Электронный журнал "Спамтест" No. 404 в этом номере: Новости Спам-статистика за период c 19 по 25 декабря 2011 г. Новости Системы восстановления пароля ― удобство или брешь? Используя методы социальной инженерии, исследователи из Positive Technologies получили доступ к трем из пяти популярных веб-сервисов через процедуру восстановления пароля. Проверка этого звена в системе безопасности проводилась на основе выборки из реальных почтовых аккаунтов Gmail, Mail.ru, Яндекс, а также профилей ВКонтакте и Facebook. Их владельцы были заранее проинформированы об эксперименте и дали согласие на свое участие. Работая с разными механизмами восстановления пароля, эксперты вели поиск информации о владельце аккаунта на общедоступных сайтах, вступали в переписку со службой техподдержки целевого сервиса. В отдельных случаях им приходилось провоцировать «жертву» на раскрытие нужных данных, устанавливая с ней контакт в социальной сети. Каждый из рассмотренных сервисов получил оценку по двум параметрам: уровень защищенности и удобство для пользователя, и был впоследствии ознакомлен с результатами. Как оказалось, для взлома учетных записей ВКонтакте и Gmail (а также прочих служб Google, привязанных к почтовым ящикам) через процедуру восстановления пароля вполне достаточно информации об их владельцах, выложенной в общий доступ в Сети. При этом специалисты службы поддержки обоих сервисов не обращают внимания на то, что запрос на восстановление пароля приходит с чужого IP-адреса. В случае с Mail.Ru исследователям пришлось добывать дополнительные данные, анонимно общаясь с владельцами аккаунтов через ВКонтакте. Надежные механизмы защиты данных продемонстрировали Facebook и Яндекс. Последний тоже требует подробную информацию о почтовом ящике при восстановлении пароля, которую, впрочем, весьма легкомысленно предоставляют незнакомцам сами владельцы. Однако для завершения процедуры служба поддержки Яндекс требует, чтобы забывчивый пользователь явился в офис в определенные сроки ― и с паспортом. На Facebook, помимо привязки к email и номеру телефона, используется такая опция, как помощь друзей. Однако задействовать ее экспертам не удалось: доверенным другом в этой социальной сети считается пользователь с солидным стажем, активно поддерживающий отношения с доверителем. В целом возможности восстановления пароля на Facebook весьма ограничены. Если владелец профиля потерял доступ к почте и забыл ответ на секретный вопрос, ему рекомендуют зарегистрироваться заново. Источник: ptsecurity.ru [PDF 622 Кб] Зловредные призывы о помощи На прошлой неделе Commtouch зафиксировала масштабную рассылку ложных призывов о помощи, нацеленных на распространение вредоносных программ. По данным компании, интенсивность новой спам-атаки составляет сотни тысяч сообщений в сутки. Фальшивые письма снабжены паникерскими заголовками типа «Need your help!» («Требуется помощь!») и «I’m in trouble» («Я влип»). Ранее такие заголовки использовали лишь «нигерийские» мошенники, стремясь вытянуть деньги из получателя под предлогом помощи другу, якобы попавшему в беду. Видимо, распространители зловредов уверовали в эффективность этого социально-инженерного трюка и решили взять его на вооружение. По свидетельству экспертов, вредоносные спам-письма разнообразны по содержанию, но звучат весьма безобидно. Некоторые из них в доверительном тоне просят прояснить ситуацию с неким счетом, присланным отправителю («have you ordered anything?» ― «ты ничего не заказывал?»). Другие призывают срочно опознать по фото незнакомца, описывая вполне реалистичную картину: отправитель изрядно выпил на вечеринке, кто-то отвез его домой на его же машине и проехал при этом на красный свет. Для пущей убедительности в подвале письма приведен произвольный набор символов, который выглядит как код безопасности или хэш, проставленный после проверки письма антивирусом. Все зловредные сообщения снабжены ссылкой на редирект, размещенный на взломанном сайте, который автоматически перенаправляет пользователя на зараженный ресурс. URL, привязанные к этим редиректам, представляют собой длинную строку произвольных символов, которая проявляется при наведении курсора на гиперссылку и должна сразу насторожить получателя письма. Как оказалось, большинство легальных сайтов, задействованных в данной схеме, используют систему управления веб-контентом WordPress. Источник: blog.commtouch.com Несостоявшаяся свадьба 68-летний англичанин Джим Петерсон официально поблагодарил отдел «К» марийского МВД за профессионализм в раскрытии мошеннической схемы, едва не стоившей ему 6,6 тыс. долларов. Сей почтенный житель Великобритании имел неосторожность увлечься девушкой Мариной из Чебоксар, которую он встретил в прошлом году на сайте знакомств. В ходе переписки выяснилось, что дама сердца не прочь нанести визит своему воздыхателю, если он оплатит все оформительские расходы. Иностранец с готовностью предоставлял ей требуемые суммы и в общей сложности перечислил в Россию свыше 6,5 тыс. долл. Однако поездка так и не состоялась: в последний момент «невеста» написала ему, что в Москве ее ограбили, и она возвращается в Чебоксары. Когда просьбы о денежных переводах возобновились, Петерсон перестал отвечать на письма и обратился к президенту России Дмитрию Медведеву с просьбой разобраться в ситуации. Как показало расследование, совместно проведенное оперативниками Марий Эл и Чувашии, переписка с англичанином велась с частной квартиры в Йошкар-Оле. В роли российской «невесты» выступал 32-летний мужчина, который заявил, что пытался таким образом накопить деньги на собственную свадьбу. В августе 2011 года против него было возбуждено уголовное дело по ч. 2 ст. 159 УК РФ «Мошенничество». Обвиняемый дал признательные показания и вернул всю похищенную сумму, взяв кредит. Источник: mrl.mk.ru Источник: mvd.gov12.ru В США начался процесс по делу румынских фишеров В штате Коннектикут предъявлены обвинения троим из 14 румынских граждан, причастных к реализации мошеннической схемы отъема денег у клиентов американских банков, а также eBay и PayPal. Как показало расследование, данная криминальная группа распространяла в интернете поддельные уведомления о блокировке кредитного счета, заманивая их получателей на фишинговые сайты. Для «разблокировки счета» потенциальной жертве предлагалось пройти процедуру аутентификации, введя в фальшивую форму подробные персональные данные, включая реквизиты счета и номер социальной страховки. Вся похищенная таким образом информация собиралась на коллекторах, а затем использовалась злоумышленниками для снятия денег с взломанных счетов ― в основном, через банкоматы, размещенные на территории Румынии. За полтора года заокеанские фишеры ограбили не одну тысячу американцев. Уголовное дело по факту группового мошенничества было возбуждено в США в начале 2007 года. По мере появления новых свидетельств обвинительное заключение было обновлено, но судебное рассмотрение отложили до удовлетворения запроса об экстрадиции ответчиков. Троих из них Румыния выдала лишь в начале текущего месяца. Им предъявлены обвинения в преступном сговоре, банковском мошенничестве и махинациях с устройствами доступа. Двоих правонарушителей также обвинили в краже личности (identity theft) при отягчающих обстоятельствах. В соответствии с американским законодательством фишерам грозит до 30 лет тюремного заключения и штраф в размере до 1 млн. долл. Признать свою вину румынская троица отказалась. Вынесение судебного решения назначено на март будущего года. В расследовании мошеннической схемы принимали деятельное участие ФБР, Интерпол, американские маршалы и румынская полиция. Источник: justice.gov SpamFlow обнаружит спам-трафик в реальном времени Группа исследователей из Военно-морской академии США разработала технологию динамической идентификации трафика, генерируемого ботами, на транспортном уровне. Данная методика не нарушает приватности пользователей и может использоваться как дополнение к традиционным антиспам-решениям. Анализатор smtp-трафика SpamFlow был реализован в виде плагина к популярному open-source продукту SpamAssassin. Он способен к самообучению и подвергает проверке не содержимое TCP-пакетов, а данные, включенные в их заголовок, а в качестве идентификаторов сообщений использует IP-адрес отправителя и номер порта. Особый демон отслеживает все пакеты, поступающие в реальном времени, и регистрирует временные характеристики входящего трафика, а также информацию о перегруппировке пакетов, увеличении нагрузки на каналах связи и регулировании потока. Анализ почтового трафика на транспортном уровне и ранее помогал успешно выявлять источники автоматизированных спам-рассылок, однако подобные технологии обычно применялись оффлайн, и результаты анализа использовались с определенной задержкой. Проверка SpamFlow в полевых условиях показала, что новый плагин успешно справляется с реальными сетевыми нагрузками. На контрольной выборке из 1 тыс. сообщений точность идентификации спама составила свыше 95%. По словам авторов проекта, их детище может также с успехом использоваться для анализа шифрованного трафика. В принципе SpamFlow способен обнаружить в реальном времени любой вид активности, исходящей с ботнетов: спам-рассылки, фишинговые и DDoS-атаки, попытки сканирования портов, подбора паролей, взлома CAPTCHA и т.п. Работа академических исследователей была представлена на декабрьской конференции по администрированию больших систем (Large Installation System Administration, LISA), проведенной Usenix в Бостоне. В настоящее время SpamFlow проходит бета-тестирование на нескольких площадках. По завершении этого этапа новая технология будет выпущена на рынок в виде отдельного open-source продукта. Источник: pcworld.com Источник: usenix.org Спам-статистика за период c 19 по 25 декабря 2011 г. «Лаборатория Касперского» 76,5% – такая доля спама была зафиксирована в Рунете на прошедшей неделе. Это мало отличается от показателя позапрошлой недели (75,7%), то есть активность спамеров не выросла и не снизилась. А вот тематическое распределение спама на прошлой неделе слегка отличалось от привычного. Мы видим гораздо меньше, чем обычно, рекламы семинаров и тренингов, но больше рекламы «Других товаров и услуг» – билеты на новогодние елки, радиоуправляемые игрушки для детей и взрослых и прочие приуроченные к праздникам предложения. № Тематика Описание Доля тематики Изменения за неделю 1   Другие товары и услуги   Предложения других товаров и услуг.   16,7%   8,4%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   13,6%   2,3%   3   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   13,3%   Изменения незначительны   4   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   11,2%   -1,8%   5   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   9,3%   1,8%   6   Образование   Реклама семинаров, тренингов, курсов.   8,6%   -9,4%   7   DVD   Предложения купить фильмы или другую информацию на DVD.   3,8%   Изменения незначительны   8   Юридические услуги и аудит   Предложения юридических услуг.   3,7%   Изменения незначительны   9   Спам «для взрослых»   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   3,6%   -4,0%   10   Личные финансы   Кредиты, займы.   3,3%   3%   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011