Электронный журнал "Спамтест". Все о борьбе со спамом (inet.safety.spamtest) : Рассылка : Subscribe.Ru

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 5.849 RSS

← Сентябрь 2012 →
	1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

За последние 60 дней ни разу не выходила

Сайт рассылки: http://www.securelist.com
Открыта: 09-06-2003

Автор

Лаборатория Касперского

Статистика

5.849 подписчиков
0 за неделю

← Все выпуски →

Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 437

в этом номере:

Новости
Записки спам-аналитиков. Гонки со спамерами

Новости

Ждете пятый “айфон”? Остерегайтесь поддельных писем

Эксперты Websense предупреждают о вредоносной рассылке, приуроченной к старту поставок iPhone 5. В середине сентября защитные решения Websense заблокировали свыше 45 тыс. зловредных писем, разосланных в рамках текущей спам-кампании.

Опробовать хит сезона жаждали многие: открыв прием заказов, Apple менее чем за сутки продала свыше 2 млн. новых устройств. Начало поставок было официально назначено на 21 сентября, и заказчики кинулись проверять входящую почту, дабы не пропустить важное сообщение. Как и следовало ожидать, злоумышленники не преминули использовать столь знаменательное событие в своих интересах.

По свидетельству Websense, зловредные письма распространяются от имени UPS (United Parcel Service) - почтовой службы, которую использует Apple. Получателю сообщают о посылке, якобы пришедшей на его имя, но оставленной в отделе доставки, так как физический адрес оказался неверным. Ему предлагается распечатать “инвойс”, присланный во вложении, и самому забрать посылку.

На самом деле в аттаче содержится html-страница со скрытым сценарием, которая при запуске загружает зловредный iframe, удерживая внимание пользователя заставкой. Веб-ресурс с говорящим именем DenegNaShete.ru, на который при этом перенаправляется браузер, заряжен эксплойтами из набора Blackhole. Целью данной кибератаки является установка банковского троянца семейства ZeuS. Командные серверы зловреда размещены в Индии и Германии.

Источник: Websense

Сага о «киллере», версия третья

Американский Центр приема жалоб в отношении киберпреступлений (Internet Crime Complaint Centre, IC3), работающий под эгидой ФБР, предупреждает о новой волне мошеннических сообщений о мифическом киллере.

Почтовые сообщения, представленные заявителями в IC3, написаны от имени некого Бауэра, частного агента из безвестного сыскного бюро, ― разумеется, международного масштаба. К сожалению, на этом фантазия спамеров иссякает: «агент» вполне ожидаемо выслеживает «киллера», мишенью которого якобы является получатель спам-письма. Чтобы ускорить поимку злодея, «намеченной жертве» предлагают связаться с «агентством» и приобрести там «тревожную кнопку».

Письма-«страшилки» о наемном убийце, которому якобы «заказали» адресата (так называемый hitman scam), появились в массовом обращении в конце 2006 года. С тех пор они периодически всплывают в репертуаре спамеров, обрастая новыми деталями и персонажами. Вначале это были откровенно вымогательские письма, сродни «нигерийским»: их авторы от имени киллера пытались заставить адресата заплатить за «отказ от преследования». Тогда федеральные агенты поспешили успокоить встревоженных пользователей, выпустили ряд алертов и провели разъяснительную работу.

Эти превентивные меры, видимо, спровоцировали первые изменения в спамерском сюжете: «письма о киллере» стали распространяться от имени ФБР. У получателя больше не просили «отступных», ему предлагали принять участие в расследовании, якобы проводимом по делу «киллера»», уже арестованного. Чтобы подтолкнуть потенциальную жертву к ответным действиям, ей сообщали, что ее имя значится в списке мишеней, изъятом у «киллера». Если адресат, проглотив наживку, вступал в переписку с мошенниками, у него на каком-то этапе запрашивали персональные данные.

Когда ФБР погасило и эту волну, мошенники на какое-то время оставили американцев в покое и откочевали в Австралию. Последняя спам-рассылка «от киллера» на территории этой страны была зафиксирована минувшим летом, при этом угрозы распространялись в виде SMS.

Очередную смену сюжета спамеры, судя по всему, решили обкатать на проверенной аудитории и вернулись в США. Вопреки их стараниям, во всех вариациях писем четко прослеживается поставленная задача: запугать получателя и вовлечь его в приватную переписку. Потенциальную жертву просят действовать быстро, держать рот на замке и ни в коем случае не обращаться в полицию.

IC3 призывает пользователей игнорировать подобные спам-письма. Любой ответ подскажет авторам рассылки, что email-адрес активен, и они не отступятся, пока не получат с намеченной жертвы деньги или персональные данные.

Источник: Internet Crime Complaint Center's (IC3)

Фальшивый апдейт крадет ключи к электронной почте

Эксперты Sophos зафиксировали фишинговую рассылку, использующую имя Microsoft и нацеленную на кражу паролей к почтовым аккаунтам AOL, Gmail, Yahoo и Windows Live.

Адрес отправителя в этих письмах обозначен как privacy@microsoft.com, тема выглядит вполне безобидно: Microsoft Windows Update. Получателя уведомляют, что в связи с проведением кампании по актуализации пользовательской базы Windows ему надлежит подтвердить почтовый адрес, привязанный к его MS-аккаунту. Для этого следует ввести регистрационные данные в форму, нажав кнопку Verify («Подтвердить»). По свидетельству Sophos, текст англоязычного спам-письма не безупречен и содержит неуместную фразу о неминуемой каре (в данном случае ― блокировка аккаунта), которая грозит тому, кто не подчинится озвученному требованию.

Активация кнопки Verify вызывает переход на страницу-имитацию, размещенную вне домена micrisoft.com. Здесь пользователя пытаются убедить, что его система давно не обновлялась и степень риска очень высока. Ему якобы надлежит немедленно обновить свои данные в базе Microsoft, залогинившись через почту Gmail, Windows Live, Yahoo или AOL. При попытке загрузить одну из этих почтовых систем, кликнув по соответствующему логотипу на веб-странице злоумышленников, в браузере воспроизводится форма-ловушка, запрашивающая логин и пароль к почтовому ящику. Информация, введенная на этой странице, попадает прямиком к фишерам, а пользователь перенаправляется на оригинальный сайт MS ― update.micrisoft.com.

Источник: Sophos

Записки спам-аналитиков. Гонки со спамерами

Мария Наместникова

На днях были опубликованы результаты нового теста антиспам-вендоров, проводимого VB. По итогам августовского теста наш Kaspersky Linux Mail Security 8.0 задетектировал 99,93% всех спамерских сообщений, на которых проводились измерения. Это наш рекорд, которым мы все гордимся и с которым радостно поздравляли друг друга по почте. Про это уже и Касперский в своем блоге написал - он тоже нами гордится=)

В начале 2012 года у нас появилась технология принудительного обновления баз антиспама в режиме реального времени. ускоряющая доставку наиболее критичных обновлений в продукт. Мы в спамлабе называем ее Мёбиус, в продукте она называется Enforced Anti-Spam Update Service. В результате использования этой технологии разница между созданием антиспам-записи в спамлабе и доставкой ее в продукт теперь составляет меньше 1 минуты!

Бэкэнд Мёбиус-сервера получает из спамлаба текстовые и графические сигнатуры, как только они добавляются аналитиками в базы. Эти сигнатуры наиболее критичны по сроку доставки, поэтому именно с ними и работает наш новый сервис. Здесь же проводится автоматическое тестирование баз на отсутствие ошибок. Протестированный апдейт отправляется на фронтэнд. Фронтэнд немедленно передает обновление Мёбиус-клиенту в продукт по TCP-соединению, которое постоянно поддерживается между этими двумя компонентами.

Итак, скорость наших обновлений уже практически не уступает скорости спамерских рассылок. Но помните историю про зайца и черепаху? Когда хитрая черепаха, вместо того, чтобы меряться скоростью с заведомо более шустрым зайцем, вызвала свою напарницу, и они поджидали глупого косого в разных концах 'гоночной трассы'? Мёбиус, конечно, пристроил 'черепахе' неплохие двигатели, но еще до Enforced Anti-Spam Update Service появилась идея, реализация которой позволила не носиться за 'зайцем', а поджидать его в кустах, а вернее - в облаках.

Эта идея была реализована в UDS (Urgent Detection System) и со временем развилась в UDS 2. UDS 2 - это облачная система безопасности, обеспечивающая двустороннюю связь между пользователями 'Лаборатории Касперского' и экспертами компании. Во время обработки спам-сообщения, одновременно с добавлением в базу сигнатуры, с сообщения снимается хэш и отправляется в облако. Раньше мы снимали 16-байтные фаззи-хэш, но с запуском UDS 2 стали снимать 4-байтные шинглы (микро-сигнатуры). Они значительно эффективнее против замусоривания текста, а также против попыток сбить детект простой перестановкой фраз в спамерских сообщениях. Со стороны пользователя по подозрительным письмам тоже строятся шинглы и отправляются в то же облако, где их уже поджидают микро-сигнатуры, снятые в спамлабе со спамерских сообщений. Там происходит сравнение сигнатур, полученных от пользователя, с уже хранящимися в облаке.

Первое поколение UDS на запросы просто отвечало, есть данная сигнатура в базе или нет. UDS 2 группирует сигнатуры в кластеры по их похожести, а основанная на ней технология контентной репутации (Copntent Reputation) вычисляет для них спам-репутацию. Первая версия этой технологии называется Content Reputation v1 (Rescan) и является, по сути, карантином, тормозящим на некоторе время (сейчас это 50 минут) ту почту, которая сразу не распознается как спам, но которая считается подозрительной, поскольку построенные по ней сигнатуры попали в кластеры с высокой спам-репутацией.

Таких сообщений обычно не так уж много - основная часть почтового траффика либо детектируется как спам, либо относится к доверенным источникам. 50 минут задержки позволяют аналитикам в антиспам-лаборатории принять окончательное решение, являются ли подозрительные сообщения спамом. Таким образом, мы не только 'подкарауливаем' рассылку в облаке, но еще и замедляем ее!

Eще одна технология на основе UDS 2 - это автобан. В случае, если сигнатура письма попадает в кластер с высокой спам-репутацией, то она автоматически банится в облаке. В этой технологии предусмотрена пост-проверка аналитиком заблокированного письма и возможность мгновенного отката автоматического бана, если аналитик не посчитает сообщение спамерским.

Так что на новом этапе гонки мы имеем все шансы обогнать соперников!

Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2012

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}