэтому результаты исследования [PDF 372 Кб], по мнению Института, нельзя с уверенностью экстраполировать на все интернет-сообщество Австралии. Тем не менее, по последним данным, из-за кражи персональных данных в Сети экономика страны теряет до 3 млрд. долларов в год (свыше 2,7 млрд. долларов США). Новым объектом внимания кибермошенников стали социальные и беспроводные сети. Стремясь оградить своих граждан от посягательств киберпреступников, австралийские власти укрепляют связи с правоохранительными органами других стран и предполагают увеличить штрафы за сетевое мошенничество до 1,1 млн. долларов (1 млн. долларов США). Источник: smh.com.au Источник: aic.gov.au [PDF 372 Кб] Bredolab идет в наступление С начала октября эксперты MessageLabs наблюдают значительное увеличение потоков спама, нацеленного на распространение троянского бэкдора Bredolab (Backdoor.Win32.Bredolab). Вредоносные сообщения отсылаются с ботнета Pushdo и в большинстве своем оформлены в виде уведомлений о посылке, якобы отправленной адресату. Троянец скрывается в zip-файле, прикрепленном к письму. Его инсталляция позволяет злоумышленнику установить полный контроль над компьютером жертвы и загружать на него другие вредоносные программы. По оценке MessageLabs, вклад этих посланий в спам-трафик в настоящее время составляет 3,5%, что примерно эквивалентно 3,6 млрд. сообщений в сутки. На долю Bredolab, распространяемого через вложения в письма, приходится 5,6% от общего количества зловредов, детектируемых ежедневно по всему миру. Источник: v3.co.uk Symantec о ложных антивирусах По оценке Symantec, в современном интернете насчитывается свыше 250 разных утилит, относящихся к категории псевдоантивирусов. С июля 2008 по июнь 2009 гг. в компании было зарегистрировано более 43 млн. отчетов об атаках с целью инсталляции таких программ. Для проведения исследования 4,53Мб были выбраны 50 наиболее навязчивых лжеантивирусов. По данным Symantec, в отчетный период атаки этих представителей одиозного семейства распределялись по регионам следующим образом: Северная Америка — 61%, страны EMEA 31%, Азиатско-Тихоокеанский регион 6%, Латинская Америка 2%. Больше половины серверов, на которых размещены готовые к загрузке «антивирусы», находятся на территории США, 11% — в Германии, 5% на Украине и 5% в Канаде. Установка может осуществляться разными способами. В 93% случаев злоумышленники, запугивая пользователей вирусной угрозой, пытались вынудить их самостоятельной установить ложный антивирус, а 76% случаев представляли собой попытки произвести загрузку без ведома и участия пользователя — при просмотре им веб-контента (drive-by) или с помощью даунлоудера. Рекламу ложным антивирусам обычно создают подрядчики-распространители этих программ, которым платят за каждую успешную инсталляцию. Самым быстрым и дешевым способом являются спам-рассылки. Нередки также случаи подделки записей кэша поисковых систем, в результате чего вместо «горячих» новостей и подробностей личной жизни знаменитостей пользователь получает порцию ссылок на зараженные страницы. По оценке Symantec, 52% атак начинались с создания всплывающей рекламы, баннера, либо с постинга в форуме или социальной сети. В 93% случаев реклама размещалась на специализированной веб-странице, расписывающей несуществующие достоинства «легальной» программы. По свидетельству экспертов, ложные антивирусы нередко меняют облик, сохраняя содержимое. Когда исходный вариант программы уже отслежен и блокирован легальным антивирусом, ее клоны появляются под другими наименованиями, логотипами и с видоизмененной «картинкой». Исследователи напоминают, что установка такого «антивируса», который ничего не лечит, а только пугает несуществующими угрозами, может вызвать у его обладателя ложное чувство защищенности. В лучшем случае пользователь лишится полсотни долларов, потраченных на приобретение бесполезной программы. Однако при ее покупке он передает в руки мошенников некоторую личную информацию, которая может быть впоследствии использована в корыстных целях. Кроме того, многие из этих программ меняют настройки систем безопасности и могут препятствовать доступу к ресурсам легальных антивирусных программ. А некоторые из них включают компонент-кейлоггер или обладают функционалом бэкдора. Источник: symantec.com Источник: eval.symantec.com 4,53Мб Commtouch о расхождениях в статистической оценке фишинга Эксперты Commtouch обнаружили значительный разброс в результатах по фишинговым атакам, полученных в течение третьего квартала семью ведущими компаниями-специалистами по сетевой безопасности. По мнению исследователей, это объясняется, прежде всего, разницей в определении фишинговой атаки, отсутствием единообразной методики сбора и оценки данных, а также различиями во времени регистрации атак, искажающими общую динамическую картину. Например, при подсчете числа атак, проведенных фишерами с использованием fast-flux ботнетов, можно ориентироваться на IP-адреса ботов, уникальные URL или доменные имена и в любом случае получить весьма приблизительные результаты. При разных критериях оценки динамика проведения фишинговых атак, скорее всего, тоже будет неодинаковой. Эксперты отмечают также, что количественная оценка фишерской деятельности при всей ее важности не отражает истинной величины угрозы, которую представляют кибератаки такого рода. Рассылка ограниченного числа фишинговых писем на целевые адреса может нанести больший финансовый ущерб, чем масштабная спам-кампания, нацеленная на сбор конфиденциальной информации по всей адресной базе. В квартальный отчет Commtouch включена также статистика по спаму, уровень которого в нефильтруемом почтовом трафике, по оценке компании, в среднем составлял 83%. При этом 68% нелегитимных сообщений составляла реклама медицинских препаратов и услуг. Во второй половине минувшего квартала наблюдалось активное распространение в спаме вредоносных программ Mal-Bredo A и Mal Behav-340 (в классификации «Лаборатории Касперского» Backdoor.Win32.Bredolab.pr и Backdoor.Win32.Bredolab.hv соответственно). В ходе вредоносных атак, которые продолжались около месяца, исследователи насчитали около 12 тыс. вариантов этих бэкдоров, которые плохо детектировались современными антивирусами. На протяжении отчетного периода компания ежедневно регистрировала в среднем 332 тыс. активных зомби-машин. По оценке экспертов, наибольшее количество зомби находится на территории Бразилии — 19,7% глобального парка. Источник: commtouch.com Спам-статистика за период 12-18 октября 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 86,5%. Изменения в тематическом составе спама на прошлой неделе были значительны. Заметно возросли доли тематик «Другие товары и услуги» (+2,9%), «Компьютеры и интернет» (+2,7%) и «Недвижимость» (+2,5%). Схлынула волна «Компьютерного мошенничества» (-6,8%), также упала доля рубрики «Юридические услуги и аудит» (-3,0%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   25,1%   -1,8%   2   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   15,4%   +15,4%   3   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   11,7%   -0,8%   4   Другие товары и услуги   Предложения других товаров и услуг.   11,0%   +2,9%   5   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   8,4%   +1,3%   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   5,4%   +1,8%   7   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   5,3%   +2,7%   8   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   4,0%   -6,8%   9   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   3,9%   +2,5%   10   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   3,0%   +0,5%   11   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   2,2%   +1,3%   12   Юридические услуги и аудит   Предложения юридических услуг.   2,1%   -3,0%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,3%   14   Остальной спам     Менее 2%   -0,5%   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009