Электронный журнал "Спамтест" No. 369 в этом номере: Новости Спам в марте 2011 года Новости Фишинг ― группы риска По утверждению североамериканских исследователей, шансы пасть жертвой фишинга наиболее высоки у поклонников онлайн-шоппинга/банкинга, завсегдатаев социальных сетей и активных корреспондентов. Академические исследования показали, что частые визиты в интернет-магазины, регулярные обращения к платежным и банковским сервисам, ежедневное общение в Сети порождают довольно внушительные объемы входящей информации. Пользователь волей-неволей производит оценку входящих сообщений на основе беглого просмотра, так как у него не хватает времени должным образом сосредоточиться на контенте. И такая оценка, к сожалению, далеко не всегда оказывается правильной. Кроме того, авторы спам-рассылок, в особенности фишингового и мошеннического характера, нередко прибегают к приемам социальной инженерии. Играя на человеческих слабостях, побуждая к быстрой ответной реакции, они тоже отвлекают внимание потенциальной жертвы от разных мелочей, способных выдать нелегитимный характер электронного сообщения. Снизить риски в таких ситуациях, по мнению исследователей, поможет, прежде всего, спам-фильтр. Он значительно ограничит приток ненужной информации, ускоряя тем самым обработку и анализ входящих сообщений. Хорошо себя зарекомендовало также тематическое разделение почтовых аккаунтов: в потоке однотипных посланий легче выловить неуместный сюжет. Можно даже научиться переключать внимание в определенной последовательности, если составить четкое расписание проверки этих разнородных ящиков. Источник: networkworld.com Commtouch об экспансии зловредных вложений По данным Commtouch, после ликвидации ботнета Rustock объемы почтового мусора сократились на 30%. Однако потоки вредоносного спама к концу марта увеличились в 5 раз. В минувшем квартале исследователи ежедневно фиксировали в среднем 149 млрд. спамовых и фишинговых сообщений – несколько больше, чем в предыдущий отчетный период. В тематическом разделении спам-рассылок преобладала реклама медицинских товаров и услуг, хотя ее вклад в спам-трафик сократился на треть и составил лишь 28%. Такие категории, как «нигерийские» письма, реклама лекарственных средств «для мужчин» и приглашения завязать знакомство, напротив, увеличили свои показатели (13, 10 и 12% спама соответственно). Популяция функциональных ботов, по оценке Commtouch, сократилась с 288 до 259 тыс. в сутки. Активность зомби-компьютеров возросла лишь в конце квартала ― в основном, за счет новых заражений, присутствие которых в Сети сразу удвоило дневную норму соответствующих детектов. Одним из основных векторов распространения инфекции в конце марта являлись спам-письма с вредоносным вложением. В этот период около трети нелегитимной корреспонденции составляли, в основном, поддельные сообщения о недоставке почтовых отправлений с прикрепленным zip-файлом. Его содержимым, как правило, оказывался один из вариантов Bredolab. Лидером по количеству активных зомби-компьютеров по-прежнему является Индия с показателем 17% от общего количества. На вторую позицию вернулась Бразилия (12%), на третью поднялся Вьетнам (9%). Россия опустилась на 4-е место (7%). Великобритания, Германия и Казахстан выбыли из непочетного списка стран с наибольшим количеством ботов, который теперь включает Польшу, Перу и Колумбию. Источник: commtouch.com Китай тонет в потоках SMS-спама По официальным данным, в настоящее время 878 млн. жителей КНР являются владельцами мобильных телефонов. Во второй половине прошлого года в китайских каналах мобильной связи циркулировало такое количество текстового мусора, что на каждый мобильник в неделю приходилось в среднем более десятка несанкционированных SMS-сообщений. Среди них попадались также мошеннические послания, и некоторым получателям они обходились недешево. В 2009 году жители пяти китайских провинций потеряли из-за SMS-мошенников свыше 1 млрд. юаней (153 млн. долларов). Верховный суд КНР недавно объявил, что мошенникам, разославшим 5 тыс. текстовых сообщений, будет инкриминироваться нарушение статьи о мошенничестве, и меры пресечения будут более жесткими, чем в отношении обычных спамеров. Беспрецедентным случаем в китайской судебной практике стал суровый приговор, вынесенный четырем нелегальным распространителям коммерческой SMS-рекламы. Судьи назначили им тюремные сроки, посчитав основным правонарушением отсутствие лицензии на подобное предпринимательство. Местные эксперты по правовым вопросам сомневаются, что ужесточение наказаний за SMS-спам решит его проблему. При отсутствии в стране четкого законодательства, защищающего неприкосновенность частной жизни, рекламные рассылки по каналам сотовой связи давно приобрели характер национального бедствия. Рассылка SMS ― с лицензией или без нее ― не требует больших трудозатрат или финансовых расходов и исправно приносит хорошую прибыль. Упомянутые выше правонарушители за полгода «заработали» свыше 100 тыс. юаней (15,3 тыс. долларов), используя несколько компьютеров, десятки SIM-карт и нехитрое приспособление для единовременной рассылки SMS с нескольких «симок». Такое оборудование используют многие легальные бизнес-структуры для рассылки рекламы потенциальным клиентам. Его можно купить через интернет или на свободном рынке по цене от сотни до нескольких тысяч юаней. При самых скромных масштабах рекламных рассылок себестоимость одной SMS в Китае не превышает 0,03 юаня. Лицензию на оказание рекламных услуг в мобильном сервисе можно за небольшую плату приобрести в Пекине, обратившись в одно из специализированных агентств. Базы абонентов сотовой связи продаются по бросовым ценам в интернете, многие владельцы магазинов занимаются куплей-продажей контактной информации покупателей. Безусловно, абоненты, страдающие от наплыва SMS-спама, могут пожаловаться своему оператору сотовой связи, но многие пренебрегают этой возможностью. Не стоит также забывать, что сами операторы получают доход от предоставления SMS-услуг. К сожалению, в Китае многие жалобы, связанные с текстовыми рассылками, остаются без ответа. Не помогает и «горячая линия» китайского интернет-сообщества, дозвониться по которой порой бывает очень трудно. Наличные технические средства защиты от SMS-спама тоже пока оставляют желать лучшего. По экспертным оценкам, их эффективность не превышает 60%. Источник: chinadaily.com.cn Fortinet: в стане спамеров затишье По оценке Fortinet, после отключения командных серверов Rustock уровень спама в почтовом трафике значительно уменьшился. Прошел почти месяц, а этот показатель по-прежнему на 15% ниже среднестатистической отметки, зафиксированной в середине марта. Однако, как отмечают исследователи, на количество IP-адресов, замеченных в рассылке спама, это событие практически не повлияло. В настоящее время лидерами по числу активных спам-ботов являются США, Индия и Бразилия. Большинство доменов в URL, используемых спамерами, привязаны к зоне .ru. Два из них, globalrxgeo.ru и globalrxgift.ru, встречаются особенно часто; оба ассоциируются с китайскими серверами. Представляя статистику по ботнетам, эксперты особо отметили рост активности Torpig/Sinowal, зафиксированный в начале апреля. В этот период на его долю приходилось до 30% новых заражений. По данным Fortinet, большинство новобранцев Torpig обретаются на территории России и Судана. Нельзя не отметить, что новый формат, который обрели периодические отчеты Fortinet по интернет-угрозам, намного удобнее прежнего. Преобладающие виды угроз теперь разделены по регионам, детекты по ботам сгруппированы в отдельную колонку. Статистика по спаму расширена и включает данные о количестве источников спама (IP-адресов) с геопривязкой, а также список доменов, наиболее часто встречающихся в URL-спаме. Источник: blog.fortinet.com Спам в марте 2011 года Мария Наместникова, «Лаборатория Касперского» Март в цифрах Доля спама в почтовом трафике по сравнению с февралем увеличилась на 0,9% и составила в среднем 79,6%. Доля фишинговых писем в общем почтовом потоке по сравнению с февралем уменьшилась на 0,01% и составила 0,02%. В марте вредоносные файлы содержались в 3,23% всех электронных сообщений, что на 0,05% больше, чем в прошлом месяце. Обзор главных событий месяца Много шума из Rustock’а В середине марта было объявлено о том, что совместными усилиями сотрудников компании Microsoft и правоохранительных органов США был отключен крупный спам-ботнет Rustock. Rustock просуществовал на просторах интернета около пяти лет (с 2006 года) и, по разным оценкам, был ответственен за 30-40% всего спама. О закрытии ботнета было сообщено 17 марта. Сама операция была проведена днем ранее — 16 числа. Эксперты «Лаборатории Касперского» наблюдали некоторое уменьшение объема спама с 17 по 21 марта. В этот период по сравнению со средним показателем первой половины марта процент спама в почте уменьшился на 3%. Если же говорить о количестве спамовых писем, то их стало меньше приблизительно на 15%. Однако уже с 22 числа объем спам-трафика снова начал расти. Видимо, несмотря на внушительные размеры и мощность закрытого ботнета, опыт конца 2010 года позволил спамерам и владельцам ботсетей быстро перераспределить свои мощности. Тем не менее, действия правоохранительных органов по борьбе с ботнетами продолжают приносить свои плоды и радовать борцов со спамом. Мировые события в спаме Трагедия в Японии — спамеры не остались равнодушными Разрушительные землетрясения, цунами и последовавшая за ними катастрофа на атомной электростанции привлекли тревожное внимание всех. Люди во многих странах мира стремились помочь жителям Японии любыми доступными методами — будь то продовольствие, медикаменты и предметы первой необходимости или денежные средства для различных гуманитарных организаций. В интернете появилось множество сайтов с информацией о том, как и куда можно перечислить средства в помощь пострадавшим. Спамеры, конечно, сразу попытались «вписаться в тему» благотворительных инициатив. В спаме моментально появились мошеннические сообщения, предлагающие перевести деньги якобы на счет Красного Креста и других гуманитарных организаций. Разумеется, пользователи, отправлявшие деньги на счета, указанные в подобного рода письмах, не помогали никому, кроме спамеров. Активно эксплуатировалась тема событий в Японии и в спамовых письмах, используемых для распространения вредоносного кода. Человеческое любопытство, как обычно, работало на злоумышленников: пользователям предлагалось ознакомиться с различными шокирующими подробностями или посмотреть видео с места действия. Ливия. Горячая точка — горячая тема Ситуация в Ливии также активно обсуждается всеми. И спамеры стали использовать тему вооруженного конфликта в мошеннических сообщениях. В спаме все чаще встречаются «нигерийские» письма якобы от членов правительства Ливии, стремящихся перевести свои миллионы из банков бунтующей страны, и сообщения, в которых, как и в случае с катастрофой в Японии, предлагается перечислить пожертвования для пострадавших. Не пропустили возможности воспользоваться интересом пользователей к драматическим событиям в Ливии и спамеры, распространяющие зловреды. Используя уже наработанные схемы, они рассылали письма с вредоносными ссылками якобы на «горячие» ливийские новости. Самыми интересными, с нашей точки зрения, являются появившиеся в марте политически мотивированные спамовые сообщения, касающиеся ситуации в Ливии. В таких письмах обычно цитируются посты из различных блогов или статьи из прессы. Отметим, что написаны они на английском языке, а стало быть, рассылки нацелены не на ливиийцев. Такой спам пытается привлечь внимание к конфликту в Ливии пользователей за пределами воюющей страны — в США и странах Европы — и может рассылаться как сторонниками существующего в Ливии режима, так и его противниками. Российские реалии Некоторые события в России также нашли свое отражение в спамерских сообщениях. В марте мы зафиксировали несколько рассылок, темой которых стал нашумевший в последнее время проект rospil. Письма в таких рассылках могли быть откровенно провокационного содержания, а могли просто копировать информацию с сайта проекта. Подчеркнем, что такие сообщения рассылались не в легитимных рассылках, а именно в спаме. Например, анализ приведенного выше письма показал следующее: Сообщение отправлено спам-ботом. Адрес, с которого пришло письмо, не имеет никакого отношения ни к ресурсу rospil.info, ни к хостеру mediatemplate, предоставляющему свои услуги проекту. Адрес для отписки является адресом хостера проекта rospil — mediatemplate. Таким образом, отказы от рассылок, связанных с проектом, будут идти напрямую в компанию, предоставляющую проекту свои хостинг-услуги, что бесспорно может сказаться на отношениях между администрациями веб-ресурса и крупного хостера. Как всегда в подобных случаях, возникает вопрос: хотят ли сторонники проекта таким сомнительным способом сделать ему рекламу, или мы имеем дело с черным пиаром? Статистический обзор Доля спама в почтовом трафике Доля спама в почтовом трафике по сравнению с февралем увеличилась на 0,9% и составила в среднем 79,6%. Самый низкий показатель месяца был зафиксирован 25 марта — 74,5%. Больше всего спама было получено пользователями 13 числа — 86,9%. Страны — источники спама В марте лидером среди стран — источников спама снова стала Индия, с территории которой было распространено 11,42% (+2,59%) всей мусорной почты. Вторую строчку рейтинга, вытеснив Россию со второй позиции на третью, заняла Бразилия с показателем 6,6% (на 2% больше, чем в феврале). Доля спама, распространенного с территории России, как и в феврале, составила 4,8%. Также практически неизменными остались доли спама, распространенного с территории Индонезии (4,3%) и Италии (4%), которые заняли соответственно четвертое и пятое места в рейтинге. На 0,8% уменьшился процент спама, распространенного из Южной Кореи (3,3%). В рейтинге стран — источников спама эта страна в марте опустилась с пятого на восьмое место. Как следствие, на одну строчку вверх поднялись Великобритания (3,9%) и США (3,4%), которые заняли соответственно шестое и седьмое места. При этом доля спама, отправленного из этих стран, по сравнению с февралем изменилась незначительно. Вредоносные вложения в почте В марте вредоносные файлы содержались в 3,23% всех электронных сообщений, что на 0,05% больше, чем в прошлом месяце. По сравнению с февралем произошли значительные изменения в распределении по странам срабатываний почтового антивируса. Первое место по-прежнему осталось за Россией (12,7% вредоносных вложений), но второе заняли США (12,5%, на 1,9% больше, чем в предыдущем месяце). Процент срабатываний почтового антивируса в Штатах практически сравнялся с российским. На долю Великобритании, занявшей третье место, пришлось 6,2% всех заблокированных писем с вредоносными вложениями — на 1,1% больше, чем в феврале. Индия (4,35%) и Вьетнам (5,61%), попадавшие в последние месяцы в TOP 5, в марте несколько сдали свои позиции. Индия сместилась с четвертой на шестую строчку рейтинга, а Вьетнам — с третьей на четвертую. На одну позицию вверх перешла Германия (5,4%). Положение Австралии (4,21%) в нашем рейтинге осталось неизменным. Италия (4,05%), которая в феврале не попала в TOP 10, в марте оказалась на восьмом месте. Испания (3,27%) поднялась с одиннадцатого места на девятое. Более половины ТОР 10 вредоносных программ представлено семейством Trojan-Downloader.Win32.Deliver. Эти программы являются классическими троянцами — загрузчиками, устанавливающими на зараженный компьютер другие вредоносные программы без ведома пользователя. Еще две программы в ТОР 10 являются представителями семейства Trojan-Spy.Win32.SpyEyes. Зловреды этого семейства занимаются похищением конфиденциальных данных пользователя. Одна из модификаций Trojan-Spy.Win32.SpyEyes уже присутствовала в нашем рейтинге в феврале этого года. Первое место традиционно занимает Trojan-Spy.HTML.Fraud.gen. Подробнее об этом троянце можно прочитать здесь. Выше мы рассказывали, что спамеры использовали темы катастрофы в Японии и войны в Ливии в письмах, содержащих вредоносные ссылки или вложения. Некоторые спамеры эксплуатировали обе темы в одной рассылке: письма с «горячими новостями» о землетрясении в Японии и о проблемах в Ливии содержали одинаковые ссылки и были разосланы в одно и то же время. Трудно не заметить, что письма созданы по одному шаблону. Забавно также, что после вредоносной ссылки в тексте следует «копирайт», который меняется от письма к письму. В качестве обладателя «копирайта» указываются различные крупные IT-компании и интернет-ресурсы. Возможно, таким неуклюжим способом злоумышленники надеялись обойти простейшие спам-фильтры. На компьютер пользователя, прошедшего по ссылке, при помощи Java-эксплойтов устанавливалось вредоносное программное обеспечение. В нашем блоге эксперт «Лаборатории Касперского» Николя Бруле более подробно описывает эту вредоносную рассылку. Фишинг Доля фишинговых писем в почтовом потоке по сравнению с февралем уменьшилась на 0,01% и составила 0,02%. В марте в ТОР 10 наиболее часто атакованных фишерами организаций с большим отрывом лидирует PayPal. За ним следует интернет-аукцион eBay. Социальные сети Facebook, Habbo и популярная онлайн-игра World of Warcraft также остаются в числе любимых мишеней фишеров. Половина рейтинга мишеней фишинг-атак опять представлена онлайн-сервисами. При этом банки фишеры стали атаковать реже — системы онлайн-банкинга располагаются в основном в нижней части нашего рейтинга. Тематические направления в спаме В марте в Рунете значительно возросла доля русскоязычного спама. Такой спам большей частью представлен рассылками, рекламирующими товары и услуги компаний малого и среднего бизнеса. Четыре из пяти лидирующих в марте тематических категорий являются русскоязычными и представляют собой рекламные объявления небольших компаний. Пятерка лидирующих тематических категорий в спаме: Образование — 42,1% (+6,7%) Отдых и путешествия — 7,2 (+2,7%) Транспорт — 7% (+3,5%) Интерьер — 5,7% (+4%) Медикаменты; товары/услуги для здоровья — 4,9% (-7,1%) Значительно увеличилась доля лидера нашего рейтига — рекламы различных семинаров (+6,7%). Одновременно увеличилась и доля рассылок, рекламирующих отдых и путешествия. Рост количества такого спама во многом связан с приближением майских праздников. Спамерские сообщения, рекламирующие различные медикаменты, в марте заняли лишь пятую строчку рейтинга. Их доля значительно уменьшилась по сравнению с февралем. Подавляющее большинство таких сообщений — англоязычные. Заключение В марте правоохранительные органы США вновь нанесли удар по ботсетям, что привело к кратковременному уменьшению объема спама. Несмотря на это, средний процент спама в марте увеличился по сравнению с аналогичным показателям февраля. Как мы и прогнозировали в январском отчете, среднемесячный объем спама продолжает увеличиваться и имеет все шансы достигнуть значений лета 2010 года. Вопреки нашим ожиданиям, США не вошли в ТОР 5 стран — источников спама. Доля спама, распространенного с территории этой страны, практически не изменилась по сравнению с февралем. Однако интересно отметить повышенный интерес к США как к цели для вирусных рассылок. Это может означать, что усилия злоумышленников по-прежнему направлены на воссоздание ботнетов в этой стране. Отметим, что в марте в Рунете стало намного меньше англоязычного спама. Возможно, российские спамеры решили, что в России значительно эффективнее распространять русскоязычный спам, чем спам на английском языке, рекламирующий товары, не пользующиеся у получателей спросом. Однако такие изменения могут быть связаны и с закрытием ботнета Rustock, с которого англоязычный партнерский спам распространялся по всему миру. Полную версию статьи смотрите на сайте www.securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011