Электронный журнал "Спамтест" No. 398 в этом номере: Новости Спам в октябре 2011 года Спам-статистика за период c 7 по 13 ноября 2011 г. Новости APWG наблюдает активизацию фишеров на территории Китая В январе-июне текущего года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зафиксировала свыше 112 тыс. фишинговых атак ― на 70% больше, чем в предыдущем полугодии. Одной из причин увеличения этого глобального показателя является рост активности китайских фишеров, предпочитающих атаковать соотечественников. По данным APWG, за полгода количество фишинговых атак (уникальных веб-сайтов) на территории Китая увеличилось на 44%. Около 90% этих эскапад были направлены против клиентуры Taobao.com ― местного аналога eBay и Amazon. На долю китайцев пришлось также 70% доменов, зарегистрированных фишерами в отчетный период. Из них 37% были привязаны к TLD-зоне .tk, 25% ― к .cc, 21% к .info, 12% к .com. Все фишинговые сайты, размещенные в зоне .сс, были оформлены через службы бесплатных поддоменов. Эксперты также отметили учащение случаев взлома веб-серверов, совместно используемых легальными владельцами доменов в качестве виртуальной хостинг-площадки. Получив административный доступ к такому ресурсу, фишер загружает копию поддельной страницы и вносит изменения в конфигурацию сервера, обеспечивая общий доступ именных узлов к новому контенту. В итоге каждый веб-сайт, привязанный к данному серверу, начинает воспроизводить эту фишинговую страницу. Таким образом, установив контроль над одним сервером, злоумышленник получает в свое распоряжение целую сеть ловушек, доступных через ресурсы с «белой» репутацией. В первом полугодии APWG обнаружила около 42,5 тыс. разноименных фишинговых сайтов, созданных на виртуальных серверах, ― 37% от общего количества. К счастью, такие плацдармы фишеров менее долговечны: их медианное время жизни составляет около 10 часов, а прочих сайтов-ловушек ― больше полусуток. В целом срок службы фишинговых сайтов значительно сократился и в среднем составил немногим более 54,5 часов ― на 25% меньше, чем в предыдущем полугодии. Медианное значение побило 4-летний рекорд, снизившись до отметки 10 часов 44 минуты. Количество уникальных доменных имен, задействованных в фишинговых атаках, увеличилось на 87% и составило немногим менее 80 тысяч. 18% из них были зарегистрированы со злым умыслом, причем в 93% случаев фишеры отдавали предпочтение зоне .tk, .info, .com или .net. Число злоупотреблений на сервисах поддоменов также возросло, на 7%. Свыше 30% таких абьюзов пришлось на зону .co.cc, вопреки активной позиции соответствующего сервиса в отношении жалоб. Тем не менее, это заметный прогресс по сравнению с предыдущим полугодием. В отчетный период эксперты зафиксировали фишинг-атаки против 520 организаций, включая банки, торговые сервисы, социальные сети, налоговые службы, почтовые услуги, холдинговые компании, интернет-провайдеров и операторов лотерей. Главной мишенью фишеров является PayPal, второе место занял китайский сервис Taobao, контролируемый Alibaba Group. Источник: eon.businesswire.com Источник: apwg.org Марийский конвейер «джульетт» встал на прикол Прокуратура республики Марий Эл утвердила обвинительное заключение в отношении 35 участников криминальной группы, которая поставила на поток переписку с иностранцами от имени российских «невест» и за 3 года выманила у сетевых романтиков свыше 5,5 млн. рублей. Уголовное дело о коллективном мошенничестве направлено в городской суд Йошкар-Олы для рассмотрения по существу. Как показало расследование, марийский интернет-сервис знакомств был поставлен на широкую ногу. Брачные аферисты арендовали под «офисы» несколько квартир в Йошкар-Оле и соседнем поселке Медведево, оборудовали каждую десятком компьютеров и поставили «к станку» наемников ― преимущественно студентов, которые работали посменно и в круглосуточном режиме. Последние и разыгрывали фарс перед иностранцами, увлекая тех перспективой серьезных отношений и сочиняя «романы в письмах». В ходе переписки жертву неоднократно просили оказать материальную помощь, якобы на удовлетворение неотложных нужд и капризов «возлюбленной». Размер разовых денежных переводов составлял от 100 до 4 тыс. долл. Полученные «добровольные взносы» мошенники вкладывали в «развитие бизнеса»: оплату аренды, закупку электронного оборудования, содержание штата охранников. Оперативникам удалось выявить 125 жертв марийской брачной аферы, большинство которых ― граждане США, а также канадцы, немцы, британцы и австралийцы. Расследованием деятельности йошкар-олинских скамеров занималось УФСБ по республике Марий Эл в тесном взаимодействии с Иммиграционной и таможенной полицией США (Immigration and Customs Enforcement, ICE). В ходе масштабной операции, проведенной несколько лет назад на территории республики, были задержаны более 60 участников мошеннической схемы, ликвидированы 14 компьютерных «офисов», изъяты свыше 100 ПК и 10 комплектов спутникового оборудования. Подельникам вменили нарушение ч. 4 ст. 159 УК РФ (мошенничество, совершённое организованной группой). В июне прошлого года суд приговорил руководителя одного из захваченных «офисов» к 4 годам лишения свободы в колонии общего режима и штрафу в размере 10 тыс. руб.. Его 9 «подчиненных» отделались 5 годами условного срока и штрафом в 5 тыс. руб. Спустя 2 месяца были осуждены еще две команды, общим числом 15 человек. Все они, включая «топ-менеджеров», получили от 3 до 6 лет условно со штрафами от 4 до 10 тыс. руб. Источник: genproc.gov.ru Источник: pravo.ru WebpageFX: спам ухудшает экологию По оценке поставщика маркетинг-услуг WebpageFX, энергозатраты на спам ежегодно добавляют в земную атмосферу 28,5 тонн углекислого газа. По степени загрязнения окружающей среды подготовка к отправке, пересылка и обработка 1 спам-сообщения равноценны перемещению автомобиля на расстояние 3 фута (около 1 метра). Следовательно, так называемый углеродный след 95 трлн. писем, разосланных спамерами в прошлом году, эквивалентен совокупному выхлопу от 2 млн. автопробегов по экватору. Больше половины расходуемых из-за спама энергоресурсов приходится на просмотр и ручное удаление нелегитимных сообщений (104 млрд. человеко-часов в год), 27% ― на поиск важных писем, по ошибке попавших в спам-карантин. 16% электроэнергии потребляют системы фильтрации, 2% уходит на передачу спам-писем средствами интернета. При современных объемах мусорных потоков изъятие спам-фильтров из этой цепочки привело бы к увеличению выброса парниковых газов на 270%. Эксперты также поименовали географические источники спама, оказывающие наиболее пагубное воздействие на экологию. По данным WebpageFX, это США (21% спам-трафика), Китай (15%) и Индия (7%). Заметим, что попытки подсчитать углеродный эквивалент деятельности спамеров предпринимались и ранее. Достаточно вспомнить исследование, проведенное 2,5 года назад McAfee совместно с консалтинговой компанией ICF International Inc., которое показало примерно такие же результаты. Источник: webpagefx.com Корейцы намерены блокировать порт 25 Управление по сетевой безопасности Южной Кореи не теряет надежды убедить отечественных провайдеров принять участие в реализации национального плана борьбы со спамом ― «Block 25», который правительство намерено запустить с декабря. Открытый 25-й порт позволяет рассылать почту в обход почтовых серверов интернет-провайдера, и этим часто пользуются спамботы. Тем не менее, попытки ограничить количество спама тотальной блокировкой этого порта неизменно терпели неудачу ― достаточно вспомнить аналогичную инициативу Рабочей группы по борьбе со злоупотреблениями в системах передачи сообщений (Messaging Anti-Abuse Working Group, MAAWG). Дело в том, что многие провайдеры, в основном небольшие, предоставляют клиентам возможность использовать компьютеры как почтовые серверы и не готовы исключить эту услугу из своего пакета. Кроме того, практическая реализация полной блокировки порта 25 сопряжена с определенными трудностями и под силу лишь крупным организациям. Критики корейского проекта «Block 25» также опасаются, что принятие этой меры в национальном масштабе неминуемо отразится на бизнесе: многие корпоративные smtp-серверы поддерживают авторизованный доступ по 25-му порту. Если этот канал заблокировать, сотрудники потеряют возможность работать на дому. Что касается абьюзов, злоумышленники всегда найдут способ обойти новое препятствие: сделают ставку на прокси-серверы или поменяют порт. Источник: bbc.co.uk MarkMonitor о фишинге в III квартале В июле-сентябре эксперты MarkMonitor зафиксировали 103,7 тыс. фишинговых атак ― на 7% больше, чем в предыдущем квартале [PDF 931 Кб]. Больше прочих от козней фишеров страдали клиенты финансовых организаций и платежных систем, на долю которых пришлось 44,5 и 20% фишинговых атак соответственно. Интерес злоумышленников к предприятиям розничной торговли и сфере услуг продолжает возрастать. В отчетный период активность фишеров, направленная против соответствующих сервисов, увеличилась на 43%; доля этой категории в общем объеме фишинга составила 14%. Значительный рост демонстрирует также показатель по социальным сетям (4,6% фишинговых атак). В минувшем квартале он увеличился на 33%, а за год ― в полтора раза. Число организаций, атакуемых фишерами, продолжает сокращаться. В июле-сентябре MarkMonitor насчитала 488 мишеней, на 2% меньше, чем во II квартале. Среди них по-прежнему лидируют американские брэнды, на долю которых пришлось 56% фишинговых атак. Второе место занял Китай (14%), обогнав Великобританию (12%). Повышенным вниманием фишеров пользуются также бизнес-структуры Бразилии, Канады, Испании, Доминиканской республики и Южной Африки. Наибольшее количество сайтов-ловушек обнаружено на территории США (54,5%). Гонконг опередил по этому показателю Канаду и занял второе место (5,6 и 5,0% соответственно). Несколько менее популярны в этом отношении хостинг-площадки Германии, Великобритании, Франции, Бразилии, Китая, России и Австралии. Источник: markmonitor.com [PDF 931 Кб] Спам в октябре 2011 года Мария Наместникова, «Лаборатория Касперского» Октябрь в цифрах Обзор главных событий месяца Горячие темы месяца Для спамеров они все еще живы Праздник к нам приходит Политический спам SMS-мошенничество возвращается Статистический обзор Страны — источники спама Вредоносные вложения в почте Фишинг Тематические направления в спаме Заключение Октябрь в цифрах Доля спама в почтовом трафике по сравнению с сентябрем увеличилась на 1,4% и составила в среднем 79,9%. Доля фишинговых писем в почтовом потоке по сравнению с сентябрем уменьшилась втрое и составила 0,01%. В октябре вредоносные файлы содержались в 2,5% всех электронных сообщений, что на 2% меньше, чем в прошлом месяце. Обзор главных событий месяца Горячие темы месяца В октябре у спамеров была возможность выбирать инфоповоды для привлечения внимания к своим рассылкам в соответствии со своими вкусами, настроениями и спецификой сообщений. Месяц оказался не только богат на различные громкие события, но и ознаменовался приближением сразу двух международных праздников. Для спамеров они все еще живы Как известно нашим читателям, для спамеров нет ничего святого. Смерть знаменитостей для них такой же повод привлечь внимание к своим рассылкам, как и любое другое громкое событие. Стив Джобс 5 октября умер основатель компании Apple Стив Джобс. Реакция спамеров последовала на удивление поздно. Мы уже писали в нашем блоге о том, что прошли почти сутки после смерти Джобса, прежде чем активизировались вредоносные рассылки, в которых сообщалось, что основатель Apple все еще жив, а также предлагалось узнать подробности того, как его компания перенесла трагическое известие. В течение всего месяца мы регистрировали новые рассылки, эксплуатировавшие тему смерти Джобса. В основном, это были сообщения, содержащие ссылки на вредоносный код. Встретилось нам и мошенническое письмо, предлагающее пользователю за 30 USD приобрести «обновление для iTunes», якобы выпущенное специально в память об основателе этого сервиса. Из сообщений, «посвященных» смерти основателя Apple и не содержавших вредоносный код и признаков мошенничества, мы встретили лишь рассылку, в которой пользователям предлагалось купить руководство по медитации. Вопреки нашим ожиданиям, в спаме, эксплуатирующем тему смерти основателя Apple, в октябре не встречались традиционные рассылки с рекламой медикаментов. Каддафи 20 октября по миру разнеслось сообщение о смерти ливийского лидера Муаммара Каддафи. Как и следовало ожидать, в спаме тут же появилось множество сообщений от «родственников Каддафи» и «военных, служивших у Каддафи». Каждому из этих людей «досталась часть несметных сокровищ покойного ливийского лидера». Если сложить суммы, упомянутые в нигерийских письмах, получится, что у Каддафи действительно были несметные сокровища — в самом скромном письме пользователю сообщают о доступных к «распилу» 12,5 миллионах американских долларов. Интересно, что самой настырной «родственницей Каддафи» стала «его вторая жена», от имени которой написано несколько вариантов нигерийских писем. Напомним пользователям, что нигерийские письма являются чистой воды мошенничеством, и мы настоятельно рекомендуем не отвечать на них. Для нигерийских спамеров смерть любой заметной личности в странах со сложной политической обстановкой является поводом для новой волны атак. Они считают, что упоминание реального человека, задействованного в реальных событиях, придает их письмам правдоподобность. Надеемся, однако, что спамеры ошибаются, и ни один здравомыслящий человек не сочтет правдоподобным полученное по электронной почте сообщение от «второй жены погибшего полковника Каддафи» с предложением получить изрядную долю от полученных ею в наследство 12,5 миллионов долларов. Праздник к нам приходит Широко отмечаемые праздники — от Хэллоуина до Нового года — также стали заметной темой в спамерских сообщениях в октябре. Halloween В нашем блоге мы уже писали о том, что спамеры вновь живо отреагировали на приближение отмечаемого в конце октября праздника Хэллоуин. Хэллоуиновский спам имеет две небезынтересные особенности. Во-первых, это в основном англоязычный спам. Это понятно: в Америке и Европе Хэллоуин — традиционный праздник, который принято отмечать с размахом и весельем. В России же прижились лишь полюбившиеся молодежи костюмированные вечеринки в ночь с 31 октября на 1 ноября. Соответственно, немногочисленные русскоязычные рассылки, посвященные Хэллоуину, в основном рекламируют события Хэллоуиновской ночи и костюмы, которые можно надеть на этот карнавал. Англоязычный же спам Хэллоуиновской тематики отличается разнообразием. Тут и костюмы, и подарки, и открытки, и даже специальные акции продавцов фармы и дешевого ПО. Объединяет эти рассылки одно — все это плоды работы партнерских программ. Это и является второй особенностью Хеллоиуновского спама, которую хотелось бы отметить. Новый год и Рождество УЖЕ стучатся в двери Спам-рассылки, тематически связанные с Новым годом и Рождеством, традиционно стартуют в октябре, когда активная подготовка к праздникам начинается и в реальном мире. Полученные нами «новогодние» сообщения были, в основном, англоязычными. Рекламировались в них новогодние подарки и лакомства, а также различные виды отдыха в период рождественских каникул. В ноябре таких сообщений станет намного больше, т.к. предновогодний ажиотаж уже разгорится не на шутку. Помимо рекламы рождественских подарков, праздничных поездок, открыток и прочего, обязательно появятся «специальные предложения» от распространителей товаров, напрямую не связанных с Рождеством и Новым годом. В том числе, разумеется, новогодние акции от распространителей виагры и предложения реплик дорогих часов. Политический спам Мы уже писали о том, что в преддверии выборов в России, которые состоятся в начале декабря этого года, растет количество политически-окрашенных сообщений. В октябре эта тенденция сохранилась. Интересно отметить, что сообщения, носящие политический характер, не всегда связаны с выборами. От имени отделения партии ЛДПР в Новосибирске было разослано спам-письмо, в котором бизнесменам предлагалось обращаться в отделение партии в случае, если они терпят притеснения от властей. Как всегда, когда речь идет о «партийных» рассылках, нельзя исключить черный пиар. Не первый месяц мы наблюдаем спам-сообщения, содержащие ярко выраженный протест против партии власти. Степень радикальности спамеров варьирует от предложений прогулять выборы или голосовать за любую другую партию до призывов к революции. Были и сообщения, призывающие пользователей интернета стать кандидатами-самовыдвиженцами в президенты. Интересно, что автор этой рассылки утверждает, что рассылку проводит первый и последний раз и делает это, поскольку не видит иного дешевого метода быстрого распространения информации. Активизация политической жизни в стране, вероятно, приводит к тому, что граждане занимают более активную гражданскую позицию и в случаях, не имеющих прямого отношения к политике. Это находит отражение в спаме. В октябре нами была зафиксирована рассылка писем с обращением к премьер-министру РФ В. В. Путину от жителей Брянска — с просьбой наказать виновных в ДТП, в результате которого погибла маленькая девочка. Кроме того, зафиксирована рассылка от жителей Калужской области, сетующих на невыполнение местными депутатами обещаний по газификации одного из поселков. Отметим, что на данный момент интернет полон площадок (социальные сети, форумы, дневниковые сервисы), где понравившаяся и стоящая внимания информация распространяется «вирусным» путем: ее подхватывают и начинают публиковать на своих страницах сами пользователи. В то же время спам-рассылки вызывают не желание «переслать письмо другу», а недоверие, что, безусловно, выводит их из перечня «хороших и быстрых способов передачи информации». SMS-мошенничество возвращается В последнее время фраза «отправь SMS на короткий номер» практически стала в России синонимом мошенничества. Опытные пользователи интернета, увидев такое предложение на интернет-странице, первым делом знакомятся с написанными мелким шрифтом правилами оплаты, или попросту покидают сайт. Волна мошенничества с применением премиальных номеров началась в период кризиса 2008-2009 гг. Тогда ежедневно фиксировалось несколько рассылок, в которых использовались различные приемы социальной инженерии. Разнообразие предложений — от «сканера одежды» до «звуковых наркотиков» — ограничивалось только фантазией спамеров. Пользователи же с готовностью отправляли SMS-сообщения стоимостью в несколько сотен рублей в качестве оплаты за несуществующие на самом деле товары/услуги или за премиальный контент сайта. В прошлом отчете мы отмечали, что в настоящее время, когда в экономике наблюдаются признаки возможного будущего кризиса, в спаме заметны изменения, связанные с этой нестабильностью. В октябре мы зафиксировали рассылки, напомнившие нам о SMS-мошенничестве в почтовом спаме во время прошлого кризиса. В первой такой рассылке содержались заманчивые предложения по аренде недвижимости и ссылки на сайт. При переходе по ссылке пользователь попадал на главную страницу сайта, откуда можно было перейти на странички с более подробным описанием предлагаемых квартир. Однако кликнувшего по ссылке «подробнее» пользователя ждало разочарование — вместо описания заинтересовавшей его недвижимости он видел форму, в которую ему предлагалось ввести номер своего мобильного телефона. Введя свой номер, пользователь не только получал доступ к контенту, но и подписывался на SMS-рассылку c этого сайта. После введения номера в соответствующее поле пользователь получает SMS с подтверждением регистрации на сайте. В результате небольшая сумма со счета его мобильного телефона регулярно перечисляется умельцам. Как видим, эта схема несколько отличается от предыдущей. «Прелесть» схемы с точки зрения злоумышленников налицо: сумма, списываемая ежедневно, действительно невелика — порядка 10 рублей. Правила подписки опубликованы ниже по ссылке, которую не сразу заметишь. Если пользователь вовремя с ними не ознакомится, мошенники могут получить довольно большую прибыль, прежде чем жертва заметит исчезновение денег. В правилах подписки также указывается, что, приняв их, пользователь соглашается на передачу своих личных данных (номера телефона) третьим лицам. В таком случае не стоит удивляться, если денег на мобильном телефоне убудет, а незапрошенных SMS прибудет. Несмотря на заметные различия между представленной выше схемой и той, что использовалась злоумышленниками раньше, основная идея осталась прежней: со счета мобильного телефона пользователя списываются средства взамен на возможность попасть на премиальную часть сайта. Отметим, что «премиальный контент» с большой вероятностью может оказаться вовсе не эксклюзивным, а скопированным с бесплатного сайта объявлений. Один из первых способов мошенничества с помощью «смс на короткий номер» — реклама программ, с помощью которых якобы можно читать чужие SMS-сообщения. В октябре нами была зафиксирована рассылка, авторы которой пытались поймать пользователей на тот же крючок, что и два года назад, — на возможность читать чужие SMS. Интересно, что объявления с теми же контактами, что и в спамерском письме, заполонили и многие доски объявлений. Почтовый ящик, куда предлагается писать любителям покопаться в чужих SMS, находится на пустующем домене, зарегистрированном 10 октября 2011. Возможно, в данном случае спамер использует иную схему, нежели отправка сообщений на премиальный номер для оплаты, однако разосланные спам-сообщения напоминают нам о буме SMS-мошенничества в период прошлого экономического кризиса. Все это заставляет нас напомнить пользователям о том, что главное оружие в борьбе с мошенниками в Сети — это внимательность и осторожность. Всегда читайте правила регистрации или пользования сервисом, если вас просят отправить SMS на короткий номер или предоставить тем или иным способом ваши персональные данные. Вероятнее всего, такого мощного всплеска мошенничества с применением премиальных номеров, как тот, что произошел во время прошлого кризиса, уже не будет, поскольку вызванный в свое время резонанс заставил включиться в борьбу с этим явлением не только компании, занимающиеся интернет-безопасностью, но и мобильных операторов. Статистический обзор Страны — источники спама В октябре исходящие потоки спама распределились по миру довольно равномерно. Напомним, что в третьем квартале 2011 года почти 50% всего спама рассылалось из стран, входивших в ТОР 5 нашего рейтинга. В октябре же на эти страны пришлось всего 33,4%. При этом больше спама стало распространяться из всех остальных стран, в том числе тех, которые попадают в категорию «другие» (+7%). Первые четыре страны в рейтинге остались прежними, они лишь поменялись местами. Это Индия (-4,7%), Южная Корея (-0,7%), Бразилия (-4,1%) и Индонезия (-3,4%). Перу, занимавшая в сентябре пятую строчку, в октябре едва удержалась в ТОР 20, заняв девятнадцатое место (-3,6%). На смену Перу в ТОР 5 пришла Италия (+2,47%). Стоит отметить, что западноевропейские страны вообще хорошо представлены в первой десятке октябрьского рейтинга, в то время как в предыдущие месяцы из стран этого региона в TOP 10 попадала лишь Италия. Россия осталась на 13-й строчке рейтинга, однако доля спама, разосланного из страны, по сравнению с сентябрем немного увеличилась (+0,4%). Напомним, что в течение трех месяцев мы наблюдали синхронную рассылку спама из двух групп стран: Индия — Бразилия и Украина — Индонезия — Перу — Таиланд. В то же время из Росси и Вьетнама спам рассылался в противофазе. Однако в октябре такой корреляции зафиксировано не было. Мы продолжаем наши наблюдения и в ближайшие месяцы опубликуем новые данные по совпадению в изменениях объемов исходящего спама в разных странах. В настоящее время можно лишь с уверенностью сказать, что спамеры сохраняют тактику, согласно которой мощности спам-ботнетов не сосредотачиваются в одной стране или регионе, а распределяются по нескольким странам, обычно находящимся в разных регионах. Вредоносные вложения в почте В октябре вредоносные файлы содержались в 2,5% всех электронных сообщений, что на 2% меньше, чем в прошлом месяце. Страны, входящие в тройку лидеров по срабатыванию почтового антивируса, в октябре не изменились, однако поменялись местами. Россия со значительным отрывом вышла на первое место. Доля срабатываний почтового антивируса в этой стране увеличилась по сравнению с сентябрем почти в два раза (+8,26%). Доля срабатываний почтового антивируса в США и Великобритании также увеличилась, однако не столь заметно (+2,1% и +1,2% соответственно). Из заметных изменений можно отметить рост доли срабатываний почтового антивируса на территории Вьетнама (+2,7%) и Австралии (+1,65%), а также уменьшение на 1,8% этого показателя на территории Индии. Кроме того, в рейтинг на десятое место попала ЮАР (+1,2%), ранее не входившая в ТОР 10. В октябре список вредоносных программ, которые наш антивирус чаще всего детектировал в почте, в целом выглядит достаточно традиционно. На первую строчку TOP 10 вновь вернулся Trojan-Spy.HTML.Fraud.gen. На долю лидера нашего рейтинга приходится 13% срабатываний почтового антивируса. Напомним, что Trojan-Spy.HTML.Fraud.gen — вредоносная программа, представляющая из себя html-страничку, подделанную под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. На второй строчке расположился Email-Worm.Win32.Mydoom.m — единственный почтовый червь, который оставался в нашем рейтинге в сентябре. В октябре же ему вновь составили компанию другие почтовые черви: на пятой строчке разместился Email-Worm.Win32.Bagle.gt, следом за ним на шестом месте — Email-Worm.Win32.NetSky.q. Напомним, что Mydoom.m и NetSky.q выполняют только две функции: осуществляют сбор электронных адресов на зараженных машинах и рассылают по ним самих себя. Bagle.gt в дополнение к этому обычному функционалу почтовых червей обращается к интернет-ресурсам для загрузки оттуда вредоносных программ. Занимающий третью строчку рейтинга червь Worm.Win32.Mabezat.b также рассылает сам себя по обнаруженным на компьютере электронным адресам; кроме того, он создает свои копии на локальных дисках и доступных сетевых ресурсах зараженного компьютера. Количество модификаций Trojan.Win32.Yakes снова немного уменьшилось: если в сентябре три программы из ТОР 10 были представителями этого семейства, то в октябре таких программ в рейтинге только две. Они занимают четвертое и девятое места. Так же как и занявший четвертую строчку Trojan-Downloader.Win32.Agent.gxwf, Yakes являются классическими троянцами-загрузчиками. Эти зловреды после установки на компьютер пользователя обращаются к определенному сетевому ресурсу и получают ссылки для скачивания других вредоносных программ. Фишинг Доля фишинговых писем в почтовом потоке по сравнению с сентябрем уменьшилась втрое и составила 0,01%. Рейтинг атакованных фишерами организаций заметно изменился по сравнению с предыдущими месяцами. Основные отличия — значительное уменьшение доли атакованных социальных сетей и онлайн-игр с одной стороны, и рост доли атакованных банковских организаций — с другой. Так, доля Facebook уменьшилась вдвое, в результате чего эта социальная сеть опустилась на третью строчку. Социальные сети Habbo и Orkut, занимавшие в сентябре четвертое и пятое места соответственно, в октябре вовсе не попали в рейтинг. Доля атак на Orkut уменьшилась на 3,9%, а на Habbo на 6,3%. Вдвое снизилась доля атак на онлайн-игру RuneScape (c 4,6% до 2,3%). Зачастую снижение доли атак на организации, входящие в ТОР 10, происходит за счет роста интереса фишеров к лидерам рейтинга — платежной системе PayPal и интернет — аукциону eBay. Однако в октябре доля атак на PayPal и eBay по сравнению с сентябрем также уменьшилась на 1,3% и 0,4% соответственно. При этом доля атак на банковский сектор в целом выросла на 1,2%, а рост показателей отдельных банков составил от 1,5% до 2,6%. Таким образом, доля атак на социальные сети и онлайновые игры уменьшилась именно за счет роста атак на банковские организации. Вероятно, такая тенденция связана с неутешительными прогнозами финансовых экспертов относительно экономической ситуации в мире. Похоже, фишеры пытаются «наудить» как можно больше реальных денег, ценность которых по сравнению с виртуальными в данный момент возросла. Тематические направления в спаме В октябре, вопреки нашим прогнозам, доля партнерского спама и саморекламы спамеров уменьшилась, а доля заказного спама — возросла. Тем не менее, «Реклама спамерских услуг» и традиционная партнерская тематика «Медикаменты; товары/услуги для здоровья» остались в пятерке лидирующих тематических категорий в спаме. И если доля саморекламы спамеров при этом уменьшилась более чем вдвое, то доля медицинской тематики даже выросла. В итоге доля партнерского спама в Рунете сократилась лишь на 1,4%. Пятерка лидирующих тематических категорий в спаме: Образование: 27,4%; +6% Медикаменты; товары/услуги для здоровья: 14,8%; +3,7% Недвижимость: 14,6%; -0,5% Отдых и путешествия: 7,4%; +5,9% Реклама спамерских услуг: 6,6%; -7,5% Второе место занимает тематика «Недвижимость». Заметим, что, как мы и прогнозировали в прошлом отчете, в спам-потоках появилось много предложений аренды офисных помещений. Это связано как с сезонным «обострением» офисных переездов, так и с нестабильной ситуацией в экономике. Писем тематики «Отдых и путешествия» стало заметно больше. Безусловно, это связано с приближением новогодних каникул, а также сезона офисных корпоративных торжеств. Среди предложений, попавших в эту категорию, встречалась как реклама туристических поездок, так и предложения по организации праздника. Заключение В заключении хотелось бы отметить, что, несмотря на рост доли заказного спама, его объем так и не достиг весенних показателей. В период традиционного летнего спада деловой активности объем заказного спама объяснимо падает. Осенью, как правило, наблюдается рост соответствующих показателей и возвращение доли заказного спама на уровень, соответствующий концу весны. На этот раз мы также наблюдаем рост доли заказного спама, но темпы роста значительно ниже, чем обычно. Доля партнерского спама при этом уменьшилась незначительно. Если экономическая ситуация в мире стабилизируется, то вероятно в ближайшее время показатели партнерского и заказного спама останутся на существующих позициях. В случае же роста кризисных настроений сбудется наш сентябрьский прогноз, и доля партнерского спама заметно возрастет. Интересно отметить изменения в рейтинге организаций — целей фишеров. Как уже отмечалось выше, ценность реальных денег по сравнению с виртуальными в глазах злоумышленников растет. Пока трудно с уверенностью сказать, как дальше будет развиваться эта ситуация, однако рискнем сделать предположение, что в случае стабилизации финансовой ситуации фишеры все-таки вернутся в «тихую гавань» виртуальных денег. Октябрь еще раз подтвердил, что спамеры используют любое заметное событие как повод для привлечения внимания к своим рассылкам. Напоминаем, что как бы заманчиво не звучала тема спамерского письма, его содержимое вряд ли сулит пользователю что-либо хорошее. Будьте внимательны и осторожны при серфинге в интернете! Не открывайте спамерских писем! Графики и примеры спамовых писем смотрите на сайте www.securelist.com/ru. Спам-статистика за период c 7 по 13 ноября 2011 г. «Лаборатория Касперского» На прошедшей неделе в Рунете было зафиксировано 80,8% спама. Это почти на 2% больше, чем показатель позапрошлой недели. Таким образом, мы наблюдаем небольшой рост активности спамеров, хотя говорить о каких-то серьезных изменениях с такими темпами роста не приходится. В тематическом разделении спама по-прежнему лидирует «Образовательная» и «риэлтерская» тематики. За ними идет «туристическая» реклама — в преддверии Нового года это вполне объяснимо. № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   25,8%   -1,9   2   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   14,9%   +7,3%   3   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   11,8%   -3,0%   4   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   10,7%   -1,3%   5   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   7,5%   +1,7%   6   Юридические услуги и аудит   Предложения юридических услуг.   4,1%   +3,2%   7   Другие товары и услуги   Предложения других товаров и услуг.   4,0%   -2,2%   8   Транспорт и перевозки   Реклама грузоперевозок и пассажирских перевозок.   2,9%   Изменения незначительны   9   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   2,7%   Изменения незначительны   10   DVD   Предложения купить фильмы или другую информацию на DVD.   2,5%   Изменения незначительны   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011