Электронный журнал "Спамтест". Все о борьбе со спамом (inet.safety.spamtest) : Рассылка : Subscribe.Ru

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 5.849 RSS

← Июнь 2011 →
	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

За последние 60 дней ни разу не выходила

Сайт рассылки: http://www.securelist.com
Открыта: 09-06-2003

Автор

Лаборатория Касперского

Статистика

5.849 подписчиков
0 за неделю

← Все выпуски →

Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 379

в этом номере:

Новости
Записки спам-аналитиков

Новости

«Зевс» снимет все вопросы по финансовым транзакциям

Barracuda Networks предупреждает о масштабной спам-рассылке, нацеленной на распространение ZeuS.

Каждый день исследователи регистрируют сотни тысяч фальшивых писем, распространяемых от имени Совета управляющих Федеральной резервной системы. Эти сообщения используют опознавательную графику, скопированную с оригинального сайта Федерального резерва, и уведомляют получателя, что некий перевод с его банковского счета не был проведен. Ссылкой указан документ, якобы подробно излагающий суть проблемы, который на самом деле содержит троянскую программу. Центр безопасности Windows опознает его как исполняемый файл неизвестного происхождения и выводит соответствующее предупреждение.

По свидетельству экспертов, домашнее задание злоумышленники выполнили довольно небрежно. Куцый текст, представленный в теле письма, непритязателен и плохо скомпонован. Истинное содержимое вредоносного файла выдает двойное расширение ― .pdf.exe, которое авторы спам-рассылки даже не попытались замаскировать.

Неделей раньше Barracuda зафиксировала аналогичную спам-рассылку, тоже заряженную ZeuS, но более убедительно оформленную. Зловредные письма имитировали рекламу услуг платежного процессора Chase Paymentech, обслуживающего клиентов холдинга JPMorgan Chase. Как отмечают эксперты, текст этих посланий был составлен безупречно, злоумышленники допустили лишь одну промашку: в поле «From:» не было даже никакого намека на организацию, якобы затеявшую рекламную акцию.

Для открытия аккаунта Paymentech получателю предлагалось открыть вложенный файл, merchant_info.doc, и скопировать «личные идентификаторы». Как оказалось, единственным содержимым этого документа является незримый swf-объект, загружающий на машину жертвы троянца. По завершении инсталляции зловреда документ Word закрывается, растерянный пользователь вновь разглядывает текст поддельного письма, не понимая, в чем проблема, а на его машине уже хозяйничает ZeuS. От себя добавим, что такая схема атаки уже не нова и упоминалась на страницах нашего блога.

Источник: barracudalabs.com

Symantec: июньские показатели по спаму рекордно низки

По данным Symantec, в уходящем месяце уровень спама в почтовом трафике составил 72,9% ― на 2,9 пункта меньше, чем в мае. Дневная норма мусорной корреспонденции снизилась до 39,2 млрд. сообщений. Вклад ботнетов в спам-трафик сократился до 76,6%.

Представленный компанией отчет впервые объединяет статистику по интернет-угрозам, которая после поглощения публиковалась раздельно ― по результатам централизованного мониторинга сетевой активности (Symantec Global Intelligence Network) и по данным с SaaS-сервисов, от имени Symantec и MessageLabs соответственно.

Самый высокий уровень спама наблюдался в Саудовской Аравии (82,2%). Вторую и третью позиции в этом рейтинге заняли Россия (79,4%) и Китай (79,1%). В разделении по отраслям хозяйственной деятельности от почтового мусора больше прочих страдали предприятия автомобильной промышленности (75,0%). Количество фармаспама продолжает снижаться и в июне составило 40% от общего объема нежелательной корреспонденции. На долю рекламы порноресурсов и сайтов знакомств приходилось 19% спама, рекламы элитных подделок ― 17,5%.

Больше половины ссылок в URL-спаме были привязаны к доменной зоне .com, 19,2% ― к зоне .ru (на 9 пунктов больше, чем в мае). Средний размер нелегитимных писем продолжает увеличиваться: почти четверть июньских посланий спамеров были отнесены к диапазону 5-10 КБ, хотя большинство (62%) не превышали 5 КБ.

Среди ботнетов за отсутствием Rustock место лидера по спам-рассылкам прочно занял Cutwail (16,1% спама, распространяемого автоматизированными методами). В июне его производительность в среднем составила 9,6 млрд. писем/сутки, причем многие из них были нацелены на засев модификаций Bredolab. Потоки фармаспама с Bagle, против ожидания, с конца апреля пошли на спад. Похоже, преемником Rustock на этой стезе, хотя и не столь значительным, стал Grum: по словам экспертов, реклама медикаментов, распространяемая с этого ботнета, по многим параметрам схожа с той, что генерировал поверженный колосс.

Xarvester после продолжительного молчания вновь заявил о себе, заняв в июньском рейтинге Symantec второе место (6,7% бот-спама). В настоящее время его спамботы самые трудолюбивые, каждый отсылает в среднем 455 сообщений в минуту, а все вместе ― 4 миллиарда в сутки. Xarvester уникален тем, что базируется исключительно в Западной Европе, предпочитая Англию и Францию. В целом география автоматизированного спама с уходом Rustock заметно изменилась. На долю США теперь приходится лишь 2,8% его объема. Эту страну опережают Южная Корея (11,2%), Россия (11,1%), Индия, Украина, Бразилия и Вьетнам.

Источник: symanteccloud.com

Получил сполна

27-летний житель Лос-Анджелеса приговорен к 11 годам тюремного заключения за соучастие в масштабной фишинговой схеме. Еще 5 лет он получил за разведение конопли, из них 2 года надомный плантатор будет отбывать одновременно с основным сроком.

Кеннет Джозеф Лукас 2-й (Kenneth Joseph Lucas, II ) был одним из лидеров американского филиала интернациональной фишинговой группировки, которая в конечном счете выудила у клиентов Bank of America и Wells Fargo свыше 1 млн. долларов. Расследование, проведенное в отношении трансграничного мошенничества спецслужбами США и Египта, известно как операция Phish Phry. Египетские «коллеги» Лукаса создавали поддельные сайты и проводили фишинговые рассылки, добывая банковские реквизиты, американская сторона осуществляла вывод чужих капиталов на подставные счета и дележ награбленного.

Полиция АРЕ задержала 47 местных соучастников данной схемы, в Лос-Анджелесе осуждены столько же их подельников. Как показало расследование, Лукас был одним из ключевых «финансистов» и вербовщиков агентуры для отмывания денег. Он признал свою вину по всем 49 эпизодам сетевого мошенничества, хищения персональных идентификаторов и незаконных банковских операций.

Источник: justice.gov

Брайан Кребс: банки-эмитенты ― ключевое звено в борьбе с «фармой»

Как показало журналистское расследование, больше половины закупок медицинских препаратов, совершенных за последние 4 года с подачи спамеров-аффилиатов Главмед, были оплачены кредитными и дебетовыми картами, которые выдали 7 крупнейших банков.

По данным Кребса, в 2006-10 гг. интернет-аптеки, опекаемые Главмедом, выручили на продажах около 70 млн. долларов. В 15% случаев покупатели расплачивались с помощью карт Bank of America, почти столько же раз ― кредитками Chase. Среди прочих в этом скромном списке, охватывающем 88% сделок с участием Главмед, числились Citibank, Wells Fargo, Capital One, HSBS, U.S. Bank и Barclays Bank. К сожалению, в базе данных, попавшей в распоряжение журналиста, отсутствовали аналогичные сведения по Spamit, ныне почившей сестринской «партнерке» Главмеда. По оценке Кребса, общая сумма доходов от продаж с участием Spamit, осуществленных за тот же период, должна составлять порядка 100 миллионов.

Эти находки подтверждают, что уязвимым местом в экосистеме спамеров является обработка платежей по продажам. Если вооружить банки-эмитенты черными списками продавцов, использующих спам-рекламу, и убедить их блокировать процессинг в пользу онлайн-сервисов, запятнавших свою репутацию, последние лишатся механизма получения доходов, а с ними и те, кому они платят за рекламный спам. Тем более что организовать такой порядок обслуживания торговых клиентов банкам не составит труда ― достаточно вспомнить успехи аналогичной борьбы американских властей с держателями онлайн-казино.

Эффективность таких мер в отношении подпольного фармабизнеса подтвердил и его яркий представитель Игорь Гусев, с которым Кребс связался по телефону. По словам этого беглеца от российского правосудия, отказ в доступе к системам обработки платежей мог бы вдесятеро уменьшить масштабы теневой фарминдустрии, которая использует лишь несколько платежных процессоров и вынуждена искать альтернативу при каждом эксцессе. По прогнозу Гусева, последовательная борьба с «фармой» при участии эмитентов банковских карт и обработчиков онлайн-платежей положила бы конец нелегальному бизнесу за 2 года. Кстати, по последним данным, владельцам онлайн-аптек, использовавшим услуги АзериГазБанка, о чем мы писали ранее, пришлось-таки искать другой платежный процессор. Соотечественника сменил Bank Standard.

Источник: krebsonsecurity.com

Записки спам-аналитиков

Мария Наместникова, "Лаборатория Касперского"
Спамеры вспомнили Майкла Джексона

25 июня 2009 года умер Майкл Джексон. Так назывался наш блогпост двухлетней давности, в котором мы рассказали о реакции спамеров на смерть короля поп музыки. И вот, по прошествии двух лет спам рассылки сообщающие о том, что Майкл Джексон жив то и дело появляются в почтовых ящиках пользователей.

На прошлой неделе мир снова вспоминал артиста, в связи с очередной годовщиной его ухода из жизни. И спамеры вспоминали Майкла вместе со всеми.

Китайские спамеры, например, рекламировали музыкальные коллекции песен Джексона. Очень вовремя, ведь такой товар к памятной дате наверняка пользовался спросом.

Англоязычный же спам снова, как и два года назад содержал «сенсационное сообщение»: «Attention!!!! Michael Jackson is alive!We have found evidence which shows that the King of music is not dead» («Внимание!!! Майкл Джексон жив! Мы нашли доказательство, показывающее, что король музыки не умер») После этого многообещающего текста следовали ссылки на сайты с вредоносным файлом Backdoor.Win32.mIRC-based, дающим возможность удаленного управления компьютером.

Об использовании спамерами тем, так, или иначе взволновавших мир, мы не устаем сообщать в своих отчетах и блогпостах. Мы делаем это для того, чтоб пользователи помнили: любой информационный повод может быть использован злоумышленниками в своих целях.

Мы хотим призвать пользователей быть предельно внимательными с сообщениями от сомнительных источников, использующими горячие темы.

PS Процент спама в почте на прошлой неделе составил 86,88%.

Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2011

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}