Электронный журнал "Спамтест" No. 372 в этом номере: Новости Спам-статистика за период c 24 апреля по 1 мая 2011 года Новости Король умер ― да здравствует спам Сенсационная весть о ликвидации Усамы бин Ладена вполне ожидаемо породила нездоровое оживление в сетевом андеграунде. «Черные» оптимизаторы сменили ключевые слова на сайтах с лжеантивирусами, скамеры потащили свежую приманку в социальные сети, а недобросовестные промоутеры возобновили попытки продавить свою рекламу через спам-фильтры, используя «горячую» тему. В одной из таких спам-рассылок кусок актуального текста из легального новостного источника был встроен в html-код сообщения. Взору получателя представала лишь ссылка, при активации которой он попадал на страницу, никак не связанную с волнующей всех новостью. Ее единственным назначением являлось продвижение компаний, устанавливающих новые окна в частные дома. Очередной вариант «нигерийского» письма, имитирующего уведомление ФБР о неких выплатах в пользу получателя, содержал упоминание о смерти бин Ладена в строке «Тема:». В скороспелом спам-сообщении, оформленном на португальском языке, имя, которое у всех на слуху, было подставлено даже в строку «От:». Очевидно, авторы этой спам-рассылки очень торопились получить свой кусок пирога: пообещав адресатам фотографии убиенного террориста, они забыли снабдить письмо ссылкой, ― не исключено, что зловредной. Источник: nakedsecurity.sophos.com Источник: symantec.com APWG: фишеры регистрируются на бесплатных веб-сервисах Во второй половине 2010 года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зарегистрировала [PDF 2 Мб] свыше 67 тыс. фишинговых атак (уникальных веб-сайтов) — намного больше, чем в предыдущий отчетный период. 11% сайтов-ловушек были размещены в доменных зонах .tk (Токелау) или .co.cc (Южная Корея), регистрация в которых не требует оплаты. В целом использование доменов второго уровня для создания фишинговых сайтов увеличилось на 42%, в результате время жизни последних возросло до рекордного уровня. Регистрация на уровне поддоменов ― достаточно распространенный сервис, который к тому же не имеет единой бизнес-модели и правил регулирования. Несмотря на то, что многие провайдеры поддоменов ведут записи WhoIs и исправно откликаются на жалобы, злоупотреблений в этом пространстве пока хватает, а заблокировать фишинговый ресурс ― большая проблема. Например, свыше 40% поддельных сайтов, обнаруженных в отчетный период, были привязаны к доменной зоне .co.cc, хотя соответствующий корейский сервис очень оперативно реагирует на абьюзы. Медианное время жизни фишинговых сайтов в этой зоне составляет около 60 часов при среднестатистическом показателе 15,5 часов. Однако если регистратор поддоменов всерьез берется за чистку, он вполне в состоянии решить проблему фишинга своими силами. Наглядный пример тому ― многострадальный российский сервис Pochta.ru: в прошлом году ему удалось сократить число фишинговых сайтов в своих сетях со 189 до 14. В отчете APWG за второе полугодие впервые присутствует статистика, предоставленная Информационным центром интернет-инфраструктуры Китая (China Internet Network Information Center, CNNIC) и китайским Антифишинговым альянсом. Ранее информацию о деятельности фишеров в Китае собирали сторонние наблюдатели, которые, по оценке APWG, регистрировали лишь 20% фишинговых атак, проводимых на территории этой страны. С появлением данных из нового, более компетентного источника итоговые показатели по глобальному фишингу в некоторых категориях получились несколько неожиданными. С уходом с фишинг-арены плодовитой группировки Avalanche общее число сайтов, создаваемых фишерами, стало неуклонно снижаться. Однако последние данные, опубликованные APWG, противоречат этой тенденции. Дело в том, объясняют активисты, что свыше 20% фишинговых сайтов, обнаруженных во втором полугодии, были созданы фишерами для обмана клиентов китайских веб-сервисов. Эта статистика появилась в отчете стараниями CNNIC. Главной мишенью фишеров в Китае является торговый сайт Taobao.com ― китайский аналог eBay. Примечательно, что, атакуя китайцев, фишеры обходят стороной их национальный домен. С ужесточением правил регистрации в зоне .cn количество доменных имен в национальном реестре сократилось вчетверо, а злоумышленники откочевали в более доступные пространства. По данным CNNIC, фишеры, действующие на территории Китая, не увлекаются хакерством и предпочитают оформлять свои сетевые площадки легальным способом. Особенно активно они регистрируются в зонах .com, .tk, .info, .us, .in и .co.cc. С учетом статистики, предоставленной китайскими исследователями, общее количество доменных имен, используемых фишерами, увеличилось в полтора раза и составило свыше 42,6 тысяч. 28% из них ― вновь намного больше обычного ― были зарегистрированы с целью фишинга, причем половина ― для хищения данных китайских пользователей. Все фишинговые сайты, обнаруженные в зоне .tk, оказались официально зарегистрированными; большинство из них использовались для проведения кибератак против китайских коммерсантов и финансовых организаций. 18% доменов, зарегистрированных фишерами, использовались для кражи идентификаторов к World of Warcraft и Battle.net. Источник: apwg.org [PDF 2 Мб] Сколько веревочке ни виться… В США судят профессионального биржевого маклера, который помогал преступной группировке Ральски искусственно взвинчивать цены на бросовые акции, а потом продавать их с большой выгодой. К участию в мошеннической схеме Грега Берджера (Gregg Berger) привлек его приятель Фрэнк Триббл (Frank Tribble), один из близких соратников «короля спама» Алана Ральски (Alan Ralsky). Группировка Ральски три года наживалась на обмане инвесторов: приобретала безнадежные акции, продвигала их с помощью спам-рассылок и, дождавшись взлета цен, сбывала все до того, как курс упадет (система «накачка-сброс»). Берджер работал на мошенников «по специальности»: снабжал их закрытой информацией, открывал брокерские аккаунты и вел торги от имени подставных компаний, переводя выручку на счета своих нанимателей. По предварительным оценкам, пособник спамеров незаконно продал порядка 30 млн. акций, обогатив сообщников на 33 млн. долларов и получив свыше 600 тысяч комиссионных. Имя Берджера не числилось в материалах уголовного дела «Ральски и Ко» и ни разу не всплыло на судебном процессе, который окончился для 11-ти соучастников тюремными сроками. Теперь вопрос о его причастности к незаконным биржевым операциям (статья «преступный сговор») взят в отдельное судопроизводство. Обвиняемый уже сознался в махинациях с ценными бумагами и пособничестве сетевым мошенникам. По условиям соглашения о признании вины, ему грозит до 4-х лет тюремного заключения, штраф в размере до 75 тыс. долларов, а также конфискация всех доходов, полученных неправедным путем. По выходе на свободу Берджер проведет 5 лет под надзором. Вынесение приговора назначено на 23 августа. Американская комиссия по обороту ценных бумаг (Securities and Exchange Commission, SEC) тоже подала гражданский иск по этому делу – против Берджера и еще семерых соучастников (включая Триббла), а также трех фиктивных компаний. Ответчики обвиняются в мошенничестве и нарушении правил торговли ценными бумагами. Некоторые из них согласились вернуть незаконно присвоенные капиталы, хотя расследование SEC еще не закончено. Источник: justice.gov M86 Security: у ботоводов посевная С начала апреля эксперты M86 Security наблюдают значительное увеличение вредоносных рассылок, использующих zip-вложения. Согласно статистике компании, последние полгода потоки зловредных писем с вложениями составляли менее 1% спам-трафика. В первые дни апреля их доля выросла почти до 3%. В одной из таких спам-кампаний, нацеленной на распространение фальшивого антивируса AntiSpyware 2011, были задействованы сразу два ботнета ― Cutwail и Donbot. Первый генерировал уведомления о приеме заказа от имени ювелирного интернет-магазина Bobijou, сообщал сумму, которая будет снята с кредитной карты получателя, и предлагал ознакомиться с «накладной» в прикрепленном файле. Вредоносные сообщения Donbot без затей предлагали «горячее фото». По данным M86 Security, производительность данного ботнета в последнее время растет, хотя для рассылки зловредного спама он используется впервые. Оживились и ботоводы Asprox, развернувшие очередную кампанию по расширению своих владений. На сей раз в качестве приманки получателю сообщалось, что с его аккаунта на Facebook якобы рассылается спам. В zip-вложении вместо обещанных инструкций и нового пароля скрывался троянец, который при активации пытался загрузить и запустить на зараженной машине спамбот. Источник: labs.m86security.com Спам-статистика за период 24 апреля по 1 мая 2011 года «Лаборатория Касперского» Доля спама в Рунете в последнюю неделю апреля составила 83,9% — это число на один процент больше, чем показатель позапрошлой недели. Среди тематик спама снова лидирует «Образование»: 64,3% потока. С большим отрывом следует «Недвижимость», а за ней — «Отдых и путешествия» и «Другие товары и услуги». Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   64,3%   -1,56%   2   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   7,9%   +1,3%   3   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   6,4%   +0,8%   4   Другие товары и услуги   Предложения других товаров и услуг.   6,4%   -0,4%   5   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   3,6%   -0,4%   6   Юридические услуги и аудит   Предложения юридических услуг.   2,7%   -0,6%   7   Остальной спам     Менее 2%   Изменения незначительны   8   Транспорт и перевозки   Реклама грузоперевозок и пассажирских перевозок   Менее 2%   Изменения незначительны   9   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   Менее 2%   Изменения незначительны   10   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   Менее 2%   Изменения незначительны   11   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   Менее 2%   Изменения незначительны   12   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   Менее 2%   Изменения незначительны   13   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   Менее 2%   Изменения незначительны   14   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   Изменения незначительны   Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011