Электронный журнал "Спамтест" No. 303 в этом номере: Новости Спам в третьем квартале 2009 г. Спам-статистика за период 19-25 октября 2009 г. Новости ФБР: зарубежные кибергангстеры выкачивают миллионы из малого бизнеса Америки По оценке ФБР, за пять лет предприятия малого и среднего бизнеса США потеряли не менее 40 млн. долларов в результате хищения банковских реквизитов в Сети. Мошенническая схема, приобретающая все большую популярность у киберпреступников, начинается с таргетированной спам-рассылки. Письма снабжаются ссылкой или вложением, при активации которых на машину получателя загружается вредоносная программа, ворующая пароли к системе интернет-банкинга и другую конфиденциальную информацию. Получив таким образом доступ к счету жертвы в банке, злоумышленники от ее имени проводят ряд операций по перечислению небольших сумм (до 10 тыс. долларов) на счета «дропов», завербованных, как правило, через веб-сайты трудоустройства. «Дропы» снимают эти деньги за вычетом комиссионных и отсылают их переводом Western Union или MoneyGram за рубеж, в такие страны, как Молдова, Россия и Украина. С 2004 года ФБР зарегистрировало лишь 205 таких случаев. Атаки на мелкие компании обычно привлекают мало внимания, хотя наносимый ими ущерб может исчисляться сотнями тысяч долларов. В то же время финансовые организации неохотно признают факты, наносящие урон их репутации. Однако со второй половины прошлого года изощренный грабеж в американской системе интернет-банкинга начал приобретать угрожающие масштабы. В результате количество незаконных денежных переводов на территории США более чем удвоилось. Даже администрация ФБР, обычно не склонная к большой откровенности, поделилась неутешительной статистикой, чтобы привлечь внимание к масштабам бедствия. Дело в том, что предприятия малого бизнеса в США обычно пользуются услугами небольших финансовых организаций местного значения, у которых нет эффективной защиты от современных кибератак. В то же время банковские структуры в первую очередь озабочены безопасностью индивидуальных клиентов, так как при обнаружении незаконных махинаций они в течение двух месяцев обязаны возместить ущерб владельцу счета. Юридическим лицам, по действующим в стране нормативам, в аналогичном случае отводится лишь два рабочих дня на то, чтобы обнаружить недостачу и привлечь банк к ответственности. Во избежание финансовых утечек эксперты рекомендуют осуществлять уязвимые операции на специально выделенном компьютере, который не будет использоваться для других видов деятельности в Сети. Источник: voices.washingtonpost.com Источник: community.seattletimes.nwsource.com Родные стены не спасут «нигерийцев» Спецподразделения полиции Нигерии заблокировали свыше 800 почтовых аккаунтов и произвели 18 арестов в рамках новой инициативы по борьбе с мошенничеством и коррупцией на территории страны. Проект Eagle Claw, осуществляемый нигерийской Комиссией по борьбе с экономическими преступлениями (Economic and Financial Crimes Commission, EFCC) совместно с компанией Microsoft, предусматривает внедрение специализированной программы мониторинга мошеннической деятельности в почтовом сервисе. Новая технология позволяет отслеживать мошеннические сообщения, нейтрализовать их источники и оповещать потенциальные жертвы об угрозе. Пробная версия программы запущена на территории Нигерии в начале июня. До этого местные правоохранительные органы пытались выявить «нигерийских» и прочих кибермошенников, полагаясь на результаты облав в интернет-кафе или жалобы пользователей. Новая схема заработает в полную силу через полгода и, по предварительной оценке, будет защищать от сетей мошенников около четверти миллиона пользователей. Источник: tech.yahoo.com Источник: thisdayonline.com Американцы не доверяют безопасности сетевых транзакций Согласно результатам [PDF 30,6 Кб] опроса, проведенного в сентябре консалтинговой компанией Unisys, почти две трети американцев сильно обеспокоены проблемой кражи персональной информации через интернет. В трехдневном опросе приняли участие более 1000 жителей США. 42% из них выразили серьезные сомнения в безопасности финансовых операций, совершаемых с помощью сетевых сервисов. 58% заявили свою готовность проходить биометрический контроль на соответствующих ресурсах в качестве меры проверки на аутентичность. 40% респондентов отметили, что придают большое значение вопросам компьютерной безопасности, а четверть признались в отсутствии интереса к этой проблеме. Источник: unisys.com 15 миллионов за SMS-спам В Австралии оштрафованы два мобильных оператора, нарушивших действующее законодательство о проведении коммерческих рассылок и Закон о торговой практике. Решением федерального суда Mobilegate Ltd и Winning Bid Pty Ltd совокупно заплатят 15,75 млн. долларов (почти 14,6 млн. долларов США). Виновными были также признаны трое физических лиц, несущих прямую ответственность за осуществление мошеннической схемы. По имеющимся свидетельствам, ответчики с помощью поддельных профилей, созданных на сайтах знакомств, выманивали номера мобильных телефонов и от имени своих персонажей рассылали приглашения в «приватные SMS-чаты». Как впоследствии обнаружилось, одно текстовое сообщение, отправленное через такой «сервис», обходилось пользователю в пять долларов. По оценке ACMA (правительственной службы, контролирующей средства связи и СМИ, — Australian Communications and Media Authority), мошенники заработали на этой схеме более двух миллионов долларов (1,85 млн. долларов США). Очередное слушание по делу, возбужденному в декабре прошлого года по иску ACMA, состоится 30 ноября. Перед судом предстанут еще трое фигурантов. Источник: brisbanetimes.com.au APWG о фишинговых доменах в первом полугодии Согласно статистике [PDF 673 Кб] Антифишинговой рабочей группы (APWG), для проведения кибератак в первой половине текущего года фишеры использовали не менее 55,7 тыс. поддельных страниц и свыше 30 тыс. доменных имен, привязанных к 171 домену верхнего уровня. Около 14,5% фишинговых веб-страниц были размещены на специально созданных доменах, остальные — на легитимных ресурсах. Половина доменов, зарегистрированных в отчетный период как фишинговые, принадлежали зоне .com. Среднее время жизни поддельной страницы, по данным APWG, составляло 39 часов. Однако более 10% обнаруженных и заблокированных страниц через час вновь появлялись в Сети. По оценке одного из крупнейших американских банков, каждый час работы фишингового веб-сайта обходится его мишени как минимум в 300 долларов. Что касается региональных доменных зон, наибольшее количество фишинговых доменов и страниц в пересчете на 10 тыс. доменов обнаружено в Таиланде и Перу. Этот относительный показатель также высок в зонах .fr и .ru, так как здесь превалирует практика размещения фишинговых страниц на поддоменах, когда владелец доменного имени выделяет в его пределах аккаунт, доступ к которому осуществляется по отдельному URL. Российский интернет-провайдер Pochta.ru является безусловным лидером по фишингу: в отчетный период злоумышленники использовали не менее 17 его доменов для размещения 822 поддельных страниц. К чести этого провайдера следует заметить, что он оперативно реагирует на жалобы о злоупотреблениях. Вообще использование поддоменов и возможности скрывать их за укороченными ссылками приобретает все большую популярность у фишеров. В первом полугодии было зафиксировано более 465 служб регистрации поддоменов, в распоряжении которых находятся около 2600 доменных имен, — широкое, ничем не регулируемое поле для незаконной деятельности. Исследователи обнаружили более 6440 поддоменов, созданных для проведения фишинговых атак и привязанных к 483 доменам второго уровня. Если их приравнять к самостоятельным доменам, на них придется 18% от общего числа доменов, использованных фишерами в первом полугодии. Источник: antiphishing.org [PDF 673 Кб] Спам в третьем квартале 2009 г. Дарья Гудкова, Елена Бондаренко, "Лаборатория Касперского" Особенности квартала: Доля спама в почтовом трафике в третьем квартале составила 85,7%. Доля фишинговых писем выросла на 0,5% и составила 0,99% от всего почтового трафика. Доля писем с вредоносными вложениями составила 0,46% от почтового трафика (1,22% в сентябре). Доля реального сектора экономики в тематиках спама растет, доля саморекламы спамеров падает. Спамеры продолжают использовать html-таблицы и графический спам для обхода фильтров. Долевое распределение спама Доля спама в почтовом трафике в третьем квартале составила в среднем 85,7%. Летом количество спама было традиционно немного ниже, а в сентябре оно стало заметно расти. Однако это не свидетельствует об общей тенденции к росту доли спама в почтовом трафике, — сентябрьский рост доли спама связан с окончанием сезона отпусков. Самый низкий долевой показатель спама наблюдался 1 августа, он составил 76,3%. Это был единственный день за три месяца, когда уровень спама опустился ниже отметки в 80%. Самый высокий показатель был отмечен 27 сентября и составил 91,3%. Фишинг Фишинговые письма в третьем квартале 2009 года составили около 1% (0,99%) всех электронных писем. По сравнению со вторым кварталом (0,49%) их доля в почтовом трафике увеличилась вдвое. Как и раньше, наиболее часто атакам, подвергались платежная система PayPal и аукцион eBay. Лишь в августе они временно уступили свои лидирующие позиции, причем доля фишинг-атак на PayPal и eBay сократилась очень существенно. В то же время увеличился процент атак на банки. Так, доля атак на банк Chase, обычно не превышающая 2%, увеличилась до 30,6%. В похожем «выигрыше» оказались и другие банки: доля атак на Bank of America в августе составляла 19% (обычно — 3-5%). Атак на Ally Bank также было значительно больше, чем в другое время: 11,08% вместо обычных 1-2%. На этом примере видно, что, хотя PayPal и eBay и являются излюбленными мишенями фишеров, периодически основными целями злоумышленников становятся банки. Так, банк Chase подвергался аналогичной массированной атаке около года назад. Среди новинок в области фишинга можно назвать сообщения, в которых вместо ссылок на поддельные сайты указывается телефонный номер, на который якобы нужно позвонить, чтобы получить доступ к своему счету. В других сообщениях использовался характерный для фишинговых писем прием, — в них сообщалось о том, что аккаунт пользователя в скором времени будет заблокирован. Речь, однако, шла не о банковском счете или почтовом сервере, а об аккаунте пользователя на сайте онлайн-аптеки. Потеря такого аккаунта якобы лишит пользователя возможности покупать медикаменты без рецепта врача. Чтобы избежать этого рекомендовалось срочно сделать заказ на сайте. Разумеется, аккаунтов, о которых шла речь в письмах, у получателей не было, однако расчет спамеров был на то, что пользователей заинтересует возможность покупать медицинские препараты без рецепта. Письма с вредоносными вложениями В третьем квартале 2009 года одновременно с активизацией фишинговых атак вырос и процент писем, содержащих вредоносные вложения. Их доля составила в среднем 0,46% всех электронных писем, что на 0,29% выше, чем в прошлом квартале. Основной вклад в высокий квартальный уровень вредоносов внес сентябрь. В июле и августе количество таких писем было невелико (0,11% и 0,05% соответственно), однако в сентябре их доля выросла до небывалых высот — 1,22%. Если в первые два месяца большей популярностью у спамеров пользовались такие вредоносные программы как Email-Worm.Win32.NetSky, Net-Worm.Win32.Mytob и Backdoor.Win32.Bredolab (2 червя и троянская программа, основные цели которых — сбор адресов и включение компьютера в зомби-сеть), то в сентябре лидерами стали Trojan-Downloader семейства FraudLoad (48,6% от общего числа писем с вредоносными вложениями). Целью программ-даунлоадеров является загрузка и установка на зараженном компьютере вредоносной или рекламной программы. Семейство FraudLoad создано для установки на компьютер жертвы популярных в последнее время поддельных антивирусов. Эти программы выдают на экран монитора сообщения о несуществующих угрозах и предложения заплатить за их удаление. Как правило, фальшивые антивирусы довольно сложно удалить с компьютера. Большая часть вредоносных писем была подделана под сообщения от известных служб доставки (чаще всего DHL и UPS) или систем денежного перевода (чаще всего Western Union). В письмах сообщалось, что служба не смогла доставить, отправленную пользователем посылку (либо на его имя пришел денежный перевод), а в приложении находится квитанция (либо контрольный номер перевода). На самом деле в приложении находилась вредоносная программа. Также злоумышленники использовали популярность социальных сетей. Например, одно из писем имитировало приглашение стать пользователем социальной сети Twitter. Страны — источники спама Рейтинг стран, из которых рассылается спам, выглядит традиционно: на первом месте США, на втором Бразилия, в ТОП 10 по-прежнему много восточных и восточно-европейских стран. Однако количество спама, рассылаемого из разных стран, менялось в течение квартала. Так, в августе доля спама, рассылаемого из США, существенно сократилась. В то же время резко увеличился процент спамовых писем, рассылаемых из Польши. Типы и размеры спамовых писем Количество суперкоротких писем (менее 5Кб) уменьшилось по сравнению с первым полугодием. В третьем квартале оно составило 47,2% от общего количества спамовых писем, что меньше усредненного показателя за первое полугодие на 10,7%. А вот писем, размер которых составляет от 5 до 10Кб и от 10 до 20Кб, стало несколько больше. В третьем квартале доля писем в формате html выросла на 8,2%, по сравнению со средним показателем первого полугодия. Таким образом, в спаме стало меньше коротких писем в текстовом формате и больше коротких писем в формате html. Это говорит о том, что спамеры заботятся о внешнем виде своих писем. Кроме того, в html-формате намного проще скрыть от неискушенного пользователя настоящий URL, на который ведет ссылка в письме. Спамерские методы и трюки В третьем квартале для обхода фильтров спамеры использовали уже известные методы — html-таблицы и графический спам. Надо отметить, что записанные в виде таблицы адреса и телефоны легко читаются, выглядят более аккуратно, чем раньше, и соразмерны формату письма (когда этот метод был только придуман, приходилось сталкиваться с огромными буквами и цифрами контактных телефонов, производившими нелепое впечатление). Для закрашивания ячеек таблицы спамеры стали использовать не только черный, но и другие цвета. Создатели графического спама продолжают экспериментировать. Если раньше в письмах встречались картинки, на которых текст был наклонен в разные стороны, то теперь на картинках даже буквы на одной строке могут находиться на разных уровнях, либо строки идут «волнами». Кроме того, спамеры вспомнили старый метод — замусоривание ссылки. Так, в одном из писем в ссылки случайным образом были добавлены цифры, а пользователя просили удалить эти лишние символы из адреса. Несмотря на то, что такие письма могут представлять проблему для фильтров, они имеют существенный недостаток: пользователь должен сам набирать адрес в строке браузера (а не просто щелкнуть на гиперссылку или скопировать адрес в окно браузера). В ряде случаев надо убрать не все цифры, а только определенные. Лишь очень усердный пользователь возьмет на себя такой труд. Тематические категории спама В тематическом распределении спама в Рунете в третьем квартале 2009 года мы видим картину, противоположную первому полугодию: доли рубрик, снизивших свои показатели в начале года, в третьем квартале пошли вверх и даже превысили свои прошлогодние показатели. Таковы рубрики «Образование» и «Отдых и путешествия». По-видимому, компании, проводящие семинары и тренинги, как и небольшие туристические компании, рекламирующие себя в спаме, испытывали значительное давление кризиса. Сейчас, с улучшением экономической ситуации, они усилили свою активность. В то же время переживавшая в период кризиса небывалый подъем рубрика «Реклама спамерских услуг» сильно сократила свои объемы. Очевидно, уменьшение доли саморекламы спамеров связано с увеличением числа заказов на рассылки, поступающих в спамерские агентства. Если раньше, лишившись части заказов, спамеры усилили свою собственную рекламу, то теперь, по всей видимости, необходимость в таких мерах отпала. Таким образом, ослабление экономического кризиса влияет на тематическое распределение спама (и наоборот: смотря на картину распределения категорий спама, можно видеть, как различные отрасли экономики выходят из кризиса). Звуковые «наркотики» В течение года мы неоднократно писали о спамовых письмах, в которых получателя различными способами провоцируют послать SMS-сообщение на дорогой премиум-номер. Высокая цена на него является источником заработка спамеров либо их заказчиков. Чтобы «уговорить» пользователя послать сообщение, спамеры используют разные предлоги (предупреждения о возможной блокировке аккаунта, предложения купить не предоставляемую реально услугу, заплатить за просмотр страниц сайта и т.д.). В третьем квартале появился новый прием: спамеры предлагали заплатить с помощью SMS за аудио-файлы, результаты прослушивания которых якобы напоминают результаты воздействия различных наркотиков. Сейчас информация о том, что подобные файлы не обладают специфическим воздействием на организм человека, уже облетела интернет, и количество подобного спама сразу сократилось. Как и в других случаях, этот вид мошенничества был эффективен до тех пор, пока его не разоблачили. Заключение и прогнозы Количество спама в третьем квартале соответствует ожиданиям: летнее затишье сменяется осенним ростом. Закономерны и изменения в тематическом составе спама. Как мы и предполагали, ситуация в спаме отражает ситуацию в экономике. Начавшаяся год назад рецессия повлекла за собой снижение количества рассылок, рекламирующих товары и услуги. Теперь, в период постепенного ослабления кризиса, такого спама снова становиться больше. В то же время самореклама спамеров вернулась к докризисному уровню. Это говорит о том, что в настоящий момент у спамеров достаточно заказчиков. Выросла доля фишинга и писем с вредоносными вложениями. Как правило, резкий рост числа мошеннических писем связан с разовой массированной атакой и длится недолго. Однако пользователям следует быть осмотрительными и не кликать по ссылкам в письмах, если не известен их источник. Очень осторожно стоит относиться и к вложенным в письма файлам. Учитывая то, что спамеры умело пользуются социальной инженерией, нельзя исключать, что в будущем такие письма могут быть подделаны под сообщения от друзей и знакомых, либо будут рассылаться со взломанных аккаунтов. Полную версию статьи смотрите на сайте Securelist.com. Спам-статистика за период 19-25 октября 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 84,9%. Изменения в тематическом распределении спама за прошлую неделю были незначительными. Увеличились доли тематик «Медикаменты; товары/услуги для здоровья» (+2,4%), «Компьютерное мошенничество» (+2,3%) и «Компьтеры и Интернет» (+2,5%). Уменьшились доли рубрик «Другие товары и услуги» (-2,4%) и «Спам "для взрослых"» (-2,4%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов   26,5%   +1,4%   2   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   15,6%   +0,2%   3   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   14,1%   +2,4%   4   Другие товары и услуги   Предложения других товаров и услуг   8,6%   -2,4%   5   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   8,1%   -0,3%   6   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   7,8%   +2,5%   7   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   6,3%   +2,3%   8   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   3,8%   -1,6%   9   Юридические услуги и аудит   Предложения юридических услуг   2,7%   +0,6%   10   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   2,5%   -1,4%   11   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,4%   +0,6%   12   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   Менее 2%   -2,4%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -1,3%   14   Остальной спам     Менее 2%   -0,5%   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009