Электронный журнал "Спамтест" No. 405 в этом номере: Новости Спам-статистика за период 02 - 08 января 2012 г. Новости Китайский ответ фишерам По общему уговору 10 ведущих поисковых веб-сервисов Китая будут включать официальные стартовые страницы местных банков в Тор поисковой выдачи по соответствующим запросам. Из-за мошеннической подтасовки результатов поиска клиенты китайских систем онлайн-банкинга нередко попадают на фишинговые сайты, позволяя злоумышленникам завладеть реквизитами счета. Первыми участниками нового эксперимента, запущенного в стране, станут 7 банков, включая крупнейшие государственные институты. Чтобы выделить легальную ссылку в поисковой выдаче, некоторые поисковики решили публиковать ее с логотипом соответствующей финансовой организации. Эта защитная мера, принятая с инициативы министерства государственной безопасности Китая и представителей банковской индустрии, отвечает чаяниям широких масс, обеспокоенных ненадежностью онлайн-счетов и сетевых транзакций. Ситуацию усугубила череда декабрьских взломов публичных сервисов, повлекших утечку данных миллионов подписчиков. Среди пострадавших ― разработчики программного обеспечения сообщества CSDN (Chinese Software Developer Network), участники социальной сети Tianya, завсегдатаи популярных игровых веб-сайтов. Источник: news.xinhuanet.com Commtouch ― спам в IV квартале По оценке Commtouch, в ноябре и декабре потоки нелегитимных писем несколько увеличились, однако продолжали демонстрировать рекордно низкие показатели. В минувшем квартале компания регистрировала порядка 101 млрд. спам-сообщений в сутки, которые в среднем составляли 77% почтовой корреспонденции. Снижению активности спамеров, по мнению экспертов, способствовал целый ряд факторов: ликвидация ботнетов, использовавшихся для рассылки спама; расширение практики правового преследования авторов спам-рассылок и продавцов контрафактной продукции, а также увеличение финансовой отдачи от других видов криминальной деятельности ― в частности, от банковского мошенничества. Наиболее популярной темой спам-рассылок являлась реклама фармацевтических изделий. По данным Commtouch, в 4-м квартале ее доля в общем объеме спама составила 31,2%, что на 2% больше, чем в предыдущем квартале. Спамеры также активно продвигали реплики элитных товаров (14,2%), биостимуляторы (13,9%), сайты знакомств (11,7%). Вклад «нигерийских» писем в спам-трафик составил 7,1%, фишинговых посланий ― 6,2%. Количество зараженных узлов (IP-адресов), вовлеченных в рассылку спама, уменьшилось почти в полтора раза и в отчетный период составляло 209 тыс. в сутки. Около четверти из них были обнаружены на территории Индии. В ноябре исследователи наблюдали всплеск активности спамеров, использующих тактику отложенной регистрации URL. Согласно этой методике обхода спам-фильтров, регистрация доменов, указанных в нелегитимных посланиях, производится не раньше, чем через час после начала рассылки. Разумеется, первые получатели таких писем не попадают на целевой сайт спамеров, однако такой трюк может в целом увеличить процент доставки, если защитные решения отсеивают сообщения лишь на основе сомнительных URL. По свидетельству Commtouch, ноябрьские спам-рассылки, использующие подобную тактику, состояли из сотен миллионов сообщений и задействовали тысячи незарегистрированных доменов. Количество вредоносных писем с вложениями в отчетный период значительно сократилось. Если в августе и сентябре эксперты регистрировали по нескольку миллиардов таких писем в сутки, то в октябре этот показатель составлял лишь несколько миллионов. Распространители зловредов, эксплуатирующие каналы электронной почты, вновь обратились к ссылкам. Они использовали социально-инженерные уловки, чтобы заставить пользователя активировать URL, ведущий на зараженный ресурс через сеть редиректоров. Особый раздел квартального отчета Commtouch посвящен анализу кибератак, зафиксированных в течение года на сервисе Facebook. По свидетельству экспертов, три четверти из них использовали социально-инженерные трюки, чтобы завлечь участников социальной сети на сторонние сайты, выплачивающие щедрые премии партнерам за каждого посетителя. С этой целью мошенники предлагали «фейсбукерам» бесплатные призы и подарки, фальшивые служебные приложения или распространяли от имени «друзей» сенсационные новости и провокационные видеоролики. Немногим более половины мошеннических Facebook-сообщений распространялись с помощью зловредов или вредоносных скриптов. В остальных случаях пользователи самовольно включались в мошенническую рассылку, задействуя кнопки Like или Share. Источник: commtouch.com В Канаде будут жаловаться на спам Канадские власти готовят к запуску информационный центр, основным назначением которого является сбор данных о нежелательных сообщениях, распространяемых с использованием сетей электросвязи. Новообразование, получившее кодовое наименование The Freezer, будет аккумулировать отчеты и жалобы в отношении непрошеных звонков, SMS, электронных сообщений, докучающих владельцам мобильных телефонов, почтовых и социальных аккаунтов. Помимо материалов о спамерской деятельности, предоставляемых заявителями, в централизованную базу будет заводиться аналогичная информация, публикуемая в открытом доступе. Рассмотрение жалоб на спам и несанкционированную установку ПО поручено канадской Комиссии по радио-/телевещанию и телекоммуникациям (Canadian Radio-television and Telecommunications Commission, CRTC). Расследованием случаев фишинга и мошенничества займется антимонопольная служба (Competition Bureau), фактов кражи персональных данных и автоматизированного сбора адресов ― комиссариат по защите частной информации (Office of the Privacy Commissioner). Все три организации наделены также полномочиями налагать штрафы за правонарушения. В соответствии с канадским законом о спаме, принятым в 2010 году, потолок этих штрафов для физических лиц составляет 1 млн. долл. (984 тыс. долл. США), для юридических ― 10 млн. Данный статут запрещает не только рассылку спама, но также фишинг, фарминг, скрытую установку шпионского ПО. К сожалению, новое законодательство пока не введено в силу, однако не исключено, что канадцы приурочат это долгожданное событие к открытию Freezer, дата которого, впрочем, пока не определена. В учреждении государственного центра приема жалоб на спам принимают деятельное участие представители частного сектора. Freezer будет функционировать под эгидой министерства промышленности Канады, в структуре которого появится спецслужба, ответственная за выявление и анализ тенденций в эволюции спама и сопутствующих угроз. На содержание нового информационного центра власти планируют ежегодно выделять 700 тыс. долл. (около 690 тыс. долл. США). Источник: canada.com Ботмастер, как тебя зовут? Известный журналист Брайан Кребс попытался выяснить реальные имена ботоводов Cutwail и Srizbi, причастных к рассылке спама в рамках партнерской программы SpamIt. Cutwail, он же Pushdo, на протяжении ряда лет слыл одним из крупнейших ботнетов, распространявших нелегитимную рекламу и вредоносные сообщения. Согласно статистике M86 Security, в настоящее время совокупный вклад разных версий Cutwail в спам-трафик не превышает 20%. По свидетельству Кребса, создателем столь прилежного генератора спама является некий знаток UNIX и специалист по информационной безопасности, скромно именующий себя «Google». Сотрудничать со SpamIt он начал в начале 2007 года, а до этого несколько лет занимался усовершенствованием своего ботнета, сдавая его в аренду спамерам по частям. Партнерство с владельцем Cutwail оказалось для SpamIt весьма выгодным предприятием: Google держал с десяток учетных записей и быстро превратился в главного добытчика, получая щедрые комиссионные за рассылку фармаспама и рекламы пиратского ПО. Тесную взаимосвязь ботовода Cutwail и SpamIt подтверждают логи чат-бесед «Google» и администратора одиозной партнерки Дмитрия Ступина, обнаруженные при аресте последнего в связи с делом Гусева. Уголовное дело против Игоря Гусева, создателя и владельца SpamIt, было возбуждено осенью 2010 года, когда его детище уже прекратило свое существование. В поисках реального имени владельца Cutwail Кребс обратился к записям WhoIs и WebMoney ― платежной системы, через которую SpamIt расплачивалась с партнерами. Сопоставление контактной информации, найденной в этих базах, позволило ему с некоторой долей уверенности определить, что в миру «Google» известен как Нечволод Дмитрий Сергеевич, обитатель московских Черемушек. Серьезную конкуренцию Cutwail на ниве фармаспама одно время составлял ботнет Srizbi. Он появился на спам-арене весной 2007 года; зловред, взятый за основу ботоводом, был опознан экспертами как новая версия Reactor Mailer. Как оказалось, оператором данной программы является глава некоей компании Elphisoft, именующий себя SPM. По словам самого ботовода, доводкой Reactor Mailer занимались лучшие программисты СНГ. SPM тоже сдавал свой ботнет в аренду по частям и примкнул к SpamIt в 2007 году. Долгое время он выторговывал себе привилегии главного поставщика спамботов для новой клиентуры, мечтая когда-нибудь узреть свой логотип рядом с баннером SpamIt. В итоге администрация партнерки пошла на уступки амбициозному ботоводу, но вынуждена была отказаться от его услуг, когда Srizbi потерял центры управления при ликвидации веб-хостинга McColo. Как показало расследование Кребса, SPM ― не кто иной, как владелец ООО «Геймпром» Филипп Погосов. Эта компания была основана в 2004 году и до сих пор с успехом занимается разработкой и продажей видеоигр для мобильных устройств. Погосов уже несколько лет живет в Таиланде. Потеряв ботнет, он целый год не общался с представителями SpamIt. В начале 2010 года SPM попытался восстановить связь со Ступиным, предложив ему использовать для рассылки фармаспама российские SMS-каналы. К счастью, этот замысел канул в Лету вместе с одиозной партнеркой. Источник: http://krebsonsecurity.com/2012/01/pharma-wars-google-the-cutwail-botmaster/ Источник: http://krebsonsecurity.com/2012/01/pharma-wars-mr-srizbi-vs-mr-cutwail/ QR-код для виагры Эксперты Websense обнаружили спам-рассылку, использующую сервис генерации QR-кодов для маскировки целевой рекламы. Как уже отмечалось на страницах нашего блога, рост популярности QR-кодов, упрощающих доступ к веб-ресурсам с мобильных устройств, не преминул привлечь внимание сетевого криминала. Использование двумерного штрихкода, заменяющего длинный URL, создает дополнительные удобства для владельцев смартфонов, помогая быстро попадать на искомую страницу. Однако за такой обезличенной ссылкой может скрываться любой контент, чем и пользуются злоумышленники. Спам-сообщения, попавшие на радары Websense, оформлены по типовому шаблону пресловутой «фармы» и содержат ссылку на веб-сайт 2tag.nl. Данный сервис вполне легален и предоставляет пользователям услуги по созданию QR-кодов на основе URL. При активации ссылки, указанной спамерами, на экран выводится QR-код и его содержимое ― развернутый URL. После считывания кода штатным сканером в браузер автоматически загружается целевая реклама (некоторые QR-ридеры предварительно запрашивают согласие пользователя на загрузку). Источник: community.websense.com Спам-статистика за период 02 - 08 января 2012 г. «Лаборатория Касперского» На каникулярной неделе спама в Рунете меньше не стало, – он составил 73,6% почтового трафика, что ровно на 2 процента больше, чем в последнюю неделю декабря. Впрочем, это рост не абсолютных цифр, а отношения количества спама к общему почтовому трафику – в каникулы добросовестные пользователи шлют меньше писем, чем обычно, а вот спам-роботы не дремлют. Именно эти роботы, как видно из таблицы ниже, продолжают рассылать спам с предложениями разнообразных медикаментов и фильмов на DVD, а также рекламу ресурсов для знакомств и порноресурсов. Вот TOP 10 тематик спама за прошлую неделю: № Тематика Доля на неделе со 2 по 8 января Изменения за неделю 1   Медикаменты, товары и услуги для здоровья   52,0%   +31,4%   2   Фильмы, DVD   15,7%   +7,7%   3   Реплики элитных товаров   11,30%   +7,0%   4   Спам «длявзрослых»   7,8%   +3,7%   5   Образование   4,9%   -10,1%   6   Реклама спамерских услуг   4,4%   +3,2%   7   Другие товары и услуги   2,5%   -6,1%   8   Компьютерное мошенничество   1,5%   Изменения незначительны   9   Личные финансы   Менее 1%   Изменения незначительны   10   Компьютеры и интернет   Менее 1%   Изменения незначительны   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012