Электронный журнал "Спамтест" No. 403 в этом номере: Новости Спам в ноябре 2011 г. Спам-статистика за период c 12 по 18 декабря 2011 г. Новости Cisco: традиционный спам становится невыгодным По оценке Cisco, за год доходы спамеров уменьшились более чем вполовину и в июне текущего года составили 500 млн. долларов [PDF 5,19 Мб]. С августа по ноябрь ежедневная норма спама в интернете сократилась с 379 до 124 млрд. сообщений ― это самый низкий показатель за последние 4 года. Эксперты убеждены, что спад спамерской активности является следствием успешных кампаний по нейтрализации крупнейших источников спама ― партнерской программы SpamIt, а также ботнетов Rustock, Bredolab и Mega-D. В поисках новых статей дохода спамеры обратились к целевым атакам ― узконаправленным фишинговым и вредоносным рассылкам с элементами социальной инженерии, позволяющим получить доступ к конфиденциальной информации конкретных мишеней. Такие кибератаки обладают высокой эффективностью и, в отличие от массовых рекламных спам-рассылок, с лихвой оправдывают трудозатраты даже при единичном отклике. Рейтинг стран-спамеров, публикуемый Cisco, за год претерпел значительные изменения. Новый список (по состоянию на сентябрь) возглавляет Индия с показателем 13,9% глобального спама. В прошлом году эта страна занимала 2-е место после США, которые за год переместились на 9-ю позицию. Их вклад в спам-трафик значительно сократился и ныне составляет лишь 3,2%. Россия, по данным Cisco, поднялась на 2-ю ступень непочетного списка (7,8%). Пик спамовых потоков из этой страны пришелся на май (9%), а затем они уверенно пошли на спад. Третье место в рейтинге-2011 занимает Вьетнам. До августа доля этой страны в общем объеме спама не превышала 3-4%, в августе выросла до 6%, а сентябре составила почти 8%. Пятерку лидеров по спаму замыкают новички, Южная Корея и Вьетнам (по 6%), которые в прошлом году находились за пределами первой дюжины. Активность китайских спамеров осталась на прежнем уровне, вновь обеспечив им 7-е место, хотя летом их присутствие в спам-трафике заметно увеличилось. На пике (июль) на долю Китая приходилось свыше 18% глобального спама, а в сентябре ― лишь 4,7%. Потоки нелегитимных писем из Бразилии с января по апрель почти удвоились ― до 8%, затем начали постепенно сокращаться и в сентябре составили 4,5%, обеспечив стране 8 место в рейтинге Cisco. Источник: cisco.com Стервятники снова в теме Эксперты Trend Micro обнаружили спам-рассылку, использующую «горячую» тему национального траура в Северной Корее для распространения зловредов. Как и следовало ожидать, сетевые злоумышленники не преминули воспользоваться известием о кончине лидера КНДР Ким Чен Ира в своих интересах. Спам-письма, зафиксированные Trend Micro, подстегивают любопытство получателей сенсационным заголовком и предлагают ознакомиться с краткой биографией корейского вождя, открыв вложенный файл с двойным pdf-расширением. Этот файл содержит вредоносный код, который при запуске воспроизводит для отвода глаз страницу pdf-документа с фото Ким Чен Ира и биографической справкой. Эксперты также обнаружили в Сети другие вредоносные файлы, использующие имя почившего политического лидера. Один из них замаскирован под документ Word, в котором якобы содержатся сведения о пересмотре ядерных программ КНДР в связи с печальным событием. На самом деле doc-файл содержит троянский дроппер, который устанавливает на зараженную машину бэкдор. Источник: blog.trendmicro.com ФТК: умножение родовых TLD-доменов на руку фишерам Федеральная торговая комиссия США (ФТК) направила в ICANN письмо, выражая свою озабоченность в связи с приближением срока подачи заявок на новые родовые домены. Торговый регулятор опасается, что стимуляция роста числа доменных зон повысит риски в отношении абьюзов и еще больше затруднит поиск преступников в Сети. ICANN начнет принимать заявки на новые доменные имена с 12 января. Предполагается, что они будут отображать названия городов и областей (.london, .wales), род занятий (.web, .music) или брэнд (.canon, .hitachi). По предварительным оценкам, за 3 месяца будет собрано свыше 1 тыс. таких заявок, большинство из них ― на родовые домены, так или иначе связанные с торговой маркой. По мнению ФТК, ныне действующая система доменных имен и без того уязвима к абьюзам. Тайпсквоттеры и фишеры с успехом имитируют легальные сайты и оформляют поддомены на подставные лица, пользуясь бесчисленными лазейками в процедуре регистрации. Увеличение количества доменных имен, которые можно будет регистрировать в новых TLD-зонах, значительно расширит потенциал для таких махинаций. ФТК призывает ICANN проявить ответственность и до приема заявок принять дополнительные меры предосторожности, ― в частности, запустить данный проект в пилотном режиме, введя лимит на новые TLD-адреса. Необходимо будет также ужесточить надзор за соблюдением договорных условий, производить оценку рисков, ассоциированных с каждым новым именем, вести постоянный мониторинг отклика пользователей и повысить надежность информации, вводимой в базу WhoIs. Следует отметить, что в американском правительстве нашлись и горячие поклонники новой инициативы международного регулятора адресного пространства. Против ожидания, этот проект с одобрением воспринял куратор и заклятый оппонент ICANN ― Национальное управление по телекоммуникациям и информации при министерстве торговли США (National Telecommunications and Information Administration, NTIA). Контролеры убеждены, что ввод ограничений по данной программе сыграет на руку представителям тоталитарных режимов, стремящимся установить государственное регулирование в интернете. Приверженцы нового проекта отмечают, что солидные расценки, предусмотренные ICANN, и долгие сроки обработки заявок являются достаточной преградой для теневых претендентов. Минимальная плата за оформление нового gTLD составляет 185 тыс. долл., а сама процедура может занять от 9 месяцев до 2 лет, т.е. новые доменные зоны заработают не раньше I квартала 2013 года. Администраторов новых TLD-реестров обязуют запустить усиленные механизмы защиты для товарных знаков. Планируется также учредить единый информационный центр, который будет отслеживать и пресекать попытки регистрации доменных имен, схожих с известными брэндами. В новых зонах будет запущена единая процедура отзыва прав на провинившийся домен, которая позволит блокировать ресурсы нарушителей в кратчайшие сроки и с минимальными потерями. Источник: ftc.gov Источник: theregister.co.uk Спам в ноябре 2011 г. Мария Наместникова, «Лаборатория Касперского» Ноябрь в цифрах Обзор главных событий месяца Мошенничество предновогоднее и не только Подарки заказывали? Фальшивые уведомления от социальных сетей Праздники продолжаются Статистический обзор Страны — источники спама Вредоносные вложения в почте Фишинг Тематические направления в спаме Заключение Ноябрь в цифрах Доля спама в почтовом трафике по сравнению с октябрем увеличилась на 1,4% и составила в среднем 80,6%. Доля фишинговых писем в почтовом потоке по сравнению с октябрем увеличилась вдвое и составила 0,02%. В ноябре вредоносные файлы содержались в 3% всех электронных сообщений, что на 0,5% больше, чем в прошлом месяце. Обзор главных событий месяца Мошенничество предновогоднее и не только Мошенники стараются использовать предпраздничную суету и в преддверии Рождества и Нового года рассылают особенно много сообщений, призванных спровоцировать пользователя оставить свои финансовые или персональные данные на фишерском сайте. Расчет их понятен: пользователи в этот радостный и хлопотный период менее внимательны, чем обычно, и чаще, чем обычно, совершают покупки через интернет, — поэтому фальшивые сообщения о блокировке банковских карт или аккаунтов производят на них особенно сильное впечатление, — ведь именно эти деньги должны были пойти на покупку подарков. В англоязычном спаме, по сравнению с русскоязычным, мошеннических писем больше — и вообще, в среднем за год, и накануне праздников — особенно. Подарки заказывали? В ноябре мы зафиксировали несколько крупных рассылок, подделанных под уведомления от интернет-магазинов. Бренды конкретных интернет-магазинов не использовались — в письмах пользователю предлагалось ознакомиться со счетом или проверить по ссылке зарегистрированный в системе заказ. Надо сказать, что в канун праздников пользователи часто относятся к таким сообщениям без должной критики, поскольку во многих случаях они действительно оформляли заказ. На самом же деле такие сообщения содержали ссылки на вредоносный код. Как видно на приведенном примере, одна из таких рассылок распространялась не только на английском, но и на других европейских языках. В частности, мы зафиксировали письма, нацеленные на пользователей, говорящих на немецком, итальянском и голландском языках. Фальшивые уведомления от социальных сетей Социальные сети давно являются прикрытием для распространителей медикаментов и вредоносного кода, а аккаунты пользователей в соцсетях стали постоянными целями фишинговых рассылок. В ноябре мы зафиксировали множество рассылок, так или иначе эксплуатировавших популярные социальные сети. Flickr Рассылки, эксплуатирующие социальную сеть Flickr, в спаме встречаются довольно редко. Однако в ноябре даже эта сеть не осталась без внимания спамеров. Сообщения, полученные пользователями, были разосланы с аккаунтов Flickr с использованием функции «пригласить друга». Спамеры «пригласили» множество людей, при этом в тексте приглашения были размещены ссылки, ведущие на сайт, торгующий фармацевтической продукцией. Рассылая рекламу фармацевтического сайта таким способом, спамеры рассчитывали обойти спам-фильтры: с технической точки зрения сообщения выглядели как легитимные, поскольку отправлялись с использованием законной функции приглашения в соцсеть. Twitter Тем же способом спамеры использовали и микроблоги Twitter — с них также были разосланы приглашения присоединиться к соцсети. Приглашения были снабжены довольно откровенным текстом и ссылкой, перенаправляющей пользователя на сайт с порнографическим содержанием. Интересно отметить, что в сообщении используется сервис коротких ссылок, расположенный в доменной зоне cn. Поддельные сообщения от Twitter также были зафиксированы в этом месяце. Фальшивые уведомления от этой соцсети рассылаются уже не в таком количестве, как это было летом 2010 года, когда интернет переживал настоящий бум таких подделок, — но они все еще не вышли из спамерской моды. Как и прежде, по ссылке, указанной в сообщении, пользователь попадает на сайт, где содержится и реклама виагры, и вредоносный код. LinkedIn С сетью LinkedIn у спамеров в ноябре поизошел курьезный случай. Помимо традиционных подделок под уведомления от этой соцсети, содержащих ссылки на фармацевтические сайты, в ноябре была зафиксирована необычная рассылка. Заголовок полученных пользователями сообщений гласил: «So now you're on LinkedIn: What's next?». Поле «From» также было оформлено так, чтобы имитировать официальное сообщение от LinkedIn. Да вот незадача: открывший письмо пользователь с удивлением обнаруживал сообщение, что транзакция с его счета, совершенная недавно через электронную платежную систему, отменена! Сообщения, подделанные под уведомления от платежной системы Nacha, поступают в почтовые ящики пользователей уже не первый месяц и обычно имеют более логичные заголовки и поле «From», связанные с платежной компанией. Почему спамеры все перепутали — трудно сказать. Отметим, что подобные уведомления от LinkedIn в ноябре фиксировались не единожды. Праздники продолжаются Спамеры продолжили распространять письма, посвященные различным праздникам. На ноябрь приходится День Благодарения, широко отмечаемый в США и некоторых других странах, а в мусульманских странах последние три года в этом месяце празднуется Курбан-байрам. Зафиксированные нами рассылки, посвященные празднику Курбан-байрам, были в основном на турецком языке и предлагали религиозный туризм. В рассылках, связанных с Днем Благодарения, в основном содержалась реклама подарков. Также продолжились рассылки, приуроченные к Рождеству и Новому году. Отметим, что в спам-потоках Рунета увеличилось число рассылок, рекламирующих отдых и путешествия (+3,6%). Это обусловлено приближением длительных новогодних праздников. Статистический обзор Страны — источники спама В ноябре первые четыре страны в рейтинге стран — источников спама остались прежними (только Бразилия и Индонезия поменялись местами). Показатели этих стран выросли: Индия (+1,86%), Корея (+2,31%), Индонезия (+2,29%), Бразилия (+0,12%). Пятое место занял Вьетнам (+0,25%%). В целом доля мусорной почты, исходящей из стран TOP 5, увеличилась на 7,2%. Доля Италии, замыкавшей в октябре ТОР 5, уменьшилась (-0,76%), и эта страна сместилась на шестую строчку. Россия в рейтинге стран — источников спама заняла 15-е место. Доля спама, разосланного из этой страны, по сравнению с сентябрем уменьшилась на 0,7%. Вредоносные вложения в почте В ноябре вредоносные файлы содержались в 3% всех электронных сообщений, что на 0,5% больше, чем в прошлом месяце. Пара стран, лидирующих по срабатываниям почтового антивируса, в ноябре не изменилась: Россия остается на первом месте, опередив США на 6%. Показатели обеих стран выросли по сравнению с предыдущим месяцем на 3,39% и 2,77% соответственно. Доля срабатываний почтового антивируса на территории Великобритании уменьшилась почти в два раза и составила 4,8%. Также почти в два раза этот показатель уменьшился на территории Австралии (3,1%). В результате эти страны сместились в рейтинге на четвертую и десятую строчку соответственно. Изменения в доле срабатываний почтового антивируса на территории остальных стран, входящих в ТОР 10, колеблются в пределах 1%. В списке вредоносных программ, которые наш антивирус чаще всего детектировал в почте, пара лидеров также осталась неизменной. На первом месте вновь Trojan-Spy.HTML.Fraud.gen. На его долю приходится 12% срабатываний почтового антивируса, что лишь на 1% меньше, чем в прошлом месяце. Trojan-Spy.HTML.Fraud.gen — традиционный лидер нашего рейтинга. Такой вердикт получают вредоносные программы, представляющие собой html-странички, подделанные под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. На втором месте —Email-Worm.Win32.Mydoom.m, почтовый червь, выполняющий только две функции: сбор электронных адресов на зараженных машинах и рассылку по ним самого себя. Тем же нехитрым набором функций оснащен и другой завсегдатай нашего рейтинга - Email-Worm.Win32.NetSky.q, замыкающий TOP 10. Еще один почтовый червь —Email-Worm.Win32.Bagle.gt — оказался на восьмом месте. В дополнение к функционалу своих более древних собратьев этот зловред обращается также к интернет-ресурсам для загрузки из Сети вредоносных программ. В ноябре в ТОР 10 программ, которые наш антивирус чаще всего детектировал в почте, осталась лишь одна модификация Trojan.Win32.Yakes — Trojan.Win32.Yakes.jyh. Напомним, что программы этого семейства являются классическими троянцами-загрузчиками. Эти зловреды после установки на компьютер пользователя обращаются к определенному сетевому ресурсу и получают ссылки для скачивания других вредоносных программ. Занимающие пятую и седьмую строчки троянцы семейства Trojan.Win32.Pakes являются программами упаковщиками, которые используются для обхода детектирования антивирусными средствами других вредоносных программ. Фишинг Доля фишинговых писем в почтовом потоке по сравнению с октябрем увеличилась вдвое и составила 0,02%. * Рейтинг составляется на основе доли фишинговых URL, распространенных в Сети. Рейтинг не является показателем уровня безопасности упомянутых организаций, а отображает популярность различных сервисов у фишеров. Отметим, что фишеры предпочитают атаковать сервисы, наиболее популярные и авторитетные среди пользователей. Рейтинг атакованных фишерами организаций вновь претерпел заметные изменения по сравнению с предыдущим месяцем. Главной неожиданностью стало появление на второй строчке рейтинга социальной сети Habbo, в октябре выпавшей из рейтинга. Доля атак на Habbo выросла в 10 раз. Незначительно увеличилась и доля атак на Facebook, занявшую в ноябре четвертую строчку. Онлайновые игры покинули ТОР 10 организаций, атакованных фишерами. При этом банковские организации остались в фокусе внимания фишеров: половина всех входящих в ТОР 10 организаций — это банки. Интересно отметить, что к концу года по традиции активировались фишинговые рассылки, направленные на налоговую организацию IRS, что связано с порой подачи налоговых деклараций. Тематические направления в спаме В ноябре спокойная ситуация в экономике и приближение новогодних праздников подстегнули малый и средний бизнес вновь обратиться к услугам спамеров. В результате доля заказного спама увеличилась по сравнению с октябрем еще на 10%. На фоне увеличения количества заказного спама «Реклама спамерских услуг» выпала из пятерки лидирующих категорий, оказавшись на шестом месте. «Медикаменты; товары/услуги для здоровья» остались единственной тематикой в пятерке лидирующих тематических категорий в спаме, не относящейся к заказным рассылкам. Пятерка лидирующих тематических категорий в спаме: Образование 24,9% (-2,5%) Недвижимость 16,5% (+2,0%) Отдых и путешествия 11,0% (+3,6%) Медикаменты; товары/услуги для здоровья 8,9% (-5,9%) Другие товары и услуги 7,9% (+3,4%) Выше уже отмечалось, что в преддверии новогодних праздников стало больше сообщений категории «Отдых и путешествия». С приближением праздников в спаме появляется все больше рекламных сообщений, в которых рекламируется сувенирная продукция. Это видно по увеличению доли тематики «Другие товары и услуги». Заключение В ноябре распределение исходящих спам-потоков, а также распределение срабатываний почтового антивируса по странам не принесло никаких сюрпризов — оба рейтинга претерпели лишь небольшие изменения. Внимание фишеров в данный момент довольно равномерно распределено между реальными и виртуальными деньгами, которые они пытаются выманить у пользователей. Возвращение в TOP мишеней фишеров социальной сети Habbo говорит о том, что внимание фишеров вновь привлекает виртуальная среда. В декабре потоками спама, безусловно, будет управлять новогодняя лихорадка: мы увидим дальнейший рост предложений новогоднего отдыха и корпоративных праздников, а также сообщений тематики «Другие товары и услуги», включающей разнообразнейшие предложения подарков на Новый год. Расти будет и доля мошеннических сообщений. Несмотря на то что в Рунете она традиционно не слишком высока, мы призываем пользователей быть осторожными и не открывать спамерских писем — тем более, что Россия второй месяц подряд уверенно лидирует в рейтинге по количеству срабатываний почтового антивируса. К концу декабря и на период новогодних каникул в России будет наблюдаться традиционное и значительное снижение спам-активности. В этот период основу спам-потоков составят партнерские сообщения с вредоносным кодом и рекламой виагры. Полную версию отчета смотрите на сайте www.securelist.com/ru Спам-статистика за период c 12 по 18 декабря 2011 г. «Лаборатория Касперского» Спам в Рунете продолжает циркулировать в привычном для нас объеме. На прошедшей неделе мы зафиксировали 75,7% «мусора» среди всего почтового трафика, и это не стало неожиданностью: показатель позапрошлой недели был 74,6%. Распределились тематики спама также примерно как обычно: образование, недвижимость и реклама спамерских услуг, как все последнее время, находятся на первых местах. № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   18,0%   -3,4%   2   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   13,5%   2,3%   3   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   13,0%   4,6%   4   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   11,3%   -1%   5   Другие товары и услуги   Предложения других товаров и услуг.   8,3%   -2,2%   6   Спам «для взрослых»   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   7,6%   3,2%   7   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   7,5%   4,7%   8   DVD   Предложения купить фильмы или другую информацию на DVD.   4,6%   Изменения незначительны   9   Юридические услуги и аудит   Предложения юридических услуг.   3,9%   -1,3%   10   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   2,6%   Изменения незначительны   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011