Электронный журнал "Спамтест" No. 407 в этом номере: Новости Поздравляем, вы выиграли! или Что скрывается за лотереями в Интернете Спам-статистика за период 9-15 января 2012 г. Новости Американские налогоплательщики под прицелом Trend Micro обнаружила вредоносную рассылку, приуроченную к началу приема налоговых деклараций в США. Налоговая служба этой страны объявила сроки подачи отчетной документации 4 января, призвав налогоплательщиков для ускорения процесса обращаться к услугам специализированных е-сервисов. Зловредные письма на эту тему, зафиксированные Trend Micro, маскируются под официальное уведомление от Fidelity Investments, одного из крупнейших финансовых институтов США. Поддельное сообщение гласит, что новый налоговый счет клиента готов и его можно просмотреть, открыв zip-вложение. По свидетельству экспертов, это вложение содержит исполняемый файл, который является вредоносным. В Trend Micro его определили как один из вариантов банковского троянца ZeuS. Источник: blog.trendmicro.com Websense: тайпсквоттеры наступают Эксперты Websense обнаружили свыше 7 тыс. доменов, схожих по написанию с названиями популярных сайтов и объединенных в единую сеть, используемую мошенниками для накрутки рейтинга спам-рекламы. Эти сайты-двойники созданы в расчете на ошибку при вводе в браузер адреса Twitter, Google, Wikipedia или Craigslist и от имени этих ресурсов обещают посетителям призы в обмен на участие в онлайн-опросе. Анкета доступна через редирект, привязанный к сокращенному URL, и после ее заполнения пользователю воспроизводится реклама по его интересам. Обычно этот трюк используют спамеры, пытаясь заманить участников социальных сетей на ресурсы, посещение которых приносит им дивиденды. Как оказалось, тайпсквоттинг способен повысить эффективность данной схемы во много раз. По свидетельству Websense, домены, отличающиеся от оригинала лишь одним символом, привлекают огромное количество посетителей. Некоторые из этих сайтов даже занесены в список 250 рекордсменов по трафику, публикуемый Alexa. Каждый подставной домен, перенаправляющий посетителей на рекламные сайты, ежемесячно приносит владельцам сотни тысяч долларов. Эксперты напоминают, что персональные данные, введенные в любые формы на сомнительных сайтах, могут быть использованы их владельцами в противоправных целях. Выявленная сеть пока привязана к рекламным ресурсам, однако не исключено, что при другом хозяине (например, в случае продажи на черном рынке) целевой контент окажется более опасным. Источник: community.websense.com Источник: community.websense.com Производитель смартфонов наказан за неправильную рекламу Компания Nokia оштрафована на 55 тыс. долл. (около 57,7 тыс. долл. США) за нарушение австралийского закона о спаме. Поводом к расследованию, проведенному Австралийским управлением по коммуникациям и СМИ (Australian Communications and Media Authority, ACMA) послужили жалобы владельцев мобильных телефонов, которые не смогли избавиться от непрошеной SMS-рекламы. Дело в том, что сотрудники Nokia, проводя коммерческие рассылки, не указали, как отписаться от получения текстовых посланий. Согласно австралийскому Spam Act, это является достаточно серьезным нарушением. Помимо уплаты штрафа, правонарушителю придется пройти независимый аудит, по его итогам разработать план корректировки рабочих процессов и проводить регулярные тренинги для персонала, вовлеченного SMS-маркетинг. За минувший год общее количество жалоб, подаваемых в ACMA в отношении SMS-спама, увеличилось на 370%. Источник: theregister.co.uk «Российский след» Kelihos Microsoft внесла изменения в исковые претензии к ботоводам Kelihos, добавив свидетельства против еще одного ответчика ― россиянина Андрея Сабельникова По признанию экспертов, они вышли на это имя в результате анализа вредоносного кода. Новые находки позволили им заключить, что Сабельников принимал участие в создании зловреда и ботнета на его основе. Россиянин также регистрировал адреса, которые впоследствии использовались для управления Kelihos, в том числе 3,7 тыс. поддоменов в зоне cz.cc, вверенной dotFREE Group. Эта компания и ее владелец, Доминик Александер Пьятти (Dominique Alexander Piatti), фигурировали в качестве ответчиков в первоначальном варианте искового заявления Microsoft, однако при более тщательном расследовании Пьятти оказался обычным поставщиком веб-услуг, и обвинения с него были сняты. Появление нового имени, которое Microsoft связывает с деятельностью Kelihos, породило волну журналистских расследований. В обновленном иске указано, что Сабельников ― выпускник питерского университета по специальности «вычислительные системы и программирование». В настоящее время он живет в Санкт-Петербурге и работает как фрилансер в консалтинговой компании, занимающейся также разработкой софта, а ранее трудился в штате некоего поставщика защитных решений. Небезызвестный Брайан Кребс изучил профиль Сабельникова на LinkedIn и установил, что нынешним местом его работы является Teknavo, создающая приложения для финансовых организаций, а прежним ― Agnitum. Репортеры CNews дополнили этот послужной список еще двумя именами: R-Tools и Returnil, однако отметили, что Сабельников уже удалил с LinkedIn все данные о своей трудовой карьере. Ботнет Kelihos, он же Hlux, был обезврежен прошлой осенью стараниями Microsoft, ЛК и Kyrus. Злоумышленники использовали его для рассылки спама, кражи пользовательских данных, проведения DDoS-атак и многих других видов криминальной деятельности. Подменив управляющий центр ботнета, ЛК насчитала в его составе свыше 49 тыс. уникальных IP-адресов. В настоящее время Kelihos неактивен, но истребить всю инфекцию на местах пока не удалось. Источник: blogs.technet.com Когда ссылки не в теме В Twitter наблюдается всплеск русскоязычного спама, содержащего вредоносные ссылки. По всем признакам, вредоносные сообщения распространяются автоматизированными средствами. Все они предлагают разнообразные файлы для скачивания: сборники задач с решениями, дистрибутивы игр, аудиокниги, некие документы и т.п. Примечательно, что к вредоносным URL, указанным в этих записях, прикреплен один из нескольких популярных хэштэгов, таких как «#Россия», «#новости», «#интернет», «#Москва». По свидетельству Lenta.ru, соответствующие тематические разделы сейчас наполнены зловредным спамом, которого в несколько раз больше, чем релевантных записей. Насколько известно, новая спам-атака началась в Twitter пару дней назад, накануне встречи Дмитрия Медведева со студентами МГУ. На тот момент в спам-шаблонах преобладал хэштэг «#жалкий», который часто используется в записях с критикой в адрес президента. В настоящее время интенсивность рассылки спама с этим хэштэгом составляет несколько десятков сообщений в минуту. Источник: lenta.ru Поздравляем, вы выиграли! или Что скрывается за лотереями в интернете Мария Рубинштейн, "Лаборатория Касперского" Письма с уведомлениями о выигрыше в лотерею с завидной регулярностью появляются в наших почтовых ящиках. Все они построены по одному и тому же принципу: пользователю сообщают, что он выиграл огромную сумму в некоей лотерее и должен связаться с неким должностным лицом из числа организаторов, чтобы ее получить. Заманчиво. Увы, эти уведомления — всего лишь сетевое мошенничество. Для получения «выигрыша» пользователя попросят внести на указанный счет от нескольких сотен до нескольких тысяч долларов под тем или иным предлогом: это может быть комиссия за перевод выигрыша, налог, плата за открытие счета в банке т.п. Эти расходы часто кажутся «счастливчику» несущественными по сравнению с обретенной суммой. Но получив деньги, мошенники просто прерывают все контакты, и найти их практически невозможно. Будьте осторожны и не попадитесь на удочку! Признаки «лотерейного» мошенничества Как понять, что перед вами письмо от мошенника? Ответ прост: любое уведомление о выигрыше в лотерею, в которой вы не участвовали, — поддельное. На этом месте читатель может задать вопрос: а если я действительно участвовал в лотерее и надеюсь на большой куш? Если розыгрыш призов действительно проводился, и вы действительно в нем участвовали, к вам обратятся по имени (или по номеру лотерейного билета, который вы купили), а в письме будет содержаться адрес и название компании — организатора розыгрыша. Поддельные уведомления о выигрыше могут выглядеть по-разному. Очень многие написаны с грубыми ошибками. По этим признакам можно сразу отличить подделки, так как в штате серьезных компаний, проводящих лотереи, работают переводчики, редакторы и копирайтеры. Попадаются и фальшивки, которые написаны без ошибок и прекрасно оформлены, но отправлены они с публичного почтового сервера вроде gmail.com, hotmail.com или yahoo.com. Однако сообщение от серьезной компании всегда отправляется с корпоративного адреса. В некоторых фальшивках вам предложат послать ответ на адрес, отличный от того, с которого письмо прислано, например, — на адрес какого-нибудь «агента» или «менеджера». В письме может сообщаеться о Вашем выигрыше в «европейской лотерее», но оно послано из Нигерии. Другими словами, в поддельном уведомлении обязательно обнаружится какая-нибудь странная нестыковка. Лотерея без ведома участников Настоящих лотерей, которые проводились бы без ведома их участников, не бывает. Поэтому, если вы получили письмо, начинающееся со слов о том, что в неизвестной вам лотерее выиграл, например, ваш электронный адрес, отправьте его в корзину. Некоторые мошенники просчитывают реакцию своих жертв и на всякий случай поясняют им, что лотерея без лотерейных билетов — это никакое не мошенничество. Громкие имена Заставить жертву клюнуть на удочку легче, если «лотерею» проводить от имени какой-нибудь известной организации. Например, тех же Coca Cola или Google. А еще это могут быть BMW, McDonald’s, Microsoft, Yahoo!.. К сожалению, эти компании ничего не могут поделать с безвестными мошенниками, использующими их имена в своих целях. В письмах говорится о лотереях, проводимых крупными компаниями, в приложенных к этим письмам файлах — очередные сообщения о "выигрышах". Интересно, почему представители всех этих компаний рассылают письма с публичных почтовых сервисов типа Gmail и MSN? Если вы получили подобное письмо, зайдите на сайт компании, чтобы убедиться, что никакой лотереи там не проводится. А если ввести в Google-поиске слова "Coca Cola lottery", "Yahoo lottery", «Google lottery» и т.п., то вы увидите ссылки на статьи, описывающие этот вид мошенничества, с примерами сообщений и даже с рассказами жертв мошенничества. Моя твоя не понимай Сервис Google Translate чрезвычайно облегчил жизнь сетевым мошенникам: если раньше их целевая аудитория была ограничена их соотечественниками, то теперь рассылать письма можно по всему миру. К нам регулярно приходят такие уведомления на ломаном английском, немецком, испанском, португальском, украинском, польском, норвежском и других языках, не говоря уж о русском. Мы, конечно, не предполагаем, что кому бы то ни было из наших читателей придет в голову счесть такое порождение компьютерно-лингвистических технологий настоящим уведомлением о настоящем выигрыше, однако на всякий случай призываем всех быть бдительными. Организаторы настоящих лотерей не станут коверкать русский или какой-либо другой язык подобным образом. Будьте бдительны! Примеры писем с фальшивыми уведомлениями о выигрыше можно приводить бесконечно. По статистике «Лаборатории Касперского» число таких уведомлений в спаме составляет от десятых долей процента до трех процентов, а это тысячи писем в месяц. Чтобы не стать жертвой мошенников, соблюдайте простые правила безопасности: Не верьте, что вы могли выиграть денежный приз, в розыгрыше, в котором вы не участвовали. Не доверяйте письмам, "прогнанным" через автоматический переводчик или просто содержащим явные ошибки. Обращайте внимание на e-mail, с которого прислано сообщение: организаторы лотерей не отправляют письма с бесплатных почтовых сервисов. Если вы думаете, что все-таки в письме речь идет о реальном выигрыше, проверьте все данные с помощью поисковых систем. Имена и телефоны отправителей, название лотереи ― все это, возможно, найдется в Сети с подробными комментариями. И самое главное, помните: бесплатный сыр бывает только в мышеловке! Примеры писем и полный текст статьи смотрите на сайте www.securelist.com/ru. Спам-статистика за период 9-15 января 2010 г. "Лаборатория Касперского" Количество спама за прошедшую неделю выросло и составило 79,5%. Это на 7% больше показателя позапрошлой недели. Тематическое распределение спама, в отличие от показателя доли спама, неожиданностей не принесло. Активнее всего рекламируют образовательные тренинги, разнообразные медикаменты и собственно спамерские услуги. Вот топ-10 тематик спама за прошлую неделю: № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   32,4%   +4,5%   2   Медикаменты, товары и услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   13,7%   -9,6%   3   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   10,4%   Изменения незначительны   4   Другие товары и услуги   Предложения других товаров и услуг. Предложения по ремонту и отделке интерьера квартир и домов.   8,1%   +1,1%   5   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   7,1%   -1,2%   6   DVD   Предложения купить фильмы или другую информацию на DVD.   5,6%   Изменения незначительны   7   Ремонт и благоустройство   Предложения по ремонту и отделке интерьера квартир и домов.   4,6%   +2,4%   8   Юридические услуги и аудит   Предложения юридических услуг.   4,4%   +1,8%   9   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   3,6%   -2,8%   10   Спам “для взрослых”   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   3,0%   Изменения незначительны   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012