Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 491

В этом номере:


Новости

Cloudmark: источники почтового спама в III квартале

В конце сентября Румыния вновь возглавила квартальный список стран с наибольшим количеством IP-адресов, блокируемых Cloudmark из-за спама. Второе место в этом рейтинге заняли США, показатель которых с апреля начал бодро расти; в июле эта страна уже активно оспаривала непочетное первенство в рейтинге стран-спамеров. По оценкам Cloudmark, в настоящее время на долю Румынии и США приходится 45% IP-адресов, ассоциированных со спам-рассылками.

Ухудшили свои результаты Германия и Китай, причем первая практически сравнялась с Россией, которая во втором квартале заняла 3 место, а в третьем стала исправлять ситуацию. Число IP с иранской пропиской в спам-базе Cloudmark за квартал почти удвоилось, ныне эксперты рекомендуют к блокированию 3,9% адресного пространства страны. Иранский спам, по данным Cloudmark, генерируется преимущественно местными спамботами и ориентирован, в основном, на англоязычную аудиторию. Эксперты отмечают, что фиксируемый ими рост спам-рассылок из Ирана по времени совпал со снятием эмбарго на экспорт лэптопов и маршрутизаторов в эту страну; не исключено, что рост потоков иранского спама вызван появлением большого количества новых пользователей, не успевших поставить адекватную защиту.

Комментируя новый рейтинг стран-спамеров, учитывающий величину национального адресного пространства, Cloudmark с удовлетворением отметила устойчивое улучшение обстановки в Беларуси. Если во втором квартале компания блокировала 27% белорусских IP-адресов, то в июле-сентябре – лишь 20%. В итоге Беларусь опустилась на вторую ступень, уступив непочетное первенство Румынии (24% заблокированных IP). Третью позицию вновь заняла Панама (13% против 10% в предыдущем квартале). Панамский спам, по данным Cloudmark, распространяется по большей части с серверов, арендуемых спамерами на «пуленепробиваемых» (bulletproof) хостинг-сервисах вроде panamaserver.com. Основная масса такого спама направляется в Бразилию и США.

Особый раздел в квартальных отчетах Cloudmark обычно посвящен ситуации со спамом в отдельно взятой стране. На сей раз эксперты повели речь о Японии. По их словам, за последние 10 лет японское антиспам-законодательство ужесточалось несколько раз, однако нелегитимные рассылки остаются большой проблемой в этой стране. Все дело в местных законах, касающихся электронной почты как сервиса. Местные почтовые провайдеры не имеют права сканировать пересылаемые сообщения на предмет спама без предварительного согласия реципиентов. Блокировка замеченных в абьюзах IP-адресов разрешена, однако в случае с ботнетами или «snowshoe» спамерами, арендующими большое количество IP, эта задача для провайдера слишком тяжела. Кроме того, многие японские провайдеры пытаются извлечь выгоду из фильтрации спама и предлагают ее как отдельно оплачиваемую услугу. В итоге 80% пользователей предпочитают получать нефильтрованную почту.

Японский язык мало используется за пределами страны, и поток спама из иностранных источников в стране не очень велик. Тем не менее, 70% нелегитимных сообщений, циркулирующих на территории Японии, исходят, согласно Cloudmark, из-за рубежа. По оценкам компании, в Японию направляется 25% спама, исходящего из Китая, и 21% – из Южной Кореи. Исправными поставщиками почтового мусора являются также США и Россия, а в последнее время – Беларусь и Бразилия. При этом из самой Японии в другие страны (США, Бразилию) направляется лишь 45% спама, генерируемого на ее территории. Многие японские провайдеры блокируют исходящую почту на порту 25, поэтому большинство местного спама распространяют компьютеры, которыми легально пользуются сами спамеры.

Источник: Cloudmark

Cloudmark: SMS-спам по итогам III квартала

Согласно статистике Cloudmark, порядка 65% текстового мусора, зафиксированного в июле-сентябре, носило финансовый характер. Напомним, потоки SMS-спама Cloudmark оценивает по результатам анализа жалоб, поданных абонентами США и Великобритании на номер горячей линии 7726.

В тематическом составе SMS-спама уверенно преобладала категория «Займы до получки» с долей 35%. Эти предложения с драконовскими расценками получили большое распространение в Великобритании, и в начале текущего года британское Управление по честной торговле (Office of Fair Trading, OFT) начало проводить аудит деятельности 50 ведущих участников этого рынка. По его итогам 19 участников списка Тор 50 потеряли лицензию или ушли в другие ниши. За период проверки соответствующий спам, по наблюдениям Cloudmark, пережил несколько взлетов и падений, хотя с мая эксперты отметили общую тенденцию к росту числа предложений «до получки», которую они объясняют флуктуациями в других категориях.

Второе место в тематическом рейтинге мусорных SMS-рассылок занял PPI-спам (12%) – предложения помощи в получении компенсации за неправильно оформленную страховку по кредиту, тоже весьма привычные для британцев. На третьей позиции оказался банковский фишинг (около 7%). Почти в 2 раза возросло количество спам-рекламы продуктов и услуг – в основном, за счет активизации маркетинговых рассылок от легальных компаний. Эта категория заняла в списке Cloudmark пятое место, слегка уступив рекламе «для взрослых».

Большое оживление в стане SMS-спамеров вызвал ежегодный чемпионат по футболу английской Премьер-лиги, открытие которого состоялось 17 августа. Спамеры начали принимать ставки еще в июле, в августе эта волна усилилась и достигла пика в середине сентября, когда вклад соответстующих предложений в общий спам-трафик достиг отметки 52%. В целом эксперты отметили, что поток SMS-спама на тему спортивных ставок заметно возрастал каждую субботу.

Источник: Cloudmark

Наказан заключенный, рассылавший поддельные банковские SMS

В Красноярском крае дополнительный срок получил заключенный исправительной колонии, обманувший владелицу банковского счета при помощи SMS. С учетом явки с повинной и активной помощи следствию мошеннику-рецидивисту назначили 3 года лишения свободы в колонии строгого режима.

Установлено, что, отбывая наказание за ранее совершенные преступления, Сарапульцев А.И проводил рассылку поддельных текстовых сообщений о блокировке банковского счета на произвольные номера. Одна из таких фальшивок попала в цель: получив ее, жительница Зеленогорска позвонила на указанный в SMS номер, не догадавшись сначала как следует проверить тревожную информацию.

В телефонном разговоре Сарапульцев представился сотрудником банка и предложил собеседнице разблокировать карту за 6 тыс. рублей переводом. Он также потребовал подключить услугу «Мобильный банк» на его абонентский номер. После того как жертва последовала этим инструкциям, мошенник получил возможность распоряжаться денежными средствами, скопившимися на ее банковском счете.

Предприимчивого зэка обвинили в совершении преступления, предусмотренного ч. 2 ст. 159 УК РФ (мошенничество с причинением значительного ущерба гражданину). До начала судебного разбирательства обвиняемый подал ходатайство о рассмотрении дела в особом порядке. Свою вину он признал полностью. Помимо отбытия дополнительного срока, Сарапульцеву предстоит возместить потерпевшей материальный ущерб, причиненный его противозаконными действиями.

Источник: Прокуратура Красноярского края

В Кузбассе задержаны распространители SMS-зловредов

Сотрудники отдела «К» Главного управления МВД России по Кемеровской области пресекли деятельность криминальной группы, грабившей россиян с помощью приложений, отсылающих дорогие SMS. По оценкам полиции, данная группировка ежедневно распространяла на абонентские номера разных операторов более 200 тыс. текстовых сообщений, снабженных вредоносной ссылкой.

Как правило, это были поддельные сообщения о входящем MMS, которое якобы можно посмотреть, пройдя по указанной ссылке. Как показало расследование, на самом деле при активации ссылки на устройство пользователя скрытно «загружалось и автоматически устанавливалось Java-приложение, которое в автономном режиме принималось отправлять на короткие номера платные сообщения». Стоимость каждой отправленной зловредом SMS составляла от 50 до 230 рублей.

В результате оперативно-розыскных мероприятий было установлено, что к данной схеме причастна группа кемеровчан в возрасте от 25 до 30 лет. Подозреваемые были задержаны, во время обысков у них изъяли около 60 нетбуков, которые уже переданы на экспертизу. В настоящее время сотрудники полиции устанавливают точное количество жертв, большинство которых ― жители других регионов, и пытаются оценить общий ущерб.

В отношении задержанных возбуждено уголовное дело по ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ). В соответствии с этой статьей обвиняемым грозит до 7 лет лишения свободы.

В пресс-релизе ГУ МВД по Кемеровской области также отмечено, что с начала текущего года его сотрудники «выявили в регионе 9 преступлений, связанных с неправомерным доступом к компьютерной информации и распространением вредоносных программ». Кузбасские полицейские призывают граждан к бдительности и напоминают, что сомнительные SMS, поступившие от неизвестных абонентов или с коротких номеров, могут таить опасность.

Источник: МВД России по Кемеровской области

Mail.Ru оштрафована за отказ нарушить тайну переписки

Центральный банк Российской Федерации (Банк России) вынес решение о привлечении Mail.Ru Group к административной ответственности и взыскании штрафа в размере 500 тыс. рублей за отказ предоставить данные о личной переписке.

В конце августа Федеральная служба по финансовым рынкам России (ФСФР; 1 сентября ее полномочия были переданы ЦБ РФ) обратилась в Mail.Ru Group с требованием предоставить сведения о том, с кем пользователь почты Mail.Ru осуществлял переписку за определенный период. Компания отказалась выполнить предписание, отметив, что такие данные представляют собой тайну личной переписки и охраняются российской Конституцией. В итоге владельца крупнейшей почтовой службы обвинили в совершении административного правонарушения ― неисполнении предписания ФСФР.

«Сведения о том, с кем пользователь осуществляет переписку за тот или иной период, относятся к тайне переписки, охраняемой п. 2 ст. 23 Конституции РФ, которая имеет прямое действие, ― объясняет отказ руководитель юридической службы Mail.Ru Group Антон Мальгинов. ― Разглашать ее Mail.Ru Group не имеет права без соответствующего решения суда. Мы не согласны с вынесенным сегодня решением Банка России и намерены его оспаривать в судебном порядке после получения текста постановления».

Незадолго до этого аналогичный случай произошел с другой российской интернет-компанией, «Рамблер Интернет Холдинг». ФСФР потребовала от нее предоставить информацию об инвесторе для проведения камеральной проверки. Это предписание было выполнено лишь частично: «Рамблер» отказалась раскрыть данные об адресах электронной почты физлиц, связанных с объектом проверки, апеллируя к той же статье 23 Конституции. Штраф, в результате наложенный федеральной службой, компания восприняла как незаконный и обратилась в суд. ФСФР попыталась отстоять свою правоту, заявив, что предписание было выдано «Рамблеру» в соответствии с законом об инсайде. Тем не менее, суд встал на сторону владельца электронной почты, но ФСФР, а точнее уже Центробанку, удалось отменить не устроившее ее решение через арбитраж.

Источник: Mail.Ru

Новая атака «яблочных» фишеров

Выпуск большого пакета обновлений для продуктов Apple – само по себе примечательное событие, а сенсационное сообщение о том, что очередной релиз ОС Mavericks выложен в App Store для бесплатного апгрейда, мгновенно разлетелось по СМИ. Не прошло и недели, как известный брэнд вполне ожидаемо воодушевил и фишеров.

Новая опасная рассылка, использующая имя Apple, звучит весьма тревожно: «Your Apple ID has been frozen temporarily» («Ваш Apple ID временно заблокирован»). В письме «дорогому клиенту» на почти безупречном английском языке поясняют, что он якобы пытался зайти в свой аккаунт много раз из разных мест и превысил некий новый лимит. Для разблокировки пользователю предлагают подтвердить свои данные, пройдя по ссылке из письма. Если тот подчинится, его личные данные попадут в руки фишеров.

В качестве домена отправителя фальшивки указан apple.com, но на самом деле эти сообщения распространяются через индонезийский домен. Внедренная в тело письма ссылка привязана к тайскому домену.

Использование громких имен в фишинговых посланиях – трюк отнюдь не новый, однако в текущем году атаки на клиентуру Apple особенно часты. Фишеры пристально следят за новинками этой компании, и любой анонс или заявление Apple неизменно порождают всплеск зловредных рассылок.

Источник: TechHive

Новая антиспам-система «ВымпелКома» в действии

За три недели работы SMS–Proof, системы противодействия SMS-спаму, ОАО «ВымпелКом» заблокировал более 300 буквенно-цифровых подписей (таких как Interesno?, Vnimanie!, TAXI и т.п.) и коротких номеров, засвеченных в противозаконных рассылках. Нелегитимные сообщения были адресованы абонентам «Билайн» и других операторов.

Система SMS–Proof, предназначенная для сбора и анализа подозрительных SMS-сообщений, была запущена «ВымпелКомом» в начале октября. За истекший период с ее помощью было собрано и обработано около 2 тыс. жалоб на текстовый спам, поданных абонентами на бесплатный номер 007. В результате проверки оператор заблокировал тех отправителей, которые не смогли документально подтвердить согласие пользователей на получение рекламных рассылок.

«ВымпелКом» напоминает, что согласно условиям договора на клиента его услуги «Корпоративные SMS-сервисы», замеченного в распространении спама, может быть наложен штраф в размере до 50 тыс. рублей за каждый адрес рассылки.

Источник: «ВымпелКом»


Спам в сентябре 2013 года

Татьяна Щербакова,
эксперт «Лаборатории Касперского»

Мария Вергелис,
эксперт «Лаборатории Касперского»

Особенности месяца

После наступления в сентябре первых осенних холодов нами было зафиксировано огромное количество рассылок с самыми разнообразными предложениями по сокращению затрат на электроэнергию и по сохранению тепла в жилых помещениях. Они часто встречались как в Рунете, так и в англоязычном сегменте интернета. Немалую долю сентябрьских рассылок также составили предложения автострахования и реклама полиграфических услуг, в частности, календарей на 2014 год. Праздничный спам в сентябре рассылался, в основном, на английском языке и был приурочен к популярному на западе Дню всех святых.

Подготовка к 2014 году начинается с календаря

В сентябре полиграфические компании активно рассылали предложения об изготовлении разнообразных календарей на 2014 год. На календаре можно было разместить не только рекламу компании, но и виды городов, например Санкт-Петербурга. Некоторые рассылки имели несколько вариантов оформления: шаблон писем использовался один и тот же, но менялся цвет текста, графические рисунки и центральные надписи.

Семинары только для женщин

Обучение в формате семинара в последнее время стало очень популярным. Подобные занятия активно проводятся в самых разных сферах и могут быть ориентированы как на широкие группы людей, так и на специалистов в конкретной области. Конкуренция между организаторами семинаров вынуждает их тратить силы и средства на рекламу, некоторые из них не пренебрегают и спамом.  При этом предложения посетить тот или иной семинар могут рассылаться не только компаниям, работающим в сходной с тематикой семинара сфере, но и тем, кто далек от нее.

В сентябре мы зафиксировали ряд рассылок с рекламой семинарских занятий, направленных на женскую аудиторию интернета. Трудности поиска второй половинки, проблема создания крепкой семьи и счастливых взаимоотношений в браке актуальны для слабой половины человечества, и именно эти темы наиболее часто встречались в спам-рассылках. В основном рекламировались авторские семинары, в которых можно принять участие онлайн. Для привлечения внимания к рекламе спамеры использовали яркое оформление письма, в том числе цветовое выделение текста, графический спам и интригующую тему в поле subject.

Спамеры за экономию

С приходом осени и первых холодов закономерно увеличиваются расходы на отопление и электроэнергию. Именно на этом сезонном факте активно спекулировали спамеры. Одной из самых распространенных тематик незапрошенных рассылок в сентябре стали всевозможные способы сохранения тепла в жилищах и сокращения расходов на газ, воду и электроэнергию. Эта тематика пользовалась популярностью у спамеров как в Рунете, так и в англоязычном сегменте интернета. Небольшие различия наблюдались лишь в предлагаемых способах экономии.

В англоязычных рассылках, посвященных сокращению расходов на электроэнергию,  превалировали сообщения с рекламой установки на зданиях специализированных солнечных панелей – автономного источника электроэнергии.  В Рунете спамеры активно распространяли предложения по установке специальных энергосберегающих светильников и утеплению домов. Такие письма приходили с явно сгенерированных автоматически адресов, состоящих из бессмысленного набора букв. Также нам попадались письма, в которых рекламировался «революционный способ экономии электроэнергии». Ярко оформленное рекламное письмо содержало ссылку, привязанную к слову «Заказать». Кликнув по ссылке, пользователь попадал на сайт интернет-магазина, где можно было заказать «революционный» прибор. При этом адрес магазина в адресной строке браузера не соответствовал тому, который можно было увидеть в начальной ссылке из письма.

Более радикальные «экономы» предлагали посредством спама приборы для частичной или полной остановки счетчиков газа, воды и электричества. Подобная деятельность  подразумевает предоставление заведомо ложной информации в государственные органы и является противозаконной. Такие письма содержали контактные телефоны и короткие ссылки, которые менялись от письма к письму. Кликнув по ссылке, пользователь мог посмотреть рекламный ролик, размещенный на популярном сервисе YouTube.

Также с помощью спам-рассылок рекламировались услуги так называемого энергоаудита зданий – оценки и поиска методов сокращения энергозатрат помещений и построек. Такие письма, как и в одном из вышеуказанных примеров, приходили с автоматически сгенерированных адресов, состоящих из произвольного набора букв, а в качестве имени отправителя указывалось произвольное имя. Также сообщения содержали контактные данные спамеров для связи – номер телефона и электронную почту (отличную от той, с которой приходили письма).

Попадались нам и приглашения посетить семинары по теме оптимизации расходов на электроэнергию или теплоснабжение. Для участия в мероприятии получатель письма должен был зарегистрироваться, позвонив по указанным телефонам. При этом номера телефонов в сообщениях были сильно зашумлены с целью обхода спам-фильтров. Нередко подобные письма также содержали вложения в виде заархивированных файлов формата PDF с подробным описанием программы предлагаемых семинаров. Напомним, что архивы во вложениях – это также один из самых популярных способов распространения вредоносных программ.

Автострахование

Большой популярностью среди спамеров в прошлом месяце пользовалась тематика автострахования. Подобные рассылки мы  фиксировали и в Рунете, и в англоязычном интернете.

Англоязычные спамеры использовали тему автострахования как наживку - для привлечения внимания пользователей, у которых они пытались выманить персональные данные. В русскоязычных рассылках получателю предлагали приобрести полисы КАСКО и ОСАГО с большими скидками. При этом в письме не было никакой информации о страховой компании, оказывающей данные услуги, а сами письма представляли собой краткое объявление с контактами для связи.

Кроме того, мы фиксировали рассылки с предложениями юридических услуг при оспаривании принятого страховой компанией решения по выплате ОСАГО. Письма приходили с адреса на публичном почтовом сервисе от неизвестной организации, которая обещала взять на себя все вопросы по ремонту ТС в результате ДТП, а также по судебному процессу, связанному с неудовлетворительной выплатой страховой компенсации. Никаких ссылок в сообщении не было - в случае заинтересованности пользователю нужно было просто ответить на полученное письмо.

В очередной раз хотим обратить внимание пользователей, что услуги организаций и частных лиц, рекламируемые в спаме, могут обойтись им слишком дорого, не исключено, что такой спам рассылают и мошенники.

Географическое распределение источников спама

В сентябре 2013 года доля спама в почтовом трафике уменьшилась на 1,4% и составила 66,2%. В рейтинге стран - источников спама, распространяемого по всему миру, первая тройка осталась без изменений. На первом месте по-прежнему находится Китай (22%). По сравнению с прошлым месяцем его показатель увеличился на 1%. Второе место занимают США (18%): доля спама, рассылаемого из этой страны, напротив, сократилась на 1%. Третья позиция принадлежит Южной Кореей (14%), ее показатель уменьшился на 1,4%. В целом из этих трех стран в сентябре было разослано 54% мирового спама.

На 4-м месте, как и в прошлом месяце, расположилась Тайвань (6%), доля спама, разосланного из этой страны, увеличилась на 0,8%.

Почти на 2% выросла доля спама, рассылаемого из Индии(5%), что позволило стране подняться на 5-ю позицию с 8-й.

Как мы и прогнозировали, в сентябре в первой десятке оказалась Япония. Страна расположилась на 9-й позиции с показателем 2,4%. Замыкает первую десятку Канада (2%), поднявшаяся на две позиции вверх.

Уменьшение доли спама наблюдался в Белоруссии (0,8%), которая еще в прошлом месяце входила в первую десятку, а сейчас потеряла шесть позиций, а также в Германии (0,7%). 

Остальные страны не претерпели значительных изменений.

Ситуация с источниками спама в Рунете по итогам сентября выглядит следующим образом. Лидером среди стран - источников спама в Рунете в сентябре стал Вьетнам (13%), чей показатель за месяц  увеличился на 4,4%. Напомним, в прошлом месяце страна замыкала первую тройку. На 2-е место с 4-го переместилась Индия (13%), её показатель увеличился на 5,3%. На 3-м месте находится Тайвань (12,6%) – лидер августа, чей показатель в сентябре уменьшился на 0,5%. 

Несмотря на прирост в 1,4%, в сентябре первую тройку покинула Россия, она расположилась на 4-й позиции с показателем 11,5%.

На 2,3% сократилась в Рунете доля спама из США, сейчас страна занимает 6-е место с показателем 4,5%. Напротив, увеличились показатели Румынии (3%) и Болгарии (2,2%), последняя замыкает TOP 10.

А вот Китай в этом месяце покинул ТОР 10, и сейчас страна расположилась на 13-й позиции с показателем 1,6%.

Среди регионов лидером по распространению спама остается Азия (59%), её показатель увеличился на 4% по сравнению с прошлым месяцем. Далее следует Северная Америка (20%), которая в сентябре прибавила 2%. Замыкает первую тройку по-прежнему Восточная Европа (12%), чей показатель, напротив, сократился на 2%. Далее в списке расположились регионы Западная Европа (4%) и Латинская Америка (2,4%).

Вредоносные вложения в почте

В сентябре TOP 10 вредоносных программ, распространяемых по почте, претерпел серьёзные изменения: в него попало 5 новичков.

Неизменным осталось лишь положение зловреда Trojan-Spy.HTML.Fraud.gen, который вот уже несколько месяцев занимает 1-е место. Напомним, что Fraud.gen относится к семейству троянских программ, использующих спуфинг-технологию: подобные троянцы реализованы в виде поддельных HTML-страниц и рассылаются по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, софтверных компаний и т.д.

Целых четыре позиции, а именно 2-е, 3-е, 6-е и 9-е места, в сентябре занимают новички нашего списка - зловреды семейства Bublik. Основная функция программ такого типа – несанкционированная пользователем загрузка и установка на компьютер-жертву новых версий вредоносных программ. После выполнения задачи программа не остаётся в активном состоянии, однако копирует себя в папку %temp%. Маскируется под приложение или документ компании Adobe.

4-е место занял зловред Email-Worm.Win32.Bagle.gt. Программа-червь представляет собой исполняемый файл, распространяющийся в виде вложений в электронные письма. Рассылает себя по всем найденным на зараженном компьютере адресам электронной почты. Также червь обладает функцией загрузки файлов из интернета без ведома пользователя. Для рассылки зараженных сообщений Email-Worm.Win32.Bagle.gt использует собственную SMTP-библиотеку.

На 5-й позиции в сентябре находится Trojan-PSW.Win32.Fareit.xvf.  Это очередной новичок списка, предназначенный для кражи пользовательских аккаунтов (логин и пароль) с зараженных компьютеров. Самостоятельно скачивает собственные обновления, но не укореняется в системе, маскируется под документы и приложения Adobe.

7-е место занял Trojan.Win32.Llac.dleq. Основной функционал этой вредоносной программы заключается в слежении за пользователем. Зловред собирает информацию об установленном ПО (в основном, об антивирусах и файрволах), информацию о ПК (процессоре, ОС, дисках), перехватывает изображение с веб-камеры, перехватывает нажатия клавиш (кейлоггер), собирает конфиденциальную информацию из самых разных приложений.

На 8-й позиции уже знакомый нам Email-Worm.Win32.Mydoom.l. Напомним, что этот сетевой червь с функционалом бэкдора распространяется в виде вложений в электронные письма, через файлообменные сети и открытые на запись сетевые ресурсы. Адреса для рассылки писем червь собирает на зараженном компьютере. Для отправки письма червь осуществляет прямое подключение к SMTP-серверу получателя.

Замыкает ТОР 10 Email-Worm.Win32.Mydoom.m - еще один червь, рассылающий свои копии по электронной почте. Для поиска адресов жертв червь сканирует адресные книги MS Windows и кеш браузера Internet Explorer. Червь посылает скрытые поисковые запросы поисковым системам, открывает ссылки с первой страницы результатов поиска, содержащие адреса из списка, который загружается с серверов злоумышленников. Таким образом, червь накручивает посещение сайтов.

Среди стран по количеству срабатываний почтового антивируса по сравнению с прошлым месяцем тройка лидеров осталась неизменной: 1-е место вновь осталось за Германией (12,67%), США (11,33%) по-прежнему на 2-м месте, на третьем месте Великобритания, доля которой увеличилась по сравнению с августом и теперь составляет 9,86%.

Россия осталась на 9-й позиции, при этом доля срабатываний почтового антивируса в стране снизилась до 2,6%.

Стоит также отметить, что в TOP 10 в этом месяце вошла Саудовская Аравия (2,41%).

Особенности вредоносного спама

Под прицел злоумышленников редко попадают различные интернет- и телефонные провайдеры, однако в сентябре нами было зарегистрировано несколько вредоносных рассылок, использующих для обмана пользователей имена зарубежных компаний из этой сферы.

Имя британской телекоммуникационной компании BT Group спамеры использовали для рассылки троянца-загрузчика Trojan-Downloader.Win32.Dofoil, который скачивает и запускает вредоносные программы на компьютере жертвы. В поддельном письме сообщалось, что пользователь недавно поменял адрес электронной почты в личном кабинете и теперь он будет использоваться для оповещения об изменениях и обновлениях. Чтобы получить более подробную информацию получателю предлагали заглянуть во вложение, под видом которого скрывался троянец. Для того чтобы убедить получателя в легитимности письма, злоумышленники использовали легитимный, на первый взгляд, адрес отправителя и ссылку на официальный сайт компании. Однако отсутствие обращения и прикрепленный к письму исполняемый файл BT.Email Address Details.pdf.exe должны насторожить пользователя.

Подделки под уведомления от банков не являются редкостью, и в сентябре мы зафиксировали вредоносную рассылку якобы от имени банка Webster. На этот раз в письме сообщалось, что компания отслеживает все транзакции и клиентов, чтобы выявить подозрительные действия в платежной системе. Под видом отчета к письму был прикреплен троянец-загрузчик Trojan-Downloader.Win32.Angent. Для придания своим письмам легитимного вида злоумышленники рассылали их с поддельного адреса, похожего на официальный, а в теле письма была ссылка на реальную страницу сайта компании, а также автоподпись.

Фишинг

Рейтинг атакованных фишерами организаций не претерпел заметных изменений. В тройке лидеров, как и в августе, первую строчку продолжают удерживать социальные сети (28,1%).

Показатель почтовых сервисов (18,1%) увеличился на 0,8% и они по-прежнему занимают 2-ю строчку. 3-ю строчку занимают поисковые системы (16%), доля атак на организации этой категории снизилась всего на 0,1%.

Показатель финансовых и платежных организаций (14,9%) увеличился на 1%, и по итогам сентября данная категория осталась на 4-м месте.

ИТ-вендоры потеряли 0,5% и уступили 5-ю строчку в рейтинге телефонным и интернет-провайдерам, чей показатель, наоборот, увеличился на 0,6%.

В сентябре фишеры вновь обратили свое внимание на крупные банки Австралии и Новой Зеландии. Напомним, в июле 2013 года нами уже была зафиксирована рассылка поддельных уведомлений от имени банка Australia and New Zealand Banking Group. На этот раз фишеры попытались обмануть клиентов банка Westpack, одного из ведущих банков Австралии.

Для обмана жертвы злоумышленники не стали придумывать ничего нового, а обратились к обычной уловке. В поддельном письме сообщалось, что в рамках проверки безопасности сервиса онлайн банкинга были зафиксированы три попытки входа в аккаунт пользователя, поэтому доступ к нему был заблокирован. Для восстановления доступа к аккаунту злоумышленники просят открыть приложенный к письму файл. В архиве Westpac_form-413-217-9908.zip находилась HTML-страничка, на которой пользователю необходимо было заполнить поля с персональной информацией. Далее все введенные в эти поля данные отправлялись злоумышленникам.

Отметим, что хотя фишеры и использовали на страничке цвета официального сайта банка и логотип, однако общее оформление полностью не скопировали, а по верхним  вкладкам нельзя было переходить. Для обмана пользователя фишеры также указывали детальную информацию по аккаунту, например, IP-адреса, с которых якобы были зарегистрированы неверные попытки ввода пароля.

Заключение

Доля мирового спама продолжает снижаться, в сентябре она достигла отметки 66%. Как всегда, в этом месяце от внимания спамеров не ушли сезонные особенности, от которых зависит активность потенциальных потребителей рекламируемых товаров и услуг. Так, в сентябре увеличилось количество предложений, связанных с экономией электроэнергии и утеплением зданий. Не обошлось и без рассылок на тему популярных во всем мире праздников – Дня всех святых и Нового года. Причем уже в следующем месяце мы ожидаем увеличение доли спама новогодней тематики.

Как мы и прогнозировали, доля атак на социальные сети уменьшилась, а показатель финансовых и платежных организаций вырос. Однако эти изменения были незначительными, и рейтинг атакованных фишерами организаций не претерпел существенных изменений. Скорее всего, в октябре показатели социальных сетей продолжат снижаться, а количество атак на финансовые организации, наоборот, увеличится. Мы также заметили, что мошенники стараются сместить вектор атаки с уже привычных банков и служб курьерской доставки на различные телекоммуникационные компании.

Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное