Электронный журнал "Спамтест" No. 426 в этом номере: Новости Спам в Рунете с 18 по 24 июня 2012 года  Новости «Подзаработали» Арбитражный суд Татарстана оставил в силе решение местного УФАС, оштрафовавшего московскую компанию за рассылку SMS-спама. В минувшем декабре один из жителей Казани получил текстовое сообщение с короткого номера, предлагающее принять участие в лотерее, посвященной Универсиаде-2013. Потенциальным участникам надлежало выслать на этот номер произвольную SMS, при этом их честно предупреждали, что первый ответ бесплатен, а каждый последующий стоит 50 руб. Получателя данное предложение не заинтересовало, посему он просто его удалил. Вскоре пришла новая SMS от того же отправителя ― с адресом сайта, на который нужно зайти, чтобы ознакомиться с условиями лотереи. Незадачливый абонент удалил и это сообщение, но спамеры не унимались, и ему пришлось обратиться в УФАС. Проверка показала, что владельцем короткого номера и автором спам-рассылки является ООО «РусСпортФинанс», прописанное в Москве. В ответ на запрос республиканского УФАС коммерсанты поведали, что решили подзаработать на грядущих студенческих играх и в прошлом году заключили договор с казанской исполнительной дирекцией «Универсиада-2013» на использование официальной символики этого мероприятия. Москвичи открыли веб-сайт по продаже приложений с символикой универсиады для мобильных устройств и организовали стимулирующую лотерею, которую продвигали по SMS-каналам разных операторов, попутно привлекая посетителей на свой ресурс. В соответствии с ч.1 ст.18 федерального закона «О рекламе» распространение электронных сообщений рекламного характера допускается лишь с предварительного согласия пользователя. Представить доказательства, подтверждающие согласие заявителя на получение SMS-рекламы, компания РусСпортФинанс не смогла, посему ее SMS-рассылка была признана ненадлежащей. Антимонопольщики предписали правонарушителю привести в соответствие рекламную деятельность и оштрафовали РусСпортФинанс на 100 тыс. руб. Компания попыталась обжаловать эти санкции в суде, но безрезультатно. Источник: intertat.ru Источник: tatar-inform.ru Твиттерян призывают заняться сетевым маркетингом Компания Sophos зафиксировала новую волну спама на Twitter, исходящего с взломанных аккаунтов. Нелегитимные сообщения снабжены ссылкой и предлагают ознакомиться с легким способом заработка. По свидетельству экспертов, эти призывы распространяются в виде личных сообщений (direct message), а также публикуются в общем доступе от имени владельцев взломанных профилей. Короткие ссылки ведут на одну и ту же статью на поддельной странице, имитирующей новостной бизнес-портал CNBC. Фальшивку выдает адрес страницы, открываемой в браузере: он использует имя CNBC, но лишь в качестве имени поддомена, при этом весь URL привязан к TLD-зоне, отличной от оригинала. В статье, воспроизводимой посетителю, речь идет о некоей домохозяйке, которая, не покидая родных стен, зарабатывает 5-7 тыс. долл. в месяц. Примечательно, что название города, в котором якобы живет эта успешная леди, динамически меняется в соответствии с IP-адресом пользователя, зашедшего на фейковую страницу. Если читатель, воодушевленный примером «соотечественницы», кликнет по текстовой ссылке, он попадет на сайт с веб-формой, занимающийся вербовкой агентов по сетевому маркетингу. В оформлении этого сайта использованы логотипы известных компаний, таких как VeriSign, Symantec, McAfee, которые, видимо, должны свидетельствовать в пользу благонадежности данного ресурса, однако все эти «сертификаты» ― не более чем картинки. Пока не ясно, каким образом был осуществлен массовый взлом пользовательских профилей, распространяющих весь этот спам. В Twitter полагают, что наиболее вероятной причиной в данном случае является фишинг. По оценке Sophos, число жертв взлома измеряется тысячами, и во многих случаях они сохранили контроль над своим аккаунтом. Пострадавшим рекомендуется сменить пароль и почистить список авторизованных приложений. Источник: nakedsecurity.sophos.com Спам папе в подарок Накануне Дня Отца Sophos зафиксировала масштабную спам-рассылку, использующую праздничную тему для привлечения посетителей на партнерские сайты. В этом году европейцы и жители Северной Америки отмечали День Отца 17 июня, и спамеры, очевидно, решили, что скидки на сигары в преддверии праздника будут достаточно привлекательным предложением, чтобы заставить пользователей перейти по ссылке. Призыв «Buy your dad a cigar» («Купи папе сигару») на рекламной картинке, растиражированной в спам-письмах, оказался дешевым социально-инженерным трюком: кликнув опцию «Order now» («Заказать»), любящий сын или дочь попадали отнюдь не на сайт магазина, а в онлайн-казино. Непохоже, чтобы авторы спам-рассылки что-то напутали. Скорее всего, они просто нашли свежий повод, чтобы подзаработать на щедрых комиссионных, выплачиваемых «партнерками» за вздутие трафика на игорных сайтах. В любом случае это не самый опасный сюрприз, который может ожидать получателя URL-спама, однако разумная осмотрительность в наше время ― не роскошь, а единственно правильный стиль поведения в виртуале. Источник: nakedsecurity.sophos.com Блоклисты Spamhaus - теперь через BGP Некоммерческая организация Spamhaus запустила BGP-сервис и анонсировала 2 новые разновидности черных списков: центры управления ботнетов и расширенный DROP-лист IP-блоков, контролируемых злоумышленниками. В настоящее время через новый сервис доступны 3 вида рассылок: списки С&C ботнетов, DROP-лист и расширенный DROP-лист (EDROP). Информация по ботнетам предоставляется исключительно через BGP-протокол, два другие блоклиста рассылаются также в виде текстовых файлов. Новинки адресованы, в первую очередь, интернет- и хостинг-провайдерам, они должны помочь эффективно отсеивать нежелательный трафик на границе сети и блокировать попытки командных серверов связаться с местными ботами. Для справки: DROP-лист (Don't Route Or Peer), составляемый Spamhaus, включает блоки IP-адресов, выделенных непосредственно администраторами региональных и национальных реестров. Попавшие в такой черный список ресурсы обычно не используются заявителем (в большинстве случаев это давно распавшиеся бизнес-структуры), но захвачены криминальными элементами, установившими над ними полный контроль. EDROP-лист Spamhaus аналогичен своему предшественнику, но содержит исключительно списки вторично распределенных блоков, т.е. IP-адреса, выделенные администрацией локальных интернет-реестров. Spamhaus рекомендует блокировать весь трафик, который распространяется из источников, попавших в DROP-списки. Источник: spamhaus.org Брайан Кребс о вредоносных рассылках Известный журналист и исследователь Брайан Кребс проанализировал отчеты о вредоносных рассылках, зафиксированных студентами филиала университета штата Алабама в г. Бирмингем (UAB ― University of Alabama at Birmingham) в рамках исследовательского спецпроекта. Эти отчеты составляются каждые сутки и помогают отслеживать актуальные интернет-угрозы в почтовом сервисе. Они также содержат информацию об элементах социальной инженерии, используемых злоумышленниками, способах доставки вредоносных программ и результаты их детектирования по списку VirusТotal. Жертвами вредоносного спама нередко становятся представители малого и среднего бизнеса, однако они, как правило, не разглашают детали таких кибератак или вовсе не в курсе того, каким образом были прорваны их заслоны и какой зловред за это ответственен. Посему Кребс решил составить профиль современных атак через почту, используя данные UAB за период 21 мая – 20 июня текущего года. Согласно университетской статистике, около ⅔ вредоносных рассылок в настоящее время стремятся привлечь пользователей на взломанные и специально созданные сайты с наборами эксплойтов. Такие письма-ловушки обычно снабжены ссылками, реже ― вложенной html-страницей с javascript-кодом. Иногда злоумышленники используют оба способа в рамках одной и той же спам-кампании. Среди целевых эксплойт-китов преобладает BlackHole, собирающий обильные урожаи за счет незакрытых уязвимостей в популярных плагинах. В минувшем месяце он использовался, в основном, для установки ZeuS, а также червя Cridex и троянского дроппера Dapato. Чтобы вынудить получателя перейти по вредоносной ссылке или открыть опасный аттач, спамеры используют разного рода приманки ― в частности, подделывают свои письма под срочные сообщения известных организаций. Наибольшей популярностью у почтовых распространителей зловредов пользуются такие брэнды, как Amazon.com, Better Business Bureau, DHL, Facebook, LinkedIn, PayPal, Twitter и Verizon Wireless. В спамерских вложениях, обнаруженных UAB за минувший месяц, наиболее часто встречался вирус Andromeda, иногда ― ZeuS или Cridex. Примечательно, что большинство зловредов, распространявшихся по электронной почте, плохо детектились: процент обнаружения по VirusТotal в среднем составлял около 25 при медианном показателе 19%. Источник: krebsonsecurity.com Спам в Рунете с 18 по 24 июня 2012 года "Лаборатория Касперского" Объем и тематические особенности спама На прошедшей неделе мы наблюдали заметное повышение количества спама: оно выросло с 68,5% до 73,2%. Такой рост связан с тем, что во время летних отпусков немного изменяется соотношение «хорошей» и «плохой» почты: активность деловой и личной переписки снижается, а спам-боты не дремлют и продолжают рассылать непрошеную рекламу. В основном это реклама образовательных семинаров (30%), медикаментов (15,4%) и не поддающихся классификации различных товаров и услуг (17,2%), заметная часть из которых в этот раз — предложения купить мини-АТС. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   30%   +12,1%   2   Другие товары и услуги     17,2%   +9,1%   3   Медикаменты, товары и услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   15,4%   -4,1%   4   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   13,10%   -8,6%   5   Юридические услуги и аудит   Предложения юридических услуг.   6,1%   Изменения незначительны   6   Ремонт и благоустройство   Предложения по ремонту и отделке интерьера квартир и домов   4%   Изменения незначительны   7   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   3,5%   -3%   8   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   2,3%   Изменения незначительны   9   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   2,1%   +1%   10   DVD   Предложения купить фильмы или другую информацию на DVD.   2%   Изменения незначительны   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012