Электронный журнал "Спамтест" No. 325 в этом номере: Новости Спам в марте 2010 года Спам-статистика за период 29 марта – 4 апреля 2010 г. Новости MessageLabs: IP почтового сервера не указывает на источник атаки Согласно статистике MessageLabs, в марте спам из новых и неизвестных источников составлял 90,7% почтового трафика. Около половины таргетированных спам-рассылок были проведены с азиатских компьютеров. Наиболее высокий уровень спама наблюдался в Венгрии (95,7%), а в разделении по отраслям хозяйственной деятельности – на предприятиях машиностроительной промышленности (94,7%). Более трети вредоносных сообщений, разосланных с целью промышленного шпионажа, были отправлены с американских почтовых веб-сервисов. Однако тщательный анализ заголовков писем показал, что реальные источники шпионского спама находятся на территории разных стран, в первую очередь Китая (28,2% от общего количества), Румынии (21,1%), США (13,8%), Тайваня (12,9%) и Великобритании (12,0%). В 84% случаев истинные отправители базировались в Азии или Европе. Повышенным спросом у злоумышленников пользовалась информация о торговой политике и оборонных мероприятиях, касающихся взаимоотношений с азиатскими странами. Исследователи MessageLabs также представили статистику по использованию спамерами вредоносных вложений в разных форматах. Наибольшее распространение в отчетный период получили xls- и doc-файлы (по 15,4% от общего числа зараженных вложений). Однако самую большую опасность представляли вложения в формате rar: они оказывались зараженными в 96,8% случаев. Из необычных спам-рассылок эксперты отметили шифрованные сообщения, распространяемые по TLS-каналам. По оценке MessageLabs, их вклад в мартовский спам-трафик составлял 20%. Особое рвение проявляли операторы Rustock: в течение месяца на TLS-спам приходилось около 77% почтового мусора, отправляемого с использованием этого ботнета. Источник: messagelabs.com Российские SMS-мошенники охотятся за банковскими реквизитами Российские банки предупреждают об учащении мошеннических SMS-рассылок, нацеленных на выуживание конфиденциальной информации у держателей пластиковых карт. Владельца карты от имени кредитной организации извещают об окончании срока действия карты, ее блокировке, изменении PIN-кода или о превышении кредита. Для прояснения ситуации ему предлагается связаться по указанному телефону с неким «оператором». При контакте мошенники, представляясь сотрудниками банка, запрашивают личную информацию и данные банковской карты, включая PIN-код, — нетрудно догадаться, с какой целью. Согласно правилам безопасности, разработанным Центробанком РФ, никто не имеет право интересоваться PIN-кодом карты, выданной кредитной организацией. Его ни в коем случае нельзя сообщать третьим лицам, даже представителям банка. Следует помнить, что любой эмитент пластиковых карт при высылке SMS указывает только прямые номера телефонов (без федеральных кодов) или бесплатный номер, начинающийся с 8-800. Кроме того, в тексте сообщения должны присутствовать последние цифры номера карты. По всем подозрительным сообщениям владельцев карт просят звонить в круглосуточную службу поддержки клиентов банка. Источник: finnews.ru Источник: banki.ru Источник: alfabank.ru Cloudmark: сократите этот спам По оценке Cloudmark, около 40% сервисов коротких ссылок регулярно используются спамерами. За последнюю неделю марта исследователи обнаружили 707 веб-сайтов, предоставляющих услуги по сокращению URL. 275 из них были ответственны за генерацию коротких ссылок, привязанных к страницам со спам-рекламой. В целом Cloudmark насчитала 5868 сокращенных URL, направлявших пользователей на ресурсы спамеров. Короткие ссылки снискали большую популярность в среде киберкриминала, так как позволяют замаскировать истинное местонахождение источника спам-рекламы, фишинговых страниц или зараженного ресурса. По словам экспертов, количество сервисов по сокращению ссылок с каждым днем увеличивается. К сожалению, участники этого рынка редко проявляют заботу о защите своих служб от злоупотреблений. Источник: blog.cloudmark.com Спам-реклама меняет гражданство По свидетельству экспертов, почти все страницы, используемые спамерами для продвижения интернет-аптек, перекочевали с китайских доменов на российские. Согласно результатам исследований, проводимых в университете штата Алабама, г. Бирмингем (UAB), до недавнего времени почти три четверти URL, указываемых в спаме, были привязаны к зоне .cn. Большинство из них содержали рекламу нелицензированных интернет-аптек. К концу января число спамерских доменов, зарегистрированных в китайской национальной зоне, резко сократилось, а количество новых регистраций в зоне .ru заметно увеличилось. Symantec также отметила, что в начале февраля использование китайских доменов в спаме сократилось практически до нуля, а российских – увеличилось почти до 40% от всего URL-спама. И, в основном, это была все та же реклама скидок на фармацевтические изделия, изменился лишь TLD, присутствующий в ссылках. Миграцию фармаспамеров подтверждают и последние данные Консорциума разработчиков сетевого ПО (Internet Systems Consortium, ISC). За сутки они насчитали более 10 тыс. уникальных доменных имен, используемых в спаме. Более 1870 из них идентифицировали новые сайты, торгующие медикаментами. При этом 490 доменов оказались зарегистрированными в зоне .com, 18 – в зоне .cn, а остальные были привязаны к зоне .ru. По-видимому, такие результаты – следствие ужесточения правил регистрации в китайской национальной зоне. Остается надеяться, что аналогичная кампания в Рунете заставит спамеров покинуть новое пристанище и продолжить скитания, пока перед ними не захлопнут последнюю дверь. Графики к посту смотрите, пожалуйста, на сайте Securelist.com/ru Источник: krebsonsecurity.com Источник: symantec.com Спам в марте 2010 года Мария Наместникова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с февралем уменьшилась на 3,2% и составила в среднем 82,9%. Ссылки на фишинговые сайты находились в 0,03% всех электронных писем, что на 0,84% меньше, чем в феврале. Вредоносные файлы содержались в 0,5% электронных сообщений, что на 0,68% меньше, чем в прошлом месяце. Среди спам-тематик снова лидирует спам, предлагающий отдых и путешествия. Для обхода спам-фильтров злоумышленники по-прежнему используют изменяющиеся картинки и закрашенные ячейки html-таблиц. Доля спама в почтовом трафике Доля спама в почтовом трафике в марте 2010 года в среднем составила 82,9%. Самый низкий показатель месяца был зафиксирован 5 марта — 78%; больше всего спама было получено пользователями Рунета 20 числа — 90,1%. Страны — источники спама В марте среди стран — источников спама по-прежнему лидируют США (14,7%) и Индия (7,3%). В остальном первая пятерка выглядит иначе. С пятого на третье место в рейтинге сместилась Россия, с территории которой было распространено 6,9% всего мирового спама(+2,3%). Четвертое и пятое места поделили Вьетнам и Румыния, с территории этих стран в марте было разослано по 4,8% всего спама. Республика Корея, в феврале занимавшая третье место в рейтинге, в марте оказалась лишь на восьмом месте с показателем 4,1% (-3,4%). Бразилия, ранее входившая в первую тройку стран — источников спама, уже второй месяц находится на девятой позиции в рейтинге. С территории этой страны было распространено 3,1% спама. Китай, ранее входивший в десятку стран, с территории которых распространяется наибольшее количество спама, уже второй месяц занимает последние строчки рейтинга (1,6%). С территории Украины было распространено на 1,2% больше спама, чем в прошлом месяце, в результате эта страна заняла шестую строчку рейтинга (4,2%). Количество спама, распространяемого из этой страны, стабильно растет, что позволяет предположить, что в ближайшие несколько месяцев Украина может занять место сдавшего свои позиции Китая и оказаться в числе лидирующих стран — источников спама. В целом, с территории стран бывшего Советского Союза в марте спама было распространено примерно столько же (14,8%), сколько с территории США. Фишинг Ссылки на фишинговые сайты находились в 0,03% всех электронных писем, что на 0,84% меньше, чем в феврале. В марте лидерами среди наиболее часто атакуемых фишерами организаций снова стали PayPal (45,4%, -8,6%) и eBay (15,4%, +1,4%). Третью и четвертую позиции рейтинга, как и в прошлом месяце, занимают Facebook (7,7%, +1,6%) и HSBC (7,5%, -0,2%), они лишь поменялись местами. Банки, в частности, Bank of America, в марте тоже были интересны фишерам. В марте нами снова было получено значительное количество фишинговых писем, целью которых были пользователи он-лайн игры World of Warcraft. Такие письма по-прежнему представляют собой не слишком изощренную подделку — чаще всего они состоят из текста, повествующего о возможной блокировке игрового аккаунта, и ссылки. Ссылка, которую видит пользователь, выглядит как переход на заглавную страницу сайта онлайн-игры, однако на самом деле через нее происходит переадресация на фишинговый сайт, на котором пользователю предлагается ввести свои регистрационные данные. Разумеется, внимательный пользователь делать этого не будет. В десятке самых часто атакуемых фишерами организаций пятую строчку в марте заняла компания Google. Однако под прицелом оказался и один из ее конкурентов — Yahoo! Забавно, что помимо стандартной формы, которую надо было заполнить, чтобы «аккаунт не был заблокирован в течении 72 часов», фишеры просили ввести буквы, показанные на картинке ниже, в форму системы CAPCHA, которая используется для того, чтобы избежать авторегистрации с использованием бота. Вредоносные программы в почте Вредоносные файлы содержались в 0,5% электронных сообщений, что на 0,68% меньше, чем в прошлом месяце. Среди вредоносных программ, наиболее часто встречавшихся в почте, снова лидирует Trojan-Spy.HTML.Fraud.gen, основная задача которого — сбор личных и регистрационных данных пользователя. Интересно, что львиная доля всех случаев распространения этого троянца — почти половина — имела место в Великобритании. Второй по распространенности в мартовской почте зловред — это Trojan-Downloader.Win32.FraudLoad.gmx, который загружает на компьютер-жертву файл, детектируемый «Лабораторией Касперского» как Trojan.Win32.Sasfis.ajil. Сразу три троянца, представленные в нашей десятке, относятся к семейству Trojan.Win32.Agent. Это вредоносные программы, занимающие четвертую, седьмую и десятую строчки рейтинга. В общей сложности около 7% зловредов, распространенных в почте в марте, относились к этому семейству. Кроме того, интересно отметить троянские программы Trojan.Win32.FraudPack.aolb и Trojan.Win32.FraudPack.apee, расположившиеся на 8-й и 10-й строчках и обнаруженные в 2% и 1,84% всех писем соответственно. Данные зловреды представляют собой фальшивые антивирусы, которые вымогают у пользователя деньги, а также под видом установки обновлений скачивают на компьютер пользователя другие вредоносные программы. Почтовый червь NetSky, который в августе, сентябре и декабре 2009 года уже присутствовал в списках самых распространенных в почте вредоносных программ, снова попал в десятку. На этот раз его модификация Email-Worm.Win32.NetSky.q заняла шестую строчку рейтинга. Интересно отметить тот факт, что рассылка от имени почтовой системы UPS до сих пор не надоела спамерам. Вредоносные программы, распространяемые с помощью этой уловки, продолжают меняться. Так, в марте в письмах от лже-UPS рассылались представленные в нашей десятке троянцы семейства Trojan.Win32.FraudPack и Trojan.Win32.Agent. Популярным среди спамеров остается и метод распространения вредоносных программ в архиве с паролем. Пароль в таком случае можно найти в теле письма, а в архиве, по утверждениям спамеров, находится очень важный конфиденциальный документ, который якобы никак нельзя переслать иным образом. Причем документ, находящийся в архиве, имеет название, заканчивающееся на .txt, или .doc. На самом деле в архиве находился Email-Worm.Win32.Beloy.a — почтовый червь, добавленный в наши антивирусные базы еще в 2007 году. Интересно, что в марте этот червь был мало распространен, и все случаи его детектирования нашим почтовым антивирусом имели место в Румынии и Соединенных Штатах Америки. Тематический состав спама Пятерка лидирующих спам-тематик марта: Отдых и путешествия — 18,5% (+2,8%) Образование — 18,1% (-0,8%) Медикаменты; товары/услуги для здоровья — 12,5% (-3%) Компьютерное мошенничество — 7,4% (-1,8%) Компьютеры и интернет — 5% (-1,5%) На первых строчках в пятерке лидирующих спам-тематик снова оказались тематики «Отдых и путешествия» и «Образование». По сравнению с февралем они поменялись местами, хотя количество писем этих тематик изменилось не слишком сильно. Рубрика «Отдых и путешествия» вырвались на первое место в связи с тем, что пользователи уже начинают задумываться о путешествиях в период майских праздников, чем с радостью пользуются не слишком добросовестные турфирмы, заказывающие спам. Количество такого спама стало расти во второй половине марта. В спамерских письмах тематики «Образование» чаще всего предлагалось принять участие в различных семинарах или научиться чему-либо, способствующему ведению бизнеса. Однако в марте спамеры предлагали не только участие в семинарах, но и фальшивые дипломы различных ВУЗов. В одной из таких рассылок в качестве добавки к рекламному предложению использовался некий литературный текст, менявшийся от письма к письму. Таким образом спамеры пытались добиться вариабельности писем, надеясь, что это поможет им обойти спам-фильтры. По уже сложившейся традиции спамеры, распространяющие виагру, рассылка рекламы которой составляет львиную доли рубрики «Медикаменты; товары/услуги для здоровья», приукрасили свои шаблонные сайты, используя атрибутику грядущих праздников — а именно, приближающейся Пасхи. Приближение праздника Пасхи, однако, заметили не только распространители дешевых медицинских товаров. По всей видимости, те же спамеры, что под Рождество обещали прислать всем желающим персонализированные письма от Санта Клауса, в марте предлагали письма от Пасхального Зайчика! По крайней мере, тема письма, а также стоимость послания, говорят о том, что письма от Санты и письма от Пасхального Зайца пишут одни и те же люди. В целом же количество писем тематики «Другие товары и услуги», к которым относится, в том числе, и приведенное выше письмо, несколько снизилось (-1,4%). Количество писем, относящихся к тематике «Компьютерное мошенничество», тоже уменьшилось (-1,8%), что не может не радовать. Однако процент такого спама остается достаточно высоким (7,4%). В марте по Рунету прошли довольно крупные рассылки, рекламирующие «новое изобретение» мошенников — стереогипноз. Ссылки вели на сайт, где предлагалось скачать видеофайлы, якобы вызывающие различные эмоции и ощущения. Для того, чтобы заполучить чудо-файл, надо было отправить SMS-сообщение на короткий номер. Спамерские методы и трюки В марте спамеры снова вспомнили о старых и проверенных методах: об изменяющихся картинках и о ячейках html-таблиц, закрашенных в определенном порядке. Трюк с изменяющимися зашумленными картинками традиционно использовался спамерами для двух случаев, первый из которых — реклама виагры, в которую, помимо картинки спамеры вставляли в письма фрагмент литературного текста, менявшегося от письма к письму. В предыдущих отчетах мы уже отмечали, что использование таких картинок лишает заказчика спама большой части аудитории, а именно — всех тех, кто не возьмет на себя труд вбивать адрес сайта вручную. Второй случай применения зашумленных картинок — это самореклама спамеров. Такого спама по-прежнему довольно мало, но, видимо, спамеры решили страховаться на случай повторения кризиса, и более эффективные трюки для обхода спам фильтров оставляют именно для себя. Специальным образом закрашенные ячейки html-таблицы можно было видеть в письме, рекламирующем сайт знакомств. Раньше с помощью этого приема обычно изображался адрес сайта, в данном же случае с помощью ячеек был сконструирован сам текст сообщения. Ссылка на сайт была написана обычным образом. Заключение Процент фишинговых писем в почте в марте значительно уменьшился, что, конечно, не может не радовать. Количество вредоносных вложений в почте также вернулось к январскому уровню. Незначительно снизилось и количество спама тематики «Компьютерное мошенничество». Таким образом, прослеживается некоторая тенденция к уменьшению криминальных составляющих спама. Место вредоносных, фишинговых и мошеннических рассылок занимают спамерские письма тематической категории «Отдых и путешествия». Это, бесспорно, связано с приближением майских праздников, а также уже не столь далекого сезона летних отпусков. Для обхода спам-фильтров спамеры практически не придумывают новых трюков, предпочитая обходиться старыми проверенными средствами. Должно быть, такое положение вещей не изменится еще довольно долгое время. Полную версию статьи смотрите, пожалуйста, на сайте Securelist.com/ru Спам-статистика за период 29 марта – 4 апреля 2010 г. "Лаборатория Касперского" Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 83,6%. В тематическом распределении спама продолжает лидировать рубрика «Отдых и путешествая», которая прибавила еще 3,8%. Увеличилась и доля второй по популярности спамерской тематики – «Образование» (+2,2%). Колебания долей других тематик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   23,2%   +3,8%   2   Образование   Реклама семинаров, тренингов, курсов.   21,4%   +2,2%   3   Другие товары и услуги   Предложения других товаров и услуг.   12,8%   -1,0%   4   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   9,0%   +0,3%   5   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   7,7%   -1,1%   6   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   6,2%   -0,1%   7   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   4,7%   +1,2%   8   Юридические услуги и аудит   Предложения юридических услуг.   3,5%   -1,6%   9   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   2,7%   +1,4%   10   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   2,6%   -1,3%   11   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   2,4%   -0,1%   12   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   Менее 2%   -1,3%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -1,8%   14   Остальной спам     Менее 2%   -0,7%   Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2010