Электронный журнал "Спамтест" No. 416 в этом номере: Новости Записки спам-аналитиков Спам в Рунете: 19 — 25 марта 2012 года Новости Скамеры ― бич Новой Зеландии По официальным данным, фрод в сфере высоких технологий ежегодно обходится новозеландцам в 400 млн. долл. (более 2,32 млн. долл. США). Особенно много теряют владельцы онлайн-счетов. В каждом десятом случае сумма индивидуальных потерь в сфере онлайн-банкинга составляет около 5 тыс. долл. (свыше 4 тыс. долл. США). При этом кибератака нередко начинается с фишингового письма, предлагающего от имени банка обновить персональные идентификаторы. До недавних пор ответственность за несанкционированные транзакции несли сами владельцы счетов. Однако под нажимом общественности новозеландские банки вынуждены были пересмотреть свою позицию и теперь покрывают убытки клиентам в очевидных случаях мошенничества. В целях противодействия фишерам и прочим кибермошенникам министерство по делам потребителей Новой Зеландии планирует создать новую межведомственную группу. Новообразование будет работать в тесном взаимодействии с правительственной службой надзора за соблюдением антиспамового законодательства и с некоммерческой организацией Netsafe, пропагандирующей безопасное использование онлайн-технологий. Основное назначение новой структуры ― объединение ресурсов для повышения информированности населения, выявления тенденций и предоставления исчерпывающей информации правоохранительным органам. Источник: The National Business Review Крестовый поход против «Зевса» Объединившись с лидерами рынка финансовых услуг, Microsoft с разрешения суда захватила несколько управляющих серверов ZeuS и подала коллективный иск против 39 анонимов, причастных к созданию вредоносного кода и ботнетов на его основе. В ходе полицейских рейдов на двух американских хостинг-площадках были заблокированы 2 IP-адреса, ассоциированных с наиболее агрессивными ботнетами ZeuS, и получены ценные свидетельства криминальной деятельности. Определить достойные мишени экспертам помогли коллеги из Kyrus Tech. Microsoft также установила контроль над 800 доменами, задействованными в командной инфраструктуре ZeuS, надеясь, что это поможет идентифицировать тысячи зараженных ПК. Процесс очистки планируется проводить во взаимодействии с интернет-провайдерами и национальными CERT (группами быстрого реагирования на компьютерные инциденты). Троянцы семейства ZeuS продаются на черном рынке в виде тулкитов, позволяющих злоумышленникам создавать собственные ботнеты. За последние 5 лет Microsoft зафиксировала свыше 13 млн. предполагаемых заражений ZeuS по всему миру, включая 3 млн. на территории США. Готовясь к очередной акции против ботоводов, получившей в Microsoft кодовое наименование «операция b71», эксперты решили заняться и ZeuS, и его ближайшими родственниками — SpyEye и Ice-IX. По оценкам MS, совокупный ущерб от этих зловредов составляет около полумиллиона долларов. Нанося скоординированный удар по нескольким ботнетам, эксперты не задавались целью надежно вывести их из строя. Ожидается, что данная акция послужит хорошим уроком всем ботоводам ZeuS, поможет ограничить распространение инфекции и выявить главных виновников. Последние пока известны лишь под сетевыми псевдонимами, которые Microsoft скрупулезно перечислила в иске, поданном совместно с ассоциацией электронных платежей NACHA и некоммерческой организацией FS-ISAC (Financial Services Information Sharing and Analysis Center), представляющей интересы американских финансистов. Примечательно, что в числе прочих законодательных актов, которые нарушает деятельность ботоводов ZeuS, в этом иске упомянут RICO Act (Racketeer Influenced and Corrupt Organizations Act) ― федеральный закон о коррумпированных и находящихся под влиянием рэкетиров организациях, на основе которого обычно рассматриваются уголовные дела ОПГ. Апелляция к этому статуту позволила истцам объединить в одном документе претензии ко всем участникам криминальной деятельности, связанной с ZeuS: вирусописателям, продавцам и покупателям тулкитов, ботоводам, «дроповодам», распространителям зловредного кода и проч. В перечне законодательных актов, указанных в иске, присутствует также CAN-SPAM, так как одним из важнейших способов распространения ZeuS являются спам-рассылки. Согласно данным, представленным истцами, только вредоносные уведомления об отмене транзакции, распространяемые от имени NACHA, обеспечивают устойчивый спам-поток в 100 млн. писем в месяц. Источник: Microsoft IBM: спам в 2011 году В минувшем году IBM зафиксировала вдвое меньше почтового мусора, чем в предыдущем. Эксперты объясняют этот успех ликвидацией нескольких крупных ботнетов, использовавшихся злоумышленниками для проведения спам-рассылок. Осенью спамовые потоки несколько увеличились ― в основном, за счет вредоносных писем с вложениями, — но с конца ноября уверенно пошли на спад. Текстовый спам в сентябре-ноябре на пике превышал 80% суточной нормы мусорной корреспонденции, а в декабре этот показатель снизился до 55%. Эксперты отмечают, что легитимные письма почти перестали использовать текстовый формат, посему со временем его наличие можно будет использовать как критерий для отсеивания спама. Во втором полугодии IBM наблюдала 3 мощных всплеска вредоносного спама с zip-вложениями: 2 ― в середине августа и 1 в конце второй декады сентября. На пике эти спам-рассылки составляли от 18 до 43% суточной нормы почтового мусора. Полезной нагрузкой прикрепленного архива чаще всего оказывался троянец. В декабре эксперты зафиксировали также возвращение графического спама. На пике он составлял 15-25% суточной нормы нелегитимной корреспонденции, тогда как последние 2 года обычно не превышал 1%. Большинство новоявленного спама в картинках содержало логотип известной организации или компании. В таких спам-письмах получателя стремились убедить активировать ссылку, по которой на его машину загружалась та или иная вредоносная программа. Наиболее популярным TLD-доменом, присутствующим в спамерских ссылках, по-прежнему является .com. Использование .net, .info и .org в спамовых URL с прошлого года значительно сократилось. Китайский национальный домен с начала 2010 года начал стремительно терять свои позиции на спам-арене и до сих пор находится за пределами Топ 15. Присутствие зоны .ru в URL-спаме, напротив, увеличилось; уже 2 года она занимает ведущие места в этом непочетном рейтинге, оспаривая первенство .com. Третье место в списке популярности у спамеров с весны занимает новичок ― домен .ua. В географическом рейтинге источников спама лидирует Индия с показателем 14% от всего спам-трафика. Второе место занимает Вьетнам (более 10%), его догоняет Индонезия (10%). На долю России в конце года приходилось около 7% исходящего спама. Бразилия сократила свои показатели почти до 6%, немногим уступая Австралии (5,6%). США, занимавшие место лидера в 2010 году, сократили свой вклад в общий спам-трафик до 2%. Источник: IBM Записки спам-аналитиков. Хватит это терпеть? Мария Наместникова «Лаборатория Касперского» На прошлой неделе мы зафиксировали замечательную рассылку: сообщения, предлагающие всем желающим изменить будущее, присоединившись к хакерской группе Anonymus. Сообщения пестрят лозунгами в стиле «Хватит это терпеть!» и венчаются трагическим We are Legion. We do not Forgive. We do not Forget.» («Нас легион. Мы не забываем. Мы не прощаем.»), в котором не хватает разве что «Expect us!» («Ожидайте нас!»). Начало сообщения (полный текст можно посмотреть на сайте Securelist) вызывает легкое недоумение. Анонимусы вдруг, ни с того ни с сего, рассылают англоязычные сообщения пользователям, имеющим почтовые ящики в разнообразнейших доменных зонах (например, в .de), и предлагают всем без разбору вступить в их ряды. Но со второй половины сообщения картина внезапно проясняется. «Хотите вступить в наши ряды? Отправьте нам следующую информацию: Ваше имя (…) на почтовый ящик абракадабра@gmail.com» Да это же подразделение Анонимусов из Нигерии пишет нам письмо!!! :) Типичный «нигерийский» прием – пообещать пользователю несметные богатства (или, как в нашем случае, иные плюшки) и попросить переслать в ответ немного личной информации на подозрительный ящик, расположенный на бесплатном почтовом сервисе. Интересно поближе рассмотреть предлагаемую злоумышленниками «плюшку». Обычно «нигерийские» спамеры пытаются заинтересовать пользователя вполне материальными благами – несколькими миллионами долларов, например. Здесь же совсем иной случай – никакого вознаграждения не предлагается и не предвидится. Пользователей интернета, среди которых, похоже, в последнее время все больше «бунтарей», призывают поддержать протест против правительств разных стран. Тем более, что вокруг «благородных» хакеров последнее время витает ореол романтики, что должно еще больше заинтересовать потенциальную жертву – в мышеловке не просто стояние на площадях и выкрикивание лозунгов, а самые настоящие хакерские атаки на сильных мира сего! Я, честно говоря, так заинтересовалась рассылкой, что решила ответить злоумышленникам, чтобы посмотреть, что же будет дальше. Когда же они попросят «мои мотоцикл и одежду»(с) для своих благородных целей? К моему несказанному разочарованию, ни один из адресов, указанных в письмах, задетектированных нами, уже не работал, и мне приходили только безжизненные и неинтересные автоответы о недоставке. Однако я более чем уверена, что ни к участию в хакерских атаках на правительственные сайты, ни к каким-либо другим формам «протеста» авторы рассылки пользователей привлекать не собирались. Вероятно, попавшимся на удочку время от времени намеревались сообщать, что организации нужны деньги для проведения очередной акции. Но я искренне надеюсь, что не попался никто, а если и попался, то вовремя одумается, как только увидит первое требование «нигерийских анонимусов» – например, перевод «небольшой» суммы денег на счет в одном из банков Африки. Спам в Рунете: 19 — 25 марта 2012 года «Лаборатория Касперского» На прошедшей неделе спам в почте в среднем составил 73,4% всех сообщений. В течение последних недель мы наблюдаем постепенное уменьшение этого показателя. Больше всего спамовых писем (чуть больше 17%) в этот раз неожиданно пришлось на тематику «Недвижимость». Традиционные лидеры тематических категорий спама — «Образование» и «Медикаменты» — оказались лишь на втором и третьем местах соответственно. № Тематика Описание Доля тематики Изменения за неделю 1   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   17,1%   5,1%   2   Образование   Реклама семинаров, тренингов, курсов.   16,5%   Изменения незначительны   3   Медикаменты, товары и услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   15,7%   Изменения незначительны   4   Коллекции фильмов на DVD   Предложения купить фильмы или другую информацию на DVD.   13,2%   7,9%   5   Другие товары и услуги     12,2%   Изменения незначительны   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   6,8%   1,8%   7   Юридические услуги и аудит   Предложения юридических услуг.   5,2%   Изменения незначительны   8   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   3,4%   -1,1%   9   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,8%   Изменения незначительны   10   Транспорт и перевозки   Реклама грузоперевозок и пассажирских перевозок   1,8%   -1,3%   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012