Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 498

В этом номере:


Новости

Websense о фишинге в 2013 году

Подводя итоги уходящему году, Websense кратко обрисовала современные тенденции в фишинге и представила список основных тем, используемых фишерами, а также рейтинг распределения страниц-ловушек по странам.

Согласно статистике компании, фишинговая составляющая почтовой корреспонденции в 2013 году сократилась с 1,12 до 0,5%. Рассылки фишеров стали меньше по объему, но точнее бьют в цель. Их авторы постоянно совершенствуют свои схемы и трюки, прилежно изучая профили и публикации в социальных сетях, чтобы сделать приманки более привлекательными.

Грамотный заголовок – важный элемент фишинговой схемы, заряженной на успех. Из всех тем, найденных экспертами в строке Subject в 2013 году, наиболее часто встречались следующие (по состоянию на 30 сентября):

  • Invitation to connect on LinkedIn (приглашение на LinkedIn)
  • Mail delivery failed: returning message to sender (ошибка доставки)
  • Dear Customer (дорогой клиент <имя банка>)
  • Comunicazione importante (важное сообщение)
  • Undelivered Mail Returned to Sender (сообщение о недоставке)

Тор 10 стран-хостеров фишерских URL, составленный Websense по итогам девяти месяцев, возглавил Китай. Эту страну эксперты впервые включают в свой рейтинг, и она сразу заняла верхнюю строчку, оттеснив на вторую постоянного лидера - США. Третье место в непочетном списке присуждено Германии, за ней следуют поднявшаяся на две ступени Великобритания и Канада. Россия за год перескочила с 10 на 6 позицию, обогнав Нидерланды, дебютанта Гонконг и Францию (места с 7 по 9 соответственно). Замыкает этот печальный рейтинг Бразилия.

Источник: Websense

Троянские сказки об изменении курса Bitcoin

Arbor Networks предупреждает о спам-рассылке, которая нацелена на засев троянца, особо интересующегося ключами к Bitcoin-кошелькам. Зловред закачивается по ссылке, указанной в письме, и позиционируется как бесплатная утилита для оповещения об изменении курса BTC.

По свидетельству экспертов, при активации вредоносной ссылки на машину жертвы загружается исполняемый файл BitcoinAlarm.exe, который на момент анализа детектировался как вредоносный лишь одним антивирусом из списка VirusTotal (Kaspersky).

Как показал анализ, данная программа выполнена в виде RAR-архива и обладает функционалом инсталлятора. При распаковке архива были обнаружены SFX-скрипт и пять файлов, в том числе winupdate.exe, содержащий AutoIt-код, который, согласно VirusTotal, вполне безвреден. Тем не менее, при запуске последнего эксперты столкнулись с подозрительной активностью. Дело в том, что данное приложение в первую очередь проверяет, работает ли в системе Avast; если да, оно «засыпает» на 20 секунд; такое поведение весьма характерно для вредоносного ПО.

Дальнейший анализ EXE-файла обнаружил также наличие функционала, позволяющего отключать защитные программы и функции зараженной системы. После устранения всех возможных помех подозрительный файл системными средствами считывает криптоключ из конфигурационного файла и с его помощью расшифровывает и запускает на исполнение файл 20070.RQT. Последний уже лучше детектится; большинство антивирусов из списка VirusTotal опознают его как троянский бэкдор NetWiredRC. Данный зловред способен воровать персональные идентификаторы к веб-сервисам; в ходе анализа он выполнял подключение к bitcoins.dd-dns.de; проверка этого ресурса по черным спискам показала незапятнанную репутацию. Arbor поспешила исправить этот промах, и в настоящее время данный домен уже заблокирован.

По состоянию на 13 декабря BitcoinAlarm.exe уже детектируют почти половина антивирусов из списка VirusTotal. Вредоносная ссылка, распространяемая в спаме, возвращает ошибку 404.

Источник: Arbor Networks

Спамеры предлагают россиянам схему быстрого обогащения

Symantec обнаружила русскоязычную спам-рассылку, продвигающую некий Бинарный Код – инструмент, с помощью которого якобы можно быстро разбогатеть. Эксперты отмечают, что такая находка для них внове: тема быстрого обогащения, по их данным, не характерна для спам-сообщений, предназначенных для русскоговорящей аудитории.

Одно из таких писем, которое компания приводит в качестве примера, снабжено броским заголовком, в котором в качестве приманки указана солидная сумма и содержится намек на почтенный возраст мифического обладателя этого заработка. Кто же откажется получать 3,7 тыс. долларов в месяц за труд, который под силу даже пенсионерам?

Обращаясь к реципиенту по его полному email-адресу, некая команда Binary Code сообщает, что пенсионер из Самары по имени Владимир Николаевич за первый месяц использования Бинарного Кода якобы заработал более $3,7 тысячи. Чтобы узнать подробности, получателю спам-письма предлагается пройти по указанной ссылке. По свидетельству экспертов, данная ссылка привязана к редиректу, внедренному на легальном сайте, специализирующемся на веб-дизайне. Отсюда посетитель перенаправляется на целевой ru-домен, зарегистрированный в минувшем августе, – скорее всего, с прицелом на эту рассылку.

На стартовой странице претенденту рассказывают о преимуществах использования нового инструмента, позволяющего делать деньги и будто бы не имеющего себе равных в интернете. Ему также предлагают просмотреть видеоролик с подробными инструкциями.

Примечательно, что данное предложение трудоустройства отправлено с именного ящика на mail.ru, однако проставленное спамерами имя отправителя, pensioner.vladmir, плохо согласуется с подписью «Команда Binary Code», хотя и созвучно с именем «счастливчика», приведенного в качестве примера.

Symantec напоминает пользователям, что бесплатного сыра не бывает, и любые предложения спамеров на эту тему – не более чем фикция.

Источник: Symantec

Исходящий спам – основная причина попадания в черные списки

Компания Commtouch опубликовала результаты опроса участников недавнего интернет-семинара, посвященного проблеме исходящего спама. Согласно этим итогам, за минувший год в блоклисты попали IP-адреса почти 90% организаций, причем наиболее часто эта неприятность случалась с компанией из-за рассылки спама.

Основными источниками спама, невольно распространяемого легальными организациями, являются зомби-компьютеры, которые используют порт 25 и ныне ответственны за 85% общего потока нежелательных сообщений, специально созданные учетные записи и домены, а также взломанные аккаунты законопослушных пользователей.

Commtouch отмечает, что источник спама легко отследить по блоку IP-адресов отправителя, который из-за таких рассылок целиком попадает в черные списки. Этими списками пользуется большинство сервис-провайдеров, и в итоге их спам-фильтры начинают блокировать даже легитимную корреспонденцию, исходящую из данного блока адресов. Такой исход весьма печален для бизнеса: вывод IP-адресов из черных списков требует времени и ресурсов; техподдержка изнемогает под шквалом звонков от разгневанных отправителей легитимных писем; наконец, при худшем сценарии начинается отток клиентов, которых отпугивает пошатнувшаяся репутация веб-сервиса.

«Традиционные подходы, такие как блокировка порта 25, реверс спам-фильтров входящей почты или замедление трафика, имеют свои ограничения и в итоге оказываются неэффективными, так как они лишь снимают симптоматику, а саму проблему не решают, – комментирует Лиор Кохави (Lior Kohavi), технический директор Commtouch. – Поэтому важным элементом защиты почтовых систем должно быть специализированное решение для фильтрации исходящего спама, которое бы четко определяло его источник. Поскольку спам-рассылкам свойственна массовость, такое решение должно хорошо распознавать ходовые шаблоны, как в локальном, так и в глобальном потоке».

Источник: Commtouch

Фишер, грабивший британских студентов, отправлен за решетку

В Великобритании осужден очередной участник массового отъема денег со студенческих кредитных счетов с помощью фишинговых рассылок. По оценкам полиции, 29-летний Оладжиде Оникойи (Olajide Onikoyi) совокупно украл 393 тыс. фунтов стерлингов (около $640 тысяч), обездолив 238 британцев, получающих правительственные ссуды в оплату обучения. Уроженец Нигерии сознался в преступном сговоре с целью мошенничества и отмывании денег; назначенный за эти преступления тюремный срок по совокупности составил 3 года и 9 месяцев.

Установлено, что Оникойи был одной из ключевых фигур мошеннической схемы, участники которой создавали поддельные сайты и рассылали фишинговые сообщения с просьбой срочно обновить регистрационные данные к именному аккаунту. Похищенная таким образом информация обеспечивала фишерам доступ к кредитным счетам, деньги с которых выводились на счета дропов и затем обналичивались. На удочку фишеров попались сотни британских студентов, общая сумма ущерба от действий данной группировки превышает 1,5 млн. фунтов (2,44 млн. долларов).

Расследование по делу о масштабном фишинге было запущено в августе 2011 года. Помимо силовиков, в нем приняли участие профильная правительственная организация Students Loan Company, банковские структуры и интернет-провайдеры. По итогам расследования в Лондоне и графстве Большой Манчестер были проведены обыски с захватом компьютерной техники и цифровой документации, а также произведен ряд арестов. Экспертиза захваченной документации и компьютерной техники подтвердила причастность Оникойи к онлайн-грабежам и позволила идентифицировать его сообщников, действовавших с территории России, Литвы и Великобритании. На банковские счета и собственность фишера был наложен арест до окончания финансового расследования.

Четыре подельника и соотечественника Оникойи были осуждены ранее и получили тюремные сроки от 3 до 5 лет. Еще один ожидает начала судебных слушаний, первое заседание запланировано на конец декабря.

Источник: Crime & Justice

МТС оштрафован за рассылку ненадлежащей рекламы

Управление Федеральной антимонопольной службы по Нижегородской области взыскало с ОАО «МТС» 100 тыс. рублей штрафа за рассылку рекламных SMS без согласия абонента. Расследование было проведено по жалобе местного жителя.

В своем заявлении нижегородец указал, что, не желая получать текстовую рекламу, в феврале прошлого года подключил услугу «Запрет приема информационных SMS и SMS/MMS с сайта МТС». В качестве доказательства заявитель представил в ФАС распечатку личной карточки «Управление услугами» со списком отключенных услуг. Тем не менее, в конце года и весной следующего он начал получать от МТС сообщения с рекламой новой услуги, предлагаемой оператором. Чтобы прекратить этот нежданный поток, абонент обратился в местное УФАС.

Проведя расследование, антимонопольщики признали рекламу МТС ненадлежащей, так как она противоречит требованиям ч. 1 ст. 18 федерального закона «О рекламе». По факту административного правонарушения на ОАО «МТС» был наложен штраф.

Источник: УФАС по Нижегородской области

Британский кредитор оштрафован за рассылку SMS-спама

Независимый комиссариат по защите частной информации Великобритании (Information Commissioner’s Office, ICO) взыскал с First Financial 175 тыс. фунтов штрафа (около $285 тыс.) за рассылку миллионов рекламных SMS без согласия получателей.

Расследование было начато по жалобам абонентов, общим числом более 4 тысяч, которые были возмущены не только фактом непрошеной рекламы, но и способом ее преподнесения. Дело в том, что текстовая реклама услуг компании, занимающейся раздачей ссуд «до получки», была замаскирована под дружескую подсказку типа «привет, ты как? Я все еще за городом, только что получил взаймы [сумма] от вот этих парней [ссылка]». ICO отмечает, что такой способ оформления рекламы уже заинтересовал другого британского регулятора – Комитет рекламных стандартов (Advertising Standards Authority).

Кроме того, оказалось, что отправители этих фамильярных текстов пользовались незарегистрированными SIM-картами, стараясь, как заправские спамеры, затруднить идентификацию исходящих номеров. Однако в ряде случаев номер отправителя все же удалось связать с First Financial. К тому же эта компания владеет сайтом, засветившимся в данной спам-рассылке.

Проведение коммерческих SMS-рассылок без предварительного согласия получателей противоречит британскому Положению о частной информации и электронной связи (Privacy and Electronic Communications Regulations, PECR). Надзор за соблюдением оговоренных в нем нормативов осуществляет ICO, который также наделен полномочиями применять к нарушителям штрафные санкции.

Источник: Information Commissioner’s Office


Записки спам-аналитиков

Беднее церковной мыши

Татьяна Куликова,
эксперт «Лаборатории Касперского»

В западных странах в самом разгаре подготовка к празднованию Рождества Христова - праздника, одной из лучших традиций которого является помощь обездоленным. «Нигерийские» мошенники тоже решили заняться благотворительностью, но в своей обычно манере. Накануне праздника многие пользователи интернета получили письмо, в котором некий пастор предлагал им получить небольшое (4000 долларов) пожертвование в честь Рождества.

Как выяснилось из письма, добрый пастор совместно с коллегами из Association of Related Churches подготовил 2 миллиона долларов для раздачи нуждающимся, чтобы те могли достойно встретить светлый праздник. Для получения своей доли благотворительности достаточно предоставить миссионеру немного личной информации (полное имя, скан паспорта или любого другого удостоверения личности, телефон и адрес). Конечно же, в письме несколько раз оговаривалось, что деньги предназначаются только самым бедным и обездоленным.

Впрочем, пожелавших притвориться бедными ради четырех тысяч долларов ждала реальная возможность остаться на мели как раз тогда, когда так нужны деньги на подарки. За первым письмом наверняка последовала бы длительная переписка, в ходе которой внезапно выявились бы незапланированные траты. Естественно, что эти скромные расходы должен был взять на себя потенциальный получатель дара. Далее наступает предсказуемый финал: «пастор», получив деньги, исчезает, а его жертва безуспешно жалуется в Association of Related Churches, где вряд ли что-то слышали о подобной «благотворительности».

То ли мошенники решили перейти на менее крупные суммы, то ли для них и на безрыбье рак стал рыбой, но кругленькая сумма, которую обычно предлагали нигерийцы, в этой рассылке явно потеряла пару нулей. Впрочем, как бы мизерна ни была предлагаемая сумма, пользователям стоит помнить о том, что в их карман не попадет ни один цент. Поэтому если случайно в ваш ящик попало письмо от незнакомого пастора, готового поделиться «небольшой суммой денег», стоит сразу же отправить его в спам.

Примеры спамовых писем смотрите на сайте Securelist.com/ru.

Спамеры зажигают огни

Татьяна Щербакова,
эксперт «Лаборатории Касперского»

Наиболее популярные праздники, например, Рождество и День Святого Валентина, активно используются спамерами не только для рекламы товаров и услуг, но и обмана пользователей. Впрочем, иногда спамеры, стараясь привлечь новую аудиторию, ищут новые поводы для рассылки рекламных предложений, в том числе и менее известные праздники. Так, в ноябре мы обнаружили несколько спам-рассылок, посвященных Дивали (Фестивалю Огней), главному индийскому и индуистскому празднику. Он символизирует победу добра над злом, и в знак этой победы повсеместно зажигаются свечи и фонарики.

Для компаний и организаций спамеры рассылали рекламу услуг по изготовлению шоколадных конфет с индивидуальными логотипами и изображениями. Подарочную упаковку тоже можно было оформить в любом стиле. Для привлечения внимания получателя в теме письма упоминался Фестиваль Огней, а в тексте содержались описания специальных предложений, приуроченных к одному из главных праздников в Индии, а также варианты оформления конфет в стилистике праздника.

Среди рассылок, посвященных Фестивалю Огней, встречались и предложения от компаний по организации рекламных рассылок, созданию сайтов и других IT-услуг. В честь праздника потенциальному заказчику предлагали скидки на услуги, а рассылка рекламы на электронные ящики пользователей по желанию заказчика могла быть приурочена и к другим известным праздникам, даты празднования которых указывались в письме.

В основном спам с предложениями различных товаров приходит от китайских заводов и фабрик, однако периодически мы фиксируем подобные рассылки и от имени фабрик и заводов из Индии. В ноябре заказчики подобного спама предлагали скидки на электронные гаджеты, приуроченные к Фестивалю Огней. Название праздника и стоимость гаджета, указанная в индийских рупиях, были выделены красным цветом для привлечения внимания получателя и подчеркивания, что скидки приурочены именно к празднику.

Представители малого и среднего бизнеса используют праздники для привлечения новых клиентов скидками и распродажами. В ноябре в честь праздника Дивали рекламировались распродажи не только традиционных для спама, но и различных этнических товаров. Традицией празднования Фестиваля Огней является игра в карты, индусы верят, что богиня Лакшми проявит к ним благосклонность и подарит им удачу и выигрыш, а рекламируемое праздничное меню станет отличным дополнением.

Праздники для спамеров - всего лишь повод для рассылки тематических рекламных писем, однако современные спам-фильтры сводят количество таких писем в ящиках пользователей к минимуму. Без них единственное, что нам оставалось бы, это последовать древней традиции - зажечь свечу или фонарик и молиться богине Лакшми о победе добра над спамом.

Примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное