Электронный журнал "Спамтест" No. 495 В этом номере: Новости Записки спам-аналитиков Новости Россияне и борьба с SMS-спамом По данным российского портала Superjob, проблема SMS-спама беспокоит большинство использующих мобильную связь россиян, и 29% из них активно борются с непрошеными рассылками. Больше половины абонентов спам получают, но терпят, отмечая: «А как можно бороться? Операторы говорят, что не могут ничего сделать». Случайными рекламными рассылками довольны лишь единицы, – в основном, подписчики на SMS-рекламу и сами спамеры, которые всегда готовы перенять «передовой опыт». Эти результаты были получены в ходе пользовательского опроса, проведенного исследовательским центром рекрутингового веб-сайта в середине ноября. В опросе приняли участие 1600 россиян старше 18 лет, проживающих в 280 населенных пунктах разных регионов. Все участники ведут экономически активную жизнь и пользуются услугами сотовой связи. Согласно итогам опроса, бороться с российским SMS-спамом в частном порядке можно разными методами. Большинство активных в этом отношении респондентов выражают свои претензии, звоня оператору; четверть блокируют номера отправителей с помощью черного списка. 22% регулярно чистят свой телефон от ненужных и непрочитанных сообщений, 15% звонят отправителю с просьбой вывести их номер из базы, 5% устанавливают запрет на короткие номера с помощью интернет-помощника, 3% используют службу приема жалоб оператора. Остальные стараются нигде не светить свой номер, ставят на смартфон специальные программы, жалуются в ФАС или просто высмеивают спамеров в Сети. Есть и такие счастливчики, которые никогда не получали рекламных SMS, – среди опрошенных таких оказалось 5%; часть из них, как выяснилось, просто отключили в телефоне SMS-функционал. Участников опроса, затруднившихся с ответом (11%), проблема текстового спама мало тревожит. Либо у них крепкие нервы («Не обращаю на них внимания»), либо количество непрошеной рекламы, пока не превышает пределов разумного («У нас рассылки не слишком назойливы, я их сразу же удаляю»). В своих комментариях большинство респондентов отметили необходимость принятия в РФ закона о защите абонентов от SMS-спама: «Терплю на грани борьбы, и очень поддерживаю этот закон, ибо достали эти спамщики реально!» Источник: Superjob Symantec: активность спамеров растет Согласно статистике Symantec, уровень спама в почтовой корреспонденции продолжает повышаться. В октябре 2013 года он составил 67,7%, что на 1,3 процентных пункта больше, чем в сентябре. Наиболее высокие показатели наблюдались в Шри-Ланке (81,2%), а также в сфере образования (68,8%) и в химико-фармацевтической промышленности (68,6%). Рейтинг стран-лидеров по рассылке почтового мусора возглавили США, вклад которых в октябрьский спам-трафик составил 6,90%. Второе место в этом непочетном списке заняла Финляндия (6,87%). По данным Symantec, на долю ведущей десятки стран-источников в октябре пришлось более 53% нелегитимных сообщений. В тематическом составе мусорной почты преобладал фармаспам (69,4% общего количества), поток рекламы порносайтов и предложений знакомств был тоже заметным, хотя и втрое меньше по объему (23,6%). Данные Symantec о размерах спам-сообщений и используемых спамерами TLD-доменах в отчете представлены с отставанием в один месяц. Согласно статистике компании, около двух третей сентябрьских спам-писем (60%) превышали 10 КБ, тогда как в августе на их долю приходилось лишь 32,9%. Объемы коротких, до 5 КБ посланий заметно снизились: 19,6% против 33,1%. Среди TLD-доменов, обнаруженных в спамерских ссылках, по-прежнему преобладает .ru (37,92%), уверенно опережая .com (30,82%). Концентрация фишинговых сообщений в почте уменьшилась до 1 письма на 1134,9 – против 1 на 1055,7 в сентябре. Наиболее часто фишеры атаковали жителей Австралии (1 письмо на 370,9), а также представителей госсектора (1 на 460,2). Основная масса фишинговых сообщений исходила с территории США (31,84%), Германии (18,79%), Великобритании (16,22%) и Южной Африки (15,23%). Больше половины обнаруженных экспертами фишинговых сайтов были созданы автоматизированными средствами. 76,9% подделок имитировали ресурсы финансовых организаций, 15,3% – сайты информационных веб-сервисов. Число вредоносных сообщений тоже сократилось, в октябре зараженным было 1 письмо из 436,7, тогда как в предыдущем месяце – 1 из 383,1. Наиболее высокая концентрация вредоносных сообщений наблюдалась на территории Великобритании (1 на 240,7), а в разделении по отраслям хозяйственной деятельности – в госсекторе (1 на 179,4). Основными источниками зловредных писем являлись британские (38,18% общей массы) и американские (33,31%) компьютеры. Источник: Symantec Facebook судится со спамером-рецидивистом Руководство Facebook подало в Калифорнии иск против американца Кристофера Тарквини (Christopher Peter Tarquini), обвинив его в нарушении пользовательского соглашения, а также местных и федеральных законов о защите компьютерных ресурсов. По утверждению истца, ответчик с 2008 года докучает участникам социальной сети, угоняя аккаунты и распространяя порноизображения, а также мошеннические сообщения со ссылками на стороннюю рекламу, которая приносит ему доход. В исковом заявлении указано, что Тарквини создал и использовал скрипты для публикации «вводящих в заблуждение сообщений, изображений и ссылок» на страницах Facebook, а также для кражи пользовательских маркеров доступа. В ответном письме держателям социального сервиса спамер признал, что делится этим специализированным софтом со своими «коллегами по цеху». «Ответчик Кристофер Питер Тарквини является закоренелым спамером и нарушителем правил использования сервисов Facebook, – заявил истец. – Тарквини разработал и провел в жизнь изощренную схему, забросав пользователей Facebook сообщениями, якобы указывающими на порнографические изображения знаменитостей. На самом деле он дезинформирует пользователей. При клике на такое сообщение (или связанную с ним картинку) его копии автоматически расшариваются по списку друзей, а веб-браузер кликнувшего пользователя перенаправляется на маркетинговый сайт, который платит Тарквини и Ко за привлечение трафика. Коротко говоря, те пользователи Facebook, которые кликают на вводящие в заблуждение сообщения Тарквини, мгновенно, и без своего ведома или согласия, становятся невольными соучастниками и жертвами его мошеннической схемы». В качестве одной из приманок Тарквини предлагал пользователям Facebook посмотреть откровенные сцены с участием Джастина Бибера и американской поп-дивы и актрисы Селины Гомес. Пройдя по ссылке, пользователь, по свидетельству истца, видел размытое изображение, похожее на кликабельный кадр из некоего видеоролика. При его активации посетителю предлагалось ввести свой маркер доступа, чтобы получить некий код, якобы подтверждающий, что тот не бот. Выманив таким образом идентификатор пользователя, Тарквини использовал его аккаунт для распространения мошеннических ссылок от имени жертвы. Facebook, по ее словам, затратила тысячи долларов, чтобы выследить и остановить злостного спамера. Ему высылали предупреждения, закрывали аккаунт и деактивировали его приложения, пытались блокировать ему доступ к разным сервисам, однако Тарквини из раза в раз возвращался на сайт, регистрировал другой профиль и вновь принимался за свое. Отчаявшись справиться с упрямцем своими силами, Facebook обратилась к властям. Компания ходатайствует о наложении судебного запрета на противоправную деятельность и надеется навсегда отлучить Тарквини от своей социальной сети. Истец также просит наложить на ответчика штраф и взыскать с него компенсацию за моральный ущерб и убытки, понесенные веб-сервисом в результате его мошеннических действий. Источник: Courthouse News Service McAfee о почтовых угрозах в III квартале По наблюдениям McAfee, в мае и июне спамеры несколько умерили свою активность, а в июле-сентябре поток нелегитимных сообщений возрос более чем в 2 раза. К концу третьего квартала эксперты зафиксировали около 4 млрд. спам-писем – согласно их оценке, это самый высокий показатель за последние три года. В июле-сентябре объемы почтового мусора, исходящего с территории Китая и Италии, увеличились более чем в полтора раза. Казахстан, Беларусь и Украина, напротив, снизили свои показатели на 61%, 55 и 51% соответственно. Наиболее популярной тактикой распространения спама в отчетный период являлись так называемые snowshoe-рассылки, которые отличает большое количество источников (IP-адресов) и высокая их ротация. В большинстве наблюдаемых стран snowshoe-сообщения составляли до 85-95% спам-потоков с наиболее популярными темами. При этом в Беларуси преобладают «нигерийские» письма, в Австралии и США – поддельные уведомления о недоставке письма, в России – реклама фармацевтических изделий и предложения знакомства с «перспективной невестой». Атакующие американцев спамеры также часто используют в качестве приманки горячие новости, предложения трудоустройства и сомнительные услуги по безрецептурному отпуску лекарственных препаратов. Общее количество подозрительных URL, заносимых в базу McAfee, к концу сентября превысило 85 млн., что на 14% больше, чем в предыдущем квартале. Каждый месяц эксперты фиксировали в среднем 3,5 млн. новых ссылок, привязанных к 330 тыс. доменов и ассоциированных с криминальной деятельностью. В большинстве случаев эти ссылки вели на зараженный сайт, 3,5% URL были связаны с фишингом, 0,4% засветились в спам-рассылках или в публикуемых спамерами блогпостах и комментариях. В рейтинге стран-хостеров спамовых URL с большим отрывом лидируют США, за ними следуют Китай, Германия и Россия. Исследователи при этом отмечают, что на уровне доменов пропорции выглядят несколько иначе: на фишинг пришлось 20% новых находок, на спам – 4%. Наиболее «урожайным» на фишинговые URL оказался последний квартал 2012 года. В первой половине 2013 года число новых находок, связанных с фишингом, резко снизилось, а в минувшем квартале вновь начало расти. Большинство фишинговых URL привязаны к американскому хостингу. Подделки фишеров имитируют, в основном, веб-ресурсы аукционов, финансовых институтов или правительственных учреждений. Общее количество резидентных спам-ботов, по оценке McAfee, с мая прошлого года показывает тенденцию к снижению. В отчетный период наибольшее число таких заражений было обнаружено в июле – 5 млн. В сентябре этот показатель опустился ниже отметки в 4 млн. Лидером по численности является Cutwail; в большинстве наблюдаемых стран на его долю приходится больше половины активных спамботов. Второе место занимает Kelihos (менее четверти совокупных заражений), популяция которого с августа вновь начала расти. Третью ступень занимает Slenfbot, за которым с большим отрывом следуют Maazben и Festi. Большие концентрации спамботов Cutwail обнаружены в Казахстане, Южной Корее, США, Индии, Австралии; Kelihos – в Германии, Китае, странах Латинской Америки. Slenfbot прочно обосновался в Беларуси. Источник: McAfee Опекавший спамеров регистратор лишен аккредитации Регулятор адресного интернет-пространства ICANN аннулировал полномочия Dynamic Dolphin, регистратора доменных имен, давно порицаемого за связь с киберкриминалом. Как оказалось, фактическим владельцем Dynamic Dolphin является некогда известный спамер Скотт Рихтер (Scott Richter), который в 2003 году был в судебном порядке уличен в сбыте краденого. Неутомимый блогер и исследователь Брайан Кребс поднял это уголовное дело и указал ICANN на судимость Рихтера, которая и послужила основанием для отзыва аккредитации его компании. Все домены, зарегистрированные через Dynamic Dolphin, будут в течение месяца переданы на попечение другого регистратора. Лет 5-10 назад имя Рихтера с завидной регулярностью появлялось на страницах хроник судебных процессов. Из-за спама с ним судились такие крупные игроки интернет-рынка, как Facebook, Microsoft, MySpace, и судьи каждый раз взыскивали с ответчика и его компаний многомиллионные суммы. Спустя некоторое время некоммерческая организация Knujon обнаружила, что большинство спамерских сайтов можно легко заблокировать, так как они размещены в доменах, контролируемых небольшим числом регистраторов. Одним из таких потворщиков спамерам, согласно Knujon, являлась калифорнийская компания Dynamic Dolphin – собственность CPA Empire, которая, в свою очередь, принадлежала Media Breakaway LLC, детищу Рихтера. Справедливости ради надо отметить, что после ряда гражданских исков против Рихтера Dynamic Dolphin исчезла с радаров антиспамерской организации. Кребс, со своей стороны, неоднократно обращался в ICANN с просьбой проверить репутацию руководителя Dynamic Dolphin, и на сей раз его вмешательство произвело требуемый эффект. «До проверки [распределения голосующих акций] ICANN не знала, что Скотт Рихтер является 100%-ным владельцем-бенефициаром Dynamic Dolphin, – отмечено в факс-уведомлении ICANN об отзыве аккредитации. – На основании результатов этой проверки ICANN решила пересмотреть заявку на получение аккредитации от 2011 года. В противоречие пункту В раздела II Положения о политике аккредитации регистраторов Dynamic Dolphin не указала в своей заявке, что Скотт Рихтер является 100%-ным владельцем-бенефициаром Dynamic Dolphin, а также что в 2003 году Скотт Рихтер был признан виновным в совершении уголовного преступления, связанного с финансовой деятельностью». Комментируя запоздалую реакцию ICANN, Кребс, тем не менее, отметил, что это уже второй случай, когда данная организация применила санкции к нарушителю с его подачи. В 2008 году после ряда разоблачительных публикаций, в том числе за авторством Кребса, ICANN досрочно расторгла соглашение об аккредитации с EstDomains, президент которой, Владимир Цацин, тоже имел судимость за совершение экономических преступлений. Три года спустя Цацина арестовали и обвинили в использовании противоправных методов получения прибыли средствами интернета, а именно в причастности к деятельности многомиллионного ботнета DNS Changer. Источник: Krebs on Security Абоненты «Билайн» смогут отказаться от спама по отдельному номеру В конце ноября ОАО «ВымпелКом» и его партнеры, SMS-агрегаторы, планируют запустить единую абонентскую службу, позволяющую отписаться от нежелательных сообщений. По замыслу авторов проекта, абоненты будет направлять свои заявки на определенный номер, указывая адрес отправителя (четырехзначный или буквенно-цифровой номер), рассылки которого его не устраивают. Отписаться можно будет не только от спама, но и от любых утративших актуальность рассылок, на которые пользователь когда-то давал согласие. «Решение проблемы SMS-спама сегодня – одна из наиболее приоритетных задач для российского телеком-рынка, – комментирует Алексей Назаров, директор по маркетингу бизнес-сегмента «ВымпелКома». – Количество нежелательных SMS в сетях всех операторов значительно возросло по сравнению с прошлым годом, и мы видим, насколько сильно это беспокоит наших абонентов. В условиях, когда у операторов недостаточно легитимных способов для блокировки SMS-спама, мы хотим дать нашим клиентам дополнительный способ управления входящими сообщениями. Уверен, простой механизм отписки от неактуальных для абонента SMS станет дополнительным эффективным инструментом решения этой проблемы». «Сегодня у абонента нет четкого понимания, куда писать или звонить, если он когда-то дал согласие на получение тех или иных SMS, но на каком-то этапе перестал быть в них заинтересован, – вторит Назарову Анна Кашницкая, управляющий директор A1 SMS Market. – Не говоря уж о тех SMS, которые приходят от неизвестных отправителей и без согласия абонентов. В данном контексте создание единого номера для отписки – это не только эффективный инструмент повышения прозрачности предоставления услуг SMS-агрегаторов, но шаг навстречу потребностям клиентов». Единый механизм отписки от SMS-сообщений будет запущен в рамках совместной программы по противодействию спаму, взятой на вооружение оператором и его партнерами в текущем году. Ее участники уже трудятся над созданием единой базы данных спамеров и планируют наладить обмен списками исключений, принятых у агрегаторов для усовершенствования общих интеллектуальных фильтров. Источник: «Билайн» Записки спам-аналитиков Чемпионат мира по футболу: розыгрыш начинается Татьяна Куликова, эксперт «Лаборатории Касперского» В 2014 году в Бразилии пройдет 20-й Чемпионат мира по футболу под эгидой FIFA. А пока спортсмены тренируются и вырабатывают тактику игры в преддверии этого события, мошенники решили проявить инициативу и заработать немного денег, видимо, чтобы купить билеты на матчи чемпионата. Результатом их инициативы стала рассылка мошеннических писем, в которых говорилось о том, что компания «Кока-Кола», официальный спонсор 20-го Чемпионата мира, провела розыгрыш денежной лотереи, посвященной годовщине популярного спортивного состязания. И вот теперь победитель лотереи, которым, естественно, является получатель письма, может забрать свой миллион фунтов-стерлингов, связавшись с официальным представителем организаторов. Но, несмотря на усилия мошенников, поддельное извещение можно было легко отличить от настоящего. Во-первых, спамеры выбрали несколько необычный для официальных уведомлений формат – письмо целиком состояло из картинки в формате JPEG. Видимо, это было попытка обмануть спам-фильтры, анализирующие текстовое содержимое письма. По той же причине лотерея ни словом не упоминалась в заголовке письма. Во-вторых, формат несуществующей лотереи был весьма странным – для получения приза даже не надо было участвовать в розыгрыше, миллион фунтов-стерлингов получал выбранный случайный образом пользователь интернета. В третьих, очень подозрительно выглядели адреса электронной почты, по которым предлагалось связаться с агентами комитета по выдаче призов, - они располагались на известных бесплатных хостингах. Так что прежде чем обращаться к подобным «агентам» в надежде получить вожделенный приз, стоит тщательно изучить письмо и представить возможные убытки. Скорее всего, окажется, что на деньги, которые мошенники попросят им передать  в качестве оплаты «организационных расходов» на транзакцию выигрыша, вполне можно купить пару билетов на сам Чемпионат мира по футболу. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Фото со зловредом прилагаю Татьяна Щербакова, эксперт «Лаборатории Касперского» Поддельные уведомления  от имени различных финансовых и банковских организаций, служб бронирования билетов и отелей, служб доставки и других компаний активно используются спамерами для распространения вредоносных программ.  При этом арсенал уловок киберпреступников  постоянно пополняется. В частности, за последнее время мы зафиксировали ряд рассылок на английском и немецком языках, в которых злоумышленники пытаются замаскировать вредоносные программы под  фотографии и картинки. В октябре злоумышленники от имени T-Mobile, оператора сотовой связи в Германии, рассылали поддельные уведомления, сообщающие о получении пользователем MMS. Для придания письму легитимности в адресе отправителя использовался официальный домен компании, тогда как на самом деле письмо было отправлено с другого адреса. В теле письма указывался номер телефона отправителя MMS и общая информация, касающаяся отправки и получения мультимедийного сообщения. Предназначенная получателю уведомления «фотография» под названием «23-10-2013 13_64_09.jpeg.exe» находилась не в теле письма, а в приложенном к нему архиве «23-10-2013 43_69_10.zip». В названии вредоносного файла мошенники использовали популярный формат графических файлов JPEG, это должно было убедить получателя в том, что в архиве на самом деле картинка. Однако внимательный пользователь обратит внимание, что настоящее расширение файла - .exe. Данный исполняемый файл детектируется «Лабораторией Касперского» как Backdoor.Win32.Androm. Эта программа-бот позволяет злоумышленникам удаленно выполнять команды на зараженном компьютере, например, скачивать и запускать другие вредоносные программы без ведома его владельца. Позже, в ноябре спамеры использовали для рассылки вредоносных писем название популярного сервиса для  обмена фотографиями и видеозаписями Instagram. Из поддельного уведомления, отправленного от имени представителей этого сервиса, пользователь узнавал, что фотография с ним была выложена в Instagram. Для просмотра снимка получатель письма должен был открыть ZIP-архив, где под видом графического файла «Photo DIG9048599868.jpeg.exe» скрывалась вредоносная программа Trojan.Win32.Neurevt. Данный многофункциональный бот  осуществляет кражу сохраненных в браузере данных (cookie и пароли), введенных на сайтах логинов и паролей, а также кодов от игр. Кроме того, он используется для загрузки на компьютер и запуска различных программ, а также для организации ботнетов для DDoS-атак. Одной из характерных особенностей бота является продвинутый функционал для противодействия разным защитным решениям. Например, он может блокировать запуск антивирусного ПО и сервиса Windows Update, мешать пользователю заходить на веб-ресурсы антивирусных компаний. Другая уловка злоумышленников, не связанная с известными компаниями или сервисами, была зарегистрирована нами в ноябре. Письма вредоносной рассылки имитировали личную переписку, в ходе которой друзья обмениваются фотографиями. Заголовок письма предлагал получателю посмотреть некую фотографию, его собственную или друга/подруги, а в теле письма использовались лишь смайлики и звукоподражательные слова. Адреса отправителей были сгенерированы автоматически, хотя и содержали имена людей. Как и в других подобных рассылках, к письму прилагался архив с «фотографией», которая на самом деле являлась исполняемым файлом с двойным расширением. «Лаборатория Касперского» детектирует этот файл как Trojan-Downloader.Win32.Agent - троянец,  устанавливающий на компьютер жертвы фальшивую антивирусную программу. В результате на зараженном компьютере пользователя постоянно появляются всплывающие уведомления об обнаружении вирусов, для удаления которых пользователю необходимо купить полную версию «антивируса».  Файл с лже-антивирусом детектится нами как Trojan-FakeAV.Win32.SmartFortress2012.ambh. Следует отметить, что вредоносный файл в архиве имеет  расширение .scr, обычно свойственное экранным заставкам Windows . Данный тип файлов, также как и расширение .exe, относится к исполняемым файлам, и может использоваться спамерами для установки вредоносных программ. Получить доступ к компьютеру жертвы - одна из главных целей злоумышленников, рассылающих вредоносные письма, и для ее достижения спамеры чаще всего используют любопытство и невнимательность пользователей. Зараженный компьютер не только является источником ценной персональной информации, но и может использоваться для организации атак на других пользователей Интернет или крупные организации и компании. Избежать возможных неприятностей помогут внимательность и антивирусные решения.  Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013