Электронный журнал "Спамтест" No. 452 в этом номере: Новости Спам в декабре 2012 г. Новости БелПак попала в мировые лидеры по спам-активности Участники немецкого проекта Uceprotect ведут активную борьбу со злоупотреблениями в электронно-почтовом сервисе. Согласно статистике активистов на 21 января, новым лидером глобального рейтинга AS-источников спама является БелПак – сеть передачи данных брестского филиала РУП "Белтелеком". Информацию об источниках нелегитимных сообщений, которыми чаще всего оказываются спамботы, Uceprotect собирает со спам-ловушек, размещенных на территории Германии, Австрии, Швейцарии, Канады и Австралии. Черные списки источников спама, бесплатно распространяемые по 3-миллионной базе подписчиков, систематизируются по IP-адресам, блокам адресов и AS-системам. Непочетный список AS-провайдеров, с числом спамерских IP и динамикой последних изменений, публикуется также на сайте Uceprotect и обновляется в реальном времени. Активисты надеются таким образом привлечь всеобщее внимание к проблемам в этих сетях и заставить нерадивых провайдеров принять надлежащие меры. Этот список, насчитывавший на 21 января свыше 230 AS-систем, и возглавила БелПак (AS6697), поднявшись за несколько дней с 3-й на 1-ю ступень. Активисты обнаружили в этой сети свыше 40 тыс. IP-адресов, используемых спамерами. В пятерку лидеров по спамерской деятельности вошли также (в убывающем порядке) вьетнамская VNPT (AS45899), индийская BSNL Broadband (AS9829), пакистанская PKTELECOM (AS45595) и казахская Kazakhtelecom (AS9198). Печальную ситуацию с БелПак ее хозяева – Белтелеком – прокомментировали следующим образом: проблема со спамом в этой AS-сети хорошо известна, но “многое зависит от потребителя, его технической грамотности, поскольку для рассылки несанкционированных сообщений используются компьютеры с незащищенными ресурсами”. Бороться с ботнетами, операторы которых находятся за пределами страны, вообще сложно; единственное, что провайдер может сделать при обнаружении спам-трафика, - заблокировать соответствующий IP-адрес. Источник: www.uceprotect.net Источник: БЕЛТА Symantec отчиталась о спаме за декабрь 2012 Согласно статистике Symantec, в минувшем месяце доля спама в почтовой корреспонденции увеличилась на 1,8 процентных пункта и составила 70,6%. Наиболее высокие уровни спама наблюдались в Саудовской Аравии (85,9%), а в разделении по областям хозяйственной деятельности – в сфере IT-услуг (72,2%). Вклад США в глобальный спам-трафик заметно увеличился, в декабре с американских компьютеров распространялось 12,7% почтового мусора. Состав пятерки лидеров по спам-рассылкам остался прежним, хотя ее участники поменялись местами. После США в убывающем порядке следуют Индия (6,9% исходящего спама), Канада (6,3%), Россия (4,8%) и Бразилия (4,3%). В тематическом составе спама преобладала реклама порноресурсов и сайтов знакомств, доля которой увеличилась почти в полтора раза – до 82,62%. Вклад фармаспама в мусорный трафик составил лишь 9,04%, рекламы реплик элитных товаров – 4,49%, мошеннических посланий 0,06:%. Большинство спамерских URL по-прежнему привязаны к TLD-зоне .com (60,% ссылок), присутствие российского национального домена в URL-спаме выросло почти в 2 раза, до 11%. Средний размер нелегитимных сообщений сократился, больше половины декабрьского спама составляли лаконичные письма (0-5 КБ). Доля фишинговых сообщений в почтовой корреспонденции, по оценке Symantec, увеличилась на 0,225 пункта и составила 0,27% (1 письмо на 377,4). Повышенная активность фишеров впервые наблюдалась в Норвегии, которая опередила все страны по концентрации писем-ловушек во входящей почте (1 на 81,4) и заняла 2 место среди источников таких сообщений (20,2% общего количества). Высокие уровни фишинга зарегистрированы также в ЮАР и Испании (1 письмо на 84,2 и 90,0 соответственно), а в разделении по отраслям – в госсекторе (1 на 134,7). Рейтинг стран-лидеров по количеству исходящих фишинговых посланий возглавили США (24,2% общей массы), 3 место заняла Испания (17,8%), 4-е – Великобритания (16,3%). Общее количество фишинговых сайтов, обнаруженных экспертами, в декабре уменьшилось на 34%, сайтов, созданных автоматизированными средствами, - на 50%. Доля последних в общей массе ловушек сократилась до 42,1%. Количество неанглоязычных имитаций увеличилось на 7%, среди них преобладали сайты, оформленные на французском, итальянском, португальском и китайском языках. Статистика по географическому распределению фишинговых сайтов представлена в отчете Symantec по итогам ноября, больше половины из них по-прежнему хостятся на территории США. Наиболее часто фишеры атаковали банки (65,2% имитаций) и информационные сервисы (22,0%, на треть меньше, чем в ноябре). Вклад вредоносных писем в общий почтовый трафик, по данным Symantec, продолжает сокращаться. С ноября он уменьшился на 0,03 пункта и составил 0,36% (1 письмо на 277,8). 27,2% вредоносных писем составлял URL-спам, доля которого за месяц увеличилась на 13 пунктов. Больше прочих от зловредных посланий страдали жители Южной Африки (1 письмо на 77,5) и Австралии (1 на 94,0), а также представители госсектора (1 на 69,4). Большие потоки вредоносных писем исходили с территории США (40,9%), Великобритании (24,9%) и Австралии (9,1%). Источник: Symantec (PDF) Фишинг с фейсконтролем Эксперты RSA обнаружили itw готовый комплект для фишинга, использующий нечто вроде белого списка – ограниченного перечня email-адресов, по которому распространяются URL поддельных страниц. По данным RSA, в минувшем году фишеры провели свыше 445 тыс. атак, на 59% больше, чем в предыдущем. Эти атаки обошлись мировой экономике в 1,5 с лишним млрд. долларов, что на 22% выше прежнего показателя. Фишерский инструментарий постоянно совершенствуется: в 2012 г. на черном рынке появились специальные плагины для проверки работоспособности краденых идентификаторов в реальном времени, а также для составления отчетов об эффективности фишинговых рассылок с помощью легальных аналитических сервисов. Новый необычный инструмент, обнаруженный экспертами, – лишнее доказательство тому, что фишеры сделали ставку на технический прогресс. Этот тулкит позволяет атаковать мишени с высокой точностью, оперируя готовыми списками потенциальных жертв. Для каждого получателя фишингового сообщения генерируется личный идентификатор, который встраивается в URL, приведенный в теле письма, и впоследствии служит пропуском на страницу-ловушку. При попытке вызова целевой страницы этот персональный идентификатор сверяется с заданным списком. Для посетителей, включенных в список, тулкит на лету, прямо на взломанном сайте, создает фишинговую страницу, всем прочим воспроизводится сообщение “ошибка 404”. Данные, введенные визитером на фишинговой странице, отсылаются на другой веб-сайт, также контролируемый злоумышленниками. Подобная схема позволяет фишерам получать только нужную информацию, а также продлить время жизни страниц-ловушек посредством ограничения доступа. RSA зафиксировала несколько фишинговых кампаний, использующих “белые списки” потенциальных жертв – клиентов южноафриканских, австралийских и малазийских банков. Число мишеней каждой из этих кампаний в среднем составило 3 тысячи. По свидетельству экспертов, списки получателей писем-приманок формировались на основе алфавитной выборки, каждый список, как правило, включал имена, начинающиеся на одну и ту же букву. Разнообразие мишеней – списки содержали адреса бесплатной почты, корпоративных и банковских серверов – позволило исследователям предположить, что они были собраны по спамерским базам или хакерским коллекциям. Помимо функционала, связанного с “белыми списками”, в новом творении злоумышленников реализованы уже известные технологии. Один из его компонентов позволяет отыскивать незакрытые уязвимости в платформе WordPress, другой – устанавливать административный контроль над взломанным сайтом. По мнению экспертов, новый тулкит не преминет привлечь внимание хакеров, специализирующихся на целевых атаках. Его можно легко приспособить для проведения spear phishing рассылок, обычно предваряющих враждебное вторжение во внутреннюю сеть организации. Источник: RSA Источник: The Register Адвокат призван в свидетели по делу о спаме Летом минувшего года калифорниец Джордж Шарп (George Sharp) подал гражданский иск против ряда компаний, акции которых продвигались через спам по известной схеме pump and dump («накачка-сброс»). Один из участников этой мошеннической схемы поспешил урегулировать тяжбу во внесудебном порядке, воспользовавшись услугами адвоката, однако спам-рассылки возобновились сразу после подписания соответствующего соглашения. Адвокат-посредник поспешил расстаться с нечистоплотным клиентом, изъявил готовность помочь в текущем расследовании и теперь вызван повесткой в суд для дачи свидетельских показаний. В своем исковом заявлении Шарп утверждает, что ответчики наняли сторонних промоутеров и рекламных агентов для проведения спам-кампаний, призванных искусственно взвинтить цены на неликвидные акции. Рекламные бюллетени распространялись от имени вымышленных организаций и были снабжены фальшивой контактной информацией (привязанной преимущественно к Виргинским островам). Многочисленные попытки истца отказаться от непрошеных рассылок положительного результата не дали. В соответствии с калифорнийским законом о спаме правонарушитель может быть наказан штрафом в размере до 1 тыс. долл. за каждое спам-письмо, направленное на 1 адрес. Шарп намерен также через суд добиться запрета на мошенническую деятельность, практикуемую ответчиками. Истец надеется, что свидетельские показания адвоката, нанятого одним из участников мошеннической схемы, помогут идентифицировать авторов спам-рассылок. Он также разыскивает других получателей нелегитимной рекламы, распространяемой в рамках данной pump and dump кампании, и просит их выйти на связь. Источник: www.globenewswire.com Британских чиновников преследуют фишеры Согласно результатам опроса, проведенного по заказу антифишинговой компании PhishMe, почти 60% британских служащих ежедневно получают фишинговые письма, проскользнувшие за спам-фильтры и прочие штатные заграждения. В данном опросе приняли участие 1 тыс. офисных работников. 6% из них указали, что получают не меньше 10 таких посланий в сутки. Частная американская компания PhishMe специализируется на обучающих тренингах, помогающих пользователям распознавать фишерские атаки, включая spear phishing. Ее пользовательская база насчитывает 3,8 млн., и многолетний опыт работы в этой сфере показывает, что 60% неискушенных пользователей исправно попадают в расставленные ловушки. Получив фишинговое письмо, многие служащие просто кликают по ссылке или открывают вложение и продолжают работать, не отдавая себе отчета о возможных последствиях. Без надлежащей подготовки у них нет привычки проверять URL курсором мыши, искать в заголовках письма признаки подделки отправителя и следовать здравому смыслу, если посулы слишком щедры или фантастичны. Источник: v3.co.uk Источник: ComputerWeekly.com SMS-спам, порочный бот и партнерки Cloudmark обнаружила трехступенчатую схему атаки, в которой используется автоматизированный спам для привлечения посетителей на партнерские сайты. Данная атака начинается со спамовой SMS, в которой получателя называют по реальному имени – нечто вроде «привет, имярек, ты на связи? Я тебя потерял(а)». Эксперты полагают, что имя и телефон адресата спамеры раздобыли, обшаривая социальные сети. Если получатель в ответ спрашивает, кому он понадобился, собеседник предлагает ему удовлетворить любопытство, добавив в список Yahoo! Messenger некий идентификационный номер. При попытке продолжить беседу по SMS-каналу непрошеный корреспондент сообщает, что у него якобы разрядился телефон, и повторно предлагает воспользоваться мессенджером (или Skype). По свидетельству Cloudmark, диалог в мессенджере поддерживает робот, пытающийся игривыми намеками спровоцировать собеседника зайти по предложенной ссылке на некий сайт. На простейший посыл типа “2+2” или прямой вопрос о его природе бот продолжает тупо выдавать заготовленные ответы. Если активировать предложенную спамерами ссылку и нажать кнопку «accept» («принять») на целевой странице, в браузере откроется 2 окна: сайт знакомств и сервис трансляций с веб-камер. Первый платит спамерам 5 долларов за каждый визит и 75 долларов за посетителя, оформившего подписку. Сервис веб-камер – один из тысячи однотипных ресурсов, владельцем которых является некая компания в Сиэтле. Все они содержат одинаковый контент, и продвигающая их партнерка платит спамерам 40 долларов за каждого подписчика на «бесплатные» услуги. Владельцы таких сервисов всегда знают, каким образом выманить деньги у подобных визитеров. Источник: Cloudmark Спам в декабре 2012 года Татьяна Щербакова, Дарья Гудкова Декабрь в цифрах Главные темы месяца «Конец света» 2012 Зимние товары. И проехать, и пройти Новый год у ворот, или новые предложения спамеров Мошенничество в спаме «Цепочечные письма». Снова в деле Географическое распределение источников спама Вредоносные вложения в почте Фишинг Заключение Декабрь в цифрах Доля спама в почтовом трафике в декабре увеличилась на 3,1% и составила в среднем 66%. Доля фишинговых писем в почтовом потоке по сравнению с ноябрем сократилась более чем вдвое и составила 0,006%. Вредоносные вложения содержались в 3,15% писем, это на 0,12% меньше, чем в прошлом месяце. Главные темы месяца «Конец света» 2012 Дату 21 декабря 2012 года ждали многие, одни с усмешкой, другие — с суеверным ужасом, ведь именно этот день был последним в календаре древних майя. Выдвигались самые разные версии сценария «конца света» — от столкновения с метеоритом до рождения нового мира и/или перехода в новую эру. В начале декабря мы получили несколько спам-рассылок, эксплуатирующих эту тему. В одном из писем рассылалось приглашение на конференцию для руководителей и владельцев компаний по развитию бизнеса. В качестве отправителя был указан Нострадамус, тема письма — «Конец света переносится, время улучшать бизнес». По задумке спамеров такое письмо должно было вызвать интерес, а фраза о том, что лектор «даст не туманные астропрогнозы, а конкретные рекомендации на ближайшие 1–3 года», должна была убедить получателя, что именно на этой конференции он узнает, как ему развить бизнес. Автор еще одного письма утверждал, что конец света — это переход из 3-го в 4-е измерение, где сознание людей расширится, и они начнут смотреть на мир глазами любви. Ссылка в конце письма вела на сайт, где можно скачать молитву, помогающую перейти в 4-е измерение. Для получения доступа к контенту на сайте было необходимо ввести имя, а также адрес электронной почты. Не исключено, что помимо 4-го измерения отправителей письма интересовали активные электронные адреса пользователей. Зимние товары. И проехать, и пройти С наступлением зимы спамеры активно начинают рассылать рекламу сезонных товаров и услуг. В декабре в спам-трафике было зафиксировано несколько предложений товаров, которые помогут в борьбе с гололедом, морозами и снегопадом. Рассылки были рассчитаны не только на пешеходов и различные организации, но и на автомобилистов. Новый год у ворот, или новые предложения спамеров Как и ожидалось, в декабре количество новогодних рассылок увеличилось. Именно в этом месяце спрос на праздничные товары и услуги достигает максимума. В рассылках рекламировались электронные гаджеты, самогонные аппараты, услуги по печати открыток и календарей. Обычной для декабря уже стала реклама услуг Деда Мороза. Еще одно предложение декабря — изготовить и распространить подарочные купоны для привлечения новых клиентов. Это печатный аналог широко известных сайтов-купонаторов, рассчитанных на мелкие и средние компании. В спам-рекламе появились и новые варианты подарков. Например, прокат уникальной автокареты. Мошенничество в спаме В декабре в почте стало больше мошеннических писем. Злоумышленники рассчитывали на невнимательность и доверчивость пользователей, занятых подготовкой к праздникам. Чтобы получить доступ к персональным данным и счетам пользователей, спамеры рассылали не только письма с вредоносными вложениями, но и придумали новые уловки. Фишинг. Made in China Чаще всего фишинговые письма рассылаются на английском языке. В декабре мы получили типичное фишинговое письмо на китайском языке. В тексте письма говорится о том, что лимит почтового ящика превышен, и пользователь не может получать и отправлять сообщения, пока не подтвердит свой электронный адрес, пройдя по указанной ссылке. Нажав на ссылку, пользователь попадает на поддельный сайт, где необходимо ввести адрес электронного ящика и пароль, таким образом, злоумышленники получают доступ к электронной почте жертвы. Другие приемы мошенников Не теряют популярность среди спамеров Рунета письма с требованием пополнить счет мобильного телефона или отправить SMS-сообщение на короткий номер. Главная цель мошенников — выманить деньги у получателей сообщений. В основном мошенники запугивают пользователей сообщениями о блокировке электронного ящика, операционной системы, доступа к интернету в случае отказа следовать инструкциям в письме. К сожалению, пользователи до сих пор реагируют на такие угрозы и пополняют счета злоумышленников. Для выманивания денег спамеры успешно используют и жалость. Интересное нигерийское письмо пришло якобы от жительницы России. В нем она сообщает, что из-за кризиса потеряла работу, не может заплатить за отопление, и просит прислать ей чугунную печку. Главная цель этого письма — вызвать жалость получателя, что, возможно, заставит его предложить бедной женщине материальную помощь. Отметим, что такие письма мы видим в почте уже не первый год. «Цепочечные письма». Снова в деле В декабре в почте вновь появились почти забытые «цепочечные письма». Напомним, что «цепочечные письма» — это сообщения, содержание которых направлено на то, чтобы получатель переслал письмо как можно большему количеству людей. Подобные письма могут носить как безобидный, шуточный характер, так и служить способом выманивания денег или личной информации. Часто «цепочечные письма» содержат сообщение о какой-либо угрозе, что провоцирует получателя рассылать письмо. Это приводит к быстрому распространению рассылки в почтовом трафике и затрудняет работу спам-фильтров, так как письма приходят с легальных адресов пользователей. «Цепочечные письма» с сообщениями о новых вирусах и других компьютерных угрозах чаще всего рассылаются с целью посеять панику среди пользователей, а потом предложить им скачать программу, которая якобы ловит эти вирусы. Под видом программы пользователь скачает вирус, который будет использоваться злоумышленниками с целью кражи информации или рассылки спама. В связи с ростом вредоносных рассылок и появлением все новых методов и приемов распространения опасных вложений, к «цепочечным письмам» надо относиться с большой осторожностью. Географическое распределение источников спама По итогам декабря среди стран — источников спама, распространяемого по всему миру, как и в ноябре лидируют Китай (34,3%) и США (15,7%). Доля спама, рассылаемого из Китая, увеличилась на 1,6%, тогда как процент спама, распространяемого из США, уменьшился на 8,2%. В целом, из этих двух стран в декабре было разослано около 49,9% мирового спама, что на 6,5% меньше показателя ноября. В пятерку стран — лидеров по распространению мирового спама вошла Россия (3%). Германия (2,3%) опустилась с 5-го места на 7-е, доля спама, разосланного из этой страны, уменьшилась на 1,48%. В потоки Рунета большая часть спама по-прежнему приходит из Индии (15,1%) и Вьетнама (14%). Вклад Германии в спам-потоки Рунета значительно уменьшился (-6,9%), в результате эта страна сместилась с 3-го на 5-е место. А на третьем месте по итогам декабря оказалась Россия с показателем 7,6% - это на 1,9% больше, чем в ноябре. Китай (7,6%) удерживает четвертое место. В первую тройку, как и в ноябре, кроме Азии входят Северная Америка и Западная Европа. Вредоносные вложения в почте В декабре вредоносные вложения содержались в 3,15% писем, что на 0,12% меньше, чем в предыдущем месяце. Наибольшее количество вредоносного спама, как и в ноябре, было отправлено в США (14,7%). На втором месте оказалась Австралия (9,9%), показатель этой страны увеличился почти в два раза. Отметим также снижение количества вредоносных писем, отправленных в Японию (-4,7%), в результате чего Япония опустилась в рейтинге с 5-го на 13-е место. Среди наиболее распространенных в почте вредоносных программ в декабре лидировал червь Bagle. В отличие от многих других почтовых червей, Bagle, помимо распространение своих копий через почту, закачивает на компьютер пользователя другие вредоносные программы. На втором месте еще один наш старый знакомый — почтовый червь Mydooom. На третьем месте модификация лидировавшей в прошлом месяце троянской программы Tepfer, созданной для похищения паролей к различным пользовательским аккаунтам. Отметим, что в конце года в пятерку лидеров вернулся Trojan-Spy.html.Fraud.gen, лидер 2012 года по количеству детектов в почте. В сентябре количество писем с этой вредоносной программой в почте резко упало, и вплоть до декабря она не входила в TOP-10. Эта троянская программа также создана для похищения паролей и нацелена на пароли к аккаунтам в системах онлайн-банкинга и платежных системах. Фишинг В ноябре доля фишинговых писем в почтовом потоке уменьшилась более чем вдвое и составила 0,006%. Первое место по количеству фишинговых атак сохранили социальные сети, их показатель вырос на 2,45% и составил 32,36%. Facebook по-прежнему является главной мишенью фишеров. Финансовые и платежные организации занимают второе место, хотя доля фишинговых атак на них несколько уменьшилась (-1,2%). На третью строчку вернулись поисковики (+1,33%). Онлайн-магазины и интернет-аукционы занимают четвертое место (-2,3%). В этой категории фишеры чаще всего рассылали письма, подделанные под уведомления от интернет-магазина Amazon. Заключение Декабрь — время предпраздничных покупок. В этом месяце доля спама в почте увеличилась и, как и ожидалось, увеличилось количество спама новогодней и сезонной тематики. Большая доля данных рассылок была представлена в виде графического спама. В расчете на предпраздничную суету, активизировались мошенники, которые использовали уже известные виды мошенничества и придумывали новые уловки для обмана жертв. Доля фишинговых рассылок сократилась, однако были зафиксированы подделки под уведомления от китайских сервисов электронной почты, что может стать началом нового тренда. Растет количество спам-подделок под уведомления от социальных сетей. В январе количество спама пойдет на спад, в значительной степени из-за праздничного затишья в первые дни месяца. Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012