Электронный журнал "Спамтест" No. 423 в этом номере: Новости Спам в Рунете: 14—20 мая 2012 года Новости IC3: интернет-мошенники любят прикрываться именем ФБР По данным американского Центра приема жалоб в отношении киберпреступлений (Internet Crime Complaint Center, IC3), наиболее распространенными видами фрода в минувшем году являлись аферы, проводимые от имени ФБР, а также противозаконное использование персональных данных жертвы (identity theft) и мошенничество с предоплатой (advance-fee fraud). За год IC3, функционирующий под эгидой ФБР, получил и обработал свыше 300 тыс. жалоб от жителей США и других стран ― на 3,4% больше, чем в предыдущем году. В 36,9% случаев заявитель понес финансовые потери, сумма которых в среднем составила около 4,2 тыс. долл. Совокупный ущерб от действий мошенников по всем обращениям превысил 485 млн. долларов. Около 10% жалоб, поданных в IC3, касались мошенничества с надомной работой. Общая сумма убытков от этих схем превысила 20 млн. долл. Не секрет, что зачастую work at home предложения распространяются с целью вербовки помощников по отмыванию грязных денег, которые будут за вознаграждение аккумулировать краденые капиталы на своем счету или реализовывать товары, купленные на деньги жертвы фишинга. Трудоустройство такого рода весьма рискованно: если правоохранительные органы заинтересуются незаконными операциями, пособники аферистов, подчас не сознающие своей роли в мошеннической схеме, могут первыми попасть под раздачу. Свыше 5,6 тыс. жалоб (1,8%) поступили от неисправимых романтиков, использующих интернет для поиска «второй половинки». Уступая просьбам и капризам сетевых ромео и джульетт, страдающие от одиночества жертвы слишком поздно обнаруживают, что их избранники ― вовсе не те, за кого себя выдают. Согласно статистике IC3, в прошлом году совокупные потери от брачного мошенничества составили 50,4 млн. долл. Большинству жертв больше 40 лет, причем женщины, судя по результатам, попадаются на эту удочку в 2 раза чаще мужчин (или более смело обнародуют свой промах). Суммы индивидуальных потерь прекрасной половины в этой категории в 4 раза выше ― за исключением возрастной категории 20-29 лет. Видимо, зрелые дамы склонны сильно увлекаться и долго не могут поверить в обман либо просто более самоотверженны и щедры. Источник: ic3.gov Источник: ic3.gov [pdf] Symantec о росте популярности домена .in у спамеров Последние 2 месяца эксперты Symantec наблюдают увеличение потоков URL-спама, использующего национальный домен Индии. Согласно статистике компании, на пике вклад этих нелегитимных посланий в глобальный спам-трафик составляет 2-4%. В 2011 году зона .in занимала лишь 10-е место в рейтинге TLD-доменов, встречаемых в спаме, а в прошлом месяце поднялась сразу на 5-ю ступень. При этом присутствие индийского домена в спамерских ссылках увеличилось более чем в 4 раза. По свидетельству Symantec, основную массу почтового мусора с URL, привязанными к индийской национальной зоне, составляет так называемый hit & run спам («массированный удар и отход»), который еще называют snowshoe ― «спам на снегоступах». Эти спам-рассылки обычно используют большой диапазон статических IP-адресов с нейтральной репутацией и множество одноразовых доменов. Такая тактика позволяет спамерам распределить отправку сообщений в пределах одной спам-кампании по широкому фронту источников с целью обхода репутационных фильтров на стороне получателя. Hit & run спамеры также часто меняют строки Subject и From в своих посланиях; регистрируют домены групповым методом, анонимно или на подставное лицо. В начале мая URL-спам, использующий индийский национальный домен, рекламировал скидки на розничные товары, гостевые карты, препараты для похудания и предлагал установить обновление для Norton-антивируса. В последнем случае спам-рассылки были вредоносными и пытались убедить получателя перейти по in-ссылке на зараженный ресурс. Источник: symantec.com «Горячие точки» криминальной активности в динамике Группа независимых исследователей HostExploit представила новый инструмент, позволяющий отслеживать географическое распределение и концентрацию зловредного контента в интерактивном режиме. Проект Global Security Map был разработан совместно с российскими экспертами Group-IB и датской аналитической компанией CSIS. Интерактивная карта киберопасности является пробной попыткой отобразить в географической привязке флуктуацию уровней вредоносной активности, замеряемой по особой методике HostExploit. Разработанный экспертами алгоритм индексации уже несколько лет применяется ими для оценки загрязненности АС-систем; результаты регулярно публикуются в виде квартальных отчетов Top 50 Bad Hosts & Networks («50 самых неблагополучных хостов и сетей»). Отныне эта же статистика и история ее изменений будут доступны на отдельном сайте в разделении по странам. В настоящее время в базе HostExploit числятся около 41 тыс. публичных АС-систем разной величины, и точно привязать их к определенным регионам порой чрезвычайно трудно. Одним из верных показателей географической принадлежности АС, по мнению экспертов, является страна ее регистрации. Для получения результатов по региональным доменам в каждом были просуммированы уровни криминальной активности по всем прописанным в нем АС. Итоговые сводные рейтинги Топ 10 и Топ 50 неблагополучных стран участники проекта Global Security Map представили в дебютном отчете [pdf] о глобальной безопасности. Согласно полученной статистике, мировым лидером по уровню загрязненности в настоящее время является Литва (с индексом 369,02 по 1000-балльной шкале), в 92 АС-сетях которой обнаружено большое количество C&C ботнетов, серверов ZeuS и фишинговых сайтов. Половину «грязной дюжины» (индексы выше 200) составили страны бывшего СНГ. США заняли 11 место, Россия ― 7-е (ZeuS, спам, эксплойт-серверы). Самой «чистой» страной из 219 оказалась Финляндия (142 АС-системы), ведущий телеоператор которой, TeliaSonera, применяет политику нулевой толерантности в отношении абьюзов. Интересное перераспределение мест произошло при попытке определить разброс зловредного контента по физическому местоположению АС-инфраструктур (на основе данных маршрутизации). Некоторые страны, ― например, Британские Виргинские острова, Голландия, Люксембург ― сразу выпали из ведущей десятки, в которую подтянулись Франция, Германия и США. Место лидера в непочетном списке занял Азербайджан, поднявшись со 2 места; Литва опустилась до 7-го, Россия перескочила с этой ступени на 4-ю. Работа над Global Security Map пока далека от завершения; по замыслу его создателей, широкая аудитория должна получить возможность детально отслеживать по карте вредоносную активность на любом уровне, от глобального, регионального, странового до точек обмена трафиком, АС-систем, интернет-провайдеров ― даже на уровне отдельных IP-адресов, доменов и URL. В настоящее время обновление информации на сайте globalsecuritymap.com производится раз в сутки. Статистика по каждой стране представлена как по суммарному числу инцидентов, так и в разделении по категориям. В ближайшее время планируется также обеспечить посетителям доступ к 20 трлн. записей по инцидентам во всех АС за последние несколько лет, возможность посмотреть динамику изменений в анимированном виде, проследить взаимосвязи между АС, реестрами и странами, а также составить отчет по своему выбору автоматизированными средствами. Источник: hostexploit.com Источник: group-ib.ru [pdf] Источник: group-ib.ru Марийской «невесте» дали рекордный срок За соучастие в групповом мошенничестве городской суд Йошкар-Олы приговорил Леонида Крючкова, 1980 года рождения, к 7,5 годам лишения свободы. Согласно материалам дела, сей житель республики Марий Эл входил в состав крупной ОПГ, действовавшей на территории республики в 2004-2077 гг. Данная группировка специализировалась на вовлечении иностранцев в переписку с российскими «невестами», выуживая у них деньги от имени подставных возлюбленных. С этой целью брачные аферисты арендовали несколько квартир, оборудовали их компьютерами и наняли фрилансеров, которые круглосуточно строчили послания сетевым романтикам. За 3 года участники мошеннической схемы выманили у жителей далекого зарубежья свыше 5,5 млн. рублей. Следуя указаниям главарей, Крючков тоже сочинял «романы в письмах», зарегистрировавшись на сайте знакомств под видом симпатичной девушки. В ходе расследования, проведенного местными блюстителями порядка совместно с американскими коллегами, были выявлены 2 жертвы его эпистолярного гения. Поддавшись чарам «перспективной невесты», оба жителя США в совокупности перевели мошенникам 29,7 тыс. рублей. Крючкову инкриминировали правонарушение, предусмотренное ч. 4 ст. 159 УК РФ (мошенничество, совершенное организованной группой). Признать вину ответчик отказался, однако суд счел его участие в деятельности преступной группы доказанным. Назначенный срок перезрелая «невеста» будет отбывать в исправительной колонии строгого режима. Процесс в отношении данной ОПГ был запущен в Марий Эл в 2010 году. Крючков ― 62-й фигурант, осужденный в рамках этого судебного разбирательства. Самый большой срок, который получили его «коллеги по цеху», составил 4,5 года. Вердикт, вынесенный по делу Крючкова, побил этот рекорд. Останется ли он предельным, покажет будущее: решения своей участи ожидают еще 23 ответчика. Источник: proc.gov12.ru Осужден ботовод Bredolab 27-летний житель Калининграда, обвиненный голландцами в противоправном использовании бот-сети Bredolab, приговорен в Ереване к 4 годам лишения свободы. Георгий Аванесов осужден за совершение правонарушений, предусмотренных ч.3 ст. 253 УК Армении (компьютерный саботаж, сопряженный с несанкционированным доступом к компьютерной системе, повлекший тяжкие последствия). Ему инкриминировали создание ботнета и проведение с его помощью DDoS-атак на сетевые ресурсы. Ботнет Bredolab появился на интернет-арене в середине 2009 года. Лежащий в его основе зловред распространяется через спам-рассылки и drive-by загрузки, наделен функционалом бэкдора и способен рассылать спам, проводить DDoS-атаки, а также загружать на зараженный компьютер другие вредоносные программы. По оценкам экспертов, за время своего присутствия в Сети Bredolab поразил около 30 млн. пользовательских ПК. Большая часть управляющих центров зловреда была нейтрализована голландцами в октябре 2010 года. Главного ботовода идентифицировали и объявили в розыск через Интерпол. Совместными усилиями разных стран Аванесова удалось задержать в ереванском аэропорту, и до суда он находился под стражей. Тем не менее, с Bredolab еще не покончено. Сразу после масштабного разгрома эксперты FireEye обнаружили несколько активных C&C доменов, продолжающих поддерживать командный трафик. Спустя несколько месяцев была предпринята агрессивная попытка засеять Bredolab заново ― через zip-вложения в спам, распространяемый с ботов Cutwail. Аналогичные спам-рассылки, использующие формат уведомления о недоставке почтового вложения, эксперты фиксировали на протяжении всего прошлого года. Согласно статистике Symantec, Bredolab составлял полезную нагрузку 7,5% писем, заблокированных за год антивирусами компании. Предполагаемый сообщник Аванесова, некий россиянин, использующий ник Birdie, пока не выявлен. По данным Кребса, оба ботовода сотрудничали со спамерской «партнеркой» SpamIt, предлагая ее участникам доступ к бот-сетям. Birdie, в основном, продавал загрузки, принимая заказы на установку других зловредов на машины, зараженные Bredolab. Источник: newsarmenia.ru Осужден еще один лидер фишинговой ОП Окружной суд Лос-Анджелеса приговорил 26-летнюю жительницу Калифорнии к 5 годам лишения свободы за соучастие в организации массовой кражи денежных средств со счетов Bank of America и Wells Fargo с помощью фишинга. Согласно материалам дела, возбужденного в рамках трансграничной операции Phish Phry, Николь Мишель Мерци (Nichole Michelle Merzi) вместе с двумя другими главарями руководила процессом отмывания денег, украденных посредством фишинга, на территории США. Доступ к банковским счетам обеспечивали их египетские сообщники, занимавшиеся созданием поддельных веб-сайтов и рассылкой фишинговых посланий. Все финансовые операции по взломанным счетам и вербовку агентов по отмыванию денег («дропов») проводила американская сторона, координируя перекачку чужих денег на подставные счета, открытые наемниками в разных штатах. Часть «выручки» в виде комиссионных за фишинг переводилась в Египет. По оценке ФБР, от действий мошенников пострадали тысячи клиентов названных банков, потерявшие в совокупности свыше 1 млн. долларов. Параллельные аресты в США и АРЕ были проведены осенью 2009 года. Судьба 47 египтян, задержанных в ходе Phish Phry, неизвестна, из 53 американских участников фишинговой схемы к суду привлечены и признаны виновными 47 (вместе с Мерци). Бывший бой-френд Мерци, Кеннет Джозеф Лукас 2-й (Kenneth Joseph Lucas, II), который вместе с ней руководил американскими «дропами», был осужден летом прошлого года. По совокупности правонарушений (ему также инкриминировали разведение конопли в домашних условиях) он получил 13 лет. Третий главарь, Джонатан Престон Кларк (Jonathan Preston Clark), признал свою вину и ожидает приговора. Источник: justice.gov Троянский апдейт для фейсбукеров Компания Sophos предупреждает о вредоносной рассылке, нацеленной на распространение SpyEye под видом обновления для Adobe Flash. Мошенническое сообщение оформлено в виде запроса Facebook на подтверждение просьбы о закрытии аккаунта, якобы поданной получателем. Для согласия или отмены ему предлагается пройти по указанной ссылке, которая, по свидетельству экспертов, не ведет на служебную страницу социальной сети, но вызывает стороннее приложение, работающее на этой платформе. При активации мошеннической ссылки появляется сообщение, запрашивающее разрешение на загрузку Java-апплета неопределяемого происхождения. При отказе программа проявляет настойчивость до тех пор, пока пользователь не согласится запустить плагин. Очевидно, злоумышленники сделали ставку на то, что страх потерять ценный профиль заставит потенциальную жертву отважиться на все действия, подсказываемые компьютером, ― вопреки предупреждениям системы безопасности. При запуске апплета пользователю выводится уведомление о необходимости обновить Adobe Flash. В случае успеха вместо обновления в системную папку будут загружены два вредоносных файла, один из которых был опознан Sophos как вариант SpyEye. Источник: nakedsecurity.sophos.com Спам в Рунете: 14—20 мая 2012 года "Лаборатория Касперского" Объем и тематические особенности спама Спам в третью неделю мая составил, по нашим подсчетам, 74,2% от всего потока писем Рунета. Это немного больше, чем показатель позапрошлой недели (72,9%). Тематики спамерских писем распределились не совсем так, как на прошлой неделе: хотя «Образование», как всегда, на первом месте, на втором месте на этот раз тематика «Недвижимость». Ну а «Медикаменты» заняли третье место. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   32,5%   +6,1%   2   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   19,9%   +8,6%   3   Медикаменты, товары и услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   10,2%   -13,3%   4   Другие товары и услуги     9%   +1,8%   5   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   6,8%   +3,1%   6   Коллекции фильмов на DVD   Предложения купить фильмы или другую информацию на DVD.   6,8%   -3,5%   7   Ремонт и благоустройство   Предложения по ремонту и отделке интерьера квартир и домов.   6,1%   -4,5%   8   Транспорт   Реклама грузоперевозок и пассажирских перевозок.   1,8%   Изменения незначительны   9   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   1,6%   +1,4%   10   Личные финансы   Кредиты, займы.   1,1%   Изменения незначительны   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012