Электронный журнал "Спамтест" No. 311 в этом номере: Новости Записки спам-аналитиков Спам-статистика за период 14-20 декабря 2009 г. Новости Project Honey Pot подводит итоги Активисты Honey Pot подытожили результаты эволюции спамерской деятельности, которую они отслеживали в течение пяти лет существования этого комьюнити-проекта. Список стран-спамеров, публикуемый Project Honey Pot, в настоящее время возглавляет Бразилия. Ее вклад в спам-трафик составляет 14,8%. Четвертую позицию, после Индии и Вьетнама, занимает Россия (6,6%). Исследователи отмечают, что большинство спам-рассылок осуществляется с ботнетов, поэтому показатель участия в спам-трафике говорит лишь о степени защищенности компьютерного парка в стране. В уходящем году они ежедневно регистрировали около 400 тыс. активных спамботов и полагают, что в действительности число машин, приобщенных к ботнетам, доходит до полумиллиона. Как показала практика, получить представление о реальном местонахождении источников спама можно, проследив деятельность программ-роботов, собирающих в Сети почтовые адреса для рассылки спама. Их работа невозможна без централизованного управления; механизмы сбора, как правило, — объект неизменный и территориально приближенный к штаб-квартире спамера. Как выяснилось, наибольшую активность спамерские «пауки» проявляют в США, Испании, Голландии, ОАЭ и Гонконге. С момента занесения адреса в базу до отсылки на него первого письма у современного спамера уходит примерно две с половиной недели — вдвое меньше, чем пять лет назад. Новый адресат получает в среднем 850 спамовых посланий. При этом скорость использования нового адреса в значительной мере зависит от специализации спамера. «Товарный» спам, в т.ч. реклама медикаментов, фальшивых дипломов и денежных вспомоществований, может появиться через месяц. Однако эта разновидность нелегитимных сообщений весьма навязчива; спам-рассылки бывают затяжными и проводятся по всему списку адресатов, в среднем по нескольку писем в неделю на каждый адрес. Фишеры и «нигерийские» мошенники, напротив, спешат ковать железо, пока горячо, а использовав новый адрес, ищут новые жертвы. Основным объектом фишинга являются финансовые организации, но, согласно статистике Honey Pot, в уходящем году повышенным вниманием фишеров пользовалась также аудитория социальных сетей. По количеству фишинговых атак на второе место — после JPMorgan Chase — вышел сервис Facebook (23 и 17% от общего числа соответственно). В выходные дни и праздники спамеры отдыхают. По оценке исследователей, в Рождество потоки спама сокращаются на 21%, в Новый Год — на 32%. По понедельникам спамеры трудятся не покладая рук, а в субботу производительность их ресурсов падает на 40%. Последние два года участники Project Honey Pot наблюдают рост активности наемных спамеров, заполняющих формы на веб-сайтах заказной рекламой и ссылками. Их инструментарий пока ограничен, но, если в ход пойдут ботнеты, коммент-спам может превратиться в серьезную угрозу. Источник: projecthoneypot.org Symantec: все больше спама из Азии и Латинской Америки Время подводить итоги, и Symantec с сожалением констатирует, что среднегодовой уровень спама в Сети был высоким — 87,4%. Источники спам-рассылок с середины года неуклонно смещаются в сторону Азиатско-Тихоокеанского региона и Южной Америки. По данным Symantec, вклад азиатских стран в ноябрьский спам-трафик составлял 26%, стран Латинской Америки — 25%. Значительно возросли потоки спама из Бразилии, которая теперь ответственна за 13% нелегитимной почты, из Вьетнама, Индии и Южной Кореи. Однако лидером рейтинга стран — источников спама пока остаются США (20%). В тематическом разделении спам-рассылок в минувшем месяце преобладала категория интернет-услуг (35% от общего объема спама), хотя ее вклад в спам-трафик уменьшился на 4%. Количество товарного спама и предложений финансового характера было примерно одинаковым (по 16%), а потоки «нигерийских» писем, по оценке Symantec, даже превосходили фармаспам (9 и 8% соответственно). В этом году вернулся на сцену графический спам. В начале лета на долю писем в картинках приходилось более 22% от общего объема спама в интернете. Количество нелегитимных писем с вложениями к концу года стало сокращаться и в ноябре в среднем составляло 5,27%. Что касается URL-спама, в прошлом месяце более половины используемых в нем ссылок были привязаны к доменной зоне .com, 32% — к зоне .cn. 71% спамовых сообщений по размеру относились к диапазону 2-5КБ, около 20% — 5-10КБ. Отличительной чертой уходящего года стало освоение спамерами новых сетевых пространств — блогов и социальных сетей. Исследователи также отметили всплеск спам-рассылок, нацеленных на распространение зловредов под видом безобидных вложений. В октябре вклад таких писем в спам-трафик в среднем составлял 2%. Количество атак фишеров в ноябре уменьшилось на 6% по сравнению с предыдущим месяцем. Число фишинговых страниц, созданных с помощью готовых комплектов для проведения кибератак, тоже сократилось — причем значительно, на 24%, — и составляло лишь четверть от общего количества. Основным объектом внимания фишеров остаются финансовые организации (81% фишинговых атак). Источник: eval.symantec.com [PDF 3,13 Мб] Источник: eval.symantec.com [PDF 2,04 Мб] Источник: symantec.com Бог троицу любит Главарь крупнейшей спамерской группировки Ланс Аткинсон (Lance Atkinson) оштрафован в третий раз — на сей раз австралийским судом. Криминальная группировка братьев Аткинсонов, получившая в Spamhaus условное наименование Herbal King, оперировала интернациональной сетью аффилированных предприятий по изготовлению и интернет-продаже поддельных медицинских препаратов. Свои изделия соучастники рекламировали через спам, рассылаемый с ботнетов, за что и были привлечены к ответу в разных странах. Судебные процессы в Новой Зеландии и США закончились для младшего Аткинсона штрафами. В Австралии иск против него выдвинула правительственная служба ACMA (Australian Communications and Media Authority), контролирующая средства связи и СМИ в стране. Основанием для иска послужили 140 тыс. официальных жалоб на спам, продвигающий услуги совместного «предприятия» Аткинсонов. Обвиняемый признался в содеянном, хотя и отметил, что запретил своим 45 наемникам рассылать спам на австралийские адреса. За нарушение антиспам-законодательства Австралии Лансу Аткинсону придется уплатить 210 тыс. долларов (почти 185 тыс. долларов США) штрафа и возместить судебные издержки в размере 15 тыс. долларов (немногим более 13 тыс. долларов США). В соответствии со статьями, вмененными Аткинсону, сумма штрафа могла бы быть вдесятеро больше, но суд принял во внимание его чистосердечное раскаяние и сотрудничество с властями. Осужденному также запрещено впредь заниматься спамерской деятельностью. Срок действия судебного приказа — 7 лет. Источник: news24.com Источник: brisbanetimes.com.au Заграница не помогла Два жителя Южной Кореи, подозреваемые в краже денежных средств с онлайн-счетов клиентов корейских финансовых организаций, арестованы в Китае. Как удалось установить, злоумышленники управляли криминальной схемой с единственного компьютера, размещенного на территории Китая. Вначале они рассылали спамовые письма с троянским вложением. При активации троянец загружал на зараженную машину программу, ворующую пароли к онлайн-аккаунтам, в том числе к электронной почте. Завладев чужими идентификаторами, сообщники отыскивали сохраненные в Сети финансовые реквизиты, открывающие доступ к онлайн-счетам. Деньги жертвы перекачивались на подставной счет, а затем изымались. По оценкам правоохранительных органов, с марта 2008 по июнь 2009 гг. преступная группировка присвоила более 440 млн. южнокорейских вон (около 372 тыс. долларов), обчистив 86 счетов в 32 финансовых организациях. По словам одного из задержанных, их схема работала только благодаря наивности жертв, которые хранили конфиденциальную информацию в интернете, полагаясь на надежность систем аутентификации веб-сервисов. С конца прошлого года количество жалоб на подобное мошенничество в Корее стало увеличиваться. Однако это первый случай, когда обидчиков удалось арестовать. Источник: joongangdaily.joins.com Молчание — золото? Ежегодно Англия и Уэльс теряют из-за мошенничества 14 млрд. фунтов стерлингов (около 22,6 млрд. долларов). По данным Управления добросовестной торговли Великобритании (Office of Fair Trading), только «нигерийские» мошенники ежегодно обкрадывают 70 тыс. англичан — в среднем на 2858 фунтов (4614 долларов). 10 тысяч становятся жертвами махинаций с инвестициями, отдавая в руки мошенников 2751 фунт (4440 долларов). «Выигрышами» в лотерею прельщаются 14 тыс. жителей Англии при средней величине персонального ущерба 42 фунта (около 68 долларов), «бесплатной» раздачей подарков и призов — 38 тыс. Каждый из них в среднем теряет 33 фунта (немногим более 53 долларов). Исследователи из университета английского города Портсмут утверждают, что большинство жертв интернет-мошенничества не обращаются в полицию, потому что им неловко признаться в собственной наивности. Основанием для такого вывода послужили итоги масштабного опроса, проведенного по заказу Ассоциации высших полицейских чинов (Association of Chief Police Officers, Acpo) и Национального управления по борьбе с мошенничеством (National Fraud Authority, NFA). В качестве причины респонденты также указывали, что сумма ущерба не стоила хлопот; что они не знали, куда обратиться, или вовсе не поняли, что их обвели вокруг пальца. Источник: capitalfm.com Записки спам-аналитиков Дмитрий Бестужев, "Лаборатория Касперского" Все о Бриттани Мерфи на Twitter Позавчера наши коллеги по антивирусной индустрии писали о том, что в результатах запросов в поисковиках по имени ‘Brittany Murphy’ было обнаружено несколько сайтов со ссылками на зловреды. Такая ситуация, конечно, совершенно обыденна. Злоумышленники не раз использовали точно такую же тактику и в случае смертей других известных личностей. Например, Майкла Джексона. Вчера мы обнаружили несколько аккаунтов в социальной сети Twitter, которые используются злоумышленниками для рассылки спама. Рассылаемые сообщения содержат ссылки как на ресурсы, связанные с зарабатыванием денег в интернете, так и на сайты с вредоносными программами. В обоих случаях используется имя недавно умершей актрисы Бриттани Мерфи. В сообщениях второго рода содержится укороченная ссылка bit.ly на сайт, на котором якобы можно получить дополнительную информацию об актрисе. Хотя теоретически все укороченные ссылки с bit.ly проверяются на наличие за ними зловредов, в данном случае, по всей видимости из-за огромного потока, они не могут быть обработаны достаточно быстро. Ссылка, приведенная на скриншоте, была опубликована за день до того, как мы ее нашли, и она все еще была активной. Дальше схема обычная — пользователь кликает по ссылке и его перебрасывает на сайт злоумышленников. За каждым из этих “роликов” со звездой на этом сайте стоит зловред Packed.Win32.Krap.ag. Этот зловред обладает бэкдор-функционалом и кроме того устанавливает на компьютер жертвы поддельный антивирус, требуя потом деньги за удаление “обнаруженных вирусов”. Проблема осложняется тем, что на момент написания блога количество сообщений о смерти известной актрисы в социальной сети Твиттер составляло 6,950,994,912, и, конечно, эта цифра постоянно растет. Многие пользователи, сами того не зная, распространяют сообщения злоумышленников по своим контактам, выбирая опцию “Retweet”. Таким образом, количество вредоносных сообщений увеличивается, и все большее количество пользователей могут стать их жертвами. Итак, на данный момент новость о смерти Бриттани Мерфи используется злоумышленниками для 2-х целей: Для распространения спама со ссылками на сайты различных услуг и товаров; Для заражения компьютеров пользователей зловредами. Пожалуйста, проявляйте максимальную осторожность при поиске через Твиттер или любую социальную сеть новости о Бриттани Мерфи. Помните, что именно самые горячие новости всегда используются злоумышленниками для совершения преступлений. Не кликайте по любой ссылке и, тем более, не пересылайте сообщения от чужих людей по вашим контактам. Иллюстрации к блогу смотрите на сайте Securelist.com/ru Спам-статистика за период 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 82,7%. Распределение спама по тематикам на прошлой неделе изменилось незначительно. Заметно увеличилась доля тематики «Реклама спамерских услуг» (+2,8%), стало меньше писем рубрики «Образование» (-4,6%). Колебания долей других тематик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   20,0%   -4,6%   2   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   16,0%   +1,5%   3   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   13,3%   +0,2%   4   Другие товары и услуги   Предложения других товаров и услуг.   10,8%   -0,8%   5   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   8,0%   Без изменений   6   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   6,8%   +1,9%   7   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   4,8%   +1,0%   8   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   4,7%   +1,0%   9   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   4,4%   +2,8%   10   Юридические услуги и аудит   Предложения юридических услуг.   3,8%   -0,1%   11   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   3,6%   -1,5%   12   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -1,6%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,5%   14   Остальной спам     Менее 2%   +0,7%   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009