Электронный журнал "Спамтест" No. 306 в этом номере: Новости Записки спам-аналитиков Спам-статистика за период 9-15 ноября 2009 г. Новости Узники Альбиона Британский суд приговорил иноземных хакеров, укравших около миллиона долларов со счетов NatWest, к тюремному заключению с последующей экстрадицией. В начале года четверо осужденных с сообщниками внедрили на компьютеры клиентов банка NatWest вредоносную программу, позднее опознанную как PSP2-BBB. Троянец отслеживал сеансы связи с системой интернет-банкинга, воровал персональные данные, проверял состояние счета и выкачивал деньги на подставные счета. Похищенные средства затем переводились «дропами» на Украину и в Россию. Участникам преступной группировки были предъявлены обвинения в групповом мошенничестве, неправомерном использовании компьютерных технологий и отмывании денег. Решением суда Азамат Рахманов, студент-филолог из Узбекистана, проведет в заключении 4,5 года, а его соотечественник, портье Шохрух Файзиев, — 4 года. Беженец из Анголы и обладатель фальшивого паспорта Жуау Крус (Joao Cruz) покинет пост руководителя супермаркета и отправится в пенитенциарное заведение на три года. Португалец Рекарду Перейра (Recardo Pereira — не путать со знаменитым вратарем!), выполнявший в мошеннической схеме функции «дропа», будет заключен под стражу на 1 год и 9 месяцев. Еще один участник хакерской группировки, уроженец Венесуэлы, пока остается на свободе. Сумма, подлежащая конфискации, будет определена на мартовском заседании. По оценке [PDF 1,8 Мб] RSA, в этом году количество атак на банки, использующих перехват трафика с помощью троянских программ, как никогда велико. Особенно страдают от них страны, в которых в качестве меры защиты введена двухфакторная аутентификация. Эти атаки, которые в компании сокращенно называют MITB — man-in-the-browser, «свой агент в браузере», — трудно распознать со стороны банковского сервера, так как транзакции осуществляются с компьютера законного пользователя, а троянец подменяет данные «на лету», до завершения сеанса. Источник: itworld.com Источник: theregister.co.uk Источник: news.bbc.co.uk Источник: google.com Яндекс: четверть страниц Рунета — спам Согласно статистике, приведенной в отчете [PDF 3,25 Мб] Яндекса «Контент Рунета», в российском секторе интернета размещено около 15 млн. веб-сайтов — примерно 6,5% от общего количества в Сети. Средний сайт состоит из 255 страниц, и четверть из них не содержат полезной информации, т.е. созданы, чтобы привлекать посетителей на другие сайты или влиять на их ранжирование в поисковых системах. Отчет составлен на основе изучения текстовых копий всех открытых веб-страниц Рунета, которые хранятся в индексе поисковой системы Яндекс. В сегмент Рунета вошли сайты, написанные на русском, украинском, белорусском или казахском языках, а также сайты, размещенные в доменных зонах .am, .az, .by, .ge, .kg, .kz, .md, .ru, .su, .tj, .ua или uz. Объем данных, представленных в Рунете в текстовом формате, на настоящий момент составляет более 140 тыс. гб. При этом 88% текста размещено менее чем на 1% сайтов, а половина сайтов состоит всего из одной страницы. Основной язык оформления — русский (91% сайтов). 3% сайтов выполнены на английском языке, 2% — на украинском, 1% на белорусском. В Рунете размещено не менее 1,6 млрд. уникальных изображений, включая рекламные баннеры, а общее число картинок составляет около 2,1 млрд. При этом каждый третий сайт вообще не использует графику, а половина содержит не более десятка изображений. При подсчете Яндекс не учитывал фотографии, размещенные на крупных фотохостингах, но отметил, что на четырех из них содержится около 800 млн. изображений. Флэш-объекты обнаружены на 15% сайтов, аудиозаписи в МР3-формате — менее чем на 0,5%. На крупнейших видеохостингах Рунета (без учета файлообмена, социальных сетей и YouTube) размещены 7,2 млн. видеороликов, которые присутствуют на 2,4% сайтов. Еще 0,7 процента сайтов практикуют прямые ссылки на видеоконтент. Источник: bfm.ru Источник: lenta.ru Источник: xakep.ru Источник: yandex.ru [PDF 3,25 Мб] В Израиле арестован палестинец — за фишинг В Тель-Авиве состоялось судебное слушание по определению законности задержания 22-летнего палестинца, который подозревается в проведении фишинговой атаки против клиентов банка Леуми. Полиция начала расследование, когда из отдела безопасности банка поступила официальная жалоба на незаконный сбор информации, касающейся клиентов, в том числе номеров кредитных карт. Как выяснилось, злоумышленники создали поддельные веб-страницы банка Леуми и Банка Израиля и от их имени рассылали фальшивые уведомления об обновлении системы безопасности с просьбой подтвердить персональные данные. Обманув десятки клиентов, они использовали собранную информацию для получения доступа к счетам и оформления покупок по чужим банковским картам. Источник: haaretz.com Социальная сеть заплатит $750 тыс. за спам За мошенническую практику саморекламы и нарушение прайвеси клиентов операторы веб-сайта Tagged.com оштрафованы в двух штатах на 500 и 250 тыс. долларов. Tagged.com — третий по значимости социальный сайт в США (после Facebook и MySpace). Его аудитория насчитывает 16 млн. активных пользователей, две трети которых проживают за пределами страны. Прокуратура Нью-Йорка и Техаса обвинила социальную сеть в несанкционированном использовании регистрационных данных пользователей для рассылки спама их родным, коллегам и знакомым. Эти сообщения от имени владельца аккаунта приглашали посмотреть фотоматериалы, якобы опубликованные в Сети и доступные только зарегистрированным пользователям Tagged. Контакты новобранцев приобщались к спискам адресов, по которым велись спам-рассылки. По оценкам, в рамках кампании по принудительной социализации с сайта было отправлено более 60 млн. спамовых писем. По условиям сделки, администрация сайта должна немедленно прекратить недобросовестную практику, пересмотреть процедуру регистрации и систему рассылки приглашений «друзьям». Источник: reuters.com Mega-D делал ставку на Россию и страны третьего мира Обезглавив ботнет Mega-D/ Ozdok, исследователи FireEye попытались определить масштабы и географию распространения инфекции. За пять дней им удалось выявить около 490 тыс. уникальных IP-адресов, с которых боты подключались к серверам-ловушкам. Однако при наличии системы динамической переадресации простой подсчет IP-адресов не дает представления об истинных размерах ботнета. Зато удалось разобраться, где находятся зараженные машины. Больше всего их обнаружено в Бразилии (11,5% от общего количества), немногим меньше — в Индии и во Вьетнаме. В десятку лидеров по этому показателю также вошли Россия, Мексика, Пакистан, Таиланд, Аргентина, Египет и Турция (в порядке убывания). Китай и США заняли 16-ю и 17-ю позиции соответственно. Чтобы получить хотя бы примерное представление о количественном составе Mega-D, исследователи воспользовались опытом наблюдения за ботнетом Srizbi, ушедшим в небытие в прошлом году. Тогда в их распоряжении, помимо IP-адресов, оказались персональные идентификаторы ботов. Как выяснилось, в первый день работы сервера-ловушки количество зарегистрированных IP и число ботов примерно одинаковы, но за пять дней первый показатель увеличивается вдвое, хотя количество ботов остается неизменным. На основании этого эксперты заключили, что число зараженных машин Mega-D не должно превышать 250 тыс. FireEye продолжает просматривать логи в поисках другой полезной информации, но передала контроль над «угнанным» ботнетом содружеству Shadowserver. Этот альянс, используя свое положение, сможет оповестить соответствующих интернет-провайдеров о необходимости очистки пользовательских ресурсов. Источник: blog.fireeye.com Записки спам-аналитиков Дарья Бронникова, "Лаборатория Касперского" Если ты такой умный, почему такой бедный? Спамеры очень любят социальную сеть «ВКонтакте». С помощью вирусов или хакерских атак они захватывают контроль над аккаунтами и потом рассылают спам всеми возможными способами общения между пользователями. Один из сервисов «ВКонтакте» позволяет пользователям отмечать друг друга на фотографиях. Отсюда возник стандартный, принятый на сайте способ разослать объявление или гарантированно обратить внимание друга на интересную или забавную картинку — отметить его «присутствие» на этой картинке, чтобы он получил извещение в профайл и потом сам убрал (или оставил) отметку. Недавно мой друг отметил меня на «фотографии», изображающей «сертификат» о прохождении IQ-теста на неком сайте. На «сертификате» были подставлены имя и фамилия «отправителя», а текст в подписи завлекал «померяться IQ». Конечно же, я сразу решила, что это спам, и никакого теста он не проходил (что подтвердилось, когда я его об этом спросила). Тем не менее, мне захотелось проверить догадку, что это очередное мошенничество, и я пошла на указанный сайт. Действительно, на главной странице предлагаются традиционные, многим знакомые вопросы IQ-теста. Промотав вопросы, видим: стоимость 1 теста составляет 5 рублей, для оплаты надо отправить SMS на короткий номер 7122. Погуглив, выясняем, что стоимость SMS на этот номер составляет, в зависимости от оператора, от 150 до 300 рублей. Кроме того, отправив SMS, пользователь автоматически соглашается с правилами пользования сайтом, а правила на таких сайтах — всегда самое интересное. Во-первых, текст оформлен максимально неудобно — светло-серый шрифт на белом фоне (впрочем, простое выделение мышкой решает проблему). Во-вторых, авторы сайта даже честно говорят, сколько будет стоить сообщение, но утверждают, что оплачивается сразу 120 (!) попыток прохождения теста. Так и представляю себе человека, упорно, в 119-й леденящий душу раз проходящего тест из одних и тех же двадцати вопросов. Дальше – больше. «2. Общие условия пользования услугами 2.1. Ограничения на действия Пользователя - Пользователь не вправе совершать действия, которые могут повлечь: ∙ нарушение функционирования сайта Исполнителя ∙ нарушение предоставления услуг Исполнителя ∙ ограничение возможностей других пользователей в получении услуг Исполнителя» и так далее. То есть — ломать сайт запрещено! Иначе не пустим: «Исполнитель может применить следующие санкции: ∙ отказать в предоставлении одной либо всех услуг ∙ блокировать доступ Пользователя к сайту Исполнителя» На закуску: за результаты авторы никакой ответственности не несут, а если что не так, сами предъявят претензии. Ну, и самое главное: если что-то в этих правилах не нравится — просто не стоит пользоваться сайтом. Правила на подобных сайтах становятся все более развернутыми, запутанными и юридически грамотными — но «услуга» так и остается «честным способом отъема денег у населения». Надеюсь, уровень IQ наших читателей позволит им не попасться на удочку! Полную версию блога смотрите на сайте Securelist.com/ru. Спам-статистика за период 9-15 ноября 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 85,1%. Тематическое распределение спама на прошлой неделе претерпело значительные изменения. В связи с приближающимися новогодними праздниками значительно увеличилась доля тематики «Отдых и путешествия» (+6,3%) — спамеры предлагают услуги по организации праздничных мероприятий и путешествия на зимние каникулы в теплые края. Уменьшились доли рубрик «Образование» (-3,4%), «Реплики элитных товаров» (-3,3%), «Компьютеры и Интернет» (-2,6%), «Медикаменты; товары/услуги для здоровья» (-2,3%). Колебания долей других тематик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   24,0%   -3,4%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   13,8%   -2,3%   3   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   13,4%   +6,3%   4   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   9,0%   -3,3%   5   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   8,6%   +0,9%   6   Другие товары и услуги   Предложения других товаров и услуг.   7,8%   +2,0%   7   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   5,5%   -2,6%   8   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   4,4%   +0,5%   9   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   4,0%   +1,9%   10   Юридические услуги и аудит   Предложения юридических услуг.   3,9%   +1,2%   11   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   2,1%   -1,4%   12   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -0,3%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   +0,8%   14   Остальной спам     Менее 2%   -0,2%   Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009