Электронный журнал "Спамтест" No. 361 в этом номере: Новости Спам в январе 2011 г. Спам-статистика за период 7-13 февраля 2011 г. Новости HLux — новый игрок на спам-арене? Исследователи из компании LastLine, специализирующейся в области сетевой безопасности, обнаружили, что владельцы новоиспеченного ботнета-спамера запасли около 490 тыс. краденых идентификаторов к РОР3-аккаунтам, чтобы повысить эффективность доставки мусорной почты. Как известно, спам-сообщения, отосланные с реальных почтовых адресов, имеют больше шансов проскользнуть сквозь защитные фильтры. Ботоводы HLux, как его окрестили в ЛК, также имеют в своем распоряжении порядка 124 тыс. чужих паролей к ftp-серверам. С их помощью контроллеры бот-сети могут автоматически регистрироваться на легальных сайтах и внедрять в них редиректы на целевую рекламу или зараженный ресурс. В январе эксперты насчитали 222 веб-сайта, взломанных для нужд HLux, на которых были размещены 9447 зловредных страниц. Первая ощутимая спам-рассылка с нового ботнета была проведена в канун и первые дни нового года. Она была нацелена на распространение вредоносных программ, включая Email-Worm.Win32.Hlux, под видом праздничных открыток. После каникул HLux переключился на обслуживание фармаспамеров. По оценке Symantec, в середине января он насчитывал порядка 1400 ботов, которые размещены, в основном, на территории США и Западной Европы. HLux организован по принципу р2р-сети и использует fast-flux технологию для сокрытия ключевых элементов инфраструктуры. Эти особенности, сходство некоторых спам-шаблонов и участков программного кода заставили некоторых специалистов заговорить о реинкарнации Waledac (Email-Worm.Win32.Iksmas), который был нейтрализован в прошлом году. Однако другие, более веские доказательства преемственности, такие как попытки HLux установить контакт с недочищенными Iksmas или реактивировать угасший командный трафик, обнаружены не были. Источник: blog.tllod.com Источник: shadowserver.org Symantec: спамеры активизируются По данным Symantec, спамовые потоки после 10 января начали постепенно возрастать (pdf), и, похоже, эта тенденция в ближайшее время сохранится. Тем не менее, в январе эксперты зарегистрировали на 15,7% меньше почтового мусора, чем в предыдущем месяце. Уровень спама в почтовом трафике составил 79,55%, т.е. был несколько ниже, чем в декабре. Лидером по рассылке непрошеной корреспонденции по-прежнему являются США с показателем 29% от общего количества. Второе место в минувшем месяце заняла Голландия (6%), 3-5 позиции делят Россия, Бразилия и Индия (по 5%). Преобладающей тематикой спам-рассылок являются интернет-услуги (47% нелегитимных писем). Рекламы промтоваров стало меньше (14%), зато увеличилось число предложений по проведению досуга (13%). Вклад фишинговых и мошеннических посланий в спам-трафик не изменился и совокупно составил 16%. 66,8% ссылок в январском URL-спаме были привязаны к зоне верхнего уровня .com, 11,1% — к зоне .ru. Две трети писем, разосланных спамерами, по размеру составляли 2-5 КБ. В отчетный период эксперты обнаружили на 16% меньше фишинговых сайтов, чем в декабре. В частности, число сайтов, созданных автоматизированными средствами, сократилось на 39%. Источник: symantec.com(pdf) GSMA: текстовый спам шлют мошенники По данным GSMA (международной ассоциации операторов сотовой связи), 70% спама, распространяемого по SMS-каналам, нацелено на отъем денег мошенническими методами. Таковы результаты анализа статистики, собранной с марта по декабрь 2010 года на сервисе SRS (Spam Reporting Service), который был запущен GSMA в пилотном режиме в рамках борьбы со спамом. В проекте принимают участие такие ведущие телеоператоры, как AT&T, Sprint, Vodafone, SFR, Bell Mobility, KT (Korea Telecom), и корейское национальное агентство по информационной безопасности (Korean Internet & Security Agency, KISA). Реализацией проекта по поручению GSMA занимается компания Cloudmark. SRS осуществляет анализ SMS-трафика и обработку сигналов о злоупотреблениях, которые абоненты отсылают на любой из двух специально выделенных номеров (один из них, 7726, на большинстве мобильных телефонов набирается теми же кнопками, что и слово «spam»). Как выяснилось, от спама страдают все операторы, причем мусора в SMS-трафике оказалось больше, чем можно было предположить. Большинство этих сообщений распространяется с абонентских устройств, в отдельных случаях источником является пиринговая сеть или интернет-сервис. Около одной десятой SMS-спама, подвергнутого исследованию, было идентифицировано как сообщения «для взрослых», а основную массу составили фишинговые и мошеннические послания. В азиатских странах, например, с помощью провокационных SMS-сообщений мошенники умудряются накручивать рейтинг игорных сайтов, а также пытаются вступить в контакт с абонентами под предлогом выдачи ссуд на льготных условиях, чтобы заставить их раскошелиться. В Европе аналогичные предложения финансовой помощи, в совокупности с ложными сообщениями о выигрыше в лотерею, составляют четверть мошеннического SMS-трафика. В Северной Америке реклама несуществующих финансовых услуг преобладает над всеми другими способами SMS-мошенничества. Источник: gsm.org Gmail — под двумя замками Компания Google предлагает опцию двухуровневой авторизации для усиления защиты доступа к почтовым ящикам Gmail. Система идентична той, что была запущена осенью на сервисе Google Apps. При регистрации пользователь вводит не только логин и пароль, но также дополнительный код, который он получает в виде SMS или речевого сообщения на мобильный телефон. Владельцы Android, BlackBerry и iPhone могут сами генерировать коды доступа с помощью специальной утилиты. Чтобы в дальнейшем сократить процедуру регистрации, можно воспользоваться отдельной кнопкой и сохранить на месяц результаты верификации для того устройства, с которого был осуществлен ввод идентификаторов. Разумеется, второй этап проверки замедляет процесс регистрации, но также создает дополнительный уровень защиты от несанкционированного доступа. Воспользоваться новой опцией можно, выбрав соответствующую ссылку на странице Account Settings. Процесс подключения к новому сервису через Помощника может занять до 15 минут. Источник: gmailblog.blogspot.com «ВКонтакте»: спам со взломом не пройдет! Популярная в среде рунетчиков социальная сеть «ВКонтакте» обрела механизм защиты от спама, распространяемого с взломанных аккаунтов. Новая система безопасности фиксирует географическую привязку IP-адресов, с которых осуществляется вход в профиль. При попытке захода из необычного источника она приостанавливает процесс регистрации и запускает дополнительную проверку аутентичности — выводит сообщение с просьбой указать последние 4 цифры телефонного номера, на который зарегистрирована личная страница. После трех неудачных попыток угадать номер доступ с нового адреса блокируется на 4 часа. Злоумышленники, вооруженные крадеными идентификаторами к социальным аккаунтам, нередко используют их для проведения спам-рассылок от чужого имени. Нелегитимные сообщения из источников с «белой» репутацией имеют больше шансов на доставку, а в такой доверенной среде, как социальная сеть, воспринимаются вполне органично и распространяются с высокой скоростью. По словам держателей «ВКонтакте», большинство таких спам-кампаний на этом сервисе обычно проводятся с использованием иностранных прокси-серверов; российских и украинских прокси не так много, и большинство из них заведены службой безопасности в черные списки. Новый механизм защиты доступа ориентирован, в первую очередь, на пресечение попыток несанкционированного входа в профили с зарубежных IP-адресов. Источник: vkontakte.ru Спам в январе 2011 г. Мария Наместникова, "Лаборатория Касперского" «Лаборатория Касперского» представляет отчет спам-активности в январе 2011 года. По сравнению с декабрем доля нежелательной корреспонденции в почтовом трафике практически не изменилась и составила 77,6%, увеличившись всего на 0,5%. Наименьшую активность спамеры проявили в дни новогодних каникул — 5 января (60,7%), а больше всего назойливой рекламы было отправлено 23 января (87,7%). География распространения спама: США снова в ТОР 20 Знаковым событием января стало возвращение в ТОР 20 стран —распространителей спама США, которые в ноябре и декабре покинули первые строчки рейтинга. Тем не менее, затишье длилось не долго. В минувшем месяце возросло количество срабатываний почтового антивируса на территории этой страны, что связано с распространением вредоносных программ, «вербующих» компьютеры пользователей в зомби-сети для последующей рассылки спама. Таким образом спамеры попытались восстановить утраченные позиции. В результате объем почтового мусора, рассылаемого с территории США, увеличился, а сама страна поднялась сразу с 24-го на 14-е место. В целом же тройка «лидеров» не изменилась по сравнению с предыдущим месяцем: список возглавляют Индия (9,01%), Россия (8,21%) и Италия (5,07%). Популярные темы: медицинский спам возвращается Наиболее популярной темой в рассылках в январе была реклама образовательных услуг (27%). На втором месте оказался медицинский спам (21,2%), вернувший себе прежние позиции после спада, вызванного закрытием в конце прошлого года специализированных партнерских программ, включая SpamIt. Его удельный вес в почтовом трафике увеличился на 12,2%. Третьей по популярности была реклама услуг самих спамеров (7,8%), доля которой незначительно сократилась (-1,6%). Особенностью января стало попадание в рейтинг сообщений с предложениями на рынке недвижимости, а также рекламных рассылок, посвященных Дню Святого Валентина. Первые «валентинки» начали поступать в почтовые ящики пользователей уже с 7 января. Одновременно в минувшем месяце изменилось соотношение партнерского и заказного спама. Если в начале месяца из-за праздников клиенты распространителей почтового мусора были не слишком активны, то потом ситуация изменилась. Доля заказного спама стала увеличиваться и достигла на последней неделе 60%. Доменная зона .рф: развенчание мифа Первый месяц нового года принес разочарование обладателям почтовых ящиков в доменной зоне .рф. До недавнего времени считалось, что этот сегмент сети практически не подвержен воздействию навязчивой рекламы, однако, как выяснилось, это не так. Эксперты «Лаборатории Касперского» уже отмечали, что спамеры используют домены .рф как платформу для размещения своих ресурсов. Теперь же их базы пополнились еще и адресами пользователей, чьи почтовые ящики расположены в кириллической доменной зоне. Часть писем, попавших на такие адреса, была на английском языке, и во многих из них предлагались рекламные рассылки. Это позволяет сделать вывод о том, что и здесь пользователи не могут рассчитывать на спокойную жизнь без спама. Пока его объем в зоне .рф невелик, однако очевидно, что он будет расти. Выводы и прогнозы Спамеры в январе небезуспешно использовали свои возможности для восстановления мощностей по рассылке почтового мусора. Их активность свидетельствует о том, что США в силу высокой компьютеризации по-прежнему представляет для них интерес как место для создания зомби-сетей. Одновременно никак нельзя считать побежденным и фармацевтический спам, доля которого вновь пошла вверх. Сейчас очевидно, что спамеры не намерены расставаться с этой доходной статьей своего бизнеса. Таким образом, если в ближайшее время не активизируется борьба с распространителями нежелательной корреспонденции, то к весне ее объем может приблизиться к показателям лета 2010 года. С полной версией спам-отчета за январь 2011 года можно ознакомиться по адресу Securelist.com/ru. Спам-статистика за период 7-13 февраля 2011 года. "Лаборатория Касперского" Объем и тематические особенности спама За последнюю неделю доля спама в почтовом потоке российского сектора интернета составила 78,1%. Тематическое распределение спама в интернете почти не изменилось. Несколько больше стало писем тематики «Отдых и путешествия» (+2,1%), в то же время уменьшилось количество предложений работы по сети на дому, из которых в последнее время преимущественно состоит рубрика «Личные финансы» (-2,7%). Колебания долей других тематик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   31,7%   -1,2%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   15,0%   +0,4%   3   Другие товары и услуги   Предложения других товаров и услуг.   12,0%   -0,3%   4   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   6,7%   +1,6%   5   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   6,0%   +1,1%   6   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   6,0%   +1,4%   7   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   4,7%   +2,1%   8   Юридические услуги и аудит   Предложения юридических услуг.   3,7%   -0,6%   9   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   3,3%   -1,6%   10   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   3,0%   +0,1%   11   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   2,7%   -2,7%   12   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   2,7%   -0,2%   13   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   2,3%   -0,3%   14   Остальной спам     Менее 2%   Без изменений   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011