Электронный журнал "Спамтест" No. 496 В этом номере: Новости Записки спам-аналитиков Новости Commtouch оценила ноябрьский улов За минувший месяц Commtouch завела в свою базу почти 344 тыс. новых веб-сайтов, связанных с криминальной деятельностью. В среднем эксперты фиксировали порядка 11,5 тыс. новых угроз в сутки, включая предназначенные для кражи паролей и личных данных, автоматической генерации спама, проведения DDoS-атак и шифровки важных документов с целью получения выкупа. Согласно данным облачного сервиса GlobalView Cloud, половина ноябрьских находок использовалась для раздачи вредоносных программ, 56,5 тыс. были задействованы в спам-рассылках, 114,1 тыс. являлись фишерскими ловушками. По свидетельству экспертов, фишеры и распространители зловредов предпочитают размещать свои страницы на легальных площадках, скомпрометированных в результате хакерских атак. Вредоносные сайты, как правило, содержат тот или иной набор эксплойтов. Большинство фишинговых ресурсов используются для проведения атак на клиентуру PayPal, хотя число имитаций Google-сервисов тоже растет. Эксперты отмечают, что краденые идентификаторы к аккаунтам Google открывают злоумышленникам доступ ко всем связанным службам этой компании. Источник: Commtouch Покупатели, будьте бдительны! «Почта России» предупреждает пользователей об учащении случаев недоставки купленного в Рунете товара. Ввиду приближающихся праздников покупателей призывают быть особо внимательными, всегда проверять репутацию интернет-магазинов и использовать наиболее безопасные системы оплаты. Схема обмана, жертвами которого становятся все больше россиян, выглядит следующим образом. Покупателю, оформившему заказ в отечественном интернет-магазине, продавец высылает копию почтового чека-квитанции, якобы подтверждающего отправку посылки, и просит оплатить товар. Через какое-то время истомленный ожиданием пользователь подает в почтовое отделение связи заявление на розыск. В ходе проверки выясняется, что квитанция является поддельной и отправление с подобным номером никогда не существовало. Более того, при попытке розыска отправителя обнаруживается, что данного интернет-магазина не существует и привлечь к ответственности некого. Во избежание неприятностей «Почта России» рекомендует пользователям посещать только проверенные площадки, отмечая, что крупнейшие российские интернет-магазины работают по системе наложенного платежа. Такая система предполагает оплату товара по факту его поступления в отделение почтовой связи, гарантируя таким образом безопасность совершения покупки. Подлинность квитанции, присланной интернет-магазином, можно проверить в ближайшем отделении почтовой связи, отследить статус посылки – на сайте «Почты России» или через горячую линию 8 800 200 58 88. Источник: «Почта России» Корейские спецслужбы обвиняются в рассылке спама Федеральная прокуратура Южной Кореи представила доказательства причастности Национальной разведслужбы (National Intelligence Service, NIS) к публикации более 1,2 млн. твитов с целью повлиять на исход прошлогодних президентских выборов. По свидетельству прокуратуры, спам-рассылки проводились автоматизированными методами; часть этих твитов восхваляла кандидата Пак Кын Хе, которая в итоге стала первой корейской женщиной-президентом, прочий спам намекал на северокорейские связи ее конкурентов. Установлено, что NIS осуществляло спам-рассылку, используя 26,55 тыс. шаблонов. В текстах, нацеленных на подрыв репутации оппонентов Пак Кын Хе, зачастую менялось только имя. Пока не понятно, повлияла ли данная спам-кампания на результаты выборов, однако прокуратура уже выдвинула обвинения против ее предполагаемых организаторов, включая бывшего директора NIS Вон Се Хуна. Одновременно запущено расследование в отношении четырех офицеров киберкомандования министерства обороны, которые подозреваются в причастности к аналогичной спам-кампании. По имеющимся свидетельствам, в конце прошлого года этот квартет разослал около 23 млн. твитов в пользу лидера выборной гонки. Причастна ли сама Пак Кын Хе ко всем этим спам-рассылкам, неизвестно; сама она утверждает, что ничего не знала о предвыборной Twitter-кампании, и пообещала предотвращать любые попытки вмешательства спецслужб во внутренние дела страны. NIS, со своей стороны, заявило, что массовая публикация твитов была частью рутинного противостояния северному соседу в киберпространстве. Источник: The Verge Европейцев волнуют вопросы кибербезопасности Согласно результатам оффлайн-опроса, проведенного в мае-июне 2013 года по заказу Еврокомиссии, 76% жителей стран ЕС признают, что за последний год риски в отношении кибератак увеличились. Растет и степень осознания этих рисков: хорошо информированными сочли себя 44% участников опроса против 38% в прошлом году. Также, 70% опрошенных уверены, что им по плечу шопинг и работа с банковским счетом в Сети, однако пользуются подобными сервисами лишь 50%. Тех, кто воздерживается от переноса такой активности в интернет, сильно смущают две вещи: возможность нецелевого использования персональных данных (37% респондентов) и ненадежность систем онлайн-платежей (35%). «Этот опрос показал, что киберпреступность разрушительным образом влияет на использование интернета, – отмечает комиссар по внутренним делам ЕС Сесилия Мальмстрём (Cecilia Malmström), – слишком многие избегают пользоваться теми широкими возможностями, которые он предоставляет. Такое положение дел тормозит развитие нашей цифровой экономики и всей жизни онлайн. Чтобы выбить почву из-под ног организованной онлайн-преступности, необходимо укреплять сотрудничество участников ЕС, взяв за основу результаты работы Европейского центра по борьбе с киберпреступностью». Новый опрос также показал, что за минувший год 12% респондентов стали жертвой взлома почтового аккаунта или профиля в социальной сети, столько же не смогли пробиться на сервисы из-за кибератак. 10% опрошенных пострадали от онлайн-мошенничества, 7% – от действий кардеров или грабителей онлайн-счетов, у 6% украли все личностные данные (identity theft). Около трети участников опроса отметили, что получали мошеннические письма, причем 7% – что в их почте они нередки. Больше всего опасений у европейцев вызывает сохранность персональной информации. Из-за этого 87% респондентов стараются не раскрывать свои данные в Сети, 70% не доверяют защите веб-сайтов, 64% – веб-сервисам госструктур. Возможность кражи личности тревожит 52% участников опроса, банковского мошенничества – 49%, взлома аккаунтов 45%, мошеннических писем и звонков 43%, онлайн-фрода 42%. Остаться без доступа к сервисам в результате кибератаки боятся 37% опрошенных. Столкнувшись с киберпреступлением, большинство европейцев обращаются в полицию, особенно в случаях identity theft (84% респондентов) или банковского мошенничества (79%). В целом пользователи в этом регионе стали более осмотрительными: 34% участников опроса признались, что стали реже вводить персональные данные на веб-сайтах, 40% взяли за правило не открывать письма от незнакомых отправителей, 46% установили антивирус. Тем не менее, за истекший период лишь 48% опрошенных меняли свои пароли, хотя прошлогодний показатель был еще ниже (45%). В инициированном ЕС опросе приняли участие порядка 27,7 тыс. пользователей из всех стран-участниц Евросоюза. Больше половины из них заходят в Сеть хотя бы раз в сутки, используя лэптоп или нетбук (62% пользователей), ПК (53%), смартфон (35% против 24% в прошлом году), планшет или тачскрин (14%, ранее 6%). 28% опрошенных указали, что интернетом вообще не пользуются. Европейские пользователи интернета посещают социальные сети (53%), покупают товары и услуги (50%), распоряжаются своими банковскими счетами (48%), занимаются продажами (18%). Онлайн-активность и осведомленность о рисках у жителей разных стран неодинаковы. Самыми ярыми поклонниками виртуальной жизни являются шведы, голландцы и датчане. Они не боятся посещать интернет-магазины, охотно пользуются системами онлайн-банкинга, считают, что хорошо разбираются в вопросах безопасности, и достаточно уверены в своей защищенности. Португальцы, румыны и венгры используют интернет в значительно меньшем объеме; многие из них не уверены в том, что обладают адекватной информацией об интернет-угрозах. Источник: European Commission Преступную группу проследили до Нигерии Компания Trend Micro опубликовала результаты исследования деятельности нигерийской ОПГ, промышляющей фишингом, рассылкой «нигерийских» писем и сбором пользовательской информации с помощью троянца ZeuS и его итерации, известной как Ice IX. Экспертам удалось идентифицировать трех участников этой группировки, которые пока на свободе, и обнаружить несколько центров управления зловредами. По мнению исследователей, данная ОПГ является частью более крупной организации, действующей на территории разных стран. Проведенное Trend Micro исследование показало, что все участники группы базируются в Нигерии, преимущественно в Лагосе. Они действуют слаженно, хотя в группе присутствует разделение обязанностей, и охотно делятся друг с другом информацией и инструментарием. Географический разброс их мишеней велик и включает Индию, США и Германию. Двое из трех установленных соучастников отвечают за распространение троянцев-банкеров и функционирование построенных на их основе ботнетов. Эти «технари» обеспечивают веб-хостинг, регистрируют и угоняют домены, поднимают C&C-серверы взамен заблокированных, и делают это очень оперативно. Все используемые Ice IX домены привязаны к TLD-зоне co.za (ЮАР); численность ботнетов невелика, от десятка до двух сотен. Примечательно, что для связи с C&C сообщники используют местные зараженные компьютеры, которые в этом случае работают как SOCKS-прокси, причем ботоводы считают это достаточным, чтобы скрыть все следы. Третий житель Нигерии, которого удалось идентифицировать, занимается рассылкой поддельных писем, представляясь работником крупного банка и прося у получателей помощи по выводу неких невостребованных депозитов за рубеж. Такие сообщения нацелены на вовлечение адресата в переписку, в ходе которой у него под разными предлогами выманивают деньги и персональные данные, включая финансовую информацию. Спам-рассылки данная ОПГ проводит с помощью специального инструмента, известного как PHP mailer, и использует несколько адресных списков. В двух из них Trend Micro совокупно насчитала более 1 млн. американских и канадских адресов. Эксперты также обнаружили три разновидности фишинговых страниц, созданных данной группировкой. Одни из них замаскированы под веб-сервис Scottrade.com, владельцем которого является частная американская компания, занимающаяся посредничеством в сфере розничной торговли. Другие подделки фишеров имитируют страницу регистрации популярного в Корее поисковика Daum.net или широко известного сайта знакомств Match.com. Источник: Softpedia «Яндекс.Почта» включила SSL/TLS в обе стороны Веб-сервис «Яндекс.Почта» внедрил функцию шифрования по SSL/TLS на уровне межсерверных SMTP-соединений, причем как для входящих, так и для исходящих сообщений. Теперь при отправке писем с Яндекс.Почты система проверяет, может ли почтовый сервис получателя принять письмо по защищенному от перехвата соединению. При положительном отклике обмен сообщениями происходит по SSL/TLS-протоколу. «Шифрование соединения между человеком и почтой уже довольно распространено среди массовых сервисов, однако переписка между почтовыми системами часто шла в незащищённом виде», – отмечено в блоге «Яндекса» на Хабрахабр. В настоящее время SSL/TLS-шифрование поддерживают многие корпоративные почтовики, но обычно лишь для исходящих писем. Из крупных email-сервисов шифрование на уровне межсерверного общения поддерживают единицы (например, Gmail). Поддержку SSL/TLS «Яндекс» запустил еще в 2009 году, но в SMTP шифрование осуществлялось лишь при приеме писем из почтовых программ. Два года спустя опция HTTPS (HTTP с шифрованием) появилась в веб-интерфейсе mail.yandex.ru, а в текущем году доступ к почте по HTTPS стал обязательным. Шифрование для межсерверных соединений было запущено в конце ноября, и в настоящее время около 30% трафика «Яндекс.Почты», по данным компании, шифруется в обе стороны. Источник: «Хабразабр» В Нижнем Новгороде оштрафован распространитель нелегитимной SMS-рекламы Нижегородское УФАС постановило взыскать с ООО «Пирамида» 100 тыс. рублей штрафа за рассылку текстовых сообщений с нарушением федерального законодательства. Расследование данного инцидента было проведено по жалобе местного жителя, который в минувшем августе получил SMS с рекламой услуг кафе «Абу-Даби». Заявитель при этом указал, что согласия на получение подобных сообщений он не давал. В соответствии с ч. 1 ст. 18 ФЗ «О рекламе» распространение коммерческой рекламы по сетям электросвязи, включая каналы сотовой связи, допускается лишь при наличии предварительного согласия получателей. Ответственность распространителя рекламы за нарушение этого требования оговорена в ч. 7 ст. 38 того же законодательного акта. В свое оправдание директор «Пирамиды» заявил, что «общество разово проводило рекламную акцию, SMS-сообщения должны были получить только клиенты кафе «Абу-Даби», однако, возможно, произошла ошибка при наборе номера». По его словам, компания уже приняла меры по прекращению нарушения и удалила номер заявителя из базы рекламных рассылок. Тем не менее, антимонопольщики признали SMS-рекламу «Абу-Даби» ненадлежащей и наложили соответствующий штраф на ее распространителя – ООО «Пирамида». Источник: УФАС по Нижегородской области Записки спам-аналитиков Любовный треугольник с одним неизвестным Татьяна Куликова, эксперт «Лаборатории Касперского» Маскировка вредоносных писем под весточку от друга или коллеги — весьма популярный у злоумышленников прием. Но иногда в потоке одинаковых коротких посланий, состоящих из «привет!» и смайлика, встречаются более креативные варианты. Например,в одной из недавно обнаруженных нами рассылок злоумышленники решили использовать в качестве прикрытия сюжет любовного треугольника. Автор письма извещал получателя о том, что вторая половинка последнего более не хочет с ним общаться, поскольку встретила другого (т.е. автора письма) и отныне счастлива с ним. Далее следовала просьба не разрушать счастье любящих сердец скандалами и ненужными разговорами, а просто отойти в сторону. В подтверждение своих слов автор предлагает посмотреть видео, на котором якобы запечатлено совместное времяпрепровождение новоявленных любовников. Упомянутое видео запаковано в архив «video.zip»и приложено к письму.Обратите внимание, как ловко у составителей сообщения получилось избежать конкретизации пола участников любовного треугольника (и тем более их имен), что сделало письмо универсальным для любого получателя. Расчет злоумышленников прост — ревнивый получатель потеряет голову от неожиданной вести и, не задумываясь о последствиях, запустит вложенный файл. Но, как бы велико ни было искушение, мы категорически не рекомендуем этого делать, ведь вместо видео с доказательством измены во вложении находится зловред семейства Andromeda. Задачей этого бота является скачивание с сервера злоумышленников файлов, в том числе вредоносных программ, и их запуск без ведома пользователя. Поэтому не спешите верить всему, что пишут анонимные отправители, особенно если в письме отсутствуют личное обращение и конкретная информация. Составители подобных сообщений в первую очередь рассчитывают на эффект неожиданности и последующие необдуманные действия получателя. Понимание этого позволит не только уберечь свой компьютер от заражения, но и избежать личных переживаний. Примеры спамовых писем смотрите на сайте Securelist.com/ru. «Зевс» — обновление для антивируса Андрей Костин, эксперт «Лаборатории Касперского» На прошлой неделе «Лаборатория Касперского» выявила массовую рассылку фишинговых писем, написанных от имени ведущих антивирусных компаний. В обнаруженных нами сообщениях фигурировали названия продуктов и сервисов «Лаборатории Касперского», McAfee, ESET NOD32 и многих других. Текст и общее оформление писем каждой рассылки были выполнены по одному шаблону, различались только имена отправителей и упомянутое в теме письма антивирусное решение. В своих сообщениях злоумышленники предлагали получателю установить важное обновление безопасности для антивируса, защищающее от нового гуляющего по интернету зловреда. Для этого нужно было лишь открыть приложенный к письму ZIP-архив и запустить исполняемый файл. Естественно, сделать это злоумышленники просили немедленно, пока у получателя не возникли обоснованные подозрения относительно настоящих авторов письма и его содержимого. В то же время одно только имя вложенного файла должно заставить получателя задуматься и заподозрить неладное, ведь в его названии слишком много цифр, явно сгенерированных случайным образом. На самом деле во вложенном архиве находится вредоносная программа, детектируемая «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot.qsjm. Этот троянец принадлежит к известному семейству Zeus/Zbot и предназначен для хищения конфиденциальной информации пользователя, в первую очередь финансовой. Зловред способен модифицировать содержимое страниц банковских сайтов, встраивая в них вредоносные скрипты с целью получить аутентификационную информацию (логины, пароли, коды безопасности). Также с целью сбора конфиденциальной информации Trojan-Spy.Win32.Zbot.qsjm может снимать скриншоты (и даже видео) с экрана, перехватывать ввод с клавиатуры и т.д. Кроме того, троянец примечателен тем, что для получения команд и файла конфигурации обращается не к заданному заранее командному центру, а использует P2P-протокол, чтобы получить нужную информацию с других зараженных машин. Темы писем выполнены по одному и тому же шаблону, злоумышленники меняют лишь названия антивирусных решений. Рассылка писем происходит с взломанных почтовых ящиков реальных людей, чьи компьютеры, по-видимому, заражены вредоносной программой и стали частью ботнета. В связи с этим стоит напомнить, что никакая уважающая себя антивирусная компания не будет рассылать патч для своего продукта или обновление антивирусных баз в ZIP-архиве по электронной почте. Более того, мы рекомендуем не открывать любой вложенный в письмо файл, если вы его не ждете и отправитель вам не знаком. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013