Электронный журнал "Спамтест" No. 352 в этом номере: Новости Спам-статистика за период 18-24 октября 2010 г. Новости APWG: главный фишер сменил бизнес-модель В первой половине текущего года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зафиксировала [PDF 1,13Мб] немногим более 48 тыс. уникальных фишинговых сайтов — в 2,5 раза меньше, чем в предыдущем полугодии, и минимальное количество за последние 2,5 года. По данным экспертов, фаворит фишеров Avalanche отказалась от традиционных методов хищения информации и использует свой ботнет для распространения ZeuS. Агрессивная деятельность этой криминальной группировки не могла не привлечь внимание интернет-общественности, которая мобилизовала все силы для организации активного противостояния. По данным APWG, в конце прошлого года Avalanche принадлежало две трети всех фишинговых сайтов. К марту их число сократилось до полутора сотен, а в июне осталось лишь 4. Количество мишеней Avalanche уменьшилось с 40 до 14. Это разные финансовые организации, онлайн-сервисы и социальные сети. Из 28 646 уникальных фишинговых доменов, обнаруженных в первом полугодии, лишь 1624 принадлежали Avalanche. Свыше 70% сайтов-ловушек, которые одиозная группировка зарегистрировала в этот период, были привязаны к доменным зонам Южной Кореи и Польши. Операторы национальных доменов и местные группы быстрого реагирования (Computer Emergency Readiness Team, CERT) энергично отслеживали и закрывали такие ресурсы. Благодаря этому время жизни сайтов Avalanche в среднем составляло менее 10 часов, тогда как у прочих фишеров — около 14-ти. Особенно заметна разница, если сравнить медианные показатели, которые у рядовых участников рынка сильно выросли: Avalanche 12,5 часов, прочие — 58 часов. В целом за полугодие лишь 16,6% доменных имен были зарегистрированы самими фишерами (включая участников Avalanche). Остальные по большей части принадлежали законопослушным владельцам, ресурсы которых были взломаны. APWG также насчитала свыше 6760 сайтов-ловушек, размещенных на поддоменах в 680 зонах второго уровня. В первую двадцатку сервисов, предоставляющих фишерам приют на поддоменах, по-прежнему входит российский pochta.ru, хотя он занимает уже не 1 место, а 17-е. Набирают популярность в среде фишеров и службы коротких ссылок, в особенности TinyURL.com. Источник: antiphishing.org [PDF 1,13Мб] Facebook вновь судится со спамерами Окружной суд Северной Калифорнии принял в делопроизводство три иска о рассылке спама и мошенническом маркетинге в нарушение пользовательского соглашения Facebook. По свидетельству Facebook, Стивен Рихтер (Steven Richter), Джейсон Свон (Jason Swan) и канадская маркетинговая «партнерка» Max Bounty, Inc использовали ее ресурсы для осуществления противозаконной коммерческой деятельности. Американцы Свон и Рихтер создали на сервисе множество поддельных профилей и рекламных страниц и продвигали подчас не существующие опции и бонусы под брэндом Facebook. Те, кто пожелал воспользоваться их предложениями, обнаруживали, что это сопряжено с выполнением дополнительных действий, таких как участие в опросе, прохождение некоего «теста», привлечение друзей к рекламной акции. Все, кто соглашался с выдвинутыми условиями, перенаправлялись на внешние сайты, где рекламировались различные товары и услуги, не связанные с первоначальным предложением. Мошенники клали в карман плату за созданный трафик, а те личные данные, которые пользователи ввели на подставных страницах, использовали, чтобы расширить подписку на (недешевые) услуги своих партнеров. Помимо этого, оба «промоутера» вели активную спам-кампанию, распространяя в социальной сети приглашения от имени своих жертв с помощью вредоносных программ. Канадская компания Max Bounty также владеет собственной страницей на Facebook. Согласно исковым претензиям, она контролирует партнерскую программу по продвижению различных товаров и услуг в интернете, но при этом поощряет использование мошеннических приемов при проведении рекламных акций. Facebook обвиняет троих ответчиков в нарушении пользовательского соглашения, антиспамового законодательства США (CAN-SPAM), а также федерального закона о мошенничестве и злоупотреблениях с использованием компьютерных технологий (Computer Fraud and Abuse Act). Источник: facebook.com Источник: docs.justia.com Месть фармаспамеров В конце сентября в Сети появились около 2 тыс. сайтов с редиректами на ресурсы, рекламирующие жесткое порно. Соответствующие домены зарегистрированы на имя и с указанием контактной информации Джона Хортона (John Horton), борца с незаконным оборотом фармацевтических препаратов в Сети. Хортон является основателем веб-сервиса LegitScript.com, который за последний год помог выявить и закрыть свыше 10 тыс. нелицензированных интернет-аптек, продвигаемых в спаме. Массовая регистрация с использованием данных Хортона совпала по времени с заключением LegitScript LLC и eNom, Inc соглашения о сотрудничестве в борьбе с нелегальным фармабизнесом. По данным LegitScript, через eNom оформлены порядка 40% нелегальных интернет-аптек, которые отпускают лекарства без рецепта, и этот крупнейший регистратор доменов вознамерился, наконец, навести порядок в своем ведомстве. По свидетельству журналиста и блогера Брайана Кребса (Brian Krebs), инициаторов акции, направленной на подрыв репутации LegitScript, явно не устраивает новый альянс. Пока шли переговоры, Хортону не раз угрожали расправой в отместку за вмешательство. Нет сомнений, что провокаторами являются фармаспамеры: многие целевые веб-сайты, привязанные к редиректам, рекламируют не только месячную подписку на порноматериалы, но и услуги сети Pharmacy Express, которую опекают спамеры Yambo Financials. Кроме того, Кребс отмечает, что большинство новых доменов, используемых под редиректы, были зарегистрированы через реселлера Maxine. Среди его контактных телефонов числится тот же неработающий номер, который обычно указывают регистранты нелицензированных интернет-аптек. Один из регистраторов новоявленных веб-сайтов, UK2 Group, уже приостановил их обслуживание. Хортон решительно опроверг причастность LegitScript к регистрации одиозных ресурсов, хотя координаты этой компании все еще присутствуют в записях WhoIs по доменам, к которым она не имеет никакого отношения. Исследователь намерен бороться за отзыв всех доменных имен, зарегистрированных на его имя и без его ведома, и, если потребуется, будет решать вопрос через суд. Источник: krebsonsecurity.com Нанялся кувшин… Американец Джеймс Брэгг (James Bragg) признался [PDF 220 Кб], что с 2007 по 2009 гг. принимал участие в мошеннической схеме, связанной с подтасовкой стоимости акций и рассылкой «биржевого» спама. В прошлом году он уже был осужден за аналогичные преступления как вольнонаемный пособник Алана Ральски (Alan Ralsky). Согласно материалам дела [PDF 477 Кб], сообщники брали на реализацию неликвидные акции безвестных компаний и продвигали их по системе «накачка-сброс» (pump-and-dump). С этой целью они нанимали специалистов по массовым рассылкам, таких как обвиняемый, и разворачивали агрессивную спам-кампанию, ободряя потенциальных инвесторов фальсифицированными прогнозами. Для имитации повышенного спроса аферисты взламывали брокерские аккаунты и от имени их владельцев вкладывались в безнадежные акции, которые всегда успевали сбыть до падения курса. Чтобы повысить эффективность спам-рассылок, Брэгг арендовал ботнет и тщательно маскировал источники рассылки, а также прибегал к различным ухищрениям, чтобы обойти спам-фильтры. Схема работала немногим больше года и принесла мошенникам немалую выгоду. На обмане инвесторов они «зарабатывали» до 150 тыс. долларов в месяц. За преступный сговор, махинации с ценными бумагами и рассылку спама Брэггу грозит тюремное заключение на срок до 5 лет, а также штраф в размере до 250 тыс. долларов. Источник: justice.gov Источник: computerworld.com Postini: в IV квартале спама будет больше По оценке Postini, в 3-м квартале общие объемы спама сократились на 16%, а количество вредоносных писем увеличилось на 42%. Специалисты по сетевой безопасности прогнозируют усиление спамовых потоков к грядущим праздникам, когда «засеянные» спамботы заработают в полную силу. Статистика Postini основана на данных, полученных с систем защиты и архивации почтового сервиса Google, к которым подключены свыше 50 тыс. бизнес-структур и 22 млн. пользователей. Исследователи отмечают, что август был рекордным месяцем по вредоносным посланиям, число которых по сравнению с июлем выросло на 241%. За один-единственный августовский день Postini заблокировала 188 млн. зловредов, отосланных через почту. В сентябре наблюдались всплески спам-рассылок, нацеленных на распространение вредоносных программ с помощью вложенного zip- или html-файла. В последнем случае в приаттаченную страницу был внедрен зловредный JavaScript. В отчетный период эксперты зафиксировали увеличение количества спам-писем с короткими ссылками, маскирующими истинный адрес целевой страницы. Они отметили также новую тактику, взятую на вооружение спамерами, — использование легальных писем, украденных с жесткого диска на инфицированной машине. Такой трюк вполне способен ввести в заблуждение простейшие спам-фильтры и обеспечить беспрепятственную доставку нежелательной корреспонденции. Источник: googleenterprise.blogspot.com McAfee оценила риски в TLD-зонах По данным McAfee, больше половины потенциально опасных веб-сайтов привязаны к домену высшего уровня .com. Из региональных доменов самым неблагополучным является вьетнамский: 58% сайтов в зоне .vn содержат зловредный контент или порочат свою репутацию подозрительной активностью. В этом году исследователи подвергли анализу свыше 27 млн. сайтов, размещенных в более чем 120 странах. 6,2% сайтов оказались неблагонадежными, тогда как в прошлом году этот показатель составил 5,8%. Репутация ресурса оценивалась по многим критериям: характеру контента, регистрационным данным, поведению, взаимосвязям с другими сайтами и сервисами и т.п. Учитывалось также число неблагополучных сайтов по отношению к их общему количеству в доменной зоне, а также вклад TLD в глобальную популяцию ресурсов с запятнанной репутацией. Анализ проводился лишь на уровне домена (отдельные URL не рассматривались), а при составлении рейтинга доменов высшего уровня отбирались кандидаты с числом активных сайтов не менее 2-х тысяч. Любопытна специфика использования TLD, которую отметили эксперты. Например, в доменной зоне .com предпочитают регистрироваться операторы Koobface. Второй по степени риска TLD — .info — облюбовали спамеры разных мастей, в том числе те, кто распространяет в письмах зловредов. За последний год показатели .info в отношении безопасности ухудшились вдвое. Что касается вьетнамских доменов, они нередко используются злоумышленниками для размещения редиректов. Самой безопасной зоной по-прежнему является .jp. Российский национальный домен занял 9-е место по степени риска, оказавшись в компании с Азиатско-Тихоокеанским регионом, Кокосовыми островами и Западным Самоа. С прошлого года его позиция в рейтинге не изменилась, но риски, по оценке McAfee, удвоились. Расставляя светофоры в доменных зонах, эксперты напоминают, что TLD свидетельствует лишь о месте прописки домена, да и то не всегда четко. Сам веб-сайт может быть размещен где угодно. Криминальные структуры предпочитают оформлять домены у регистраторов, политика которых не мешает их деятельности. Они выбирают тех, у кого дешевые расценки, кто не запрашивает лишней информации, не торопится реагировать на жалобы и предлагает регистрацию оптом. Последнее удобство особенно ценят спамеры и фишеры: их веб-сайты очень быстро закрывают. Источник: blogs.mcafee.com Источник: us.mcafee.com Спам-статистика за период 18-24 октября 2010 г. "Лаборатория Касперского" Доля спама в русскоязычном секторе интернета за прошедшую неделю составила 79,2%. Тематическое распределение спама на прошлой неделе заметно изменилось. Впервые с июля на первом месте рубрика «Образование» (+12,7%), а не «Медикаменты; товары/услуги для здоровья» (-4,5%). Кроме того, уменьшилось количество писем с «Рекламой спамерских услуг» (-4,5%), предложений купить «Реплики элитных товаров» (-6,9%). Немного больше стало «Компьютерного мошенничества» (+4,1%). Колебания долей остальных тематик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   27,1%   +12,7%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   24,5%   -4,5%   3   Другие товары и услуги   Предложения других товаров и услуг.   10,0%   +0,3%   4   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   9,4%   -6,9%   5   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   6,2%   +4,1%   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   5,4%   -4,5%   7   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   3,2%   -0,9%   8   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   3,2%   +1,9%   9   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   3,0%   +0,9%   10   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   2,4%   -0,6%   11   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   2,2%   -0,5%   12   Юридические услуги и аудит   Предложения юридических услуг.   2,0%   -0,5%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   +0,1%   14   Остальной спам     Менее 2%   -0,4%   Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2010