Электронный журнал "Спамтест" No. 353 в этом номере: Новости Записки спам-аналитиков Спам-статистика за период 25 октября – 7 ноября 2010 г. Новости Рекомендации MAAWG по защите сервисов обмена сообщениями Рабочая группа по борьбе со злоупотреблениями в системах передачи сообщений (Messaging Anti-Abuse Working Group, MAAWG) опубликовала [PDF 198 Кб] нормативы по защите веб-почты, систем приватного общения и SMS-порталов от спама и других интернет-угроз. В этом документе [PDF 207 Кб] приведен свод хорошо зарекомендовавших себя правил, которые помогут успешней отслеживать злоупотребления на сервисе и держать спамеров в узде. Они включают постоянный мониторинг веб-сайта, эффективное противодействие спаму (вопрос-ответ, карантин, отбивка), проактивную защиту. Последняя предусматривает использование механизма аутентификации и CAPTCHA, обеспечение адекватной фильтрации контента, введение на сайте ограничений по частоте доступа, числу отсылаемых сообщений и объему индивидуальных рассылок. На сайте MAAWG можно также ознакомиться с двумя другими документами, также недавно опубликованными. Один [PDF 364 Кб] из них закрепляет передовой опыт по внедрению процедур обратной связи (прием и обработка жалоб) и будет полезен владельцев почтовых сервисов, так и для отправителей массовых рассылок. Другой [PDF 342 Кб] ориентирован, в первую очередь, на администраторов почтовых служб и содержит рекомендации по проверке эффективности корпоративных контент-фильтров и черных списков. Источник: maawg.org Commtouch о спаме в III квартале По оценке Commtouch, в 3-м квартале уровень спама в нефильтрованном email-трафике в среднем составлял 88%, что эквивалентно 198 млрд. нелегитимных сообщений в сутки. Пик спамовых потоков пришелся на середину сентября, когда почтовые каналы забились мусором не менее чем на 95%. К концу квартала показатели по спаму упали ниже 80%. В тематическом составе спама продолжает доминировать категория медицинских товаров и услуг. Ее доля в общем объеме нелегитимных посланий, по наблюдениям Commtouch, снижается и на настоящий момент составляет 59,2%. Уменьшилось также количество рекламы элитных товаров и биостимуляторов. Вклад таких категорий, как фишинг, «нигерийское» мошенничество и порнография, напротив, увеличился (5,3; 4,9 и 4,4% соответственно). В конце сентября эксперты зафиксировали мощную спам-рассылку в социальной сети LinkedIn. Поддельные приглашения были снабжены ссылкой на зараженный веб-сайт, а в отдельных случаях — на страницу с рекламой фармаспамеров. Commtouch отметила также значительное увеличение количества посланий с вредоносными html-вложениями. В этих подделках, как правило, фигурировал известный брэнд, а вложенный файл оказывался фишинговой страницей или в соответствии со сценарием перенаправлял получателя на целевой ресурс, созданный спамерами или распространителями вредоносных программ. В июле-сентябре эксперты ежедневно регистрировали в Сети около 339 тыс. активных зомби-компьютеров. По данным Commtouch, лидером по числу зараженных ПК, рассылающих спам и раздающих зловредов, является Индия (14% от общего количества). Второе место занимает Бразилия (10%), на третью ступень поднялась Россия (9%). Источник: commtouch.com Анатомия социального спама Согласно результатам [PDF 1,29 Мб], полученным американскими исследователями, более 70% несанкционированных постов на «стенах» пользователей Facebook размещают фишеры. Объединенная команда на базе двух американских университетов полтора года изучала сообщения от «друзей», публикуемые в профилях названной социальной сети. Под наблюдение попали около 3,5 млн. пользовательских аккаунтов; за весь период исследования было проанализировано свыше 187 млн. постов, снабженных ссылками. По итогам анализа около 200 тыс. из них были классифицированы как спамерские, причем большинство из них были нацелены на хищение персональной информации. Определение принадлежности сообщений к масштабной спам-кампании с последующей категоризацией осуществлялось автоматическими средствами. Тематический состав спама включал такие категории, как реклама промтоваров, фишинг и drive-by загрузки. Университетские исследователи проанализировали также характер ресурсов, к которым привязаны спамерские URL. Их разделили на 4 вида: файлообменные сервисы, службы коротких ссылок, блоги и прочие сайты. Лидером по числу доменов, использованных в спам-кампаниях на Facebook, оказалась категория «блоги» — видимо, из-за простоты регистрации на этих сервисах. Согласно собранной статистике, число аккаунтов, использованных спамерами для отправки сообщений, превысило 57 тысяч. 97% из них принадлежат легальным пользователям Facebook, остальные зарегистрированы спамерами. Исследователи отмечают, что, в отличие от регулярных постов, послания спамеров публикуются массово. Спам-рассылки также отличает определенный суточный ритм: если делать поправку на местное время отправителя, пик активности спамеров приходится на раннее утро. Результаты этого статистического исследования были представлены на конференции ACM по интернет-измерениям (Internet Measurement Conference, IMC), только что завершившейся в Мельбурне. Источник: conferences.sigcomm.org Профессионалы фондового рынка сядут за решетку Окружной суд штата Оклахома приговорил к тюремному заключению двоих соучастников биржевых махинаций: 48-летнего юриста Джорджа Гордона (George Gordon) — на 15 лет и 8 месяцев, 62-летнего брокера Ричарда Кларка на 12 лет и 7 месяцев. У них также будут изъяты 43 млн. долларов, нажитых путем обмана инвесторов. По свидетельству SEC (Securities and Exchange Commission, американская комиссия по обороту ценных бумаг), Гордон и Кларк с сообщниками практиковали мошенническую схему отъема денежных средств, известную как «накачка-сброс». Они приобретали на свободном рынке мелкие акции американских компаний и имитировали поглощение, чтобы снять ограничения по биржевым операциям. Распределив пакет акций между фиктивными организациями, друзьями и родственниками, заговорщики начинали играть на повышение курса. Осуществлять подтасовки им не составляло особого труда: Гордон является специалистом по правовому сопровождению сделок по ценным бумагам, а Кларк долгое время работал биржевым маклером. Создав видимость оживления на фондовом рынке, аферисты нанимали спамеров и проводили мошеннические pump-and-dump рассылки по каналам электронной почты и факсимильной связи. Они продвигали акции от имени своих фиктивных компаний, которые цинично позиционировали как бизнес-структуры, занимающиеся ликвидацией разрушительных последствий ураганов «Катрина» и «Рита». Сообщники всегда успевали продать подорожавшие ценные бумаги до падения курса и за 2,5 года сколотили на этом целое состояние. SEC подала иск [PDF 351 Кб] против мошеннической группировки в начале 2009 года. В минувшем мае Гордон и Кларк были признаны виновными в преступном сговоре, махинациях с ценными бумагами, мошенничестве с использованием проводной связи и в отмывании денежных средств. Четверо их сообщников, дела которых выделены в отдельные производства, уже признали свою вину и ждут решение суда. Еще двое обвиняемых ушли в бега и пока не найдены. Источник: justice.gov Источник: sec.gov MessageLabs: фишеры атакуют ритейлеров По оценке MessageLabs, за последние два года количество целевых кибератак в секторе розничной торговли увеличилось в десятки раз. В октябре исследователи зарегистрировали 516 таких злонамеренных рассылок, тогда как в предыдущие месяцы фиксировали не больше семи. Особо докучает ритейлерам так называемый spear phishing. За последние пять лет целевые атаки обрели большую популярность у криминальных группировок, промышляющих хищением конфиденциальной информации. Если в 2005 году злоумышленники в течение недели проводили по 1-2 спам-рассылки, ориентированные на конкретные мишени, то в минувшем месяце MessageLabs регистрировала по 77 таких инцидента в сутки. Каждый месяц от целевых кибератак страдают в среднем от 200 до 300 организаций, специализирующихся в разных сферах деятельности. Спам-письма, имитирующие послания для узкого круга получателей, нередко снабжены вредоносным вложением. Они рассылаются малым тиражом, но наносят весьма ощутимый урон. Уровень спама в октябрьском почтовом трафике составил, по данным MessageLabs, 87,5%, т.е. по сравнению с предыдущим месяцем снизился на 4,2%. Больше прочих от мусорных посланий страдали жители Люксембурга (94,9% почтовых сообщений) и Венгрии (94,5%). В распределении по отраслям хозяйственной деятельности самый высокий процент спама наблюдался в автомобильной промышленности (93,5%). Утром 3 октября эксперты заметили, что производительность Rustock упала до нуля. Ботнет возобновил спам-рассылки лишь через 14 часов. Потоки спам-писем с Pushdo также несколько сократились. В компании полагают, что этот неожиданный спад связан с закрытием мощной партнерской программы Spamit, которая привечала спамеров, продвигающих сеть интернет-аптек Canadian Pharmacy. Источник: messagelabs.com Записки спам-аналитиков Дарья Гудкова, "Лаборатория Касперского" УВД против фармы Отрадно видеть, что правоохранительные органы обращают все больше внимания на спамеров. Как сообщает "Коммерсант", следственное управление при УВД по Центральному административному округу Москвы возбудило уголовное дело против гендиректора ООО «Деспмедия» Игоря Гусева. Через партнерскую программу Glavmed.com «Деспмедия» занималась продажей контрафактных фармацевтических препаратов, в том числе виагры, на территории США, Канады и других стран мира с использованием спама. По данным следствия, оборот Glavmed.com за последние 3,5 года мог составить $120 млн. Следствие возбудило уголовное дело по части 2 статьи 171 УК РФ (незаконное предпринимательство, сопряженное с извлечением дохода в особо крупном размере). Эта статья предусматривает до пяти лет лишения свободы. В ближайшее время данные на Гусева будут переданы в Интерпол. Считается, что Glavmed является владельцем Canadian Pharmacy - компании, занимающей первое место в десятке спамеров по версии Spamhaus. Сам Гусев всегда не только отрицал свою причастность к рассылке спама, но даже подал в суд на издательство, приписавшее ему подобную деятельность. Считается также, что Glavmed владел закрытой недавно фармацевтической партнерской программой SpamIt. При закрытии программы ее авторы писали, что делают это "в связи с длинной чередой негативных событий последнего года и обострившимся вниманием к деятельности нашей партнерской программы". Что же, отрадно наблюдать, что и после закрытия "партнерки" внимание правоохранительных органов к спамерам не ослабло. В то же время мы у себя в Лаборатории Касперского наблюдаем заметное снижение доли спама в почте (в понедельник и вторник количества спама в почтовом трафике составило, соответственно, 76,1% и 71,1%). Кроме того, можно отметить, что понизилась доля фармацевтического спама (18,3%). Это может быть связано как с возбуждением уголовного дела против И.Гусева, так и с закрытием части командных центров ботнетов Bredolab и арестом одного из держателей ботнетов, проведенным Нидерландскими властями. В пользу последнего говорит и тот факт, что доля рубрики "компьютерное мошенничество" (куда в частности входят письма с вредоносными вложениями) сократилась в последние пару дней практически до нуля, а Bredolab известен как раз тем, что рассылает вредоносный спам. Источник: securelist.com/ru Спам-статистика за период 25 октября – 7 ноября 2010 г. "Лаборатория Касперского" В течение прошедших двух недель доля спама в почтовом потоке русскоязычного интернета сначала заметно упала (73,0% в период с 25 по 31 октября), после чего снова начала расти (77,4% в период 1-7 ноября), но пока не достигла предшествующих значений. Вероятно, такой скачок стал следствием успешного этапа борьбы с ботнетом Bredolab. Тематическое распределение спама за эти две недели заметно изменилось. Несмотря на уменьшение долей, рубрики «Образование» (-5,6%) и «Медикаменты; товары/услуги для здоровья» (-4,1%) продолжает лидировать. Намного меньше было предложений «Других товаров и услуг» (-4,3%), что, возможно, связано с праздниками. Тематика «Компьютерное мошенничество» (+9,3%) оказалась на третьей позиции благодаря рассылкам, рекламирующим онлайн-казино. Несколько больше стало «Рекламы спамерских услуг» (+2,2%) и предложений, связанных с «Недвижимостью» (+2,1%). Колебания долей остальных тематик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   21,5%   -5,6%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   20,4%   -4,10%   3   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   15,5%   +9,3%   4   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   9,2%   -0,2%   5   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   7,6%   +2,2%   6   Другие товары и услуги   Предложения других товаров и услуг.   5,7%   -4,3%   7   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   4,3%   +2,1%   8   Юридические услуги и аудит   Предложения юридических услуг.   3,3%   +1,3%   9   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   3,3%   +0,3%   10   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   2,7%   -0,5%   11   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   2,2%   -0,2%   12   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   2,1%   -1,1%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   +0,3%   14   Остальной спам     Менее 2%  Без изменений   Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2010