Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 443

в этом номере:


Новости

Новая ОС, новая приманка

Как сообщает Trend Micro, публичный выпуск Windows 8 вдохновил фишеров и распространителей лжеантивирусов на новые вылазки.

Охотники за персональными данными провели спам-рассылку от имени Microsoft, зазывая пользователей Windows на новый сайт, где якобы можно скачать новую версию ОС бесплатно. Претендентам предлагают активировать «премиум»-ссылку и ввести на открывшейся странице личные идентификаторы: адрес электронной почты, логин и пароль. Разумеется, эти данные попадут прямиком к злоумышленникам.

Новый вариант фейкового антивируса маскируется под защитное приложение, разработанное специально для Windows 8. Тем не менее, эта «Win 8 Security System» ничего принципиально нового не демонстрирует. Она, как и все ее собратья, имитирует процесс сканирования системы и пугает пользователя обилием угроз, якобы обнаруженных на его компьютере. Для «лечения» зловред предлагает зарегистрировать установленную копию «антивируса», т.е. сообщить злоумышленникам свои данные, а возможно, и заплатить какие-то деньги.

Источник: Trend Micro

«Сэнди» и спамеры

Против обыкновения, такое громкое событие, как ураган «Сэнди», вызвало лишь мелкую рябь на спам-арене. По данным исследователей, первые нелегитимные письма, эксплуатирующие эту горячую тему, появились лишь 30 октября, когда супершторм уже достиг восточного побережья США.

Спам-письма, посвященные данной теме и попавшие на радары Symantec, предлагали в качестве помощи пострадавшим подарочные карты, легкие заработки и быстрые ссуды. Эксперты Sophos обнаружили нелегитимную рекламу страховых агентств и мошеннические розыгрыши мифических призов, предлагаемых американцам. Пройдя по спамерской ссылке, претенденты на получение iPhone 5, iPad или MacBook попадали на страницу, оформленную в стиле Wikipedia. Здесь им предлагали ввести адрес электронной почты или пройти на другие рекламные сайты и поучаствовать в маркетинговых опросах и кампаниях – разумеется, оставляя личные данные на каждой новой странице.

Commtouch «посчастливилось» зафиксировать ныне редкий вид мошеннических рассылок – pump n’ dump, биржевой спам, работающий по схеме «накачка-сброс». Спамеры сообщали инвесторам о возобновлении торгов на фондовой бирже, прервавшей свою работу в связи с разгулом стихий, и продвигали неликвидные акции, уверяя адресатов в перспективности таких вложений.

По свидетельству Verizon, спам, посвященный теме «Сэнди», может быть и более опасным. Эксперты обнаружили спамерский URL, ведущий на зараженный ресурс. Zip-файл, загружаемый по этой ссылке, содержит бэкдор Sykipot, а для отвода глаз воспроизводит аэрофотоснимок безвестного урагана. Зловредный архив носит имя Disaster_Relief_Info.ZIP и, по всей видимости, предназначен для использования в целевых атаках. Вредоносный домен преобразуется в IP-адрес, уже засветившийся в прежних Sykipot-кампаниях. Контактная информация, указанная при регистрации этого домена, тоже неоднократно использовалась для распространения этого зловреда.

Источник: Symantec

Источник: Sophos

Источник: Commtouch

M3AAWG: повысить доверие к DKIM-подписи

Рабочая группа по борьбе с киберугрозами и абьюзами M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group) призвала пользователей системы аутентификации DKIM усилить криптозащиту цифровых подписей и применять ключи длиной не менее 1024 бит.

Технология DKIM (DomainKeys Indentified Mail) используется как де-факто стандарт многими бизнес-структурами, правительственными учреждениями, крупными почтовыми службами. Шифрованная подпись, создаваемая по этой системе, призвана удостоверить аутентичность домена, указанного в адресе отправителя, и исключить его подделку – например, с целью фишинга. Возможность такой подделки в современных условиях была недавно продемонстрирована математиком из Флориды. При наличии доступа к недорогому «облачному» кластеру тот взломал 512-битный криптоключ Google за трое суток. Как оказалось, не только Google, но и многие другие приверженцы DKIM, включая Microsoft, PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, HP и HSBC, используют ключи длиной менее рекомендованных 1024 бит, считая их достаточно криптостойкими. Более того, некоторые получатели принимают запущенную в тестовом режиме DKIM-подпись за подлинную, что также противоречит RFC-рекомендациям.

Удостоверившись в реальности рисков, американская CERT (Computer Emergency Readiness Team, группа быстрого реагирования на компьютерные инциденты) публично признала наличие ошибок в современных реализациях DKIM и рекомендовала поклонникам этой технологии придерживаться базовых спецификаций RFC 6376. M3AAWG тоже ратует за приведение в соответствие криптобазы DKIM на местах и опубликовала ряд полезных советов:

  • длина ключа, используемого для создания подписи DKIM, должна составлять не менее 1024 бит;
  • ключи менять ежеквартально;
  • через настройки с каждой заменой ключа упразднять цифровую подпись и вовремя отзывать устаревшие открытые ключи, обновляя записи в DNS;
  • сократить тестовый период и сразу отзывать тестовый ключ при переводе DKIM-системы в рабочий режим;
  • дополнить DKIM протоколом обратной связи DMARC (Domain-based Message Authentication, Reporting and Conformance), используя его в режиме мониторинга, и отслеживать частоту обращения к своим ключам через DNS;
  • использовать именно DKIM, а не его прародителя DomainKeys, который менее эффективен;
  • насаждать вышеперечисленные практики в партнерской среде, оказывающей почтовые услуги.

Источник: M3AAWG

Источник: M3AAWG Best Practices for Implementing DKIM (pdf)

Источник: Wired


Записки спам-аналитиков

Новые уловки «лотерейных» мошенников

Мария Рубинштейн, эксперт «Лаборатории Касперского»

Мы уже писали о распространенных приемах, которыми мошенники "цепляют" доверчивых жертв. Вы выиграли в лотерею! Приз ждет вас, оплатите только открытие счета (транспортные расходы, комиссию банку, накладные расходы...), и вы - миллионер! Знакомо, правда? Но старые приемы навязают в зубах и вдобавок могут вызвать подозрение у бдительных читателей. Поэтому мошенники изобрели такую вариацию на старую тему.

Вот сокращенный перевод одного из писем:
«Здравствуйте, меня зовут миссис Элизабет Хогхабелт, я работаю в группе Сантандер, Великобритания, я должна передать вам деньги от Пата и Мерл Баттер, которые только что выиграли в лотерею 218 миллионов долларов. Они решили разделить 656 тысяч долларов между 10 людьми из разных стран, в том числе и вам. Напишите мне, я сообщу вам детали.»

Предполагается, должно быть, что поверить в подарок от незнакомых людей проще, чем в собственный выигрыш в лотерею.

А в еще одном письме такого же рода нам пишет президент Национального Лотерейного комитета с просьбой о помощи: некто в Хертфордшире купил выигрышный лотерейный билет, но вот уже прошло две недели, а победитель не появляется, и его деньги остаются невостребованными. Дескать, давайте представим вас в качестве победителя, вы получите невостребованный приз, а часть денег отдадите мне за посредничество. Если хотите, почитайте о нашей лотерее (ссылка в письме ведет на статью в Daily Mail, в которой, действительно, говорится о том, что кто-то выиграл в лотерею более 60 миллионов фунтов и пока их не получил).

Обратите внимание, как оба эти письма напоминают «нигерийское» мошенничество. Жертву не соблазняют выигрышем: ей предлагают то подарок, то не вполне законную схему обогащения совместно с автором письма.

Halloween-спам

Роман Деденок, эксперт «Лаборатории Касперского»

Ежегодно 31 октября во многих странах мира отмечается праздник Хэллоуин. Спамеры, конечно же, не могли обойти это событие стороной, и сотрудники ЛК регулярно детектировали рассылки, посвящённые этому празднику.

Западным пользователям в преддверии праздника традиционно рассылается реклама костюмов, декораций и других товаров, востребованных в канун Хэллоуина. В этом году спамеры использовали тематику праздника и для продвижения других услуг и товаров. Но если в прошлые годы акцент делался на всевозможных медикаментах (в основном, на препаратах для увеличения потенции), то для нынешнего Хэллоуина характерен спам, связанный с оказанием различных медицинских услуг. Правда, застраховаться от нашествия призраков или получить вакцину от укуса зомби пока никто не предлагал, но довольно часто встречались, скажем, предложения по поиску дантиста для ребенка, который на протяжении праздничной ночи злоупотребил сладостями.

В последнее время Хэллоуин набирает все большую популярность и в России. Как следствие, появились и соответствующие русскоязычные спам-рассылки. В отличие от западных спам-потоков, в русскоязычном сегменте распространена реклама клубного досуга.

Получая рекламные предложения спамеров, помните, что не стоит оставлять им свои деньги — лучше потратить их в проверенном магазине.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2012


В избранное