Электронный журнал "Спамтест" No. 396 в этом номере: Новости Спам в третьем квартале 2011 Спам-статистика за период c 24 по 30 октября 2011 г. Новости Игра стоит свеч? Со второй декады октября Commtouch наблюдает масштабную спам-кампанию, использующую регистрацию целевых сайтов «на лету». По свидетельству экспертов, эти мусорные письма продвигают игорные сайты. Объемы разовых спам-рассылок составляют несколько сотен миллионов сообщений, снабженных ссылкой. Число URL, задействованных в каждой такой атаке, измеряется тысячами, однако все они на момент рассылки не зарегистрированы. Авторы казино-спама регистрируют свои сайты примерно через час после начала атаки в надежде обмануть системы URL-фильтрации. Дело в том, что спам-фильтры в первую очередь проверяют дату регистрации ресурса, рекламируемого в письме. Если тот зарегистрирован накануне рассылки, весьма вероятно, что соответствующее сообщение отослано спамерами. Трюк, используемый в наблюдаемых спам-рассылках, не нов. Commtouch отмечает, что из-за такого запаздывания с регистрацией первые получатели казино-спама при всем желании не смогут попасть на целевые веб-сайты. Тем не менее, спамерам, видимо, в данном случае важнее увеличить процент доставки последующих писем, кои вбрасываются в Сеть мощными очередями. Источник: blog.commtouch.com Пряник и кнут Эксперты Sophos обнаружили нестандартное «нигерийское» письмо, которое не просто манит получателя перспективой скорого обогащения, но требует срочного ответа под угрозой судебного преследования. Мошенническое сообщение написано от имени агента службы Интерпола в США. Получателя извещают, что в международном аэропорту им. Джона Кеннеди якобы задержана некая леди со статусом дипломата, пытавшаяся пронести через таможню коробку, до отказа набитую долларовыми купюрами. Дама утверждает, что содержимое груза ей неведомо, она просто выполняет чужое поручение и должна доставить коробку местному адресату, коим, конечно же, является получатель спам-письма. Однако деньги ему отдадут лишь в обмен на копию документа, подтверждающего его право собственности. При отсутствии такового потенциальному «наследнику» предлагается в течение трех рабочих дней связаться с отправителем наличности для получения соответствующего свидетельства, заверенного заморскими властями. В противном случае передача будет конфискована, а адресата ценного груза обвинят в отмывании денег. Далее прилагаются именные почтовые адреса Gmail и AOL, принадлежащие отправителю, а также номер телефона, зарегистрированного в Нигерии. К тексту приложен устрашающий перечень официальных инстанций, в которые якобы направлены копии данного письма: канадская полиция, нигерийская полиция, британская полиция, ФБР, МВФ, Всемирная таможенная организация, Комиссия по экономическим и финансовым преступлениям, надзорные органы Европы и Азиатско-Тихоокеанского региона и т.п. Источник: nakedsecurity.sophos.com Symantec: спамеры обходят анти-CSRF защиту Facebook Эксперты Symantec обнаружили на сайте Facebook мошенническую схему, помогающую злоумышленникам раздобыть анти-CSRF токены для публикации вредоносных ссылок в социальной сети. Подделка межсайтовых запросов (Cross-site Request Forgery, CSRF) ― тип кибератаки, при которой атакующий повторно использует разрешение на связь, выданное законному пользователю, для совершения противоправных действий без ведома и согласия инициатора сеанса. Чтобы предотвратить такое вторжение, многие веб-сервисы, включая Facebook, применяют генераторы посеансовых токенов, которые при авторизации вводятся в веб-форму как скрытый входной параметр. Стремясь завладеть этими одноразовыми паролями, злоумышленники распространяют на Facebook фишинговые сообщения «от друга», завлекающие получателей на подставную страницу YouTube. При переходе на сторонний веб-сайт, указанный ссылкой, посетитель обнаруживает, что для просмотра «потрясного видеоролика» требуется авторизация. Активация линка Generate Code («Сгенерировать код»), проставленного на фишинговой странице, отсылает запрос на сервер Facebook и возвращает JavaScript-код с искомым идентификатором. Далее пользователь копирует эти данные и вставляет в соответствующее поле на той же странице-ловушке, отсылая сигнал злоумышленникам кнопкой Confirm («Подтвердить»). Они вычленяют анти-CSRF токен, просмотрев в браузере html-код страницы с заполненной формой, и используют его в ходе текущего сеанса Facebook для распространения зловредных ссылок от имени жертвы. Насколько известно, данный трюк пока не используется для проведения drive-by атак, однако Symantec не исключает такую возможность. Администрация Facebook уже уведомлена о мошеннической схеме и работает над устранением новой проблемы. Источник: symantec.com Условный срок за взломы и спам на MySpace Окружной суд Теннеси приговорил 22-летнего правонарушителя к 3-м годам лишения свободы условно за взломы аккаунтов MySpace и использование их для рассылки заказного спама. Джош Холи (Josh Holly) больше известен как хакер, укравший пикантные фото из электронной почты старлетки Майли Сайрус (Miley Cyrus). После серии неудачных попыток нажиться на этих находках он опубликовал их в интернете. Как оказалось, Сайрус использовала один и тот же пароль на Gmail и MySpace, когда Холи незаконно хозяйничал в социальной сети, подбирая достойных кандидатов для отправки спам-рекламы. По словам хакера, он получил доступ к административной панели MySpace еще в 2005 году, направив фишинговое письмо одному из сотрудников социального сервиса. Поскольку пароли участников сети хранились в открытом виде, Холи с успехом их выкрал, составил список из 20 профилей с громкими именами и использовал их для рассылки спама на все доступные контакты. Заказы на проведение рекламных акций хакер получал от легальных компаний, которые платили ему от 5 до 12 долл. за каждый отклик на коммерческое сообщение. Заказчики и не подозревали, каким способом распространялась их реклама, а когда обнаруживали, что связались со спамером, разрывали договорные отношения и отказывались платить. И все же игра стоила свеч: менее чем за год Холи удалось заработать на спам-рекламе свыше 100 тыс. долларов, половину из которых он отдал своему израильскому подручному. Юного хакера так и не обвинили во взломе почтового ящика Майли Сайрус, однако его бахвальство в Сети по этому и другим поводам не ускользнуло от внимания властей. В октябре 2008 года в квартире Холи был произведен обыск, в ходе которого полицейские обнаружили свидетельства спамерской деятельности и около 200 номеров чужих кредитных карт. В минувшем апреле хакер признал свою вину по всем вмененным ему пунктам правонарушений. Он также проявил готовность к сотрудничеству с властями, сдав многих «коллег по цеху». Смиренное поведение Холи смягчило решение судей, и срок ему назначили условно. Источник: wired.com Sophos: половина спама отсылается из Азии Согласно статистике Sophos, за год вклад азиатских стран в глобальный спам-трафик увеличился почти на 20 пунктов и к концу сентября составил 50,1%. «Грязную дюжину» стран-спамеров в III квартале вновь возглавили США с показателем 11,3% от общего объема. Второе место заняла Южная Корея (9,6%), отодвинув Индию на третью позицию (8,8%). Пятерку лидеров замыкают Россия (7,9%) и Бразилия (5,7%). За минувший год в непочетном списке прочно прописались Тайвань, Вьетнам, Индонезия и Пакистан, вклад которых в спамовые потоки постепенно увеличивается. В разделении по континентам безусловным лидером по рассылке спама является Азия. Из европейских стран в июле-сентябре исходило 21,4% нелегитимных писем, из Северной Америки ― 14,2%, из Южной 10,6%. Главным средством распространения спама являются ботнеты. Источник: nakedsecurity.sophos.com Никто не застрахован В Новой Зеландии судят 59-летнего адвоката, растратившего казенные деньги в погоне за «нигерийскими» миллионами. Когда местная жительница получила по электронной почте извещение о неожиданном «наследстве», она обратилась за помощью к юристам, пообещав отстегнуть 6 млн. долл. из обещанных 27-ми. Глава компании Rangitauira & Co. с готовностью ухватился за это предложение и даже сопроводил щедрую клиентку в Амстердам, где им предъявили огромное количество нечитаемых «купюр», показав, как их надо отчищать. После поездки «наследнице» стало плохо с сердцем, и она уполномочила адвоката завершить переговоры и получить вожделенную сумму. Спустя некоторое время заморские корреспонденты стали требовать деньги за процесс очистки и урегулирование разных формальностей. Поверенный оформил в банке заем на 506 тыс. долл. (свыше 400 тыс. долл. США) ― якобы для покупки недвижимости за рубежом. Он также опустошил счет трастового фонда, который тогда возглавлял, пообещав попечителям выгодное вложение. На самом деле заимствованные 340 тыс. долл. (270 тыс. долл. США) пошли на удовлетворение требований сетевых мошенников. Борьба за «наследство» продолжалась около трех лет, однако перспективы его получения оставались такими же призрачными, как и в начале. Обман раскрылся, когда крупные переводы на иностранные счета привлекли внимание агентов по борьбе с коррупцией. Члены правления фонда потребовали у своего предводителя отчета о капиталовложениях, и тому ничего не оставалось, как признать, что казенные деньги безвозвратно потеряны, и подать в отставку. Источник: nzherald.co.nz Спам в третьем квартале 2011 Дарья Гудкова, Мария Наместникова, «Лаборатория Касперского» Основные новости квартала Социальная инженерия в почте: не попадитесь на удочку! Уловки фишеров Игры с игроками Серьезные письма от серьезных организаций А кому фишбургер? Не спешите открывать вложения Зловреды с доставкой на дом Секретный шифр Честные «нигерийцы» Спамерские методы и трюки: как спрятать сайт Спам-статистика Доля спама Распределение источников спама по странам и регионам Тематическое распределение спама Спам и политика Письма с вредоносными вложениями Доля писем с вредоносными вложениями Страны, ставшие мишенью вредоносных рассылок Рейтинг вредоносных программ в почте Фишинг Заключение Антиспам «Лаборатории Касперского» защищает пользователей по всему миру. В антиспам-лаборатории ежедневно обрабатывается более миллиона писем, попадающих в наши ловушки. Для защиты пользователей используется контентная фильтрация, анализ технических заголовков, уникальные графические сигнатуры, а также облачные технологии. Наши аналитики создают новые сигнатуры круглосуточно 7 дней в неделю. Основные новости квартала Доля спама уменьшилась на 2,7% и составила 79,8% почтового трафика. Доля мошеннических писем в спаме увеличилась в 20 раз и составила 2%. Среди источников спама продолжают лидировать Азия и Латинская Америка. Доля «партнерского» спама увеличилась в 5,7 раза и достигла 29% всего спама. Доля писем с вредоносными вложениями увеличилась на 1,17% и в среднем составила 5,03%. Доля фишинговых писем в среднем составила 0,03%; в TOP 5 атакуемых организаций попали 3 социальные сети. Социальная инженерия в почте: не попадитесь на удочку! В третьем квартале 2011 года доля мошеннических писем в спаме по сравнению с предыдущим кварталом увеличилась в 20 раз и составила 2% от всех спамерских писем. Впечатляет не только количество мошеннических посланий, но и разнообразие приемов социальной инженерии, встретившихся в почте в третьем квартале: злоумышленники использовали как старые известные приемы, так и новые, не забывая при этом следить за мировыми событиями и активно эксплуатировать интерес пользователей к происходящему. Уловки фишеров Игры с игроками Игроки онлайн-игр компании Blizzard давно стали мишенью фишерских атак. Мошенники рассылают пользователям письма, предлагая различными способами сделать их игру еще более интересной. Чтобы письмо выглядело легитимным, фишеры качественно подделывают технические заголовки сообщения. Кроме того, злоумышленники стараются, чтобы имя поддельного домена максимально напоминало оригинальное название сайта. К появлению новых версий популярных игр мошенники готовятся основательно. Так, с выходом в этом квартале игры Diablo III мы зафиксировали множество фишерских атак, нацеленных на кражу логинов и паролей игроков. В письмах пользователям предлагали поучаствовать в бета-тестировании, проводимом компанией Blizzard. Компания Blizzard действительно рассылала подобные официальные приглашения своим пользователям, поэтому распознать подвох было сложно. Разница была лишь в том, что в мошеннических письмах предлагалось пройти по предложенной ссылке (которая вела отнюдь не на легитимный сайт), а в официальных приглашениях вообще не было призыва пройти по ссылке, в них пользователей просили самостоятельно зайти на сайт и залогиниться. Серьезные письма от серьезных организаций Пользователи также могли получить письмо якобы от Федеральной корпорации по страхованию вкладов (федеральное агентство США, созданное для страхования депозитных вкладов, размещённых на счетах в банках). В письме пользователям предлагалось пройти по ссылке, чтобы ознакомиться с важной информацией о банке или условиями кредитования. Ссылка вела на сайт, где фишеры пытались выманить конфиденциальную информацию у своих потенциальных жертв. Хочется верить, что не найдется настолько наивный пользователь, который захочет пройти по ссылке в письме якобы от серьезной организации, где отсутствует не только личное обращение, но и название конкретного банка. Для пользователей в США рассылки поддельных сообщений от FDIC не в новинку. Однако на этот раз такие письма были разосланы и в другие страны. Это довольно странно, учитывая, что вне США организация FDIC не очень известна. А кому фишбургер? Встречались в третьем квартале и менее традиционные виды фишинг-атак. Так, мы обнаружили многоступенчатую фишинг-атаку. Для начала пользователь получал письмо якобы от McDonald’s, в котором сообщалось, что компания готова перевести на его кредитную карту $80, если он примет участие в опросе. Затем пользователю надо было перейти по ссылке и ответить на ряд вопросов. И только после этого он попадал на страницу, где надо было ввести данные карты, дабы получить обещанное «вознаграждение». Злоумышленников, конечно же, интересовали не результаты «опроса», а данные кредиток. На самом деле в схеме была еще одна ступень: пройдя по ссылке в письме, пользователь сначала попадал на взломанный сайт, с которого с помощью javascript-кода его перенаправляли на страницу фальшивого опроса. Не спешите открывать вложения Зловреды с доставкой на дом Мы уже писали про вредоносный спам, маскирующийся под сообщения от различных крупных служб доставки, таких как UPS и DHL. Отметим только, что в третьем квартале 2011 такой спам активно продолжал засорять ящики пользователей. В приложении содержалась вредоносная шпионская программа Trojan-Spy.Win32.Zbot.ccvt, которая занимается кражей данных пользователей и передачей их злоумышленникам. Секретный шифр Как известно, в числе инструментов социальной инженерии есть и пряник, и кнут. И последнее совсем не редкость. В этом квартале мошенники разослали спам, состоящий из бессмысленного набора букв. Символы они расположили так, что псевдотекст был похож на письмо в неправильной кодировке или на зашифрованное сообщение. В теме письма стояли пугающие фразы про долги компании. В приложении находился zip-файл. Расчет был на то, что пользователь, будучи не в состоянии понять содержание письма и напуганный заголовком, откроет вложение. Во вложении содержалась вредоносная программа Trojan.Win32.FraudST.atc, основным функционалом которой является рассылка фармацевтического спама с зараженного компьютера. Еще об одном письме (от «заботливого киллера»), которое должно было напугать получателя, мы рассказали в нашем отчете за сентябрь. Честные «нигерийцы» Остались в арсенале мошенников и старые схемы. Мы давно не писали в отчетах о «нигерийском» мошенничестве, потому что, казалось бы, о нем уже всем известно. Но этот вид мошенничества по-прежнему используется, следовательно, он эффективен, и кто-то попадает в ловушки «нигерийцев». Надо признать, что за долгие годы «нигерийцы» отработали свои приемы социальной инженерии и знают, какие из них действуют наиболее эффективно. Так, в этом квартале нам встретилось письмо, начало которого может растрогать почти любого: «Мне действительно жаль, что приходится связываться с вами таким способом. Я понимаю, что интернет наполнен мошенниками, которые пытаются лишить людей заработанных кропотливым трудом денег. Но я — мусульманка, и я не смогла бы соврать никому, так как это противоречит моей религии». Далее в письме повествуется о тяжелой судьбе семьи врага Каддафи, а в итоге все сводится к просьбе обналичить 7 кредитных карточек с немалыми суммами на каждой. Напомним, что такие схемы мошенничества используют один из трех следующих сценариев: у пользователя под разными предлогами попросят номер его счета, с которого мошенники снимут деньги; пользователя, согласившегося обналичить деньги, попросят переслать определенную сумму на «сопутствующие расходы», после чего общение прекратится; мошенники используют добровольного помощника так, чтобы ответственность за их денежные махинации оказалась на нем, что может грозить пользователю тюремным заключением. Спамерские методы и трюки: как спрятать сайт Взлом легитимных сайтов и размещение на них javascript-кода — не единственный способ, с помощью которого спамеры пытались избежать попадания адресов своих сайтов в черные списки. В этом квартале нам встретились спамовые письма, ссылки в которых вели на легитимные веб-ресурсы, но содержали SQL-инъекцию. Кликнув по ссылке, пользователь оказывался на сайте, уязвимом к SQL-инъекциям, а уже оттуда попадал на сайт спамерского магазина. Кроме того, спамеры продолжают активно использовать облачные сервисы Google для обмана фильтров. В приведенном ниже письме ссылка ведет на документ в «облаках», а уже в этом документе содержится ссылка на рекламируемый спамерами сайт. Спам-статистика Доля спама Доля спама в третьем квартале 2011 года уменьшилась на 2,7% и составила 79,8%. Количество спама в почте уменьшалось в течение всего квартала, за исключением последней недели сентября, когда этот показатель достиг 82,1%. Тенденция хорошо видна на диаграмме ниже: Скорее всего, аномально низкий показатель сентября не продержится долго, и уже в октябре количество спама в почтовом трафике вновь начнет расти. Распределение источников спама по странам и регионам В распределении источников спама по странам мы по-прежнему наблюдаем тенденцию 2011 года: все больше спама рассылается из развивающихся стран. Так, в тройку лидеров попали Индия (+0,7%), Индонезия (+4,7%) и Бразилия (+0,8%). Отметим, что в TOP 10 не вошла ни одна западноевропейская страна. Россия и США тоже не попали в первую десятку рейтинга, а из стран Восточной Европы в нее вошли только Украина и Польша. Кроме того, по-прежнему актуальна и еще одна тенденция 2011 года: стабильность. Доля разных регионов оставалась практически неизменной в течение всего квартала. Отметим, что доли всех регионов, кроме Азии и Латинской Америки, по сравнению со вторым кварталом уменьшились. Доминирование Азии и Латинской Америки в распространении спама стало привычным и уже не вызывает удивления. Однако напомним, что еще год назад, в третьем квартале 2010 года, доля стран Западной Европы и США суммарно составляла 36%, то есть более трети всего рассылаемого спама. А на долю Латинской Америки тогда приходилось всего 10,7%. Тематическое распределение спама В третьем квартале распределение спама по тематическим категориям заметно изменилось. По сравнению с предыдущим кварталом в три раза (-39,9%) уменьшилась доля рубрики «Образование», сократилась доля и других рубрик «заказного» спама, например «Отдых и путешествия» (- 4,3%), «Другие товары и услуги» (-1,6%). В то же время заметно выросла доля категорий спама, распространяемого через партнерские программы — «Медикаменты; товары/услуги для здоровья» (+10,9%), «Реплики элитных товаров» (+5,2%), «Спам для взрослых (+4,1%), «Компьютерное мошенничество» (+1,9%). Заметно увеличилась доля саморекламы спамеров (+9%). Отчасти это связано с тем, что некоторые спамерские рекламные кампании реализованы в виде мощных рассылок, в ходе которых письма распространяются многомиллионными тиражами и могут рассылаться несколько (5-10) раз на одни и те же адреса. Видимо, таким образом спамеры стараются пробить фильтры. Однако именно благодаря многочисленности писем такие рассылки легче всего заблокировать. Как можно видеть на диаграмме, доля спама, рассылаемого с использованием партнерских программ, увеличивается. А это означает, что в почте появляется все больше опасного и криминализированного спама. Ведь именно через партнерские программы рассылается порно-спам, спам с вредоносными программами и реклама поддельных товаров. Само устройство партнерок создает благоприятные условия для распространения криминализированного спама, так как позволяет всем участникам процесса сохранить анонимность: владелец партнерки, спамер и заказчик не знают друг друга. Спам и политика Отдельно выделим политический спам. В большинстве стран он не подпадает под антиспамовые законы, так как не является коммерческим, однако по классификации «Лаборатории Касперского» любая массовая незапрошенная рассылка считается спамом. В конце 2011 года в России пройдут выборы в Государственную Думу, а в марте 2012 — выборы президента РФ. И хотя события эти будут относительно не скоро, политический спам уже набирает обороты. Как правило, в спаме, рассылаемом в ходе предвыборной борьбы, кандидаты стараются привлечь на свою сторону избирателей и очернить соперников. Однако в этом квартале мы зафиксировали несколько рассылок весьма экстремистского характера: в письмах, вместо призыва голосовать за ту или иную партию, предлагалось «сорвать антинародные псевдовыборы», а нынешняя власть в некоторых из них была названа «кровавой хунтой». Ниже мы приводим самое безобидное письмо из этих рассылок. Письма с вредоносными вложениями Доля писем с вредоносными вложениями В третьем квартале 2011 года доля писем, содержавших вредоносные вложения, увеличилась на 1,17% и в среднем составила 5,03%. На диаграмме ниже представлено распределение этого показателя по месяцам третьего квартала 2011 года. Как видно на диаграмме, самый высокий процент писем с вредоносными вложениями в электронной почте (почти 6%) был в августе. В июле и сентябре этот показатель также был довольно высоким и превышал средний показатель предыдущего квартала. Стоит подчеркнуть, что в условиях нестабильной экономической ситуации партнерские программы по установке вредоносного кода будут пользоваться большой популярностью, соответственно, доля рассылок, содержащих вредоносные вложения, будет расти. Страны, ставшие мишенью вредоносных рассылок В третьем квартале 2011 года наибольшее количество срабатываний почтового антивируса, как и в первых двух кварталах года, пришлось на Россию (9,8%). При этом доля России по сравнению со вторым кварталом уменьшилась на 2,7%. На столько же уменьшился и показатель США, однако эта страна также сохранила свою позицию в рейтинге (2-е место). Вьетнам, в течение первого полугодия занимавший третью строчку рейтинга, по итогам квартала сместился на седьмую (-2,9%). На третьем месте оказалась Великобритания, на территории которой было зафиксировано 7,3% всех срабатываний почтового антивируса, что на 1,1% больше, чем в предыдущем квартале. Четвертое место вновь заняла Индия, показатель которой вернулся к значениям первого квартала (+1,5%). Отметим две интересные тенденции последнего полугодия. Изменение доли срабатываний почтового антивируса на территории США и Индии происходят в противофазе. Когда в США детектируется больше вредоносных писем, в Индии процент таких писем уменьшается — и наоборот. Пока трудно с уверенностью сказать, с чем это может быть связано, но мы продолжим наблюдения. Изменения доли срабатываний почтового антивируса на территории США и Австралии происходят синхронно. Возможно, это обусловлено схожестью «интернет-ландшафта» этих стран. Рейтинг вредоносных программ в почте В третьем квартале 2011 года первое место в рейтинге традиционно занимает Trojan-Spy.HTML.Fraud.gen, несмотря на то что в сентябре этот зловред уступил первенство другой вредоносной программе, речь о которой пойдет ниже. Напомним, что Trojan-Spy.HTML.Fraud.gen выполнен в виде html-страницы, копирующей регистрационную форму онлайн-банкингов или других интернет-сервисов. Регистрационные данные, введенные в такую «форму», будут отправлены злоумышленникам. Подробнее об этой программе можно прочитать здесь. На третьем месте расположился тот самый зловред, который сместил Trojan-Spy.HTML.Fraud.gen с первой позиции в сентябре — Trojan.Win32.FraudST.atc. Эта вредоносная программа является спам-ботом, основной функционал которого — рассылка фармацевтического спама с зараженного компьютера. Почтовые черви несколько сдали свои позиции. В TOP 10 вошли только три представителя этого семейства: Email-Worm.Win32.Mydoom.m (2-е место) и Email-Worm.Win32.Netsky.q (4-е место) и Email-Worm.Win32.Bagle.gt (6-е место). Напомним, что функционал первых двух зловредов ограничен сбором почтовых адресов с компьютера-жертвы и рассылкой по ним самих себя. Bagle.gt обладает более сложным функционалом: помимо сбора электронных адресов и рассылки по ним самого себя, он может загружать на компьютер пользователя другие вредоносные программы. Фишинг Доля фишинга в третьем квартале 2011 года незначительно увеличилась и в среднем составила 0,03% всего почтового трафика. Пара лидеров в рейтинге организаций, атакованных фишерами, в третьем квартале 2011 года не изменилась — это платежная система PayPal (-15,28%) и интернет-аукцион eBay (+4,23%). При этом на долю атак на PayPal пришлось более трети всех фишинговых атак за квартал. * Рейтинг составляется на основании доли фишинговых URL, распространенных в сети с целью получения регистрационных данных пользователей того или иного сервиса. Рейтинг не является показателем уровня безопасности упомянутых организаций. Рейтинг отображает популярность и авторитетность сервисов среди пользователей, которая напрямую отражается в их популярности у фишеров. Отметим, что вслед за традиционными лидерами рейтинга следуют три социальные сети: Facebook (+4,94%), Habbo (+3,3%) и Orkut (+3,05%). Часть фишинг-атак на Google (+1,34), расположившуюся на восьмой строчке рейтинга, также была нацелена на социальную сеть — Google+. Седьмое место заняла онлайн-игра Runescape (0,96%), давно обогнавшая по популярности у фишеров свою платную «коллегу» World of Warcraft, не вошедшую по итогам третьего квартала в первую десятку. Лишь на шестой и девятой строчках рейтинга мы видим банки — Santander (-1,33%) и Halifax (+0,82%). Десятую строчку занимает компания Ciello S. A., ранее не появлявшаяся в наших рейтингах. Это крупнейшая платежная система Латинской Америки. Третий квартал 2011 года очень ярко демонстрирует потерю интереса фишеров к традиционной банковской системе. Мы уже говорили об этой тенденции в наших предыдущих отчетах, но еще ни разу в TOP 10 не попадало всего два (!) банка. Это объясняется тем, что кража реальных денег для фишеров более опасна, чем кража денег «виртуальных». При этом ценность тех и других фактически одинакова. Кроме того, в конце сентября появились рассылки, нацеленные на студентов, получающих гранты и ссуды. Фишинговые странички, на которые могли попасть студенты, получившие такие письма, содержали форму, в которой необходимо было ввести регистрационные данные в финансовой системе для студентов Англии и некоторые персональные данные. Разумеется, никаким благим целям отправленные данные послужить не могли, а становились добычей злоумышленников. Заключение В третьем квартале силами «Лаборатории Касперского» и компании Microsoft был побежден еще один ботнет —Hlux/Kelihos. Как показала практика последних двух лет, именно деятельность по закрытию ботнетов дает наибольший результат в борьбе со спамерами. Но несмотря на то что количество спама в почте снизилось, его содержание стало существенно опасней. Процент спама с вредоносными вложениями на протяжении всего квартала держался на высоком уровне. В итоге средний показатель за квартал достиг наибольшего значения за всю историю наблюдений (5,03%). Кроме того, повысилось количество мошеннических писем, а также спама «для взрослых». Такой рост мошеннических сообщений, писем, содержащих вредоносные вложения, а также спама порнографического содержания обусловлен летним периодом отпусков и пришедшей вслед за ним «второй волной» мирового экономического кризиса. Спамеры в момент вынужденного затишья, а также в непростой экономической ситуации ищут «работу», позволяющую им удержаться на плаву. Распространение вредоносного кода и ссылок на порносайты (на которых также можно «подцепить» компьютерную заразу) остается выгодным для участников партнерских программ: пользователи продолжают проходить по предложенным ссылкам с «пикантным видео» или скачивать подозрительные архивы независимо от состояния экономики. В случае сохранения сложной ситуации в мировой экономике мы ожидаем дальнейший рост партнерского спама в следующем квартале. Это касается не только спама, содержащего вредоносные вложения, и спама «для взрослых», но и других видов «традиционного» партнерского спама — такого, как распространение рекламы фармацевтических товаров, копий предметов роскоши и дешевого программного обеспечения. Количество нигерийских писем в почтовом трафике также будет расти — в период сложной экономической ситуации пользователи готовы поверить любой, даже самой фантастической возможности восстановить пошатнувшееся материальное положение. Нигерийские спамеры, безусловно, не преминут воспользоваться этим. Количество заказчиков спама будет уменьшаться, что приведет к росту количества рассылок, содержащих саморекламу спамеров. При этом в условиях Рунета, как показал кризис 2008-2009 года, уменьшение количества заказного спама приведет к небольшому уменьшению спам-трафика в целом. Спам-статистика за период c 24 по 30 октября 2011 г. «Лаборатория Касперского» На прошлой неделе количество спама в Рунете еще несколько уменьшилось и составило 76%. Таким образом, спам в октябре составил в среднем 79,9% от всего потока писем. Распределение спама по тематическим рубрикам в целом схоже с картиной, наблюдавшейся в последние недели. Однако спам для взрослых передвинулся с 13 на 5 место. В первых строках таблицы снова, как и в статистике прошлых недель, находится спам категорий «Образование», «Недвижимость» и «Медикаменты». № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   27,6%   +2,6%   2   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   16,4%   Изменения незначительны   3   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   14,4%   Изменения незначительны   4   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   9,8%   Изменения незначительны   5   Спам «для взрослых»   Предложения скачать, получить, ознакомиться с контентом "для взрослых". Знакомства и т.п.   5,3%   +3,7%   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   5,2%   -2%   7   Другие товары и услуги   Предложения других товаров и услуг.   3,5%   Изменения незначительны   8   DVD   Предложения купить фильмы или другую информацию на DVD.   2,9%   -1,4%   9   Юридические услуги и аудит   Предложения юридических услуг.   2,9%   -1,4%   10   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,7%   Изменения незначительны   11   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   2,3%   Изменения незначительны   12   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   2,3%   Изменения незначительны   13   Ремонт и благоустройство   Предложения по ремонту и отделке интерьера квартир и домов.   2,2%   Изменения незначительны   14   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   Менее 1%   Изменения незначительны   15   Транспорт и перевозки   Реклама грузоперевозок и пассажирских перевозок.   Менее 1%   -2,0%   16   Личные финансы   Кредиты, займы.   Менее 1%   Изменения незначительны   17   Электронные гаджеты   Предложения купить разнообразные электронные приборы.   Менее 1%   Изменения незначительны   18   Остальной спам     Менее 1%   Изменения незначительны   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011