Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 339

В этом номере:


Новости

Фишинг как сервис: небожители и прокси-хакеры

Компания Imperva обнаружила готовый комплект для проведения фишинговых атак, который использует «облачные» технологии и обеспечивает правообладателям доступ к информации, украденной «коллегами» по ремеслу.

Login Spoofer 2010 предлагается для скачивания на хакерских форумах. Он позиционируется как «бесплатный» софт, доступный для зарегистрированных пользователей. С его помощью можно создавать поддельные страницы регистрации в бесплатной почте, социальных сетях, на игровых и файлообменных сервисах, в Skype, PayPal и т.п., а затем продвигать их в фишинговых рассылках. Однако, в отличие от других аналогичных инструментов, Login Spoofer снабжен функцией бэкдора: все конфиденциальные данные, собранные с его помощью, отсылаются без ведома исполнителей на сервер авторов проекта. По свидетельству экспертов, он создан в Алжире и сопровождается документацией на арабском языке, хотя пользовательский интерфейс выполнен на английском.

Таким образом, владельцам фишингового инструмента не нужно самим заниматься «грязной» работой и проводить фишинговые рассылки. Страницы, создаваемые фишерами-посредниками с помощью Login Spoofer, недолговечны, их быстро вычисляют и блокируют. Однако его центральный репозиторий хостится отдельно от страниц-ловушек; обнаружить и нейтрализовать такую инфраструктуру гораздо сложнее. Рядовые исполнители могут по разным причинам выбыть из игры, но вместо них придут другие охотники попытать счастья с новым инструментом. Ту программу, что попала к исследователям Imperva, скачали более 200 тыс. регистрантов.

Схема присвоения фишерами результатов труда своих собратьев не нова. В начале 2008 года был обнаружен веб-сайт, на котором марокканская группировка Mr-Brain продвигала аналогичную программу, тоже якобы бесплатную. Помимо обычных функций, присущих фишинговому инструментарию такого класса, сей комплект для сетевых атак предусматривал скрытную отправку похищенных данных на адреса участников группировки.

Источник: blog.imperva.com

«МегаФон»: полгода борьбы с SMS-мошенничеством

За первое полугодие Департамент по борьбе с мошенничеством ОАО «МегаФон» расследовал около 44 тыс. инцидентов, в том числе более 2,5 тыс. жалоб абонентов на махинации с короткими номерами. С привлечением правоохранительных органов было выявлено и заблокировано более 200 мошеннических сайтов.

На сайтах недобросовестных контент-провайдеров зачастую предлагаются весьма сомнительные услуги/товары, а информацию об условиях их оплаты, во-первых, непросто найти, во-вторых, оформлена она так, что прочитать ее сложно (мелкие белые буквы на сером фоне и т.п.). Больше прочих от мошенничества такого рода страдают жители Московского региона (58% жалоб), меньше всего претензий поступает от абонентов из Сибири (1%). Однако число подобных жалоб сравнительно невелико: в июне на их долю приходилось лишь 7% всех претензий, высказанных в отношении мошенничества в мобильном сервисе. Москвичей, например, больше беспокоят программы-блокеры, которые требуют отправки SMS-сообщений на указанный номер (49% жалоб). 16% заявителей, обратившихся в столичный филиал «МегаФон», жаловались на недобросовестный интернет-сервис, 7% – на рассылку мошеннических открыток, 4% на сокрытие реальной стоимости SMS.

В рамках реализации комплексной программы по борьбе с мошенничеством в мобильном сервисе «МегаФон» ужесточил требования к контент-провайдерам и ввел штрафные санкции. Служба безопасности «МегаФон» ежедневно блокирует 20 и более мошеннических префиксов. Оператор также запустил систему выборочного автоинформирования о стоимости контента по коротким номерам (Advice of Charge, AoC) и ввел бесплатную услугу «Мобильный прайс», позволяющую узнать стоимость исходящих SMS на короткий номер. По оценке оператора, динамика инцидентов с premium-номерами снизилась в полтора раза.

По данным ООО «Информ-мобил» (ИММО), доля мошенничества в суммарном объеме контент-услуг на российском рынке составляет 8%, а в партнерских программах – около 11%. В 2009 году мобильные мошенники украли у российских абонентов более 50 млн. долларов, обманув каждого пятого жителя страны. Годовой доход мобильных мошенников превышает 160 млн. долларов, а сумма убытков отечественных операторов от мошенничества достигает 150 млн. долларов.

Источник: telecomdaily.ru

Источник: megafon.ru

Источник: rian.ru

Короткий путь к зловредам и фишингу

Avira опубликовала рейтинг популярности сервисов сокращенных ссылок у фишеров и распространителей зловредов.

В базе компании числятся 22 таких службы, и лишь несколько из них пользуются особым вниманием злоумышленников. Как выяснилось, фишеры отдают предпочтение услугам tinyurl.com (41,3% ссылок на страницы-ловушки), bit.ly (15,29%) и r2me.com (12,04%). Для маскировки адресов зараженных страниц чаще прочих используются URL, сгенерированные k.im (27,87% от общего количества), notlong.com (27,05%) и tinyurl.com (18,85%).

По наблюдениям экспертов, потоки спама с короткими URL неуклонно растут. В своих пользовательских соглашениях многие бесплатные сервисы, созданные, прежде всего, для нужд социальных сетей и систем обмена мгновенными сообщениями, запрещают использование генераторов сокращенных ссылок для совершения противозаконных действий, но злоумышленников, похоже, это не смущает. Некоторые из этих служб уже начали фильтровать все короткие URL с помощью специальных веб-сервисов.

С августа Avira планирует публиковать аналогичную статистику в ежемесячных сводках.

Источник: techblog.avira.com

Рейтинг стран-спамеров от Sophos за II квартал

По оценке Sophos, спам в корпоративной почте в настоящее время составляет 97% и становится все более опасным. Практически все спам-рассылки осуществляются с помощью ботнетов, при этом 35% почтового мусора производят зараженные компьютеры стран Европы.

С начала года вклад европейских стран в спам-трафик неуклонно увеличивался за счет таких стран, как Великобритания, Франция, Италия и Польша. Если в прошлом году британцам удалось начисто выбыть из «грязной дюжины», то в первом квартале они уже занимали девятую позицию, а в минувшем поднялись на четвертую ступень. На настоящий момент Европа опережает Азию по количеству исходящего спама; в совокупности этот дуэт генерирует две трети глобального мусора.

В разделении по странам наибольшее количество нелегитимных посланий рассылается с территории США. Во втором квартале участие американских ботов в спам-трафике несколько увеличилось; в настоящее время они ответственны за 15,2% нежелательной корреспонденции. Второе место в рейтинге Sophos заняла Индия (7,7%), третье — Бразилия (5,5%). Россия обосновалась на девятой позиции с показателем 2,8%.

Источник: sophos.com

M86 Security: спам, ботнеты в январе-июне 2010

Согласно статистике M86 Security, за последние шесть месяцев уровень спама в корпоративной почте вырос на 14%, и в настоящее время 88% входящей корреспонденции является мусором.

Практически весь спам-трафик генерируют ботнеты, при этом пять из них ответственны за 74% несанкционированных сообщений. Наибольшую активность демонстрирует Rustock, с которого распространяется 43% нелегитимных писем; все они рекламируют интернет-аптеки. По данным M86 Security, фармаспам в настоящее время составляет 80,7% мусорной почты, и 67% его посвящено продвижению брэнда Canadian Pharmacy. На эту «партнерку» работают 4 крупнейших ботнета-спамера, в том числе самые продуктивные — Rustock и Mega-D.

Почти в каждом спам-сообщении, зафиксированном в течение полугода, присутствовала хотя бы одна ссылка. Спамеры регулярно покупают все новые и новые домены, меняя их по нескольку раз на дню, чтобы не попасть в черные списки. По оценке M86 Security, время жизни 70% таких доменов составляет не более суток.

Спам не только расходует сетевые ресурсы, он все еще остается одним из ключевых переносчиков инфекции в интернете. Эксперты отмечают, что в течение полугода вредоносные сообщения составляли в среднем 0,7% спамовых потоков, а в пиковые дни превышали 3%. На зловредных посланиях специализируются, в основном, ботнеты Pushdo и Asprox.

Источник: m86security.com (pdf)

Спамеры обновляют адресные базы

По оценке Symantec, за последний месяц потоки спама, нацеленного на сбор адресов электронной почты, увеличились в 15 раз.

Проверяя валидность адресов, составленных программой-генератором, спамеры обычно рассылают письма-пустышки. В данном случае спам-рассылки используют два разных шаблона. В некоторых письмах вместо темы и текста приведены 1-2 группы строчных букв, набранных латиницей. В других в заголовок поставлена фраза из новостной rss-рассылки, а в теле письма приведены обрывки произвольных текстов на разных языках — видимо, чтобы обмануть байесовские фильтры. В обоих случаях имя отправителя и обратный адрес сгенерированы случайным образом.

Судя по тому, что источники этих спам-рассылок не имеют определенной географической привязки, письма отправляются с зараженных машин, входящих в состав ботнета. По данным Symantec, 40% таких писем исходит с территории европейских стран, 21% — из Азии, 14% с Ближнего Востока, 11% из Южной Америки.

Списки активных адресов, составленные по итогам подобных акций, помогают повысить эффективность спам-рассылок и сулят спамерам дополнительную прибыль в случае продажи на подпольном рынке.

Источник: symantec.com

MessageLabs: спам с короткими URL — хит сезона

Согласно статистике MessageLabs, 88,9% июльской корреспонденции составили нежелательные сообщения. Больше прочих от почтового мусора страдали жители герцогства Люксембург, где уровень спама достиг 93,5%, а в разделении по областям хозяйственной деятельности — машиностроительные предприятия и автомобильное производство (92,6%).

Потоки спамовых писем, снабженных короткими ссылками, за последние полгода значительно увеличились. Половину 2-го квартала на их долю ежедневно приходилось свыше 0,5% мусорной почты (1 на 200 спам-писем). В одну из декад этот показатель увеличился в 10 раз, а 30 апреля достиг рекордной отметки 18%, что эквивалентно 23,4 млрд. сообщений.

По данным MessageLabs, отдача от спам-рассылок, использующих сокращенные URL, составляет в среднем 1 посещение сайта на каждые 74 тыс. сообщений. Рекордсменом по результативности стал короткий адрес, обеспечивший 63 тыс. визитов. 28% спама с короткими ссылками распространяется с зараженных ПК, входящих в мелкие ботнеты, или с адресов бесплатной почты. Активное участие в генерации этого трафика принимает также молодой ботнет, созданный на основе упрощенной версии «штормового» троянца; его вклад оценивается в 11,8%.

Крупнейшей фишинговой акцией за отчетный период стала рассылка фальшивых предложений установить некую «бесплатную» программу для работы с pdf-документами. Авторы этих писем явно сделали ставку на обеспокоенность публики, начитавшейся отчетов о безнадежной уязвимости Adobe Reader, и начали предлагать мифический софт в обмен на банковские реквизиты.

Источник: messagelabs.com


Спам-статистика за период
18-24 июля 2010 г.

"Лаборатория Касперского"

Объем и тематические особенности спама

Доля спама в русскоязычном секторе интернета за прошедшую неделю составила 84,4%.

За прошедшую неделю тематическое распределение спама изменилось незначительно. Продолжает расти доля рубрики «Медикаменты; товары/услуги для здоровья» (+7,0%), письма, на разный лад предлагающие таблетки для повышения потенции, составляют уже больше четверти всего потока спама. Уменьшилось количество предложений «Юридических услуг и аудита» (-2,9%), а также туристических услуг в рубрике «Отдых и путешествия» (-2,0%). Колебания долей остальных тематик остались в пределах 2%.

Популярные тематики

Тематика Описание Доля тематики Изменения за неделю
1   Медикаменты   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   27,0%   +7%  
2   Другие товары и услуги   Предложения других товаров и услуг.   13,6%   без изменений  
3   Образование   Реклама семинаров, тренингов, курсов.   12,9%   - 0,9%  
4   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   11,0%   - 0,2%  
5   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   10,2%   + 0,4%  
6   Юридические услуги и аудит   Предложения юридических услуг.   4,5%   -2,9%  
7   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   4,2%   -0,5%  
8   Отдых и путешествия "   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   4,0%   -2,0%  
9   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.  3,2%   -1,8%  
10   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   3,2%   + 1,5%  
11   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   2,6%   -1,4%  
12   Спам "для взрослых   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   2,1%  + 0,4%  
13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   + 0,4%  
14   Остальной спам     Менее 2%   без изменений  

Примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2010


В избранное