Электронный журнал "Спамтест" No. 397 в этом номере: Новости Записки спам-аналитиков Спам-статистика за период c 31 октября по 6 ноября 2011 г. Новости «Постмастер» ― проект для плодовитых рекламодателей Почтовая служба Mail.Ru запустила новый веб-сервис, предназначенный для повышения качества и эффективности коммерческих рассылок. Постмастер@Mail.Ru позиционируется как инструмент, позволяющий крупным отправителям писем отслеживать реакцию аудитории и вносить соответствующие коррективы в рекламные кампании. Не секрет, что многие получатели коммерческих бюллетеней отправляют их в корзину или спам-карантин только потому, что им просто не интересна присланная информация или они забыли вовремя оформить отказ от рассылки. В настоящее время «Постмастер» предоставляет клиентам статистику по общему объему исходящих рассылок, эффективности доставки, числу жалоб, удаленных или помеченных как спам посланий, а также по отбивкам из-за некорректно указанного адреса. Все эти показатели доступны в динамике за суточный, недельный и ежемесячный периоды. В дальнейшем планируется вести раздельную статистику по тематическим категориям писем, внедрить систему автоматического уведомления о жалобах, детализировать ответную реакцию (прочтенные письма, удаленные без прочтения, удаленные после прочтения, занесенные в спам-карантин по личным настройкам и т.п.). В помощь клиентам на сайте «Постмастер» выложено много полезной информации, в частности, свод правил в обеспечение успешной доставки, а также анализ типовых ошибок. Среди подписчиков нового сервиса числятся «Яндекс», сервис скидок GroupOn, шопинг-клуб KupiVIP и многоязычная социальная сеть Badoo.com. Источник: corp.mail.ru Академики: текстовые CAPTCHA требуют доработки Исследователи из Стэнфордского университета продемонстрировали уязвимость текстовых CAPTCHA к автоматизированным атакам, взломав 13 из 15 защитных решений, используемых на популярных веб-сайтах. Полтора года американцы изучали современные средства противодействия алгоритмам сегментации и распознавания символов на живых примерах, взятых из Сети. По результатам исследования была создана полностью автоматизированная система для расшифровки тестов CAPTCHA, способная производить очистку от «шума», разбивать строки символов на отдельные фрагменты, нормализовать их размеры, опознавать знаки и осуществлять проверку правописания, если контрольное изображение представлено словом или фразой. Экспериментальный инструмент получил наименование Decaptcha и был применен для получения несанкционированного доступа к 15 разным по тематике сайтам, включая специализированные сервисы Captcha.net и Recaptcha.net. В итоге на Baidu и Skyrock коэффициент результативности составил 1-10%, на CNN и Digg ― 10-24%; на eBay, Reddit, Slashdot и Wikipedia 25-49%; на Authorize.net, Blizzard, Captcha.net, Megaupload и NIH.gov 50% и выше. Бастионы Google и Recaptcha остались непокоренными. Следует отметить, что после проведения испытаний платежный сервис Visa Authorize и Digg поменяли свою защиту от ботов на reCAPTCHA. Исходя из результатов исследования, академики составили список рекомендаций по усилению текстовых CAPTCHA. По их мнению, рандомизация длины цепочки символов и размера каждого знака не приведет в замешательство человека, но значительно усложнит работу автомата. Эффективными признаны также такие трюки, как волнообразная форма строки, слитное написание знаков и наложение шумовых штрихов произвольной длины. Использование большого набора контрольных тестов, верхнего регистра и похожих символов, против ожидания, оказалось малоэффективным и лишь увеличивает процент ошибок при авторизации легальных пользователей. Работа университетских исследователей из Стэнфорда была представлена на чикагской конференции ACM по компьютерной и сетевой безопасности (CCS 2011). Ее авторы планируют продолжать совершенствование Decaptcha и техник противодействия автоматизированному взлому контрольных тестов. Источник: computerworld.com Источник: cdn.ly.tl Джон Левин: серые списки пока актуальны По свидетельству известного программиста и антиспамера Джона Левина (John R. Levine), серые списки не утратили своей эффективности и помогают блокировать на почтовом сервере от половины до двух третей потенциальных источников спама. Серые списки IP-адресов используются почтовыми службами уже около 10 лет. Многие считают этот репутационный механизм важной частью защитного арсенала, позволяющей отсеять большинство посланий спамботов и прочих масс-мейлеров. При получении сообщения с неизвестного IP-адреса почтовый сервер отвергает его, предлагая отправителю повторить попытку позднее. Легальный почтовик, как правило, подчиняется этому требованию, и его сообщение на сей раз принимается. Автомат, напротив, сразу отключается и надолго исчезает с горизонта, оставляя свои координаты в «серой» базе. Бурная эволюция интернет-угроз заставила некоторых сомневаться в целесообразности поддержки серых списков. Почтовые черви, например, давно обзавелись достаточно совершенными smtp-механизмами, которые могут легко свести на нет любые запросы на повторную отправку. Однако статистика, полученная Левиным за минувший год, наглядно свидетельствует о том, что серые списки рано сбрасывать со счетов. Из 430 с лишним тысяч хостов, пытавшихся за год подключиться к его почтовому серверу, почти 300 тыс. отказались повторить попытку, свыше 60 тыс. подчинились и больше не выходили на связь, около 75 тыс. стали постоянными корреспондентами. Последняя неделя октября продемонстрировала несколько иные пропорции: отказ от услуг ― свыше 12 тыс., 1 повтор и безвозвратная потеря связи около 7,5 тыс., повтор и сохранение взаимоотношений около 5 тысяч. Левин полагает, что сокращение количества запросов от ботов напрямую связано с ликвидацией ряда ботнетов в минувшем году. Источник: jl.ly Записки спам-аналитиков Мария Наместникова, «Лаборатория Касперского» Смерть Каддафи в спаме Нигерийские спамеры крайне быстро реагируют на события в горячих точках. Стоило вести о смерти ливийского лидера Муаммара Каддафи облететь мир, как в почтовые ящики пользователей посыпались письма «от родственников покойного». Скорбящие родственники Каддафи были бы сильно удивлены, если бы узнали, как много писем от их имени получают пользователи интернета по всему миру. Выглядит это так, как будто сыновья, дочь, жена, братья и даже друзья семьи Каддафи вместо того, чтобы участвовать в поминальных обрядах засели за свои ПК и строчат и строчат письма простым гражданам этого мира, чтоб те помогли им вывести заграницу несметные миллионы, доставшиеся им по наследству. Если верить нигерийцам, то только в «запасах» семьи ливийского лидера можно насчитать сотни миллионов долларов. Лично я только в письмах попавших мне в руки насчитала не менее трехста. Более всех усердствует «жена Каддафи», именно от ее имени нигерийские спамеры рассылают наибольшее количество вариантов сообщений. По их мнению страшные истории, рассказанные ими, о том, как тяжело ей жилось в семье своего мужа могут объяснить такое рьяное желание женщины поделиться деньгами с ближним своим. Или с дальним. Смотря к кому придет электронное послание. К общему неистовому желанию передать миллионы долларов заграницу присоединяются и «оппозиционно настроенные войска», и «юристы», и «банковские служащие, имеющие доступ к счетам покойного». Нигерийский спам, разумеется, это мошенничество чистой воды. Никакие жены Каддафи, или даже юристы, никогда не станут писать электронные послания неизвестно кому ради того, чтобы передать миллионы долларов заграницу, выплатив при этом комиссию неизвестному посреднику. Из пользователя, попавшегося на этот обман будут тянуть деньги якобы на различные «издержки» до тех пор, пока «тянуть» станет просто нечего. Стоит все-таки критично относится к информации, полученной в интернете от непроверенного источника, называющего себя (ВНЕЗАПНО!) сыном полковника Каддафи. Пример спамовых писем смотрите на сайте www.securelist.com/ru/blog. Fake Kaspersky Antivirus На выходных нам поступила жалоба от пользователя о том, что наша компания распространяет спам. Разумеется, это заявление нас несколько удивило, поскольку ничем таким мы не занимаемся, а как раз наоборот – боремся со спамом. Естественно, мы захотели разобраться в ситуации – почему же у пользователя сложилось ощущение, что Лаборатория Касперского «спамит» его. Письмо, на которое жаловался пользователь оказалось чистой воды мошенничеством – за красивыми картинками, напоминающими наши официальные рекламные изображения таилась ссылка никак не связанная с нашим продуктом. Злоумышленники неплохо поработали, сделав не только само письмо визуально похожим на официальное сообщение от нашей компании, но и подделав поле “From” таким образом, что оно выглядело как настоящее. При переходе по ссылке пользователь неожиданно для себя оказывался на страничке, предлагающей ему купить программу – Best Antivirus Online. Надо заметить, что дизайн "коробки" скорее напоминает оформление Symantec – преобладает желтый цвет фона с черными буквами. Для покупки программы пользователя просят ввести данные его кредитной карты и свой электронный адрес для дальнейшего получения инструкций по скачиванию программы. Надо отметить, что в процессе изучения проблемы никакой инструкции на предложенный адрес мы не получили. Вероятно, что в момент рассылки пользователи вполне могли получать в ответ инструкции по скачиванию поддельного антивируса. Интересно, что злоумышленники не впервые используют упоминание нашего продукта в своих интересах. Мы не единожды отмечали попытки распространителей поддельных антивирусов сделать «интерфейс» своих зловредов, похожим на интерфейс KIS, или KAV. Спамеры, распространяющие дешевое программное обеспечение, также нередко делают упор в своих письмах на то, что на их сайтах предлагаются продукты нашей компании по цене ниже рыночной. Такое внимание со стороны злоумышленников бесспорно говорит о том, что наш продукт известен и ему доверяют. Преступники используют доверие пользователей к Лаборатории Касперского как прием социальной инженерии в надежде, что расслабившийся при виде знакомой зеленой символики пользователь совершенно потеряет бдительность и пройдет по вредоносной ссылке. Отметим, что не только Лаборатория Касперского оказалась в центре внимания злоумышленников. Около недели назад нами были получены такие же сообщения, подделанные под рассылку от Adobe. По ссылке предлагалось скачать подозрительного вида pdf reader. Шаблон сайта был как две капли похож на шаблон с Best Antivirus Online. Разве что цветовая гамма отличалась. Еще ранее, в начале октября, такой же сайт распространялся в сообщениях, предлагавших скачать новую версию iTunes, посвященную Стиву Джобсу. Тогда письма были оформлены совершенно иначе, однако шаблон сайта остался неизменным. На момент обращения пользователя наш продукт детектировал как спамерскую рассылку, так и вредоносный сайт, распространявшийся в ней. Мы, однако, призываем пользователей не только доверять нашему продукту, но и быть внимательными при серфинге в интернете. Помните, ни одна уважающая себя компания не станет распространять спамерские сообщения. Пример спамового письма смотрите на сайте www.securelist.com/ru/blog. Спам-статистика за период c 31 октября по 6 ноября 2011 г. «Лаборатория Касперского» Первая неделя ноября принесла в Рунет 78,6% спама — немного больше, чем на позапрошлой неделе, когда этот показатель равнялся 76%. Распределение спама по тематикам в ноябре ненамного отличается от октябрьского. «Образование» опять лидирует. За ним, впрочем, идет «Отдых и путешествия», что связано с целым ворохом рекламы экскурсий и туров на ноябрьские выходные. Ну а третье место, как мы уже привыкли, заняла реклама различных медикаментов и товаров для здоровья. В таблице представлен TOP 10 спамерских тематик за прошлую неделю. № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   28,7%   Изменения незначительны (менее 1%)   2   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   14,8%   +5   3   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   12,0%   -2,4   4   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   7,6%   -8,8   5   Другие товары и услуги   Предложения других товаров и услуг.   6,2%   +2,7   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   5,8%   Изменения незначительны (менее 1%)   7   Спам «для взрослых»   Предложения скачать, получить, ознакомиться с контентом "для взрослых". Знакомства и т.п.   5,0%   Изменения незначительны (менее 1%)   8   Ремонт и благоустройство   Предложения по ремонту и отделке интерьера квартир и домов.   3,3%   +1,1%   9   DVD   Предложения купить фильмы или другую информацию на DVD.   3,3%   Изменения незначительны (менее 1%)   10   Транспорт и перевозки   Реклама грузоперевозок и пассажирских перевозок.   3,0%   +2,5   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011