Электронный журнал "Спамтест" No. 377 в этом номере: Новости Спам в мае 2011 года Спам-статистика за период 6 - 12 июня 2011 г. Новости SpamRankings клеймит провайдеров, умножающих спам В Сети появился новый ресурс, публикующий поименные списки агрессивных источников спама с точностью до автономной системы. Проект SpamRankings.net запущен на базе одного из исследовательских центров государственного университета в Остине, штат Техас. Его основная задача ― выявлять и предавать гласности имена организаций, в сетях которых обосновались спамботы. Глобальный и национальный рейтинги лидеров по спам-рассылкам обновляются ежемесячно; результаты по сетям медицинских учреждений дополнительно представлены отдельным списком. В дальнейшем предполагается завести такие же списки по другим критическим сервисам ― банковским и хостинговым. Степень ответственности AS-сети за спам определяется по количеству мусорных писем, отосланных за месяц с ее IP-адресов. Сбор статистики исследователи планируют проводить по нескольким блоклистам, привязку IP к конкретным ASN им помогает осуществить команда Team Cymru. В настоящее время проект работает в экспериментальном режиме, используя лишь один черный список ― CBL. Результаты за март-май текущего года пока следует рассматривать как ориентировочные. В дальнейшем SpamRankings будет также регистрировать прогресс в борьбе со спамботами, именуя провайдеров, дорожащих своей репутацией. Авторы проекта надеются, что их инициатива поможет ускорить процесс очистки зараженных ресурсов и повысить безопасность сетей, оперирующих конфиденциальной информацией широких масс. Источник: krebsonsecurity.com Источник: spamrankings.net Фишеры выбирают LAMP-хостинг Согласно результатам опроса, проведенного Антифишинговой рабочей группой (Anti-Phishing Working Group, APWG), подавляющее большинство легальных сайтов, задействованных в фишинговых атаках, в качестве операционной среды используют open-source платформу LAMP (Linux, Apache, MySQL, PHP). APWG приступила к анкетированию в конце 2009 года; к апрелю 2011-го активисты опросили 270 веб-мастеров, пострадавших от взлома. Как оказалось, составными компонентами архитектуры сетевых ресурсов, оккупированных фишерами, являются, как правило, ОС Linux (76% респондентов), сервер Apache (81%), СУБД-приложение MySQL (87%) и система разработки PHP/Java (82%). В 84% случаев злоумышленники использовали взломанный ресурс для создания фишингового сайта или размещения поддельных страниц, 24% вторжений имели целью размещение вредоносного ПО. При этом четверть участников опроса не смогли точно сказать, когда и как непрошеные гости проникли на их территорию. 52% пострадавших обнаружили взлом, получив уведомление от антифишинговой организации, 18% были предупреждены хостинг-провайдером, 19% ― жертвой фишинга. Лишь 6% опрошенных зафиксировали инцидент, изучая логи веб-сервера, 16% отследили измененные файлы, а 4% получили сигнал от IDS, антивируса или иной защитной системы. APWG отмечает, что представленная статистика [PDF 548 Кб] ― лишь предварительные результаты. Полный анализ собранного материала и соответствующие рекомендации будут опубликованы позднее. Источник: theregister.co.uk Источник: antiphishing.org CERT на страже Евросоюза В Европе создана новая Группа быстрого реагирования на компьютерные инциденты (Computer Emergency Response Team, CERT), которая будет защищать от кибератак руководящие органы ЕС. В состав Группы войдут 10 экспертов по ИТ-безопасности, представляющих заинтересованные наднациональные институты, в том числе пятеро от Еврокомиссии. Они будут работать в тесном взаимодействии со службами безопасности подопечных учреждений и поддерживать информационный обмен с национальными и зарубежными CERT. Организационная структура межинституциональной CERT окончательно определится через год, по завершении подготовительного этапа. Новообразование учреждено в соответствии с европейской стратегией развития, закрепленной в десятилетнем Плане построения цифрового общества (Digital Agenda for Europe [PDF 315 Кб]). Аналогичные национальные службы должны появиться на местах до конца года. Источник: europa.eu Региональная облава на сетевых мошенников В результате скоординированных действий полиции в ряде стран Юго-Восточной Азии задержаны около 600 человек, подозреваемых в реализации мошеннических схем средствами интернета. В масштабной операции, инспирированной министерством общественной безопасности КНР, приняли участие полицейские подразделения Китая, Тайваня, Камбоджи, Индонезии, Малайзии и Таиланда. На Тайване для ее проведения были мобилизованы свыше 800 полицейских, которым удалось конфисковать 1,33 млн. долларов наличными (свыше 460 тыс. долл. США). Около трети задержанных ― китайцы, остальные по преимуществу уроженцы Тайваня. Всем им инкриминируется совершение мошеннических действий с использованием интернета или телефонной связи и причинение финансового ущерба жителям КНР. По данным полиции, наиболее распространенными приемами социальной инженерии, которые практикуют злоумышленники в данном регионе, являются ложные сообщения о выигрыше в лотерею и поддельные уведомления об отказе в доступе к банковскому счету. Многие арестанты будут в скором времени депортированы на родину. Беспрецедентный региональный рейд был предпринят в связи с массовой миграцией злоумышленников с Тайваня, которая началась, когда местные правоохранительные органы обратились за помощью к коллегам из КНР. Источник: news.yahoo.com Спам в мае 2011 года Мария Наместникова, «Лаборатория Касперского» Май в цифрах Доля спама в почтовом трафике по сравнению с апрелем увеличилась на 2,1% и составила в среднем 82,9%. Доля фишинговых писем в общем почтовом потоке по сравнению с апрелем уменьшилась на 0,01% и составила 0,02%. В мае вредоносные файлы содержались в 4,1% всех электронных сообщений, что на 0,45% больше, чем в прошлом месяце. Обзор главных событий месяца Спам и закон. Россия Во многих отчетах по спам-активности за предыдущие месяцы мы писали о том, как власти различных государств противодействуют спаму. В основном речь шла о том, как тот или иной закон в действии привел к обнаружению и наказанию злоумышленников, занимающихся рассылкой нежелательной корреспонденции. При этом мы не устаем напоминать, что борьба со спамом является максимально эффективной именно в том случае, когда спамеров можно привлечь к ответственности. Также мы считаем очень важным подчеркнуть, что особенностью криминального спам-бизнеса является его интернациональность. Чтобы эффективно бороться с несанкционированными рассылками, необходимы сильные законы во всех странах мира. В данный момент Россия относится к тем странам, где спамеры могут безбоязненно укрыться от правосудия и продолжать свои рассылки. Закона против спама как такового в нашей стране просто не существует. Привлечь спамеров к ответственности можно, лишь используя некоторые смежные законы (как, например, законы «О рекламе», «О персональных данных» или Статью 273 УК РФ. (Создание, использование и распространение вредоносных программ для ЭВМ)), что неэффективно. Однако эта ситуация вскоре должна измениться. 13 мая в Государственной Думе РФ прошло заседание рабочей группы по закону о спаме, на котором был представлен законопроект «О внесении изменений в некоторые законодательные акты Российской Федерации в целях противодействия заказу, производству и распространению несанкционированных электронных сообщений (спама)». В рабочую группу входят эксперты по информационной безопасности из различных российских компаний, в том числе из «Лаборатории Касперского». Разумеется, законопроект — это лишь первый шаг к полноценному, работающему закону. Впереди еще слушанья в Госдуме, которые, как надеются участники рабочей группы, будут назначены на начало лета. Предполагается, что принятие закона произойдет не ранее, чем через год. Мы будем внимательно следить за продвижением закона о спаме, поскольку именно этот закон станет основным орудием борьбы со спамерами. О подробностях и итогах заседания можно узнать на сайте РАЭК: http://raec.ru/times/detail/461/. Смерть террориста №1 в спаме Смерть Усамы бен Ладена спамеры с энтузиазмом использовали в качестве очередной жареной темы. Первыми на сообщение о смерти террориста №1 отреагировали распространители вредоносных программ. В нашем блоге подробно рассказывается, как злоумышленники использовали любопытство пользователей, чтобы заставить их пройти по вредоносной ссылке или скачать вредоносное вложение. Также в одном из майских спам-патрулей мы рассказывали о том, что вторыми на сенсацию традиционно отреагировали распространители фармацевтического спама. Мы зафиксировали и несколько других рассылок, использующих эту тему, но уже менее ожидаемых в ее контексте. Чтобы заставить пользователей скачать платное ПО, злоумышленники часто рассылают спам, в котором предлагается посмотреть при помощи сервиса Google Earth, например, на место посадки инопланетян или на засекреченный военный объект, верно рассчитывая, что обыватели падки на такое. Вместо ссылки на сервис Google Earth в таких письмах размещаются ссылки на сайт, предлагающий скачать платное ПО. В одной из последних рассылок спамеры предлагали пользователям взглянуть на особняк бен Ладена, где он скрывался последние годы. Новость о смерти бен Ладена использовали и «нигерийские» спамеры. В одном из разосланных писем «остроумные» спамеры сообщают пользователю, что в ближайшее время ему грозит арест, поскольку его подозревают в сотрудничестве с террористами. Причиной подозрений стала немаленькая сумма денег, которая якобы была переведена на банковский счет пользователя. Сумма, по утверждениям спамеров, была обнаружена, когда после смерти бен Ладена спецслужбы начали поиски пособников террористов по всему миру. Разумеется, «нигерийцы» обещают освобождение от всех обвинений и несколько миллионов долларов в придачу, в случае если пользователь выйдет с ними на связь. В связи с тем что последние месяцы были урожайными на события, всколыхнувшие мир, хотелось бы напомнить пользователям, что спамеры активно используют любую горячую тему в мошеннических целях. Будьте осторожны, не поддавайтесь на их уловки! Традиционные темы Не обошли спамеры вниманием и традиционные для майских рассылок темы. 9 мая Ежегодно в начале мая наблюдается волна спама, тема которого День Победы. По большей части в спаме рекламируется различная атрибутика, связанная с праздником, а также подарки для ветеранов. Май 2011 года не стал исключением. В спаме встречалась также реклама путешествий на время длинных выходных, предложения создать логотипы или сувенирную продукцию с символикой 9 мая, купить диски с караоке песен о Победе, подарки к празднику и многое другое. Конец учебного года Конец мая — время окончания школьного учебного года. Для спамеров же это время распространения рекламы услуг, связанных с проведением последнего звонка и выпускного бала. В этом году мы также регистрируем большое количество рассылок, предлагающих услуги ведущего праздника и/или рекламирующих места для проведения мероприятия. Последние годы помимо мелкого бизнеса, использующего спам как средство не вполне законной рекламы в преддверии конца учебного года, тему выпускных в спаме стали использовать и мошенники. Как мы и предполагали, рассылки, эксплуатирующие тему единого государственного экзамена, появились уже в мае. Спамеры в основном предлагают пользователям скачать ответы на ЕГЭ или шпаргалки, которые позволят легко сдать экзамен. Однако школьник, лелеющий надежду сдать ЕГЭ с помощью шпаргалок из спама, в лучшем случае получит просто набор формул, которые можно найти в любом учебнике. В худшем — потратит деньги, но никакого файла не получит. Мы предполагаем, что в июне спама, посвященного ЕГЭ, прибавится. Велика вероятность того, что, помимо выдаваемых за ответы на вопросы ЕГЭ формул, перепечатанных из школьного учебника, в Сети под видом тех же ответов скоро появятся вредоносные программы. И, разумеется, распространяться такие «шпаргалки» будут через спам. Статистический обзор Доля спама в почтовом трафике Доля спама в почтовом трафике по сравнению с апрелем увеличилась на 2,1% и составила в среднем 82,9%. Как мы и предсказывали, доля спама в мае достигла среднего показателя первой половины 2010 года. Самый низкий показатель месяца был зафиксирован 7 мая — в этот день доля спама в почте составила 72,4%. Больше всего спама было получено пользователями 29 числа — 91,4%. Страны — источники спама В мае лидером среди стран — источников спама снова стала Индия. С территории этой страны было распространено 11,35% (-1,41%) всей мусорной почты. На втором мете — Республика Корея (7,11%), на третьем — Бразилия (6,86%). Россия продолжает сдавать свои позиции в рейтинге стран — источников спама. В мае с территории страны было распространено почти на полпроцента меньше спама, чем в апреле. В итоге Россия уступила 4-е место Италии (4,21%) и заняла 5-е место с показателем 3,93%. В целом же изменения долей спама, распространяемого из разных стран, не превышают одного процента, что говорит о стабилизации этого показателя. Вредоносные вложения в почте В мае вредоносные файлы содержались в 4,1% всех электронных сообщений, что на 0,45% больше, чем в прошлом месяце. Две страны, лидирующие в последнее время по количеству срабатываний почтового антивируса, снова поменялись местами. На первую строчку вновь вернулась Россия (14,45%), на территории которой доля срабатываний почтового антивируса увеличилась более чем на 4%. США (10,79%) сместились на строчку вниз, а показатель этой страны уменьшился почти на 3,5%. Вьетнам (8,11%) и Индия (5,21%) вновь набирают обороты по количеству детектирований вредоносных программ в почте. Вьетнам опередил по этому показателю Великобританию (5,91%) и замкнул майскую тройку лидеров. Индия опередила по количеству срабатываний почтового антивируса Италию (5,10%) и Германию (4,12%). В то время как показатель Вьетнама увеличился на 2,2%, а Индии на 0,92%, доля срабатываний почтового антивируса в Австралии (3,93%) уменьшилась на 1,66%, в Германии на 0,94%, а в Великобритании на 0,5%. Таким образом, мы снова видим знакомую нам картину: когда доля срабатываний почтового антивируса уменьшается в развитых странах, она увеличивается в странах развивающихся. Несмотря на изменения в распределении мишеней вредоносных рассылок по миру, рейтинг наиболее часто детектируемых в почте вредоносных программ в мае практически полностью состоит уже из знакомых нам зловредов. Чуть более 10% срабатываний почтового антивируса приходится на долю хорошо знакомой нам вредоносной программы Trojan-Spy.HTML.Fraud.gen. Trojan.HTML.Fraud.fc, впервые вошедший в TOP10 в апреле этого года, занял третью строчку рейтинга. Этот зловред представляет собой фишинговую HTML-страничку, нацеленную на кражу финансовых данных у пользователей одного из бразильских банков. Почтовые черви черви Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt и Email-Worm.Win32.NetSky.q прочно обосновались в нашем рейтинге, занимая вторую, четвертую и восьмую строчки соответственно. Как мы уже писали в предыдущих отчетах, вредоносные программы Mydoom.m и NetSky.q выполняют только две функции: осуществляют сбор электронных адресов на зараженных машинах и рассылают по ним самих себя. Bagle.gt в дополнение к этому обычному функционалу почтовых червей обращается к интернет-ресурсам для загрузки оттуда вредоносных программ. На пятой и седьмой строчках рейтинга расположились вредоносные программы Trojan-Downloader.Win32.FraudLoad.zerc и Trojan-Downloader.Win32.FraudLoad.zept. Эти модификации являются новичками в рейтинге наиболее распространенных в почте вредоносных программ. Однако представители семейства, к которому они принадлежат, довольно часто входили в рейтинг в 2010 году. В конце 2010 — начале 2011 программы семейства FraudLoad практически исчезли из TOP 10. Напомним, что основным их функционалом является загрузка на компьютер пользователя поддельных антивирусов. Впервые после перерыва представитель Trojan-Downloader.Win32.FraudLoad попал в ТОР 10 вредоносных программ, детектируемых почтовым антивирусом, в апреле. Фишинг Доля фишинговых писем в общем почтовом потоке по сравнению с апрелем уменьшилась на 0,01% и составила 0,02%. ТОР 10 организаций, атакованных фишерами: PayPal — 62,24% eBay — 6,26% RuneScape — 4,67% Santander — 4,05% Facebook — 2,60% Habbo — 2,29% LloydsTSB — 2,11% HSBC — 1,37% HALIFAX — 1,32% WoW — 1,23% Среди наиболее часто атакованных фишерами организаций традиционно лидирует PayPal (+23,28%), а на второе место после апрельского перерыва вернулся eBay(+2,5%). Самым удивительным перемещением месяца стало появление в десятке наиболее часто атакованных фишерами организаций популярной бесплатной онлайн игры RuneScape (4,67%). Этот сервис попал сразу на третью строчку рейтинга, опередив традиционных лидеров Facebook (-1,82%, 5-е место), Habbo (-1,36%, 6-е место) и различные популярные у фишеров системы онлайн-банкинга, такие как Santander (-0,13%, 4-е место), HSBC (-1,25%, 8-е место) и LloydsTSB (-0,03%, 7-е место). Значительно обошла RuneScape и своего платного собрата — World of Warcraft (-1,24%). Вероятно, рост интереса фишеров к этому сервису связан с ростом популярности бесплатных онлайн-игр. При этом в любой, даже бесплатной онлайн-игре фишерам есть чем поживиться. Ведь создателям игры нужно на чем-то зарабатывать, и они предлагают игрокам, например, платные предметы для их персонажей. А такая вещь, как торговля «прокачанными» персонажами тоже всегда была в чести у мошенников. Неясным остается вопрос, почему так значительно снизился интерес фишеров к WoW, ведь по всем оценкам именно эта игра является самой популярной в мире. Вероятно, это связано с усилиями команды Blizzard, направленными на защиту своих пользователей. Тематические направления в спаме Как и в прошлом месяце, доля русскоязычного спама в Рунете составляет порядка трех четвертей всей мусорной почты. По-прежнему бОльшая часть мусорной корреспонденции на русском языке — это незапрошенная реклама от представителей малого и среднего бизнеса. Соответственно, доля рассылок, связанных с партнерскими программами, в российском сегменте интернета по-прежнему крайне мала. Пятерка лидирующих тематических категорий в спаме: Образование — 57,1% (-3,8%) Недвижимость — 8% (+1,1%) Отдых и путешествия — 6,2% (+0,8%) Услуги по ремонту и благоустройству — 4,4% (+2,1) Юридические услуги и аудит — 2,7% (+0,2) Из лидирующей пятерки спамерских тематических категорий интересно выделить «Услуги по ремонту и благоустройству» (ранее «Интерьер»). Мы видим, что доля этой категории увеличилась вдвое по сравнению с апрелем. Какой же «ремонт» так активно рекламируется в преддверии лета? Большинство писем — это реклама установки кондиционеров. Знойным летом 2010 появилось огромное количество компаний, занимающихся установкой кондиционеров — спрос породил предложение. В прошлом году мы уже наблюдали спамерские рассылки от таких компаний и ожидали, что летом 2011 они появятся вновь. Спамеры не обманули наших ожиданий. Заключение В мае самым важным в России событием, касающимся спама, на наш взгляд, стали первые серьезные шаги к созданию крепкой законодательной базы в отношении спама. Возможно, некоторые скептически относятся к этой инициативе. Но хотелось бы напомнить скептикам о событиях конца 2010 года, когда именно слаженные действия правоохранительных органов и компаний, занимающихся компьютерной безопасностью, привели к значительному снижению объема мусорного трафика. Разумеется, мы далеки от мысли, что одно только принятие закона против спама приведет к исчезновению спам-сообщений в Рунете. Однако возможность бороться со спамерами на уровне правоохранительных органов, бесспорно, со временем приведет к уменьшению объема спама в Сети. Заметим, что сами спамеры сочли смерть Усамы бен Ладена самым важным информационным поводом месяца — и моментально им воспользовались для своих рассылок. И тем не менее, этот информационный повод стал этой весной лишь одним из многих, использованных спамерами. Практически все трагические события с начала 2011 года до сих пор остались в арсенале мошенников. В связи с чем хочется в очередной раз призватьпользователей быть осторожными и внимательными в Сети. Мы ожидаем, что в следующем месяце увеличится количество рассылок, с предложением летнего отдыха и установки кондиционеров, а также спама, посвященного проблемам выпускных и вступительных экзаменов. При этом в целом объем спама несущественно уменьшится — грядет традиционное летнее затишье, во время которого уменьшается объем рассылок, а спамеры активнее занимаются саморекламой. Полную версию статьи смотрите на сайте www.securelist.com/ru. Спам-статистика за период 6 - 12 июня 2011 г. «Лаборатория Касперского» На прошедшей неделе количество спама в Рунете опять выросло и составило 84,5%. Это на 1,6 пунктов больше показателя позапрошлой недели. Что касается тематик спама, лидирует снова «Образование», но количество таких писем продолжает снижаться из-за наступления летних каникул, их было отмечено 48,7%. Следом за «Образованием», как и в прошлый раз, идет тематика «Недвижимость» (11,7%), на третьем месте «Реклама спамерских услуг», подросшая за неделю до 8,9%. Вот как распределились тематики на прошлой неделе: № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   48,7%   -0,6   2   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   11,7%   -1,5   3   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   8,9%   +5   4   Юридические услуги и аудит   Предложения юридических услуг.   6,2%   -1,4   5   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   5,8%   -0,4   6   Другие товары и услуги   Предложения других товаров и услуг.   5,4%   -1   7   Ремонт и благоустройство   Предложения по ремонту и отделке интерьера квартир и домов   4,6%   -1,4   8   Транспорт и перевозки   Реклама грузоперевозок и пассажирских перевозок   2,8%   0,7   9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   Менее 2%   Изменения незначительны   10   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   Менее 2%   Изменения незначительны   11   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   Менее 2%   Изменения незначительны   12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   Изменения незначительны   13   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   Менее 2%   Изменения незначительны   14   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   Менее 2%   Изменения незначительны   15   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   Изменения незначительны   16   Остальной спам     Менее 2%   Изменения незначительны   Примеры спамовых писем смотрите на сайте www.securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011