Электронный журнал "Спамтест" No. 382 в этом номере: Новости Записки спам-аналитиков Спам-статистика за период 11 - 17 июля 2011 г. Новости Commtouch: спамеры предпочитают реальных отправителей По данным Commtouch, во втором квартале текущего года дневная норма спама в нефильтрованном почтовом трафике в среднем составляла 113 млрд. сообщений. В июне эксперты компании регистрировали лишь 106 млрд. нелегитимных писем в сутки, что эквивалентно 75% спама в почтовом трафике. Это самый низкий показатель за последние 3 года. Сокращению спамовых потоков способствовала успешная борьба с ботнетами, в частности, низвержение Rustock. Согласно статистике Commtouch, после ликвидации этого мощного генератора спам-рассылок дневная норма мусорной корреспонденции сократилась сразу на 30%. По всей видимости, спамеры так и не оправились от этого удара и решили изменить тактику. Большинство вредоносных и фишинговых рассылок, зафиксированных исследователями в минувший квартал, были нацелены на хищение идентификаторов к почтовым аккаунтам, которые в дальнейшем использовались для проведения спам-рассылок. Например, около 30% спам-писем, отосланных за отчетный период с адресов Hotmail, исходили со взломанных или зарегистрированных спамерами адресов. А вот реальный домен Gmail встречается лишь в 3% случаев, весь остальной мусор с этим именем в поле «From:», ― проделки спамботов. По всей видимости, смена спамерской тактики вызвана тем, что репутационные системы фильтрации научились эффективно отслеживать спамботы и блокировать их с помощью черных списков. «Легализованных» отправителей нелегитимных писем труднее вычислить, тем более что спам-рассылки с реальных адресов проводятся малым тиражом из-за ограничений, введенных на многих почтовых сервисах. По мнению экспертов, увеличение доли спам-писем, распространяемых с легально оформленных аккаунтов, вполне способно, хотя бы отчасти, объяснить спад спамовых потоков во втором квартале. Наиболее популярной темой спам-рассылок остается продвижение медицинских препаратов и услуг, хотя в отчетный период доля этой категории в общем объеме спама уменьшилась до 24%. Вклад рекламы средств для повышения половой потенции, которую Commtouch выделяет в самостоятельную категорию, составил 12%, реплик элитных товаров ― 8,4%. Количество «нигерийских» писем, фишинговых посланий и порнорекламы в апреле-июне увеличилось, в тематическом составе спама на долю этих категорий приходилось 11, 8,5 и 7,6% соответственно. Особо эксперты отметили появление спам-рассылок, продвигающих новый вид товара ― электронные сигареты. Многие из этих писем были ориентированы на русскоязычных пользователей. Всплеск вредоносных рассылок, зафиксированный в конце марта, принес свои плоды. Во втором квартале исследователи ежедневно обнаруживали в Сети около 377 тыс. активных зомби-компьютеров ― в полтора раза больше, чем в предыдущий отчетный период. Однако новые боты использовались злоумышленниками не для рассылки спама, а, в основном, для дальнейшего распространения инфекции. Лидером по числу зомби-машин по-прежнему остается Индия, на долю которой приходится 17% их глобальной популяции. 2-4 места в этом рейтинге сохранили Бразилия, Вьетнам и Россия. Полный отчет Commtouch за второй квартал 2011 года доступен на сайте компании. Источник: commtouch.com Hotmail ― дополнительная защита от кражи учетной записи Компания Microsoft усовершенствовала механизмы детектирования и предотвращения взлома аккаунтов Hotmail: добавила кнопку обратной связи с владельцем учетной записи на случай обнаружения спама от его постоянных корреспондентов и поставила блокировку на ввод слабых паролей. Почтовый сервис Hotmail снабжен системой автоматической регистрации нестандартного поведения, такого как всплеск фишинговых или спам-рассылок, которая работает в фоновом режиме и позволяет обнаружить захват легального аккаунта злоумышленником. Новая кнопка «My friend’s been hacked!» («Мой друг стал жертвой хакеров») в меню «Mark as» («Пометить как») призвана ускорить выявление случаев взлома и возврат аккаунта его законному владельцу. По убеждению экспертов, получатели подозрительных писем из знакомых источников быстрее автомата определят подлог, и их сигнал вкупе с имеющейся информацией послужит веским основанием для запуска процедуры блокировки соответствующей учетной записи с последующим восстановлением в правах ее законного владельца. Владелец Hotmail-аккаунта может также выразить свое предположение о взломе учетной записи отправителя, отправляя подозрительное письмо в «корзину» или в спам-карантин. Новая опция актуальна для адресов любой почтовой службы. По замыслу Microsoft, обмен информацией о краже аккаунтов между ведущими поставщиками бесплатных почтовых услуг позволит значительно уменьшить количество злоупотреблений в этом сервисе. Нововведению разработчиков от силы пара недель, однако оно уже помогло выявить тысячи потерпевших; законный владелец теперь может восстановить контроль над своим аккаунтом в течение суток. Как известно, одной из главных причин угона аккаунтов являются слабые пароли. Почтовый сервис Hotmail имеет встроенную функцию защиты от взлома паролей путем перебора по словарю. Однако миллионы англоязычных пользователей до сих пор используют в качестве пароля примитивное слово «password», глупейшую последовательность цифр «123456» или расхожую фразу типа «ilovecats» («я люблю кошек»). В ближайшее время на Hotmail будет поставлен фильтр на легко угадываемые пароли, который в случае их обнаружения при первичной регистрации или смене пароля будет предлагать пользователю ввести другую, более сложную последовательность символов. Источник: windowsteamblog.com Четверть миллиона за голову ботовода Microsoft изъявила готовность заплатить 250 тыс. долларов за новую информацию, которая помогла бы идентифицировать, поймать и привлечь к суду создателей и операторов ботнета Rustock. Предложив вознаграждение, компания еще раз подчеркнула масштабный характер криминальной деятельности Rustock и подтвердила свое намерение разыскать владельцев ботнета во имя торжества правосудия. Если физическое уничтожение ботнета, осуществленное при поддержке американских властей, не вызвало особых затруднений, то все попытки наказать виновников пока терпят поражение. Изучение содержимого жестких дисков, захваченных в ходе ликвидации Rustock, позволило экспертам усмотреть «российский след» в деятельности этого ботнета. Чтобы в этом удостовериться и, если повезет, поймать злоумышленников, Microsoft месяц назад дала объявления в двух многотиражных российских газетах, которые были исправно опубликованы, хотя и с некоторой задержкой. По всей видимости, эта мера не оправдала ожиданий. Тем не менее, исследователи не теряют надежды покарать ботоводов, и предложение награды ― тому верное свидетельство. По словам Microsoft, ее может получить любой гражданин независимо от страны проживания, ― разумеется, если это не противоречит местному законодательству. Ведь Rustock ― явление трансграничное, и от его действий пострадали жители многих стран. Граждане, владеющие нужной информацией, могут воспользоваться выделенным адресом avreward@microsoft.com. Источник: blogs.technet.com M86 Security: спама стало меньше, но до победы еще далеко Согласно статистике M86 Security, за минувшее полугодие количество мусорных писем сократилось на треть, однако за последние пару месяцев спамеры заметно оживились. По данным компании, в июне уровень спама в почтовом трафике составил лишь 77%. Одной из главных причин снижения активности спамеров стало закрытие партнерской программы SpamIt, продвигавшей интернет-аптеки с помощью спам-рассылок, а также ликвидация плодовитого ботнета Rustock, который специализировался на распространении фармаспама. Место лидера теперь оспаривают 8 конкурирующих ботнетов, совокупный вклад которых в спам-трафик в отчетный период составил 93%. Особой активностью отличаются Donbot (22,4% спама) и Xarvester (11,8%); оба в первом полугодии увеличили свою долю рынка. С ними соперничают Lethic (17,4%), Cutwail (версии1 и 3 суммарно 17,8%) и Maazben (12,2%). Выход с ботнета Grum (9,3%) хотя и невелик, но весьма стабилен. Кстати, новейшая статистика от M86 демонстрирует, что борьба за первенство в рейтинге ботнетов-спамеров еще не завершена: июльский рейтинг возглавил Lethic, который теперь ответственен за треть спама в интернете. Низложение одной из крупнейших «партнерок» фармаспамеров и их мощнейшего ботнета нашло отражение и в тематическом составе спама. По данным M86 Security, в первой половине текущего года вклад рекламы медикаментов в спам-трафик уменьшился с 80 до 39%, хотя она остается преобладающей категорией. Освободившуюся нишу занял другой партнерский спам ― реклама сайтов знакомств (21,4%), реплик элитных товаров (18,5%), игорного бизнеса (15,7%). Однако, согласно данным на середину июля, фармаспам уже начал наверстывать упущенное: в настоящее время на его долю приходится уже 59,5% нежелательных сообщений. Что касается фишинга, его вклад в общий спам-трафик в первом полугодии сократился до 0,1%, что эквивалентно 1 письму на тысячу. Несмотря на сокращение спамовых потоков, число нелегитимных сообщений с вредоносными вложениями не только не уменьшилось, но неуклонно росло в течение всего полугодия. Если в январе на их долю приходилось менее 1% спам-писем, то к концу отчетного периода этот показатель составлял уже 3%, а в пиковые дни ― 5% и выше. Многие из вредоносных рассылок, зафиксированных M86 в январе-июне, были нацелены на распространение зловредов, подгружающих на машину жертвы ложный антивирус. Источник: m86security.com Записки спам-аналитиков Фабио Ассолина, «Лаборатория Касперского» Летающие фишеры: киберпреступники избрали в качестве жертвы постоянных клиентов авиакомпаний В наших прогнозах на 2011 год мы писали о кибератаках, в ходе которых мошенники крадут все, что угодно. На самом деле, киберпреступники заинтересованы в краже различных данных, включая количество накопленных миль при участии в бонусных программах авиакомпаний. Клиенты бразильских авикомпаний становятся мишенью для фишеров, рассылающиъх сообщения с целью хищения номеров счетов клиентов и их миль в бонусных программах местных авиалиний. Мили, украденные у клиентов, используются в качестве новой «валюты» среди бразильских киберперступников и фишеров, которые получают возможность выдавать билеты самим себе, продавать их другим киберпреступникам или использовать в бартерных схемах. При атаках фишинговые сообщения рассылаются в массовых рассылках, в которых пользователю сулят еще больше баллов в бонусных программах авиакомпаний или предлагают приз. В некоторых случаях клиента просят заново пройти регистрацию на фальшивом сайте. Бразильские фишеры также регистрируют множество вредоносных доменов, имена которых могут восприниматься пользователями как имеющие отношение к авиакомпаниям, тогда как на самом деле это совсем не так. Примеры можно безопасно посмотреть здесь, здесь и здесь. При некоторых атаках мы были свидетелями того, как троянские программы изменяли Hosts-файлы, чтобы перенаправить жертву на фишинговый сайт. На всех сайтов фишеров пользователя просят ввести номер регистрации клиента на сайте авиакомпании и соответствующий пароль. Этих данных достаточно, чтобы киберпреступник мог украсть сам счет и все мили. Действительно, уже известно несколько случаев, когда клиенты обращались с жалобами в местные средства массовой информации по поводу взлома своих счетов на сайтах авиакомпаний и использования их миль для выдачи билетов на имя неизвестных лиц. Один из пострадавших утверждает, что потерял около 12,000 бразильских реалов, что соответствует US $ 7,600, если считать по накопленным милям. В целом, передать мили другому лицу невозможно, но плохие парни выписывают билеты, используя имена денежных мулов или фальшивые удостоверения личности. Это уже не первый случай, когда киберпреступники выбирают тех, кто часто летает на самолете, в качестве своих жертв. О подобных атаках сообщалось в июне прошлого года в Германии, когда новая версия троянской банковской программы SpyeEye украла мили у клиентов одной из авиакомпаний Что касается последних случаев, наибольший интерес вызывает то, что украденные мили используются киберпреступниками в качестве валюты. В этом сообщении по IRC киберпреступник продает право доступа к Бразильскому ботнету из 3,300 машин, которые могут рассылать “неограниченное количество спам-собщений”. Стоимость ботнета составляет около 60 долларов ИЛИ 60,000 миль одной из бразильских авиакомпаний. А в данном случае киберпреступник ищет партнера для обмена украденных авиамиль на украденные кредитные карточки. Если вы накопили мили как постоянный клиент авиакомпании, не теряйте бдительность и не реагируйте на подозрительные сообщения, которые могут приходить вам по электронной почте. Антифишинговый модуль наших продуктов блокирует доступ к таким вредоносным страницам. Примеры писем смотрите на сайте www.securelist.com/ru/blog. Спам-статистика за период 11 - 17 июля 2011 г. «Лаборатория Касперского» Спам на прошлой неделе составил 81,8% от всего потока писем Рунета — это незначительно больше показателя позапрошлой недели (когда было, напомним, 81,48%). Можно сказать, что доля спама практически не изменилась. Что касается тематик спама, снова, как всегда, в лидерах «Образование» (15%). На втором месте — самореклама спамеров, 14,3% от потока спама. Реклама медикаментов (12,9%) и недвижимости (12,8%) практически разделили третье место. № Тематика Описание Доля тематики 1   Образование   Реклама семинаров, тренингов, курсов.   15,0%   2   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   14,3%   3   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   12,9%   4   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   12,8%   5   Другие товары и услуги   Предложения других товаров и услуг.   9,5%   6   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   7,8%   7   Ремонт и благоустройство   Предложения по ремонту и отделке интерьера квартир и домов   6,9%   8   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   5,1%   9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   3,5%   10   Юридические услуги и аудит   Предложения юридических услуг.   3,2%   11   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   2,3%   12   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   1,6%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   1,4%   14   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   1,2%   15   Транспорт и перевозки   Реклама грузоперевозок и пассажирских перевозок   Менее 1%   16   Остальной спам     Менее 1%   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011