Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 338

в этом номере:


Новости

МТС наказали за спам

Нижегородское Управление федеральной антимонопольной службы России (УФАС) признало ненадлежащей рекламу, распространяемую ОАО «Мобильные ТелеСистемы», и оштрафовало правонарушителя на 40 тыс. рублей.

В феврале один из абонентов МТС обратился в Нижегородское УФАС с жалобой на действия оператора. Заявитель сообщал, что, регулярно получая с короткого номера SMS-сообщения о лотереях и прочих акциях, он неоднократно пытался избавиться от навязчивой рекламы, но потерпел неудачу. Его обращения в службу техподдержки МТС, равно как и подключение специальной услуги «Запрет приема информационных SMS и SMS/MMS с сайта МТС», ни к чему не привели.

Проведя расследование, УФАС усмотрело в действиях оператора мобильной связи нарушение части 1 статьи 18 федерального закона «О рекламе», в соответствии с которой рекламодатель обязан доказать, что производит рассылку с согласия абонента. Многие пользователи изъявляют согласие на коммерческие рассылки, когда подписывают договор на оказание услуг — как правило, не читая. Однако в данном случае заявитель предпринял все действия, предусмотренные самим оператором для отказа от рассылки, и рекламодатель должен был немедленно прекратить распространение рекламы в его адрес. Поскольку этого не произошло, УФАС зафиксировало административное правонарушение со стороны МТС и применило соответствующие санкции.

Источник: fas.gov.ru

NFA: мошенничество — актуальная угроза в британском интернете

По оценке британского Национального управления по борьбе с мошенничеством (National Fraud Authority, NFA), годовые потери британцев от онлайн-мошенничества составляют http://www.actionfraud.org.uk/thousands-fight-back-against-fraudsters-july10 не менее 3,5 млрд. фунтов стерлингов (примерно 5,3 млрд. долларов).

За последние полгода центр поддержки жертв сетевого мошенничества (Action Fraud), созданный под эгидой NFA, принял 15 тыс. жалоб от населения. Суммы индивидуальных потерь заявителей составляли от 6 до 1 млн. фунтов (9-1,5 млн. долларов). К сожалению, в силу разных причин далеко не все жертвы торопятся уличить обидчиков, поэтому общенациональная статистика пока далека от истинного положения дел.

Насколько удалось определить, британцев чаще всего обманывают при совершении покупок в интернете и на онлайн-аукционах. Большой урон наносят также «нигерийские» схемы и знакомства вслепую.

Источник: actionfraud.org.uk

«Пегасу» подрезали крылья

Одна из подсетей украинского хостинг-провайдера PegasHosting, потворствующего криминальной активности, была отключена AS-провайдером NetDirekt.

Похоже, в блоке IP-адресов 178.162.135.0/24 нет ни одного легитимного веб-сайта. Здесь прочно обосновались рекрутеры «дропов» – агентов по отмыванию грязных денег, хостятся фармаспамеры, хакеры, распространители порноконтента и лукавые сводники. Домен PegasHosting.com был зарегистрирован пять месяцев назад на частное лицо.

По имеющимся сведениям, у названного хостинг-провайдера есть еще две подсети, которые используют другие подключения и пока продолжают функционировать.

Источник: blog.dynamoo.com

Symantec: июнь — месяц зловредного спама

По оценке Symantec, в минувшем месяце 88,32% электронной корреспонденции оказалось [PDF 3,15 Мб] спамом. Вклад вредоносных сообщений в спам-трафик в отдельные дни составлял 5 и даже 12% при среднем показателе за полгода 3%.

Рейтинг стран-спамеров по-прежнему возглавляют США; в отчетный период эта страна была ответственна за 20% глобального мусора. В тематическом разделении спам-рассылок заметно выделялась категория интернет-услуг: ее немалая доля в общем объеме нелегитимных писем увеличилась еще на 7% и в июне составила 37%. Количество фармаспама, по данным компании, напротив, уменьшилось на 11% — до 8% от общего объема мусорной почты. 18% спама составляла реклама промтоваров, 15% — предложения финансового характера, 13% — мошеннические и фишинговые письма.

Больше половины спамо-ссылок были привязаны к доменной зоне .com. Российский домен пользовался у спамеров меньшей популярностью, чем в предыдущем месяце: число мусорных писем с рунетовскими URL уменьшилось на 4,6% и составило 29,5% от общего количества. Половина нелегитимных сообщений по размеру не превышали 5 КБ. Основным актуальным событием, которое усердно эксплуатировали спамеры, был Чемпионат мира по футболу.

85% фишинговых посланий носили финансовый характер. Количество поддельных страниц-ловушек, зафиксированных в июне, на 25% превысило показатели предыдущего месяца. Особенно заметно увеличилось число поддельных страниц, созданных с помощью готовых комплектов для проведения кибератак, — на 123%. 55% фишинговых страниц было обнаружено на территории США.

Источник: symantec.com [PDF 3,15 Мб]

Symantec наблюдает рассылку зловредных pdf-файлов

Эксперты Symantec подметили, что, начиная с февраля, спам-рассылки с вредоносными pdf-вложениями проводятся с заметной периодичностью, примерно раз в месяц, и короткими всплесками.

Наиболее массовыми они были в конце апреля и в первый день июля. Последняя злонамеренная атака длилась всего 3 часа, но за этот период ее вклад в спам-трафик стал рекордным и составил 6%. Тему сообщения-приманки спамеры постоянно меняют: в апреле, например, это была мнимая смена настроек почтовых серверов, в июле – проверка счета, якобы выставленного телефонной компанией за междугородние и международные звонки.

Каждый раз послание спамеров сопровождает вложенный pdf-файл, поименованный в соответствии с заявленной темой. При активации он пытается эксплуатировать ту или иную уязвимость в Acrobat/Reader и в случае успеха загружает и запускает на машине жертвы исполняемый файл.

Источник: symantec.com

Ловушки для спамеров в социальных сетях

Университетские исследователи из двух американских штатов собирают статистику о поведении злоумышленников в социальных сетях, проверяя десятки подопытных профилей с помощью мониторинговой программы.

Аккаунты-ловушки были созданы в Twitter и MySpace с единственной целью – привлечь внимание спамеров, распространяющих мошеннические и фишинговые послания. В поддельных профилях автоматически публикуются настоящие сообщения из коллекции, собранной в соответствующей социальной сети. Экспериментаторы строго следят за тем, чтобы вывод сообщений был абсолютно произвольным. Для сбора данных о спамерах была создана специальная программа, которая помогает контролировать ловушки, ведет учет обновлений, анализирует спамовый контент и фиксирует демографическую информацию пользователей.

К настоящему моменту на 60 ловушках, размещенных в Twitter, удалось выявить свыше 30,8 тыс. спамеров. Данные, собранные в ходе исследования, были использованы для обучения алгоритма классификации. Как выяснилось, система, смоделированная на основе обученного алгоритма, способна безошибочно идентифицировать новых спамеров в более чем 80% случаев. Результаты моделирования будут опробованы на публичном веб-сервисе, который уже готовится к запуску.

Тем временем исследователи пытаются выяснить, что конкретно привлекает внимание спамеров в социальной сети. Они варьируют скорость публикации сообщений на ловушках, меняют демографические характеристики профилей. Пока удалось определить, что большинство злоумышленников, использующих социальные веб-сервисы, представляются юными ученицами колледжей, по большей части калифорнийских. В качестве жертв они чаще всего выбирают юношей такого же возраста.

Если ученым удастся заручиться соответствующим разрешением, работа будет продолжена на площадках Facebook. Данное исследование проводится при финансовой поддержке Google.

Источник: technologyreview.com


Спам в июне 2010 года

Мария Наместникова, "Лаборатория Касперского"

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с апрелем уменьшилась на 0,3% и составила в среднем 84,8 %.
  • Количество электронных писем, содержащих ссылки на фишинговые сайты не изменилось по сравнению с предыдущими месяцами.
  • Вредоносные файлы содержались в 2,68% электронных сообщений, что на 0,99% больше, чем в прошлом месяце.
  • Чемпионат мира по футболу не оставил спамеров равнодушными.
  • Спамеры предпочитают использовать старые и проверенные трюки.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в июне 2010 года в среднем составила 84,8%. Самый низкий показатель месяца был зафиксирован 4 июня — 80%; больше всего спама было получено пользователями 27 числа — 89 %.

Страны — источники спама

В рейтинге стран — источников спама произошли изменения. В TOP 5 поменялись три страны из пяти, хотя пара лидеров (США и Индия) и осталась прежней. Бразилия, Колумбия и Испания вошли в пятерку. Испано- и португало- говорящие государства вообще довольно широко представлены в TOP 20 стран — источников спама. Среди них: Мексика, Аргентина, Португалия, Марокко и Чили.

Россия сместилась с третьей строчки на шестую. С ее территории было разослано на 1,8% меньше спама, чем в мае.

В распределении источников спама по регионам лидирует Европа — из европейских стран было распространено почти 40% всех спамовых писем.

Фишинг

В десятке наиболее часто атакованных фишерами первые 6 организаций не изменились. По-прежнему с огромным отрывом лидирует PayPal. В июне на эту платежную систему пришлось почти на 20% больше атак, чем в мае. Доли остальных организаций из ТОР 6 уменьшились. Facebook и банк HSBC снова поменялись местами, заняв, соответственно, третью и четвертую строчки.

Интересно заметить, что в TOP 10 появилась популярная онлайн-игра World of Warcraft, о фишинговых рассылках, нацеленных на ее пользователей, мы уже не единожды писали в наших ежемесячных отчетах.

Одна из рассылок, адресованных пользователям платежной системы PayPal, содержит традиционный фишинговый текст с угрозой ограничения доступа к аккаунту в том случае, если пользователь не откроет вложение и «не пройдет процедуру обновления аккаунта». Во вложении находится фишинговая html-страница.

Вредоносные программы в почте

TOP 10 наиболее распространенных в почте вредоносных программ за июнь выглядит так:

  • Trojan-Downloader.JS.Pegel.g — 23,30%
  • Trojan.JS.Redirector.dz — 5,88%
  • Trojan-Downloader.JS.Pegel.bc — 5,67%
  • Trojan.Win32.Tdss.bemg — 5,38%
  • Trojan.Script.Iframer — 4,17%
  • Trojan.Win32.Pakes.Katusha.o — 3,13%
  • Trojan.Win32.Tdss.belr — 2,49%
  • Trojan-Spy.HTML.Fraud.gen — 2,33%
  • Trojan.Win32.Oficla.bb — 2,07%
  • Trojan.Win32.Agent.eihj — 1,71%

В TOP 10 наиболее распространенных в почте вредоносных программ с заметным отрывом лидируют зловреды семейства Pegel, представители которого (Trojan-Downloader.JS.Pegel.g и Trojan-Downloader.JS.Pegel.bc) заняли второе и третье места в списке. На программы этого семейства пришлось более 30% всех вредоносных вложений в электронных письмах. Члены этого семейства представляют собой html-страницу, содержащую сценарий языка написанный на языке JavaScript. После открытия зараженной страницы в браузере троянец, используя сценарий JavaScript, начинает дешифровку своего кода и запускает его выполнение. При этом пользователь перенаправляется на сайт, зараженный эксплойтами, с которого, используя уязвимости в браузере, на компьютер могут загрузиться и другие вредоносные программы.

Вторую строчку рейтинга также занимает зловред, представляющий собой html-страницу, содержащую JavaScript — это Trojan.JS.Redirector.dz. Если учесть, что на пятой строчке рейтинга находится Trojan.Script.Iframer, а на восьмой — завсегдатай нашей десятки Trojan-Spy.HTMLFraud.gen, то обнаружится интересная особенность десятки зловредов, распространенных через почту в этом месяце: более 40% входящих в нее вредоносных программ работают не на платформе Win32.

Интересно также отметить, что Pegel, Redirector и Trojan.Script.Iframer распространялись в самых разных письмах — от подделок под официальные уведомления различных социальных сетей до стандартных сообщений с лаконичным текстом «посмотри мои фотографии». Общим для этих рассылок было лишь наличие html-вложения либо ссылки на html-страницу.

Подробнее о подобных рассылках можно будет прочитать в отчете по спаму за второй квартал 2010 года.

Модификации одного из самых опасных современных руткитов — Trojan.Win32.TDSS — также активно распространялись через почту в июне. Две из них заняли четвертую и седьмую строчки в ТОР 10. Модификации этой программы встречались в самых разнообразных рассылках, однако всегда — в виде вложения, упакованного в zip-архив. Для их распространения злоумышленники использовали полюбившуюся им тему налогов. В некоторых письмах спамеры старались замаскировать exe-расширение заархивированного файла двойным расширением .doc.

В другой рассылке, также распространявшей представителя семейства Trojan.Win32.TDSS, был использован популярный нынче трюк: фальшивое предупреждение от Microsoft о том, что компьютер получателя может быть заражен Conficker. Для лечения этой напасти предлагается скачать программу setup.exe, приложенную к письму. Программа, разумеется, лечению ничуть не способствует.

Не попавшая в TOP 10 вредоносная программа Trojan.Win32.VBKrypt.cpz распространялась в рассылке, в которой (якобы от лица компании Google) пользователю выражалась благодарность за отправку резюме.

Что касается стран, жители которых чаще других получают по почте вредоносные послания, то по сравнению с маем ситуация несколько изменилась: лидеры прошлого месяца, Германия и Великобритания, потеснились, пропустив на две верхние позиции Японию и США. При этом количество вредоносных вложений, полученных пользователями, заметно изменилось лишь в случае Японии — здесь пользователи получали вредоносный код по почте почти вдвое чаще, чем в мае. Интересно, что из десятки выпала Индия, уступив свое место Китаю, пользователи которого получили 3,5% всех писем с вредоносными вложениями.

Тематический состав спама

Пятерка лидирующих спам-тематик июня:

  1. Образование — 19,9% (-0,1%)
  2. Компьютерное мошенничество — 14,5% (+5,5%)
  3. Медикаменты; товары/услуги для здоровья — 12,3% (-4,6%)
  4. Коллекции видео на DVD — 11,5% (+10,6%)
  5. Отдых и путешествия — 9,2% (-4,7%)

В июне произошли изменения в распределении спама по тематикам. Стабильной осталась лишь доля тематики «Образование» (-0,1%), которая по-прежнему занимает лидирующую позицию. Помимо рекламы семинаров, различных курсов и предложений получить степень бакалавра, наблюдалось довольно большое количество рассылок, посвященных сдаче ЕГЭ.

В статье «Экономическое спам-зеркало» мы писали о том, что в периоды, когда спамеры получают меньше заказов, они делают упор на так называемые партнерские программы, а также усиленно рассылают рекламу своих собственных услуг. В июне сложилась очень показательная ситуация. Мы наблюдали сезонное падение количества заказного спама: доли тематик «Отдых и путешествия» и «Другие товары и услуги» уменьшились на 4,6% и 4,1% соответственно. Одновременно с уменьшением количества заказного спама увеличивалось количество партнерского спама. Самореклама спамеров в июне также активизировалась, но не столь значительно, как это бывало в период кризиса.

Обращение спамеров к партнерским программам, вообще говоря, можно было наблюдать уже с мая. Тогда количество рассылок, связанных с разного рода партнерскими программами (фармацевтических и рекламирующих дешевый софт), увеличивалось по мере уменьшения количества рассылок, заказанных реальными клиентами. В подавляющем большинстве случаев такой партнерский спам был представлен англоязычными письмами.

Однако в России рассылка писем, работающих на фармацевтические партнерские программы, не приносит высокого дохода. То же относится и к дешевому программному обеспечению. Судя по всему, спамеры это осознали: июньские рассылки, связанные с партнерскими программами, были скорректированы под нужды российского пользователя, которому предлагались коллекции фильмов на русском языке на DVD.

После того, как партнерский спам был нацелен на российских пользователей, количество англоязычного партнерского спама резко сократилось. Это заметно по уменьшению количества писем тематики «Медикаменты» почти на 5% и тематики «Личные финансы» — более чем на 6%.

В том, что касается тем, выбираемых спамерами для привлечения внимания к спам-письмам и рекламируемой в них продукции, нельзя не отметить их закономерный интерес к Чемпионату мира по футболу. Наибольшей популярностью эта тема пользуется у «нигерийцев», однако не брезговали ею и спамеры, рекламирующие различные интернет-казино, тотализаторы, интернет-трансляции и, разумеется, виагру. Для рекламы медикаментов Чемпионат использовался в качестве наживки. Письма такого рода были снабжены темами вроде «Медикаменты для мужчин, одобренные ФИФА».

К самым забавным июньским рассылкам можно отнести предложение посмотреть на пепел вулкана, извержение которого в течение нескольких недель препятствовало авиаперелетам.

На указанном в письме сайте пользователю предлагается приобрести небольшую бутылочку, наполненную серым песком, и сертификат, подтверждающий, что это пепел того самого исландского вулкана с непроизносимым именем.

Спамерские методы и трюки

Самая замысловатая в техническом отношении рассылка июня в кои-то веки не относилась к саморекламе спамеров. Зашумленные картинки с волнистым текстом и письмо, содержащее случайный фрагмент литературного произведения, — такие приемы для обхода спам-фильтров были использованы в рассылке, рекламировавшей таможенный конфискат.

Замечу, что спамеры по-прежнему не придумывают новых трюков, предпочитая пользоваться старыми и проверенными.

Заключение

В июне количество спама очень незначительно, но уменьшилось по сравнению с последним весенним месяцем.

В тройку лидеров среди стран — источников спама снова вернулась Бразилия.

Фишинговые рассылки в подавляющем большинстве были нацелены на пользователей PayPal.

Почти на полпроцента увеличилась доля писем, содержащих вредоносные файлы. Впервые за время публикаций нашей десятки около 40% зловредов, распространяемых в почте, работает не на платформе Win32. Большая часть вредоносных программ из TOP 10 в прошедшем месяце является html-страницей, содержащей сценарий, написанный на языке JavaScript. Отсюда и частое их распространение в виде html-вложений, прикрепленных к письму. Сложно прогнозировать ситуацию далеко вперед, но можно предположить, что в ближайшее время рассылка подобных сообщений продолжится.

В тематическом составе спама в июне сложилась довольно интересная ситуация. Спамеры, обратившиеся было в мае к рассылке англоязычного партнерского спама, довольно быстро поняли неэффективность этого приема применительно к российским пользователям. В итоге в прошедшем месяце наблюдался небывалый всплеск активности в рассылке партнерского спама уже на русском языке, причем очень узкой тематики, — рекламировались коллекции видео на DVD.

Полную версию статьи смотрите на сайте www.securelist.com/ru.


Спам-статистика за период
5-11 июля 2010 г.

"Лаборатория Касперского"

Доля спама в русскоязычном секторе интернета за прошедшую неделю составила 82,3%.

На прошлой неделе распределение спама по рубрикам изменилось незначительно. Продолжает падать доля рубрики «Образование» (-2,3%), стало меньше «Компьютерного мошенничества» (-3,5%). Выросли доли тематик «Реклама спамерских услуг» (+2,6%) и «Личные финансы» (+4,4%). Колебания долей остальных тематик остались в пределах 2%.

Популярные тематики

Тематика Описание Доля тематики Изменения за неделю
1   Образование   Реклама семинаров, тренингов, курсов.   21,4%   -2,3%  
2   Другие товары и услуги   Предложения других товаров и услуг.   18,5%   -0,9%  
3   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   15,4%   +1,6%  
4   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   8,8%   -3,5%  
5   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   7,7%   -0,2%  
6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   6,6%   +2,6%  
7   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   6,2%   +4,4%  
8   Юридические услуги и аудит   Предложения юридических услуг.   3,1%   -1,8%  
9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   3,1%   +0,3%  
10   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   2,9%   -0,3%  
11   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   2,6%   -1,2%  
12   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   2,6%   +1,6%  
13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,5%  
14   Остальной спам     Менее 2%   Без изменений  

Примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2010


В избранное