Электронный журнал "Спамтест" No. 400 в этом номере: Новости Спам-статистика за период c 21 по 27 ноября 2011 г. Новости Японцев пытаются подписать на платное порно В Японии зафиксированы множественные случаи вымогательства денег за доступ к порно-контенту с мобильных устройств. По данным Symantec, злоумышленники распространяют в спаме и через веб-сайты ссылки на видеоролик «для взрослых», загружающий на смартфон вредоносную программу, которая требует оплатить регистрацию на данном сервисе. Генерируемые зловредом всплывающие окна с требованием оплаты и откровенными картинками заставляют многих пользователей раскошелиться на подписку, но, по словам экспертов, это не гарантирует избавления от конфузной графики на экране. По свидетельству Symantec, спам-письма, завлекающие получателей на зараженные порно-ресурсы, рассылаются, в основном, по базе владельцев смартфонов, ибо японские мобильные устройства по умолчанию подключены к почтовому каналу и снабжены email-адресом. Страницы, к которым привязаны ссылки спамеров, поддерживают мобильный доступ, но атакуют лишь платформы Android и iPhone. Они открываются также в браузерах под Windows Phone и BlackBerry, но не полностью, а при заходе с ПК или обычного сотового телефона воспроизводят безобидный контент и просят подключиться со смартфона. Владельцев же Android и iPhone вынуждают настойчиво кликать по кнопке «Play», чтобы загрузить обещанный порноролик, а с ним и зловредный довесок. На мошеннической странице присутствует пользовательское соглашение, но оно напечатано мелким шрифтом в самом низу, так что при ограниченных размерах экрана его будут искать только неленивые. Согласие пользователя с условиями заранее помечено соответствующим флажком, удаление которого ничего не изменит: жертву все равно подпишут на услуги стоимостью 55 тыс. иен (700 долл.). В подтверждение успешной регистрации пользователю продемонстрируют (фиктивный) IP-адрес смартфона, данные веб-браузера, идентификатор подписчика и т.п. Злоумышленники предусмотрели также кнопку отказа от подписки, но она неизменно выдает ошибку. По словам Symantec, незадачливому регистранту вовсе не обязательно производить оплату, так как на самом деле злоумышленники не располагают той информацией о нем и его смартфоне, которая могла бы причинить ущерб. Такие данные попадут им в руки лишь в том случае, если жертва согласится заплатить за навязанные услуги или вознамерится оспорить условия, обратившись к владельцу сайта. Вместо этого, советуют эксперты, следует сразу закрыть браузер и никогда не возвращаться на зловредный ресурс. Можно также удалить соответствующий файл cookie в браузере и обязательно взять за правило игнорировать ссылки, присланные в спаме. Такие письма вообще не стоит открывать. Источник: www.symantec.com Фишеры мигрируют в Ирландию Согласно статистике IRISSCERT (Irish Reporting and Information Security Service, ирландской группы быстрого реагирования на киберинциденты), 92% отчетов, присланных добровольцам за минувшие 10 месяцев, касались взлома легальных ресурсов с целью внедрения фишинговых ловушек. С начала года по конец октября IRISSCERT зафиксировала свыше 440 инцидентов на территории страны. Из них 96% были спровоцированы криминальными группами для получения финансовой выгоды. Фишинговые сайты, обнаруженные в текущем году, имитировали, в основном, онлайн-ресурсы банковских структур. Ирландская CERT ― некоммерческая организация, основным назначением которой является оказание квалифицированной помощи в отражении кибератак. Ее участники также осуществляют сбор статистики по киберинцидентам, оповещают местное интернет-сообщество о новых угрозах и уязвимостях, пропагандируют передовые методы самозащиты и поддерживают активный обмен информацией с зарубежными коллегами. IRISSCERT является членом международной ассоциации APWG (Anti-Phishing Working Group, Антифишинговой рабочей группы) и альянса ICSPA (International Cyber Security Protection Alliance, Международного альянса обеспечения кибербезопасности). Ирландские добровольцы также приняли участие в очистке ресурсов, предположительно задействованных в командной инфраструктуре Bredolab ― ботнета, нейтрализованного в прошлом годуголландскими властями. Источник: siliconireland.blogspot.com Спамеры открыли рождественский сезон распродаж Специалисты по защите электронной почты из немецкой компании eleven обнаружили спам-рассылку, нацеленную на распространение вредоносных программ под видом подарочного сертификата iTunes Store. Зловредные письма массово появились накануне Дня благодарения. Очевидно, их авторы сделали ставку на длинный уикенд, с которого в США начинается традиционный сезон охоты на рождественские скидки и бонусы. По свидетельству экспертов, вредоносные сообщения написаны от имени iTunes Store и уведомляют получателя, что ему выслан код подарочной карты на $50, который якобы содержится в zip-вложении. На самом деле вложенный файл содержит совсем другой код ― Sophos детектирует его как Bredolab. Зловред приобщит компьютер новобранца к ботнету и позволит чужакам полновластно распоряжаться зараженным ПК. А вместо музыки, игрушек и видео наградит «счастливчика» лжеантивирусом. Источник: nakedsecurity.sophos.com Спамеры гарантируют мобильную связь в Новый год ОАО «ВымпелКом» (Билайн) предупреждает о появлении новой мошеннической схемы, нацеленной на отъем денег с мобильных счетов в обмен на сомнительные услуги. Электронные сообщения, распространяемые спамерами, продвигают веб-сервис «Будь на связи» и услугу «Дозвонись всем». Получателей призывают внести номер мобильного телефона в некий белый список, якобы гарантирующий, что в новогоднюю ночь абонент сможет дозвониться своим родственникам, друзьям и знакомым. По утверждению мошенников, в прошлом году этим предложением воспользовались около 8 млн. подписчиков. Билайн поясняет, что утверждение спамеров, будто в новогоднюю ночь ведущие телеоператоры отключают основное оборудование, оставляя только запасное (якобы для обслуживания номеров из «белого списка»), не соответствует действительности. По информации Билайн, такой практики вообще не существует, ни в выходные, ни в будние дни. Что касается новогодних праздников, к ним технические службы операторов готовятся загодя, так как в этот период трафик увеличивается в 5-6 раз. Для подписки на услугу, рекламируемую через спам, придется зарегистрироваться на веб-сайте с немудрящим названием «Белый список», отправив несколько SMS на короткий номер. Каждое такое сообщение обойдется отправителю в 108-130 руб. в зависимости от оператора сотовой связи. Все короткие номера, ассоциированные с новой спам-рассылкой, уже заблокированы. Билайн планирует передать информацию о выявленном мошенничестве в правоохранительные органы. Источник: «Билайн» Борьба с контрафактом по-американски Заручившись поддержкой судебных инстанций, американские власти захватили 150 доменов, владельцы которых наживались на торговле контрафактными изделиями и незаконно использовали чужие брэнды. Соответствующие веб-сайты, перешедшие под контроль Иммиграционной и таможенной полиции США (U.S. Immigration and Customs Enforcement, ICE), занимались, в основном, сбытом поддельных элитных товаров по дешевым расценкам. В канун сезона рождественских распродаж федеральные агенты совершили ряд контрольных закупок в интернет-магазинах, подозреваемых в торговле контрафактом. Такие ресурсы обычно рекламируются с помощью спам-рассылок, приуроченных к традиционным праздникам. Федералы заказывали «престижную» спортивную одежду, обувь, наборы для игры в гольф, DVD-плееры, «дизайнерские» дамские сумочки, солнцезащитные очки. Во многих случаях товар доставлялся напрямую из-за рубежа. Покупки были предъявлены владельцам соответствующих брэндов, и при обнаружении незаконности продажи дело передавалось на рассмотрение в местный суд. Как оказалось, многие из провинившихся доменных имен зарегистрированы на физическое лицо с китайской пропиской. Поскольку все арестованные сайты размещены в TLD-зонах .com и .net, доверенных американской компании VeriSign, ICE сочла себя вправе провести расследование и ходатайствовать о наложении санкций, предусмотренных законодательством США. VeriSign, в свою очередь, заявила, что всегда выполняет требования федеральных властей, оформленные судебным приказом. После Дня благодарения NS-серверы, обслуживающие захваченные домены, были заменены подставным seizedservers.com, владельцем которого является ICE. В настоящее время посетителям обезоруженных интернет-магазинов выводится баннер, сообщающий о захвате домена американской спецслужбой. Им также напоминают, что умышленное нарушение закона о копирайте является уголовным преступлением. ICE проводит операции по очистке американского сектора интернета с июня прошлого года. В них также принимают деятельное участие департамент юстиции и ФБР. В базе данных координационного центра защиты авторских прав (Intellectual Property Rights Coordination Center, IPR Center), работающего под эгидой ICE, уже числятся 350 доменных имен, зарегистрированных правонарушителями. 116 из них являются собственностью американского правительства, так как никто не опротестовал конфискацию через суд в установленные сроки. Аналогичная предпраздничная уборка началась и в Великобритании. Первый улов британской полиции оказался гораздо солиднее, чем у американцев: киберкопам, действовавшим через местных регистраторов, удалось приостановить работу 2 тыс. мошеннических сайтов. Поскольку процедура захвата доменов властями в этой стране не формализована, оператор национального реестра Nominet разрабатывает соответствующую политику, которая не предусматривает вмешательство судебных инстанций, но закрепляет право пострадавшей стороны на апелляцию. Источник: The Register На Facebook новая волна вредоносного спама Датская компания CSIS обнаружила новую интернет-угрозу, атакующую пользователей Facebook через спам-рассылки. Зловред, которого в компании классифицируют как червь, замаскирован под безобидное фото и при запуске загружает на зараженную машину другие вредоносные файлы. По свидетельству экспертов, новый зловред использует краденые идентификаторы Facebook для распространения вредоносных ссылок по всем контактам жертвы. Эти сообщения содержат лишь URL страницы с вредоносным файлом, который позиционируется как скринсейвер в формате .jpg. При загрузке и активации исполняемый файл награждает жертву коктейлем из зловредов, один из которых опознан как ZeuS. Вредоносная программа написана на Visual Basic и способна отследить запуск в виртуальной среде или песочнице. Она пока плохо детектируется антивирусами из списка Virus Total. CSIS обнаружила полтора десятка доменов, ассоциированных с новой угрозой. Злоумышленники используют взломанные серверы для сбора информации о зараженных машинах и раздачи вредоносных файлов. Источник: The Register Спам-статистика за период c 21 по 27 ноября 2011 г. «Лаборатория Касперского» Небольшой рост количества спама, который мы наблюдали в последние несколько недель, прекратился. На прошлой неделе 80,2% писем в Рунете были «мусорными», это 2,6% меньше предыдущих показателей. Рейтинг тематик спама практически не изменился. Отметим рост сообщений с рекламой различных товаров и услуг: с приближением новогодних праздников спамеры начали более активно рассылать такие предложения в расчете на «подарочную» активность покупателей. № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   23,3%   -2,2   2   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   18,0%   1,30   3   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   10,4%   Изменения незначительны   4   Другие товары и услуги   Предложения других товаров и услуг.   10,4%   4,3   5   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   7,8%   Изменения незначительны   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   6,0%   Изменения незначительны   7   Ремонт и благоустройство   Предложения по ремонту и отделке интерьера квартир и домов.   5,1%   3,1   8   Юридические услуги и аудит   Предложения юридических услуг.   4,4%   -2,2   9   Личные финансы   Кредиты, займы.   2,6%   1,5   10   DVD   Предложения купить фильмы или другую информацию на DVD.   2,4%   -1   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011