Электронный журнал "Спамтест" No. 321 в этом номере: Новости Спам в феврале 2010 года Спам-статистика за период 1-7 марта 2010 г. Новости RSA: фишеры делают ставку на студенчество Согласно статистике [PDF 832 Кб] RSA Security, в январе число фишинговых атак увеличилось на 21% и достигло рекордной цифры — 18820. Это вдвое больше, чем было зафиксировано год назад. Большинство поддельных страниц (62%) хостились на поддоменах легальных ресурсов. В 24% атак фишеры использовали для хостинга ботнеты, при этом IP-адреса страниц-ловушек были замаскированы с помощью технологии fast-flux. Больше половины фишинговых страниц обнаружено на территории США. Эта же страна больше прочих страдала от фишинга: в январе на ее долю пришлось около половины атак, нацеленных на хищение персональной информации. Особой эффективностью отличаются атаки, проводимые фишерами в социальных сетях, так как они основаны на эксплуатации доверительных взаимоотношений, сложившихся в этих интернет-сообществах. В отчетный период исследователи также отметили увеличение числа фишинговых атак в сетях высших образовательных учреждений США. При этом 70% имитаций, созданных фишерами, воспроизводили онлайн-порталы колледжей и университетов, а 30% — почтовые веб-сервисы, учрежденные администрацией специально для студентов. Университетские сети — благодатная почва для охотников за пользовательскими данными. Современная молодежь активно пользуется интернетом, а уровень защиты академических ресурсов от сетевых атак оставляет желать лучшего. По данным RSA, из-за январского наступления фишеров в некоторых американских учебных заведениях заметно увеличились потоки спама и «нигерийских» писем, исходящих с внутренних адресов. Источник: rsa.com [PDF 832 Кб] Источник: v3.co.uk Zbot наносит ядерный удар Злоумышленники вновь распускают слухи о ядерной угрозе, чтобы заставить пользователей самовольно загрузить зловреда. Распространяемое ими спамовое сообщение написано от имени Управления директора национальной разведки США. В нем говорится, что Северная Корея якобы атаковала японский остров Окинава, запустив ракету с ядерной боеголовкой. По свидетельству экспертов, послание безупречно оформлено и завершается внушительным списком авторитетных правительственных инстанций, ответственных за мобилизацию. Получателю также предлагается просмотреть некий видеоролик с отчетом о разрушительных последствиях «ядерного удара». При активации указанной ссылки на компьютер загружается zip-файл с исполняемым содержимым. Зловред плохо детектируется антивирусами из списка Virus Total. Продукт ЛК определяет его как Trojan-Spy.Win32.Zbot.agki. Как удалось установить, командный сервер соответствующего ботнета находится на территории Китая, а сама зомби-сеть неоднократно использовалась для проведения вредоносных и фишинговых атак. Источник: isc.sans.org Источник: omninerd.com Девичья фамилия не защитит аккаунт от взлома Согласно результатам академических исследований, 1 пароль из 80 может оказаться в руках злоумышленников из-за ненадежности контрольных вопросов, используемых для восстановления доступа к аккаунтам. Многие веб-сайты, в том числе финансовые и почтовые, предусматривают процедуру восстановления забытого пароля. В большинстве случаев таким дополнительным средством идентификации служит контрольная пара вопрос-ответ, предварительно заданная самим пользователем. Для упрощения выбора ему обычно предлагается целый список стандартных немудрящих вопросов: дата или место рождения, девичья фамилия матери, имя любимого питомца и т.п. При этом на почтовом веб-сервисе, например, забывчивому клиенту дается три попытки для ввода правильного ответа. В случае неудачи аккаунт будет заблокирован на несколько дней или на сутки. Американские исследователи проанализировали 270 млн. имен и фамилий, упоминаемых на Facebook, и подтвердили, что найти ответы на стандартные контрольные вопросы не составляет особого труда, особенно для тех, кто знаком с владельцем аккаунта. Родные и близкие угадывают правильный ответ в 17% случаев. Злоумышленники могут потратить несколько часов на поиски в интернете и, скорее всего, обнаружат информацию, позволяющую угадать правильный ответ с трех попыток. Если потенциальная жертва — американец, задача упрощается: в США государственные записи о регистрации рождений и бракосочетаний хранятся длительное время. Ввиду того, что идентификация путем ответа на стандартные вопросы оказалась весьма ненадежным методом, исследователи рекомендуют держателям веб-сервисов более ответственно относиться к составлению контрольных вопросников или избрать другой способ защиты. Источник: news.bbc.co.uk APWG: фишеры предпочитают китов В декабре Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зарегистрировала [PDF] на 29% меньше фишинговых рассылок, чем в августе. Вместе с тем эксперты отметили увеличение количества персонализированных атак в адрес лиц, данные которых представляют большую ценность для злоумышленников. По оценке APWG, за последний квартал активность фишеров заметно снизилась, хотя число действующих сайтов-ловушек оставалось достаточно стабильным. Тем не менее, даже пиковый показатель (46522), зафиксированный в октябре, был на 18% ниже, чем рекорд предыдущего квартала. Главным хостером фишинговых страниц на протяжении всего квартала оставались США, на ресурсах которых к концу года было найдено более 70% таких приманок. При выборе мишеней злоумышленники по-прежнему отдают предпочтение финансовым структурам (39% атак) и платежным сервисам (33%). Однако, судя по набору атакуемых брэндов, круг их интересов постепенно расширяется. По свидетельству APWG, в октябре фишеры установили своеобразный годовой рекорд, подделав 356 разных организаций. В поисках перспективной добычи злоумышленники все чаще используют такие методы, как spear-phishing и whale-phishing. Они проводят ограниченные по объему персонализированные рассылки в адрес лиц, которые в силу своего корпоративного статуса имеют доступ к защищенным онлайн-ресурсам — банковским счетам, VPN-сетям и пр. Вклад этих целевых атак в общий фишинговый трафик невелик, но в случае их успеха размеры ущерба могут быть весьма значительными. Источник: antiphishing.org Источник: net-security.org Источник: scmagazineuk.com MessageLabs о конкуренции в подпольном фармабизнесе По оценке MessageLabs, более 65% спама в настоящее время продвигает фармацевтические изделия. Судя по оформлению рекламных страниц и агрессивности рассылок, на этом рынке соперничают две криминальные группировки, продвигающие свои услуги с помощью ботнетов. Одна из них давно занимается этим бизнесом. Достаточно сказать, что она владеет сетью интернет-аптек Canadian Pharmacy, имя которой уже несколько лет не сходит со спам-арены. Ей же, очевидно, принадлежат ресурсы United Pharmacy, European Pharmacy, Canadian HealthCare и Online Pharmacy, идентичные Canadian Pharmacy по дизайну и предлагаемым расценкам. Они даже связаны между собой перекрестными ссылками. Вторая группировка — новичок на рынке контрафактных медикаментов. Названия ее интернет-аптек привязаны к разным регионам: Indian Pharmacy, Toronto Drug Store, Mexican Pharmacy, Canadian HealthCare Mall и др. Они предлагают одинаковый ассортимент с идентичными расценками и скидками, используют одни и те же тексты и рекламные баннеры. По дизайну эти фармасайты отдаленно напоминают Canadian Pharmacy, но более ничем с ней не связаны. По-видимому, их владельцы пытаются таким образом привлечь чужую клиентуру, хотя и вынуждены пока торговать по более высоким ценам, чем конкуренты. Источник: messagelabs.com Twitter-фильтр для внешних ссылок На Twitter запущен сервис Twt.tl, который обеспечит обнаружение, перехват и предотвращение распространения зловредных ссылок в сообществе твиттерян. Теперь все URL в твит-сообщениях будут проверяться с помощью «черных списков». URL-сканер аналогичен тем, что применяются на других сервисах — таких, как Gmail. Как дополнительная мера безопасности все «чистые» ссылки будут автоматически заменяться короткими. На Twitter теперь работает собственный полнофункциональный генератор сокращенных ссылок (ранее социальный сайт по умолчанию использовал сервис Bit.ly). Усиление защиты Twitter вызвано повышенным вниманием фишеров и других недоброжелателей к этой социальной сети. Поскольку они внедряют свои ссылки, в основном, в приватные сообщения (direct messages), URL-фильтр пока поставлен только на эту ленту. Проверка производится в фоновом режиме, и пользователь может обнаружить лишь ее результат — короткие ссылки в персональных сообщениях и соответствующих почтовых уведомлениях. Источник: blog.twitter.com Спам в феврале 2010 года Мария Наместникова, «Лаборатория Касперского» Особенности месяца Доля спама в почтовом трафике по сравнению с декабрем не изменилась и составила в среднем 86,1%. Ссылки на фишинговые сайты находились в 0,87% всех электронных писем, что на 0,06% больше, чем в январе. Вредоносные файлы содержались в 1,18% электронных сообщений, что на 1,11% больше, чем в прошлом месяце. Распределение спам-тематик вернулось к декабрьским показателям. Для зашумления текстов спамеры стали использовать стихи собственного сочинения. Доля спама в почтовом трафике Доля спама в почтовом трафике в феврале 2010 года в среднем составила 86,1%. Самый низкий показатель месяца был зафиксирован 15 февраля — 80,5%; больше всего спама было получено пользователями Рунета 21 числа — 90,8%. Страны — источники спама В январе лидером среди стран — источников спама снова стали США, однако с их территории было распространено на 7% меньше спама, чем в прошлом месяце. На второе место вышла Индия: из этой страны было распространено 8,8% всего спама, что на 2,7% больше, чем в прошлом месяце. Самыми заметными изменениями в двадцатке стало уменьшение количества спама, распространенного из Бразилии (-4,7%), России (-2,5%) и Китая (-1,3%). Бразилия при этом переместилась со второй строчки рейтинга на девятую. Количество спама, распространенного из Кореи и Вьетнама, занявших третью и четвертую строчки рейтинга соответственно, возросло вдвое (+2,5% Вьетнам и +3,9% Корея). С территории Украины было распространено на 1,2% больше спама, чем в прошлом месяце. Эта страна поднялась на восьмую строчку рейтинга. Интересно отметить появление в двадцатке стран, из которых ранее распространялось менее одного процента спама, — это Япония, Израиль, Тайланд и Саудовская Аравия. Фишинг Ссылки на фишинговые сайты находились в 0,87% всех электронных писем, что на 0,06% больше, чем в январе. В феврале лидерами среди организаций, наиболее часто атакованных фишерами, снова стали PayPal (53,97%) и eBay (14,05%). Третья и четвертая позиции рейтинга также не изменились по сравнению с прошлым месяцем: их занимают HSBC (7,65%) и Facebook (6,05%). В феврале нами была зафиксирована фишинговая рассылка, к которой злоумышленники, по-видимому, отнеслись слишком небрежно. В разосланное от имени PayPal письмо, требующее подтвердить персональные данные, не была вставлена фишинговая ссылка. Кроме того, картинка с логотипом PayPal также была вставлена не слишком умело — от нее осталась только синяя полоска в левом верхнем углу сообщения. Что касается фишинговых рассылок, нацеленных на пользователей социальной сети Facebook, то они по-прежнему выглядят очень профессионально. В html-версии письма ничто не выдает подлог. Однако ссылка, по которой предлагается перейти пользователю, никакого отношения к Facebook не имеет и выглядит следующим образом: www.facebook.com.*********.com.pl Facebook — не единственная социальная сеть, подвергнувшаяся фишинговым атакам. Пользователи российской социальной сети ВКонтакте также рисковали потерять свои аккаунты. Нами была зафиксирована рассылка, в которой пользователям этой сети предлагалось подтвердить, что они не являются ботами. Для этого необходимо было перейти по указанной ссылке, лишь отдаленно напоминающей адрес соцсети, и ввести там свои логин и пароль. Вредоносные программы в спаме Вредоносные файлы содержались в 1,18% электронных сообщений, что на 1,11% больше, чем в прошлом месяце. В феврале 2010 года социальная сеть Facebook, а также банк HSBC, стали предметом активного интереса не только со стороны фишеров, но и со стороны злоумышленников, распространяющих вредоносные программы. Нами была зафиксирована рассылка от имени Facebook, в которой пользователям предлагалось подтвердить новое соглашение по безопасности, якобы начинающее действовать в этой социальной сети. «Соглашение» было приложено к письму в виде zip-архива. На деле, вместо пользовательского соглашения, архив содержал вредоносную программу — Trojan-Downloader. В рассылке от имени банка HSBC вложений не было. Здесь, согласно лучшим традициям фишинговых писем, была ссылка, на которую необходимо кликнуть, чтобы подтвердить свою активность в интернет-банкинге. Ссылка, однако, вела не на фишинговый сайт, а на файл “hsbc.exe” (бэкдор Backdoor.IRC.Zapchast.zwrc), который тут же пытался загрузиться на компьютер-жертву. Интернет-магазин Amazon также попал в поле зрения распространителей вредоносных программ. В рассылке от имени этой крупной организации пользователю предлагалось ознакомиться с деталями своего уже совершенного и предоплаченного заказа. В zip-архиве, прикрепленном к письму, пользователь к своему неудовольствию обнаруживал исполняемый файл, а именно Trojan-Dropper.Win32.Agent.bqdn. В феврале злоумышленники все чаще обращались к старому испытанному способу распространения вредоносных программ, — они рассылали сообщения с сенсационными заголовками и текстами, стараясь вынудить пользователей просмотреть «видео» в приложении. В одной из таких рассылок «засветились» скандальные фотографии Бритни Спирс. Интересно отметить, что, несмотря на День святого Валентина, не наблюдалось бума «открыточного» спама. Ранее мы предполагали, что в канун этого праздника пройдет волна поддельных электронных открыток, используемых для распространения зловредов. Однако этого не произошло. Тематический состав спама Пятерка лидирующих спам-тематик февраля: Пятерка лидирующих спам-тематик февраля: Образование — 18,9% (+4,7%) Отдых и путешествия — 15,7% (+7,3%) Медикаменты; товары/услуги для здоровья — 15,5% (-2,6%) Компьютерное мошенничество — 9,2% (-2%) Компьютеры и интернет — 6,5% (-2%) Спам, распространяемый с целью получения прибыли от партнерских программ, снова уступил место спаму, заказанному реальными клиентами. На первые строчки рейтинга вновь поднялись тематики «Образование» с рекламой разнообразных семинаров и «Отдых и путешествия», значительно сдавшие свои позиции в январе. Январский спад такого спама во многом связан со снижением бизнес-активности в течение первых двух недель года, в феврале же тематический состав спама фактически вернулся к показателям декабря. Доля спама тематики «Отдых и путешествия» в феврале увеличилась вдвое (в январе мы наблюдали двукратное уменьшение такой рекламы). Этот спам был представлен в основном рассылками, рекламирующими корпоративные праздники и мероприятия, посвященные 23 февраля и 8 марта. Кроме того, удлиненные выходные в феврале и начале марта спровоцировали волну рекламы горящих путевок. Тематика «Медикаменты; товары/услуги для здоровья», большей частью состоящая из рекламы виагры и средств для похудения, также вернулась к декабрьским показателям. В рекламе препаратов «для взрослых» спамеры использовали день всех влюбленных, утверждая, что ночь любви — лучший подарок в этот праздник. Во второй половине февраля спам-рассылки с рекламой виагры также отличались оригинальностью. Как уже было замечено, спамеры в феврале проявили интерес к популярному интернет-магазину Amazon. С помощью лжеуведомлений от этой организации распространялись вредоносные вложения и реклама сайтов, торгующих виагрой. Пройдя по ссылке, пользователь обнаруживал, что он находится не на Amazon.com, а на шаблонной интернет-страничке, предлагающей дешевые медикаменты. Доля писем тематики «Компьютерное мошенничество» по-прежнему остается на высоком уровне. Хотелось бы напомнить, что в основном эта тематика представлена сообщениями о выигрышах в лотерею и нигерийскими письмами, зачастую эксплуатирующими злободневные темы. В феврале нигерийцы продолжили «собирать пожертвования» пострадавшим во время землятресения на Гаити, а несметные выигрыши в сомнительных лотереях частенько были связаны с грядущим чемпионатом мира по футболу. Распространители спама с рекламой реплик элитных товаров (-4,1% по сравнению с январем), утверждали, что подделка под марку Ролекс или другой известный бренд,— это как раз то, что каждый мечтает получить в День святого Валентина: Доля спама тематики «Другие товары и услуги» заметно возросла по сравнению с январем (+6,1%). Во многих рассылках предлагались подарки к февральским и мартовским праздникам. Часто встречалась реклама цветов: на английском языке — к 14 февраля, а на русском — к 8 марта. Попадались и рассылки, несвязанные с праздниками, — такие как предложения построить выставочный стенд или установить мобильный антирадар. К самым необычным предложениям можно отнести предложения нанять киллера или приобрести путевку в рай. Спамерские методы и трюки В феврале спамеры, должно быть, заразились всеобщим романтическим настроением. Такой вывод напрашивается, когда видишь трюк, использованный рассыльщиками для зашумления писем. Вместо привычных рекламных слоганов в начале письма красовались стихотворные строки, расхваливающие массовые рассылки. От письма к письму эти «стихи» значительно менялись. Кроме того, пытаясь обмануть спам-фильтры, злоумышленники случайным образом меняли в ценах нули на буквы «о». Англоязычные спамеры для зашумления текста в своих рассылках довольно часто использовали обратную замену — буквы «о» на ноль. Заключение Доля фишинговых писем в почте, как мы и предполагали, остается на прежнем уровне. Однако пользователей подстерегают другие опасности: увеличение количества вредоносных вложений, а также обилие спама тематики «Компьютерное мошенничество». Возвращение тематического состава спама к декабрьским показателям закономерно, — январские изменения были связаны с периодом снижения деловой активности в России. Можно предполагать, что в течение ближайших нескольких месяцев ситуация в спаме останется стабильной. Интересной приметой февраля стало резкое уменьшение в спаме количества ссылок, расположенных в доменной зоне .cn. Это связано с ужесточением правил регистрации доменов в Китае. Теперь во многих рассылках, рекламирующих виагру или порнографию, размещаются ссылки на домены, зарегистрированные в доменной зоне .ru. Полную версию статьи смотрите на сайте Securelist.com/ru. Спам-статистика за период 1-7 марта 2010 г. "Лаборатория Касперского" Доля спама в почтовом трафике Рунета на прошлой, предпраздничной, неделе в среднем составила 83,7%. Тематический состав спама заметно изменился. Уменьшились доли рубрик «Образование» (-4,0%) и «Компьютерное мошенничество» (-3,3%), «Компьютеры и интернет (-2,4%). Заметно увеличились доли тематик, относящихся к товарам и услугам: «Юридические услуги и аудит» (+2,5%) и «Недвижимость» (+3,0%), а также «Другие товары и услуги (+2,4%). Колебания долей других тематик остались в пределях 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   16,6%   -4,0%   2   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   15,8%   +0,8%   3   Другие товары и услуги   Предложения других товаров и услуг.   13,1%   +2,4%   4   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   11,5%   -1,3%   5   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   7,7%   -3,3%   6   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   6,5%   -2,4%   7   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   6,4%   +1,5%   8   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   5,4%   +0,1%   9   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   4,5%   +1,1%   10   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   4,4%   +3,0%   11   Юридические услуги и аудит   Предложения юридических услуг.   3,3%   +2,5%   12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,6%   +1,2%   13   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   Менее 2%   -1,2%   14   Остальной спам   0   Менее 2%   -0,5%   Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2010