Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 478

В этом номере:


Новости

Kelihos несет потери

Некоммерческая организация с говорящим названием Malware Must Die (MMD) объявила о нейтрализации 97 доменов, используемых злоумышленниками для распространения троянца Kelihos, он же Hlux.

Согласно статистике Trustwave, созданный на основе Kelihos р2р-ботнет является одним из главных генераторов спама в современном интернете. К концу июля его вклад в глобальный спам-трафик составил 17%. Данная бот-сеть обладает развитой пиринговой инфраструктурой и уже пережила несколько попыток свержения, каждый раз восставая в новом обличье.

Новая акция, инициированная активистами, проводилась в рамках текущей спецоперации MMD «Tango Down». (Сокращение TANGO, которое расшифровывается как Tactical Air, Naval, Ground Operations, американцы используют для обозначения комплексных тактических операций: в воздушном пространстве, на море и на суше.) Проведенная ранее экспертиза показала, что отобранные для блокировки вредоносные домены ассоциируются с веб-сервером, загружающим DGA-версию Kelihos. Такие серверы были обнаружены в России, на Украине, в Латвии и Беларуси, резервные – в Японии, Корее, на Тайване и в Гонконге.

Обезвредить домены и поддомены Kelihos на территории России MMD помогли коллеги из Group-IB, которые поддерживали постоянный контакт с регистратором REGGI.RU. По свидетельству MMD, атака на засев Kelihos в настоящее время производится с участием набора эксплойтов Red Kit.

Источник: e Hacking news

Cloudmark наблюдает рост источников спама в Беларуси

Согласно статистике Cloudmark, в минувшем квартале Румыния сохранила непочетное первенство по количеству IP-адресов, блокируемых из-за спама. Второе место в квартальном рейтинге Cloudmark заняли США, третье – с большим отрывом Россия. Среди стран с наибольшим процентом заблокированного адресного пространства лидирует Беларусь. В апреле-июне эксперты Cloudmark занесли в черные списки 27,4% белорусских адресов (свыше 3 млн. IP). Второе место по концентрации источников спама занимает Румыния (22,3% IP). В России Cloudmark блокирует 3% национального адресного пространства, в США – 0,2%.

В апреле и мае эксперты отметили некоторое уменьшение количества румынских IP-адресов, ассоциированных с рассылкой спама. В то же время число таких источников, прописанных в Беларуси и России, возросло. В июне наблюдалась обратная тенденция: в Румынии наметился слабый рост, в России и Беларуси – сокращение.

По мнению эксперта Cloudmark Эндрю Конвея (Andrew Conway), стремительный взлет показателей Беларуси по спаму объясняется усилением борьбы с источниками нелегитимных рассылок в странах Восточной Европы – в частности, в России. Кроме того, многие хостеры и интернет-провайдеры стали быстрей реагировать на жалобы, и спамерам приходится искать более тихие гавани. Белорусский веб-хостинг к тому же пользуется большой популярностью у повсеместно гонимых румынских ОПГ, специализирующихся на рассылке спама.

По оценке Cloudmark, показатели Беларуси по спаму достигли рекордных для этой страны высот и свидетельствуют о серьезности ситуации. «Если мы блокируем у хостинг-провайдера более 1% выделенного адресного пространства, это обычно означает, что у него есть проблемы», – комментирует Конвей. По его словам, из-за ослабления контроля в белорусских сетях страна вынуждена нести ответственность за действия злоумышленников, которые, вероятнее всего, имеют иностранное подданство. Большинство спама в настоящее время распространяется с зараженных машин и редко генерируется на той территории, которая воспринимается как его источник.

Эксперты также отметили стремительный рост числа скомпрометированных хостинг-аккаунтов, используемых в спам-рассылках. На таких легитимных площадках спамеры обычно размещают редиректы на целевые страницы, повышая процент доставки своих писем с помощью «белых» ссылок. Каждый скомпрометированный веб-сайт может содержать сотни редиректов, внедренных разными спамерами. Скомпрометированные аккаунты могут также использоваться для рассылки спама через почтовый сервер хостинг-провайдера и для размещения целевой рекламы. По свидетельству Cloudmark, спамеры предпочитают прятать страницы с порноконтентом на самых невинных площадках, таких как онлайн-офисы юристов, официальные сайты школ и церковных приходов.

Как оказалось, 60% используемых спамерами хостов были взломаны посредством SQL injection атак на платформу Joomla версии 1.5. Данная уязвимость была пропатчена еще в 2008 году, однако на многих сайтах она до сих пор не закрыта. Две трети взломанных сайтов служат спамерам один месяц и более.

Источник: BBC

NSS Labs оценила браузерную защиту от фишинга

Согласно результатам сравнительного тестирования, проведенного NSS Labs, браузеры Firefox и Safari новейших версий пресекают попытки фишинговых атак лучше своих конкурентов.

В целом NSS отметила значительные улучшения показателей в пределах контрольной пятерки. В ходе проверки Firefox 19 обнаружил и заблокировал 96% попыток перехода на фишинговый сайт, Safari 5 – 95%, Chrome 25 – 92%, Opera 12 – 89%, Internet Explorer 10 – 83%.

Тестировщики полагают, что высокая эффективность Firefox, Safari и Chrome обусловлена тем, что все они используют хорошо зарекомендовавшую себя технологию Google Safe Browsing. Предоставляемая Internet Explorer защита ограничена возможностями Microsoft SmartScreen, Opera полагается на черные списки Netcraft и PhishTank.

NSS подчеркивает, что защита от фишинга – лишь одна из составляющих, котрая позволяет судить о безопасности веб-браузера. Два месяца назад компания опубликовала результаты аналогичного исследования в отношении эффективности браузерной защиты от вредоносных атак. Распределение мест в пределах той же пятерки оказалось совсем другим: лучшие показатели продемонстрировал IE с уровнем блокировки 99,96%, второе место занял Chrome (83,16%). Остальные три браузера показали весьма плачевные результаты.

Подробный отчет о тестировании антифишинг-функций популярных веб-браузеров можно посмотреть на сайте NSS Labs.

Источник: Help Net Security

У спамеров летний тайм-аут?

Согласно статистике Symantec, в июне уровень спама в почтовой корреспонденции составил 64% против 67% в мае и 72% в апреле. Среднесуточная норма почтового мусора в текущем году сравнима с прошлогодним показателем и составляет порядка 30 млрд. нелегитимных писем.

Наиболее высокие уровни спама наблюдались в Саудовской Аравии (81,2%), а в разделении по отраслям хозяйственной деятельности – в сфере образования (68,1%). Основной тематической категорией в составе спама осталась реклама порноресурсов и веб-сайтов знакомств (60,2% против 78,7% в предыдущем месяце). Второе место в тематическом рейтинге сохранила реклама фармацевтических препаратов, доля которой в июне увеличилась почти вдвое и составила 20,6%. Третью ступень заняла категория трудоустройства (13,9% против 2,5% в мае), оттеснив рекламу поддельных предметов роскоши (2,3%) на четвертую позицию.

Вклад Тор 10 стран-лидеров в глобальный спам-трафик в минувшем месяце составил немногим более 52% и распределялся между участниками списка достаточно равномерно. Первое место в рейтинге Symantec заняли США со скромным показателем 8,26%, второе – Финляндия (6,38%), третье Испания (6,36%). Беларусь и Казахстан покинули непочетный список лидеров, Россия по-прежнему находится за его пределами.

Тем не менее, российский национальный домен не только не утратил своей популярности у спамеров, но выбился в лидеры среди используемых ими TLD-доменов. В мае (данных за июнь Symantec пока не приводит) он опередил даже неизменного фаворита .com: на долю .ru в этом месяце пришлось 39,7% спамерских ссылок, на долю .com – 22,0% (в апреле – 29,9 и 30,8% соответственно). Третье место в майском TLD рейтинге занял польский национальный домен (8,7%), четвертое – .pw, доля которого уменьшилась вполовину и в мае составила лишь 5,3%. Эксперты Symantec полагают, что в последнем случае положительную роль сыграло их активное вмешательство в процесс ликвидации спамерских площадок в этой зоне.

Фишинговая составляющая почтовой корреспонденции заметно увеличилась. В июне Symantec регистрировала 1 фишинговое письмо на 464, тогда как в мае – 1 на 562. Больше прочих от фишинга страдали представители госсектора (1 на 142) и жители Австралии (1 на 174). Основным источником фишинговых сообщений остаются США (47,87% общего количества). Две трети (68,9%) июньских атак фишеров были направлены против финансовых институтов, 23,0% – против информационных веб-сервисов.

Уровень вредоносных сообщений в электронной почте тоже возрос и в июне составил 1 письмо на 326 против 1 на 420 в мае. Наиболее высокие показатели в этом отношении наблюдались в госсекторе (1 письмо на 98,1), а в разделении по странам – в Австралии (1 на 172,5). Основными источниками вредоносных писем являлись Австралия (34,45% общего количества), США (32,29%) и Великобритания (16,93%).

Среди локальных угроз Symantec по-прежнему выделяет W32.Ramnit (около 18% детектов) и W32.Sality (8%).

Источник: Symantec

В США усилился поток летнего SMS-спама

По оценке Cloudmark, во втором квартале текущего года на долю летних предложений от спамеров приходилось более 10% суточной нормы нелегитимных текстовых сообщений. В основной своей массе они рекламировали «бесплатные» круизы и сезонные диеты. Статистика Cloudmark по SMS-спаму основана на результатах анализа отчетов службы 7726, действующей на территории США и Великобритании.

Пик «туристического» SMS-спама пришелся на апрель; в этом месяце вклад таких сообщений в ежедневные объемы текстового мусора превысил 20%. Количество рекламы специальных диет и прочих средств для похудания за три месяца утроилось и в июне составило 12% SMS-спама. Текстовые сообщения на тему похудания обычно содержали укороченные ссылки, ведущие через редирект на целевой взломанный сайт. По словам экспертов, число уникальных URL, задействованных в этих спам-рассылках, огромно, их ротация высока. При этом около 60% скомпрометированных доменов жили более месяца.

Несмотря на активизацию сезонной тематики, первое место в квартальном рейтинге Cloudmark заняла категория «фишинг» (22% SMS-спама). В сравнении с первым кварталом фишинговых сообщений стало больше, особенно в июне, когда на пике на их долю пришлось 25% нежелательных SMS-сообщений. Эксперты отмечают, что фишеры расширили спектр своих мишеней и стали активней охотиться не только за банковскими реквизитами, но и за ключами к почтовым, мобильным и социальным аккаунтам.

Второе место в тематическом составе SMS-спама заняла реклама порноресурсов (18%), третье и четвертое оспаривали предложения краткосрочных займов и призывы поучаствовать в розыгрыше «бесплатных» призов (порядка 10% для обеих категорий). При этом посулы подарочных карт напрочь исчезли из оборота. Из-за сезонного всплеска рекламы диет доля категории «медицина» возросла до 6%.

Источник: Cloudmark


Спам в июне 2013 года

Татьяна Щербакова,
эксперт «Лаборатории Касперского»

Мария Вергелис,
эксперт «Лаборатории Касперского»

Июнь в цифрах

  • Доля спама в почтовом трафике в июне увеличилась на 1,4% и составила 71,1%.
  • Доля фишинговых писем в почтовом потоке по сравнению с маем незначительно увеличилась и составила 0,0032%.
  • Вредоносные вложения содержались в 1,8% всех электронных сообщений, что на 1% ниже показателя прошлого месяца.

Особенности месяца

В июне спамеры особенно активно рассылали рекламу товаров и услуг, спрос на которые резко возрастает в летние месяцы. Мы зафиксировали огромное количество рассылок от туристических агентств с предложениями горящих туров и заманчивыми обещаниями недорогого отпуска для всей семьи.

В связи с экзаменационным периодом в школах и вузах немалую долю июньского спама составили рассылки с предложением готовых дипломов и аттестатов, а также сертификатов на обучение. Такой спам рассылался не только на русском, но и на английском языке.

Мастер-классы «со знаменитостью»

Мы уже привыкли к тому, что спамеры используют имена известных людей для привлечения внимания пользователей к своим письмам, в первую очередь к так называемым «нигерийским». Но в июне 2013 года мы обнаружили несколько рассылок, авторы которых решили использовать имена популярных персон немного по-другому - для рекламы различных обучающих курсов и мастер-классов.

25 июня, в очередную годовщину смерти Майкла Джексона, спамеры не стали удивлять пользователей сообщениями о том, что король поп-музыки жив, или рассылать «нигерийские» письма с просьбой помочь перевести на свои счета его многомиллионное состояние. Вместо этого они использовали имя певца в рекламе мастер-классов по быстрому заработку, разместив фразу «ОН ПРИНЕС МИРУ БОЛЬШЕ ПОЛЬЗЫ, ЧЕМ MICHAEL JACKSON» в теме письма. По всей видимости, расчет был на то, что получатель захочет узнать, кто же этот необыкновенный человек, и откроет письмо. А внутри его будет ждать реклама бесплатного мастер-класса по быстрому заработку без дополнительных вложений – причем без какого-либо упоминания о Майкле Джексоне.

iPhone в спаме

Огромная популярность смартфонов и планшетов Apple у пользователей всего мира стала причиной появления большого количества компаний, специализирующихся на продаже «яблочных» аксессуаров и подозрительно дешевых официальных устройств. Для многих из этих компаний спам стал вполне приемлемым средством рекламы товаров, и в июне 2013 года мы обнаружили несколько рассылок такого рода.

В Рунете спамеры активно рассылали сообщения с рекламой аксессуаров для продуктов Apple, услуг печати фотографий и других изображений на чехлах iPhone и iPad, а также с предложениями купить iPhone по низкой цене.

В англоязычном сегменте интернета нам часто встречался спам с предложением купить устройства Apple c огромной скидкой. Для придания рассылке легитимности спамеры подставляли в поле «From» название компании, хотя электронный адрес отправителя никакого отношения к Apple не имел. Авторы таких писем особо подчеркивали, что количество товара невелико и время на его покупку ограничено - эта старая уловка использовалась для того, чтобы пользователь не тратил времени на раздумья, а сразу перешел по ссылке и заказал товар.

Горящий отдых

В июне мы зафиксировали значительное увеличение доли спама, содержащего рекламу курортов, отелей, баз отдыха и прочих туристических комплексов. Малоизвестные турагентства активно рассылали предложения с горящими турами, чтобы успеть продать их до обозначенной даты.

Кроме того, в спам-рассылках часто встречалась реклама проката оборудования и аренды площадей для организации индивидуального и корпоративного отдыха: аренда теплоходов, загородных клубов и ресторанов и прочие услуги. 

Сообщения от турагентств зачастую приходят с бесплатных почтовых ящиков, которые спамеры могут создавать в большом количестве. Некоторые письма даже содержат указание на то, что адреса получателей были взяты из открытых источников, что является одной из характеристик нелегитимных рассылок.

Для привлечения внимания получателей к содержимому писем спамеры используют яркое оформление и короткие броские фразы в теме письма, такие как «отдых по лучшим ценам», «очень горящие туры», «отдых по лучшим мировым стандартам» и др.

Большинство таких сообщений содержат ссылку, направляющую пользователя на официальный сайт отеля или турфирмы, но не напрямую, а через промежуточный ресурс. Таким образом, на один рекламируемый сайт может вести множество ссылок, что в итоге затрудняет идентификацию отдельных писем как частей единой спам-рассылки. Переадресация также позволяет скрыть некоторые данные: название компании-рекламодателя, ее контактную информацию и т.д. Но даже в тех случаях, когда контактная информация содержится непосредственно в сообщении, она представляет собой номер мобильного телефона или адрес электронной почты, которые легко изменить, что и происходит от письма к письму.

Спамеры за доступное образование

Лето - не только пора отпусков, но и время выпускных экзаменов в школах и вступительных испытаний в вузах. В июне мы фиксировали значительное увеличение спам-рассылок с предложениями купить поддельные аттестаты и дипломы, подтверждающие наличие высшего Аобразования. Адреса получателей таких рассылок зачастую брались из открытых источников, различных баз данных или  автоматически генерировались при помощи электронного словаря.

Как правило, письма с рекламой поддельных документов содержат краткую информацию о предлагаемых услугах, а также адрес электронной почты или номер телефона для связи потенциальных клиентов с компанией, занимающейся изготовлением дипломов и аттестатов. Координаты для связи зачастую меняются от письма к письму, но содержимое остается неизменным. Вот, например, два совершенно одинаковых письма, отличающихся лишь темой и адресом электронной почты.

Не следует забывать, что использование поддельных документов, в том числе аттестатов и дипломов, преследуется по закону. И попытка устроиться на работу с помощью фальшивого диплома может принести его владельцу серьезные неприятности, вплоть до уголовного наказания.

Еще одним распространенным предложением в спаме образовательной тематики является продажа сертификатов на обучение по программам высшего и второго высшего образования в определенном вузе. Сообщения с подобными предложениями приходят, однако, не с официальных электронных адресов вузов, а с бесплатных почтовых ящиков, адреса которых могут представлять собой случайный набор букв и цифр.

Письма могут содержать ссылку с говорящим названием, включающим слова «сертификат» и «обучение». Пройдя по такой ссылке, пользователь попадает на сайт, где может оформить заявку на получение сертификата, указав свои контактные данные. Но поскольку письмо приходит не от официального подразделения университета, велика вероятность, что данный сертификат окажется недействительным, если вообще дойдет до заказчика после оплаты требуемой суммы.

Методы и трюки

В июне спамеры использовали хорошо известные, но не теряющие актуальность трюки. В частности, мы зафиксировали несколько рассылок с рекламой сигарет, обычных и электронных, их организаторы использовали возможности сервиса Google Translate для обработки спамерских ссылок. Плюс к этому, спамеры добавили в конец ссылки случайный набор букв и имена принадлежащих корпорации Google доменов на разных языках. Для обратной связи в письме указан адрес электронной почты, зарегистрированный на бесплатном почтовом сервисе: спамеры создают множество таких адресов и постоянно меняют их в своих письмах, чтобы усложнить работу спам-фильтра.

В июне спамеры активно использовали зашумление текста. В частности, авторы рассылок образовательной тематики разбивали фразы в письме беспорядочным набором символов. Благодаря этому письмо в целом читается  сложно, но смысловую  часть(название программы обучения, университета или факультета, а также стоимость обучения и необходимые контакты) человеческий глаз легко выхватывает.

Спамеры, предлагающие продукцию Apple по бросовым ценам, использовали еще один хорошо известный прием. Для замусоривания содержимого рассылки и обхода спам-фильтров они добавили в письмо текст реальных новостей об Apple и ссылку на сайт новостного агентства.

В спам-рассылках, рекламирующих отдых в России и за рубежом, мы фиксировали одновременное использование кириллицы и латиницы в пределах одного слова. Похожая техника использовалась авторами объявлений о продаже недвижимости: часть цифр в тексте была заменена на схожие по написанию буквы, умышленно пропускались пробелы, вставлялись дополнительные символы.

Географическое распределение источников спама

По итогам июня первая тройка стран - источников спама, распространяемого по всему миру, осталась без изменений. Тем не менее, доля спама, рассылаемого  из каждой из трех этих стран, увеличилась. Лидирующую позицию занимает Китай, на который приходится 23,9% рассылаемого спама, что на 2,5% больше, чем показатели прошлого месяца.

На 2-м месте США (17,2%), прибавившие 0,9% по сравнению с майскими показателями. Замыкает первую тройку Южная Корея - количество спама, рассылаемого из этой страны, продолжило увеличиваться и в июне достигло отметки 14,5%.

4-е место сохранил за собой Тайвань (5,8%), его показатель практически не изменился. А вот Вьетнам (3,3%) больше не входит в первую пятерку: доля спама из отсюда уменьшилась на 1,7%, и он переместился на 6-е место. На 5-м месте расположилась Украина (3,7%).

На 7-м и 8-м местах разместились Белоруссия (2,8%) и Казахстан (2,7%) соответственно. В июне мы наблюдали небольшое уменьшение спам-потоков из двух этих стран, а именно на 0,6% в случае Белоруссии и на 1,6% – в случае Казахстана.

Показатель России (2,1%) уменьшился на 0,1%, и в результате страна вышла из первой десятки и переместилась на 11-ю позицию. На 1% увеличилось количество спама, распространяемого из Италии (2,1%).

Лидером среди стран - источников спама в Рунете остается Тайвань (13,3%), показатель которого увеличился на 0,8%. Далее, как и в прошлом месяце, следуют Украина (9,2%) и Вьетнам (8,2%), только поменявшиеся местами. В целом доля спама, разосланного из каждой из этих двух стран, заметно сократилась: на 1,3% в случае Украины и на 3% в случае Вьетнама. Белоруссия (7,4%), несмотря на незначительные изменения в объеме спам-потока, поднялась на одну строчку и заняла 4-е место. Замыкает первую пятерку Казахстан (7,2%), доля этой страны как источника спама в Рунете уменьшилась на 2,6%.

В июне мы также наблюдали небольшое увеличение спам-потоков из Индии (6,6%) и Южной Кореи (1,3%). Увеличилась и доля Аргентины  (1,2%), которая в этом месяце вошла в наш список, заняв 15-е место.

Среди регионов лидером по распространению спама осталась Азия (57,3%) - по сравнению с прошлым месяцем ее доля увеличилась на 1,2%. В первую тройку, как и в предыдущем месяце, вошли Северная Америка (18,7%) и Восточная Европа (13,2%). Однако доля спама из Северной Америки увеличилась на 0,6%, тогда как показатель Восточной Европы снизился на 1,4%.

Вредоносные вложения в почте

Доля вредоносных вложений в почте в июне снизилась на 1% и составила 1,8% почтового трафика.

На 1-м месте рейтинга вредоносных программ, распространяемых по почте, по-прежнему находится Trojan-Spy.HTML.Fraud.gen. Программа представляет собой фишинговую страничку для ввода данных, которые отправляются напрямую злоумышленникам.

2-е место занимает зловред Email-Worm.Win32.Bagle.gt. Этот вирус-червь рассылает себя по всем адресам электронной почты, найденным на зараженном компьютере. Также зловред может без ведома пользователя загружать файлы из интернета.

На 3-й позиции в июне находится программа Email-Worm.Win32.Mydoom.I. Как и положено червю, она осуществляет поиск адресов электронной почты на зараженном компьютере, а затем  рассылает себя в виде вложения (файлы с расширениями .doc, .htm, .html и .txt). При этом адрес отправителя подделывается под один из найденных на компьютере адресов.

Еще один представитель семейства червей Mydoom — Mydoom.m — расположился на 6-й позиции.  Задачей этого червя, помимо саморазмножения, является отправка скрытых запросов таким поисковым системам, как Google, Yahoo, Altavista, Lycos. Червь сравнивает адреса сайтов на первой странице результатов поиска со списком адресов, который он предварительно загрузил с серверов злоумышленников. Найдя совпадение, червь открывает ссылку на странице поисковой системы, накручивая таким образом посещаемость сайтов и повышая их рейтинг в поисковой выдаче.

На 4-й позиции расположилсяTrojan-Dropper.Win32.Dorifel.aewv. Основной задачей троянца является выполнение команд удаленного сервера, скачивание и запуск других зловредов.

Замыкает первую пятерку представитель семейства ZeuS/Zbot, а именно программа Trojan-Spy.Win32.Zbot.Ibda. Целью троянца является кража различной конфиденциальной информации с компьютеров пользователей, включая данные кредитных карт. В этом месяце мы обнаружили более 1300 модификаций троянца семейства Zeus/Zbot, суммарно на их долю пришлось около 7% всех вредоносных программ в почте.

Также в десятку вошел получивший широкое распространение в этом году троянец-шпион семейства Tepfer.

Среди стран 1-е место по количеству срабатываний почтового антивируса в июне заняла Россия, на ее долю пришлось  29,4% срабатываний. Это в 13 раз больше по сравнению с прошлым месяцем, когда показатель России составлял всего 2,2%. Столь заметный рост связан с увеличением количества писем, зараженных червями, в первую очередь Net-Worm.Win32.Kido.ih, Worm.Win32.AutoRun.dtbv и IM-Worm.Win32.Sohanad.bm.

США, лидер прошлого месяца, переместились на 2-ю позицию. По сравнению с маем их доля уменьшилась на 4,7% и составила 9,6%. 3-е место занимает Германия (7,9% - на 1,6% меньше, чем в прошлом месяце). 4-ю и 5-ю позицию занимают Индия (5,9%) и Австралия (4,9%).

На 2,7% - сократилось число срабатываний почтового антивируса в Великобритании (3,3%), которая заняла 8-е место. Италия (2,4%) заняла предпоследнее место в десятке, ее показатель уменьшился по сравнению с маем на 2,8%. 

Вместо замыкающей TOP-10 в прошлом месяце Канады в десятку вошел Китай (1,7%).

Особенности вредоносного спама

Крупная вредоносная рассылка была зафиксирована нами в июне:  под прицел спамеров попали организации, сотрудничающие с американской компанией LexisNexis, предоставляющей онлайн-доступ к различным базам данных. В письме-подделке, пришедшем с легитимного, на первый взгляд, адреса einvoice.notification@lexisnexis.com, сообщалось, что для компании сформирован счет за оказанные LexisNexis услуги. Для ознакомления с более подробной информацией по счету и его оплаты необходимо открыть вложенный в письмо архив и распечатать PDF-файл. В архиве LexisNexis_Invoice_06212013.zip на самом деле находился троянец Tepfer, используемый для кражи логинов и паролей пользователей.

Мошенники приложили заметные усилия для придания подделке вида официального письма: были использованы логотип и достоверные контактные данные компании LexisNexis. Однако если провести подсчет, то в письме в трех разных предложениях пользователю предлагается открыть вложение, что должно насторожить получателя.

Фишинг

В июне доля фишинговых писем в глобальном почтовом потоке незначительно увеличилась и составила 0,0032%.

По итогам июня лидирующую позицию в рейтинге организаций, атакуемых фишерами, продолжают удерживать социальные сети (31,3%), хотя их показатель уменьшился на 4,6%.

2-е и 3-е места, как и в мае, занимают поисковые системы (15,6%) и финансовые и платежные организации (14,3%). В прошлом месяце их показатели были практически равны, а в этом доля поисковиков увеличилась на 0,61%, а доля финансовых и платежных организаций, наоборот, на столько же уменьшилась.

Почтовые сервисы поднялись на 4-ю строчку – их показатель вырос почти в 3 раза и по итогам июня составил 13,2%. ИТ-вендоры (9,5%) опустились на 5-е место. Телефонные и интернет-провайдеры (8,2%) продолжают удерживаться на 6-й строчке, а онлайн-магазины (5,7%) спустились на две строки вниз и занимают по итогам июня 7-е место.

В июне нами было зафиксировано несколько рассылок поддельных уведомлений от имени известной электронной платёжной системы PayPal. В одном из таких писем сообщалось, что система  зарегистрировала подозрительные платежи с банковской карты пользователя, привязанной к аккаунту PayPal, и в связи с этим доступ к личному счету приостановлен. Для восстановления доступа к электронному счету пользователю необходимо открыть файл из приложенного к письму архива AccountVerification.zip. Находящийся в архиве файл Verify Account.html открывается в браузере и является поддельной страницей обновления профиля PayPal. По замыслу мошенников, пользователь должен ввести на этой странице данные кредитной карты, данные аккаунта PayPal и другую персональную информацию, которая в итоге попадет в их руки. В результате мошенники получат доступ не только к аккаунту PayPal своей жертвы, но и к ее банковской карте.

Заключение

В начале лета прогнозируемо выросло количество «образовательного» спама, а также участились рассылки с предложениями отдыха и туристических поездок. Кроме того, в июне спамеры продолжили использовать имена известных людей для рекламы товаров и услуг. А популярность продукции компании «Apple» спамеры использовали для рекламы аксессуаров и предложений скидок на известные электронные гаджеты.

В июне более половины мирового спама по-прежнему распространялась из трех стран: Китая, США и Южной Кореи. При этом показатели каждой из стран-лидеров продолжили расти. В спам-потоках Рунета в первой тройке не произошло изменений: по-прежнему лидирует Тайвань, далее идут поменявшиеся местами Украина и Вьетнам. На 4-м месте расположилась Белоруссия, а замыкает первую пятерку Казахстан.

Вопреки прогнозам количество фишинговых атак на социальные сети в июне снизилось, однако они сохранили лидирующую позицию по этому показателю. Зато резко увеличилось количество атак на электронную почту и программы мгновенного обмена сообщениями. Это можно объяснить тем, что в период летних отпусков и каникул увеличилось число пользователей электронной почты и таких программ, как ICQ‎, Jabber, Skype и др. Отметим, что аккаунты этих сервисов пользуются спросом на черном рынке, что стимулирует активность фишеров.

Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное