Электронный журнал "Спамтест" No. 422 в этом номере: Новости Спам в первом квартале 2012 г. Спам в Рунете: первая половина мая 2012 года Новости APWG о фишинге во II полугодии Во 2-й половине прошлого года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зафиксировала [pdf] немногим более 83 тыс. уникальных фишинговых сайтов ― на 26% меньше, чем в предыдущем полугодии. По мнению экспертов, одной из главных причин уменьшения этого показателя является сокращение использования фишерами виртуальных серверов, взлом которых позволяет им создать целую сеть сайтов-ловушек, привязанных к общей хостинг-площадке. Количество институтов, избранных фишерами в качестве мишеней, также уменьшилось ― до 487 против 520 в I полугодии. При этом объектами 78% фишинговых атак (уникальных подделок) являлись лишь 20 организаций. Список мишеней, облюбованных фишерами, впервые возглавил китайский аналог eBay и Amazon ― коммерческий сервис Taobao.com, на долю которого в отчетный период пришлось 22,2% имитаций. Бывший лидер этого рейтинга PayPal занял второе место с большим отрывом (8,6% атак). Особой активностью по-прежнему отличались фишеры, действующие на территории Китая. За II полугодие они использовали свыше 22,2 тыс. поддельных сайтов для проведения кибератак против китайских организаций ― на 26,7% больше, чем в январе-июне. Больше трети из них были бесплатно зарегистрированы фишерами в доменной зоне .tk (Токелау), свыше 30% ― на поддоменах .pl и .cc. В целом за полугодие фишеры использовали около 50,3 тыс. доменных имен. 39,5% фишинговых сайтов были привязаны к TLD-зоне .com, 9,2% ― к зоне .tk, 7,4% к .pl. Самая высокая плотность абьюзов зарегистрирована в национальных зонах Токелау, Индии и Таиланда, в которых на 10 тыс. зарегистрированных доменов было обнаружено 12,0, 11,7 и 10,6 фишерских имен соответственно при медианном показателе 3,2 (в зоне .com, например, он составил 2,3). По данным APWG, более половины сайтов, созданных фишерами в зоне .in, имитировали игровой сервис Battle.net. Четверть доменов, используемых для фишинга, были зарегистрированы со злым умыслом, остальные принадлежали владельцам взломанных ресурсов. 62% доменов, зарегистрированных фишерами, использовались для проведения атак на территории Китая. 93% злонамеренных регистраций пришлось на долю TLD-зон .tk, .com, .info и .in, причем на долю первой ― 57%. За июль-декабрь исследователи также насчитали свыше 16,66 тыс. уникальных поддоменов, используемых фишерами, на которых были размещены 17,39 тыс. уникальных сайтов-ловушек ― на 38% больше, чем в предыдущем полугодии. Среднее время жизни фишинговых сайтов продолжает сокращаться и в минувшем полугодии составило 46 часов 3 минут при медианном значении 11 часов 43 минуты. Быстрее всего эти сайты закрывают в зонах .info, .org, .tk и .cc ― благодаря агрессивной политике операторов соответствующих реестров в отношении абьюзов. Сроки службы подделок, ориентированных на китайских пользователей, не известны, так как китайский инфоцентр CNNIC (China Internet Network Information Center), предоставляющий APWG данные о местном фишинге, их не фиксирует. Источник: antiphishing.org [pdf] Websense о криминализации канадского хостинга По данным Websense, количество фишинговых сайтов, размещенных на территории Канады, за год увеличилось на 170%, число C&C ботнетов ― на 39%, вредоносных сайтов на 239%. Предыдущее исследование профиля этой страны в отношении рисков, связанных с вредоносной активностью, эксперты провели в мае прошлого года. Новая статистика, собранная за истекший период, показала разительное ухудшение результатов. По итогам января-мая Канада заняла 2-ю позицию в Топ 10 стран, приютивших ловушки фишеров. Непочетный рейтинг от Websense возглавляют США, третье место занимает Египет. В десятку лидеров входят также европейские страны, а замыкают ее Россия и Израиль. По словам экспертов, в недавнем прошлом основная масса вредоносного контента размещалась, как правило, на серверах Европы. Похоже, настало время перемен, злоумышленники активно мигрируют в регионы с более «чистой» репутацией. Примечательно, что канадцы не торопятся исправлять ситуацию: за год Websense не зафиксировала ни одной кампании по массовому истреблению зловредных площадок. Вредоносные сайты, размещенные на территории Канады, сохраняют свою активность дольше, чем в других странах, что указывает на низкую эффективность взаимосвязи публичного и частного секторов интернет-индустрии. Источник: community.websense.com Злостный спамер отправлен за решетку Окружной суд штата Пенсильвания приговорил 51-летнего местного жителя к 2 годам тюремного заключения за обман потребителей и рассылку спама. По свидетельству Spamhaus, спам-рассылки, инициированные Брайаном Мак-Дейдом (Brian McDaid), начали особо досаждать пользователям интернета в 2005 году. Нанятые им «партнеры» с усердием наводняли почтовые ящики миллионами сообщений, продвигающих БАДы на основе Hoodia gordonii, гормоны роста и прочие сомнительные снадобья, которыми торговала лас-вегасская компания Мак-Дейда ― Sili Neutraceuticals. Бурная спамерская деятельность «партнерки» быстро привлекла к ней внимание американских властей, которые обратились за информацией к Spamhaus. К этому времени Мак-Дейд и его компания прочно обосновались в списке особо агрессивных спамеров (ROKSO), который ведут активисты. По итогам расследования Федеральная торговая комиссия США (ФТК) подала против Sili Neutraceuticals гражданский иск по факту нарушения правил честной торговли и федерального антиспам-законодательства (CAN-SPAM). В начале 2008 года суд Иллинойса постановил взыскать с ответчика около 2,6 млн. долл. штрафа. Несмотря на судебный запрет, Мак-Дейд и Ко продолжали дразнить гусей и спровоцировали новый судебный процесс, на сей раз в родном штате владельца Sili Neutraceuticals. В марте 2011 года большое жюри Филадельфии обвинило Мак-Дейда в продаже товаров, не обладающих заявленными свойствами, а также в умышленном распространении коммерческой рекламы под вводящими в заблуждение заголовками, без надлежащей опции opt-out и без указания физического адреса рекламодателя. Ответчик признал свою вину по всем пунктам. По выходе на свободу злостный правонарушитель проведет 1 год под надзором. Он также уплатит 1 тыс. долл. штрафа и 300 долл. в качестве специального налога. Источник: justice.gov Источник: spamhaus.org Ложный антивирус для твиттерян Эксперты GFI Software обнаружили массовую рассылку вредоносных URL с поддельных Twitter-аккаунтов. Зловредные твиты приглашают русскоязычных пользователей принять участие в свинг-вечеринке, англоязычных ― посмотреть на сексапильных дамочек. Все они доступны как с компьютера, так и со смартфона и снабжены ссылкой на внешний ресурс, размещенный в доменной зоне .tk. Последний по сути является редиректором и перенаправляет пользователя на страницу в зоне .ru, рекламирующую антивирусный сканер для Android-устройств. При заходе на нее со смартфона потенциальной жертве воспроизводится русскоязычный текст, извещающий владельца устройства о заражении системных файлов с предложением активировать защиту. При нажатии соответствующей кнопки происходит загрузка и установка некоего файла, именуемого VirusScanner; на ПК он загружается с расширением .jar, на смартфон ― с .apk. Первый при выполнении выдает ошибку, второй содержит лжеантивирус, который с успехом инсталлируется на мобильном устройстве под логотипом Лаборатории Касперского. Источник: gfi.com Нигерийские фишеры в Америке 30 мая в столице Нигерии Лагосе будет приниматься решение об экстрадиции участника фишинговой группировки, против которой выдвинуты обвинения в американском штате Нью-Джерси. По свидетельству ФБР, 7 нигерийцев, шестеро из которых давно обосновались в США, на протяжении года грабили банковские и зарплатные счета американцев, выуживая персональные идентификаторы с помощью фишинговых рассылок и поддельных сайтов. Получив доступ к чужим счетам, они связывались с банками по телефону и выводили краденые деньги переводами Western Union и Moneygram в другие штаты, Мексику, Великобританию, Латвию, Францию, Болгарию, Россию и Нигерию. Общая сумма мошеннических переводов составила 3,5 млн. долларов, из них 1,3 млн. фишеры успешно изъяли. Подставной счет на территории Нигерии держал 26-летний выпускник местного университета Оланийи Виктор Макинде (Olaniyi Victor Makinde), который также подрабатывал в Сети, играя роль перспективной «невесты». Его альтер эго Бренда Стюарт умудрилась своими «капризами» выставить двоих американцев на 620 тыс. долл. В сентябре прошлого года нигерийским властям удалось арестовать фальшивую «невесту», которую они вычислили с помощью ФБР. В связи с новыми обвинениями ― в фишинге ― дело о брачном мошенничестве было приостановлено, и Макинде предстоит воссоединиться с другими «коллегами по цеху» на территории США. Выявить остальных сообщников ФБР не составило труда. Двое из них задержаны в Джорджии, где они незадолго до этого отбывали срок за подделку банковских чеков. Обвинения по делу о групповом фишинге были официально оглашены в конце января текущего года. Источник: garwarner.blogspot.com Источник: africanspotlight.com Спамер пошел на мировую Владельцы калифорнийской компании Adscend Media, уличенной в рассылке мошеннического спама на Facebook, согласились урегулировать конфликт во внесудебном порядке. В январе текущего года федеральные власти и руководство Facebook обвинили Adscend в противоправном использовании возможностей социальной сети при осуществлении деловых операций. Как оказалось, сей оператор маркетинговой «партнерки» покровительствовал мошенникам, распространявшим на Facebook поддельные сообщения «от друга» для привлечения посетителей на веб-сайты заказчиков. Приманкой служил подчас несуществующий контент, для просмотра которого жертве предлагалось произвести ряд дополнительных действий. В итоге пользователя могли обманом заставить расстаться с персональной информацией или подписаться на дорогие услуги. Более того, во многих случаях «фейсбукер», павший жертвой мошеннической схемы, невольно становился ее соучастником, вовлекая в процесс своих знакомых с помощью умело замаскированной кнопки Like или Share. Согласно мировому соглашению [pdf], заключенному Adscend с федеральными властями, оператор «партнерки» обязуется воздерживаться от рассылки фальшивых и вводящих в заблуждение сообщений в пределах Facebook, а также от попыток скрыть личность и истинные намерения отправителя рекламных посланий. Ответчик также должен обеспечить постоянный контроль над деятельностью своих аффилиатов и применять адекватные санкции в случае правонарушений ― вплоть до ликвидации аккаунта. В погашение процедурных издержек Adscend уплатит 100 тыс. долларов. При нарушении любого из условий мирового соглашения компании могут быть назначены дополнительные меры пресечения. Источник: atg.wa.gov Спам в первом квартале 2012 г. Мария Наместникова, "Лаборатория Касперского" Особенности квартала Цифры квартала Праздники Политика в спаме Рунета Методы и трюки спамеров Вредоносные рассылки Мошенничество Спам-статистика Доля спама и закрытие ботнетов География спама Распределение источников спама по регионам Страны — источники спама Тематическое распределение спама Письма с вредоносными вложениями Доля писем с вредоносными вложениями Страны, ставшие мишенью вредоносных рассылок Рейтинг вредоносных программ в почте Фишинг Заключение Антиспам «Лаборатории Касперского» защищает пользователей по всему миру. В антиспам-лаборатории ежедневно обрабатывается более миллиона писем, попадающих в наши ловушки. Для защиты пользователей используется контентная фильтрация, анализ технических заголовков, уникальные графические сигнатуры, а также облачные технологии. Наши аналитики создают новые сигнатуры круглосуточно 7 дней в неделю. Особенности квартала Цифры квартала Доля спама составила в среднем 76,6% почтового трафика. Это на 3% меньше показателей четвертого квартала 2011. Больше всего спама по-прежнему рассылается из Азии (44%) и Латинской Америки (21%). Доля писем, содержавших вредоносные вложения, увеличилась на 0,1% по сравнению с предыдущим кварталом и составила 3,3%. Доля фишинговых писем в среднем составила 0,02% от всего почтового трафика. Праздники Первый квартал года богат на праздники. Этим, конечно, пользуются спамеры. День Святого Валентина, масленица, 23 февраля и 8 марта, день Патрика и, наконец, Пасха — кажется, спамеры не пропустили ни одного праздника. «Праздничный» спам в большинстве случаев сводился к традиционной рекламе медикаментов, поддельных дорогих товаров и т.п., оформленной в «праздничном» стиле (с добавлением «веских» аргументов в пользу того, что эти товары нужны именно к празднику), или представлял собой партнерский спам, который активизируется именно к праздникам — как, например, партнерские программы по продаже цветов. Политика в спаме Рунета Как и предполагалось, в первом квартале 2012 года в Рунете продолжились рассылки политического спама. В подавляющем большинстве случаев он, как и в прошлом квартале, носил близкий к экстремистскому характер. Кроме того, встречался и политический спам от КПСС (или подделка под оный — в таких случаях никогда нельзя сказать достоверно). Однако были и другие варианты. Так, в одном из спамовых писем получателю предлагалось ознакомиться с порядком проведения митинга. К сообщению был прикреплен doc-файл, при открытии которого требовалось запустить макросы. И если пользователь запускал их, то на его компьютер устанавливалась троянская программа, предназначенная для выведения из строя операционной системы Windows. Использовали ли злоумышленники митинг как популярную тему, или это была целевая атака на оппозиционно настроенных пользователей, определенно сказать нельзя. Однако отличительной чертой зловреда было то, что он не обладал функционалом типичных коммерческих вредоносных программ: не воровал пароли, не подгружал боты и т.д. Единственной его задачей было выведение из строя зараженного компьютера. Методы и трюки спамеров Вредоносные рассылки Не можем не отметить, что распространители вредоносных программ среди спамеров - самые изобретательные в области социальной инженерии. Помимо уже описанной рассылки с «инструкцией» для митингующих, нам встречались и другие подделки. После рассылок с поддельным уведомлением от американской ассоциации электронных платежей NACHA спамеры начали подделывать письма от Better Business Bureau (BBB). BBB — это частная компания, предлагающая потребителям и предпринимателям в Соединенных Штатах и Канаде сведения о компаниях и их оценку (включая отзывы, жалобы, статистику, рейтинги и многое другое) для оказания помощи в принятии решения о покупке и инвестиционной деятельности. Основной мишенью рассылки были компании малого и среднего бизнеса. В письме сообщалось о якобы поступившей в Бюро жалобе, и использовался классический метод запугивания: если пользователь не ответит на жалобу, то рискует своим рейтингом в BBB. На самом же деле, пройдя по ссылке, пользователь попадал на какой-либо взломанный сайт со встроенным скриптом, с помощью которого он перенаправлялся на вредоносный сайт c известным эксплойт-паком Blackhole. Похожая схема применялась и в другой рассылке, замаскированной под письмо от авиакомпании. Пользователю предлагалось в онлайн-режиме зарегистрироваться на рейс US Airways. По ссылке пользователь попадал на сайт со скриптом, перенаправляющим его опять же на вредоносный сайт с эксплойт-паком Blackhole. Если эксплойтам удавалось найти уязвимую программу у пользователя, на машину устанавливалась одна из модификаций троянской программы ZeuS/Zbot. Кроме того, вредоносные рассылки подделывались под рассылку финансовых новостей, предложения о работе, извещения о банковских переводах, уведомления от социальных сетей и многое другое. Мошенничество Мошенники в этом квартале тоже проявили фантазию. «Нигерийские» спамеры опять обещали пользователям миллионы — на сей раз покойного Каддафи. Кроме того, они представлялись директором ФБР и пытались выманить у пользователей их личные данные. Но особенно нас заинтересовала рассылка якобы от имени хакерской группировки Anonymous. В своем письме, составленном в характерной манере, с использованием некоторых фраз, ставших визитной карточкой группировки, лже-анонимусы предлагали получателю письма поддержать их протест против действий правительств разных стран. Для этого пользователю надо было всего лишь прислать на указанный в письме адрес свое имя, название страны проживания и мобильный телефон. В данном случае мошенники играют на популярности хакерской группировки. Просьба прислать имя и номер телефона может показаться пользователю безобидной, однако злоумышленники могут распорядиться этими данными весьма неприятным образом, например, подписать владельца телефона на платную услугу. Отметим, что в поле From этой рассылки значился домен организации Nacha. Вряд ли мошенники действительно хотели связать свою рассылку с деятельностью этой организации. Более вероятна версия, что люди, рассылавшие эти письма, ранее распространяли вредоносные письма, замаскированные под рассылку от Nacha, и просто забыли сменить поддельное поле From в шаблоне, выдаваемом ботам. Спам-статистика Доля спама и закрытие ботнетов Доля спама в первом квартале 2012 года составила в среднем 76,6% почтового трафика. Это на 3% меньше показателей четвертого квартала 2011. Уменьшение процента мусорных писем в почте не в последнюю очередь связано с тем, что «Лабораторией Касперского» совместно с исследовательскими группами из CrowdStrike Intelligence Team, HoneyNet Project и Dell SecureWorks была обезврежена вторая версия пирингового ботнета Hlux/Kelihos. По нашим данным, в ботнет входило свыше 100 тысяч зараженных компьютеров. Hlux был впервые замечен в декабре 2010, как раз после закрытия командных центров таких крупных ботнетов, как Pushdo/Cutwail и Bredolab. В сентябре 2011 была отключена первая его модификация, однако злоумышленники быстро создали новую версию бота, и в конце того же сентября 2011 появилась новая модификация ботнета, уже с расширенным функционалом. Именно она и была обезврежена в марте 2012. География спама Распределение источников спама по регионам Что касается географических источников спама, то мы наблюдаем продолжение тенденций 2011 года: хотя и медленно, но неуклонно растет доля спама из стран Азии (+3,83%) и Латинской Америки (+2,66%). Кроме того, растет доля спама из Африки (+0,67%) и Ближнего Востока (+1,09%). И хотя объемы спама, идущего из африканского и ближневосточного регионов, пока невелики, динамика роста там наиболее заметна. Количество спама, рассылаемого из Африки, выросло по сравнению с прошлым кварталом на 20%, а с Ближнего Востока — на 29,6%. Доли и Западной, и Восточной Европы продолжают уменьшаться, и в первом квартале 2012 в совокупности составили 23,43% от общего объема рассылаемого спама (-8,35%). После обезвреживания ботнета Hlux можно ожидать дальнейшего изменения в географическом распределении источников спама. Страны — источники спама Среди стран лидером по количеству рассылаемого спама по-прежнему остается Индия; далее следуют Индонезия и Бразилия. Надо признать, что двадцатка лидеров практически не изменилась по сравнению с предыдущим кварталом, ни для какой страны изменения не превысили 1%. Интересно, что если обычно в рамках одного региона интенсивность рассылки из разных стран меняется практически синхронно, то в азиатском регионе это не так, и у каждой страны своя динамика. Так, входящие в первую пятерку стран-источников спама Южная Корея и Вьетнам показали почти противоположные тенденции: Это говорит о том, что зараженные компьютеры в этих странах входят в разные ботнеты. В принципе, это неудивительно: Азия на данный момент является привлекательным регионом для ботмастеров, и разные, независящие друг от друга ботнеты могут иметь в своем составе компьютеры из данного региона. Тематическое распределение спама Более половины всего спама в Рунете приходится на три тематические категории: «Образование», «Медикаменты» и «Недвижимость». Самая популярная рубрика — «Образование» — ненамного обогнала классический «медицинский» спам. Рубрика «Недвижимость» заняла третье место — в основном за счет марта, когда на ее долю пришлось 15,1% всего спама. Как и ранее, заказной и партнерский спам рассылаются в противофазе. На графике видно, что в январе количество заказного и партнерского спама в почте стало одинаковым в результате того, что доля заказного спама значительно уменьшилась, а партнерского, напротив, — увеличилась. Это обусловлено тем, что заказного спама почти не было в неделю новогодних каникул. В период отсутствия заказов спамеры просто переключили мощности на партнерские программы: в первую неделю года количество партнерского спама достигло 79% от общего объема. Интересно, что, несмотря на противоположные тенденции в партнерском и заказном спаме, количество спама наиболее популярных рубрик обоих видов к концу квартала снизилось. В то же время значительно выросли доли рубрик «Недвижимость» и «Другие товары и услуги», что и обеспечило заказному спаму более высокие цифры. Письма с вредоносными вложениями Доля писем с вредоносными вложениями В первом квартале 2012 года доля писем, содержавших вредоносные вложения, увеличилась на 0,1% по сравнению с предыдущим кварталом и составила 3,3%. На графике ниже представлено распределение этого показателя по месяцам. Как видно на диаграмме, максимальной доля вредоносных вложений в электронной почте была в январе — тогда более 4% всех сообщений содержали вредоносное вложение. В феврале и марте этот показатель составил 2,8%. Довольно высокий процент вредоносного спама в январе в основном объясняется длительными новогодними каникулами в России и не слишком высоким уровнем деловой активности в остальные недели первого месяца года. Очевидно, испытывая дефицит заказов, многие ботмастеры взялись рассылать спам-сообщения партнерских программ, отдавая при этом предпочтение партнеркам по распространению фармацевтической продукции и вредоносного кода. Вероятно, уменьшение доли вредоносного кода в почте, зафиксированное в феврале и марте, является временным явлением, и с большой вероятностью можно предположить, что во втором квартале доля вредоносных рассылок увеличится. Нелишне напомнить, что для распространения вредоносных программ в спаме используются не только вложения в сообщениях, но и вредоносные ссылки. Таким образом, уменьшение доли вредоносных вложений, зафиксированных в почте, не всегда указывает на уменьшение доли вредоносных рассылок как таковых. Страны, ставшие мишенью вредоносных рассылок Доля срабатываний почтового антивируса на территории лидера прошлого года — России — составила лишь 2%, что не позволило этой стране попасть в ТОР 10. На первой строчке рейтинга оказались США, хотя доля срабатываний почтового антивируса здесь выросла по сравнению с прошлым кварталом незначительно — лишь на 0,5%. Почти вдвое выросла доля срабатываний на территории Гонконга, который в итоге занял второе место в ТОР 10. В нашем отчете за 2011 год мы отмечали, что весь год сохранялась обратная зависимость между динамикой рассылки вредоносного кода на территории США и Индии: когда больше вредоносного спама детектировалось в США, в Индии доля таких детектирований заметно сокращалась, и наоборот. В первом квартале 2012 года такая зависимость уже не наблюдалась. В отчете за третий квартал 2011 года мы писали, что сходство интернет-ландшафта в США и Австралии привела к тому, что процент срабатываний почтового антивируса на территории США и Австралии меняется синхронно. В первом квартале 2012 года эта тенденция сохранилась. Более детальный анализ выявил совпадение локальных пиков срабатывания почтового антивируса в этих странах практически в течение всего марта. Рейтинг вредоносных программ в почте По итогам первого квартала 2012 года лидером среди наиболее часто детектируемых нашим почтовым антивирусом программ стал зловред Trojan-Spy.HTML.Fraud.gen. На него приходится более 14% всех детектирований. Trojan-Spy.HTML.Fraud.gen — это вредоносная программа, выполненная в виде html-странички, имитирующей регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам. На втором месте вновь Email-Worm.Win32.Mydoom.m. Этот почтовый червь, как и его собрат Mydoom.l (8-е место), выполняет только две функции: сбор электронных адресов на зараженных машинах и рассылку по ним самого себя. Тем же функционалом обладают и занявшие 6-е, 7-е и 9-е места зловреды семейства Email-Worm.Win32.NetSky. Другой почтовый червь — Email-Worm.Win32.Bagle.gt — расположился на 4-м месте. В дополнение к уже обозначенному выше функционалу традиционных почтовых червей этот зловред еще и обращается к интернет-ресурсам для загрузки оттуда вредоносных программ. Отметим, что распространение почтовых червей абсолютно неконтролируемо, поскольку механизм, заложенный в них, не предполагает выполнение каких-либо команд от «хозяина». Представленные в рейтинге семейства распространяются в почте на протяжении нескольких лет и, вероятнее всего, уже давно не приносят пользы своим создателям. Кроме фишингового зловреда Trojan-Spy.HTML.Fraud.gen преступники распространяют новые модификации различных троянцев-загрузчиков, или троянцев-дропперов. Зачастую рассылки проходят настолько быстро, что соответствующие записи не успевают появиться в антивирусных базах. В таком случае почтовый антивирус блокирует вредоносное вложение проактивными методами. В первом квартале 2012 года 11% всех программ, обнаруженных почтовым антивирусом, были обнаружены именно проактивно. Кроме того, важно помнить, что злоумышленники распространяют вредоносный код через почту не только во вложениях, но и по ссылкам. Фишинг Доля фишинговых писем в первом квартале 2012 года незначительно уменьшилась и в среднем составила 0,02% от всего почтового трафика. С начала 2012 года «Лаборатория Касперского» публикует в своих отчетах новый рейтинг — категории организаций, подвергшихся фишинговым атакам. TOP 100 организаций, клиенты которых были атакованы фишерами, мы сгруппировали по категориям. Подробную информацию о каждой категории можно получить здесь. Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента «Антифишинг» в наших продуктах на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете. В течение всего первого квартала распределение фишинговых атак по организациям разных категорий было стабильным. Из заметных изменений можно отметить лишь увеличение доли атак на интернет-магазин amazon, наблюдавшееся в январе. По итогам первого месяца года категория «Онлайн-магазины и интернет-аукционы» занимала вторую строчку в рейтинге. Однако уже в феврале категория «Социальные сети» укрепилась на второй строчке из-за высокого процента атак на Facebook — эта социальная сеть лидировала «в личном зачете» среди организаций два месяца подряд. По данным KSN почти 70% переходов по фишинговым ссылкам производится из почтовых клиентов. То есть почта является основным каналом распространения фишинговых ссылок. Заключение Количество спама в почте уменьшается, что не может не радовать. Этому во многом способствует активная борьба с ботнетами со стороны разных независимых организаций. Однако, как показывает практика, чтобы эффективно бороться с угрозами, недостаточно просто закрывать ботнеты. Здесь необходима совместная работа с правоохранительными органами, расследования и судебные дела. Отрадно заметить, что работа в этом направлении тоже ведется. Так, несколько финансовых организаций в США совместно с Microsoft подали иск на владельцев ботнета ZeuS, обвиняя их в нарушении различных законов, от CAN-SPAM (американского закона против спама) до RICO Act - федерального закона о коррумпированных и находящихся под влиянием рэкетиров организациях. География спама практически не изменилась по сравнению с прошлым кварталом. Однако не следует рассчитывать на дальнейшую стабильность: отключение ботнетов, как правило, сильно меняет географию источников спама, так как преступники пытаются организовывать ботнеты в более безопасных (или выгодных) для себя местах. Процент вредоносных вложений в спаме уменьшился, и, тем не менее, он по-прежнему высок. Кроме того, немало вредоносного спама содержит не вложения, а ссылки на сайты с эксплойтами, используемыми в ходе drive-by атак. Такие рассылки характерны тем, что ссылки в письмах через несколько по-разному устроенных редиректов ведут на сайты с эксплойт-паками — наборами эксплойтов, рассчитанными на то, чтобы найти на компьютере пользователя какую-нибудь уязвимость в одном из таких популярных приложений, как Java, Flash Player и Adobe Reader. Кроме того, организаторы подобных спам-рассылок весьма изобретательны и используют различные приемы социальной инженерии. На данный момент может быть опасно и переходить по ссылке в спамовом письме, и открывать вложенный файл (даже если это всего лишь текстовый документ). Кроме того, некоторые современные зловреды устроены таким образом, что опасно даже открывать само спамерское письмо. Мы в очередной раз призываем пользователей своевременно обновлять программное обеспечение и удалять спамерские письма, не открывая их. Отчет «Спам в апреле 2012 г.» см. здесь. Спам в Рунете: первая половина мая 2012 года "Лаборатория Касперского" Объем и тематические особенности спама Прошедшие две недели, в основном праздничные, показали обычный для последнего времени объем спама: 74,6% и 72,9%. Приведем распределение спама по тематикам за вторую неделю мая. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   26,4%   Изменения незначительны   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   23,5%   +3,8%   3   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   10,6%   -3%   4   Ремонт и благоустройство   Предложения по ремонту и отделке интерьера квартир и домов.   5,7%   - 4,2%   5   Коллекции фильмов на DVD   Предложения купить фильмы или другую информацию на DVD.   10,3%   +2,5%   6   Другие товары и услуги     7,2%   +2,6%   7   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   3,7%   +2,2%   8   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   2,3%   Изменения незначительны   9   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   1,6%   Изменения незначительны   10   Личные финансы   Кредиты, займы.   1,1%   Изменения незначительны   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012