Электронный журнал "Спамтест" No. 502 В этом номере: Новости Записки спам-аналитиков Новости Ruward: каждый седьмой сайт Рунета находится в группе риска Согласно результатам комплексного исследования, проведенного участниками аналитического проекта Ruward и веб-сервиса SiteSecure, каждый седьмой CMS-сайт в Рунете подвержен риску финансовых потерь из-за проблем, связанных с безопасностью. Российские сайты проверялись на наличие уязвимостей, вредоносных программ, а также на чистоту репутации (по черным спискам). Исследование было проведено в октябре 2013 – январе 2014 гг. на основе случайной выборки из 30 тыс. сайтов, предоставленной компанией iTrack с различением типов CMS. Сканирование сайтов осуществлялось техническими средствами SiteSecure. В ходе исследования определялись следующие характеристики: версия CMS и веб-сервера; наличие вирусов на сайте; наличие сайта в черных списках Google и Yandex; наличие сайта в черных списках Phishtank, DNSRBL, UCE PROTECT и других; корреляция между версией CMS и наличием проблем на сайте. Проблемы с безопасностью были обнаружены на 4,5 тыс. сайтов из контрольной выборки. Исследователи при этом отметили, что «сайты, использующие бесплатные CMS, в среднем в четыре раза чаще подвергаются заражениями и попадают в черные списки, чем сайты на коммерческих CMS». Среди коммерческих CMS выделить явного лидера не удалось: число проблемных сайтов для каждого типа оказалось примерно одинаковым. Результаты для бесплатных CMS, напротив, сильно различались. Так, по присутствию в черных списках всех опередила Datalife Engine (5% проблемных сайтов), а среди сайтов на TYPO3 не обнаружилось ни одного зараженного – к чести разработчиков этой CMS. В целом по концентрации заражений лидировала Datalife (29,2% проблемных сайтов), второе место заняла InstantCMS (19,1%), третье – Joomla (14,6%). Высокий уровень показала и MaxSite CMS (12,4%), тогда как плпулярная WordPress – почти в 3 раза ниже, чем Joomla. Разницу между WordPress и Joomla исследователи объясняют эффектом своевременного обновления: из сайтов на Joomla новейшую версию CMS используют лишь 3%, из WordPress-ресурсов – 15%. По оценке Ruward, своевременное обновление CMS снижает риск появления проблем в среднем в два раза. Что касается черных списков, исследование показало, что «Яндекс» заносит сайты в блоклист в 2 раза чаще, чем Google. При этом пересечение списков Google и «Яндекса» составляет лишь 10%. В списках UCE PROTECT, фиксирующих спамерскую деятельность, числилось около 15% проверенных сайтов, из них 70% находились в одной подсети, а 28% – на одном IP-адресе с сайтами-источниками спама. Ruward отмечает, что наличие таких проблем чревато частичной или полной невозможностью доставки исходящей почты. После завершения исследования его инициаторы попытались связаться с владельцами 130 ресурсов, которые были заражены или числились в черных списках поисковых систем. Оказалось, что более половины тех, чьи сайты активно используются для продвижения товаров и услуг, не знали о наличии проблем на своих ресурсах. Источник: Ruward «Сбербанк» оштрафован за несанкционированную рекламу Арбитражный суд Сахалинской области отказал ОАО «Сбербанк России» в удовлетворении ходатайства об отмене штрафа, наложенного местной антимонопольной службой за нарушение ч. 1 ст. 18 федерального закона «О рекламе». Административное взыскание было назначено сахалинским УФАС по результатам расследования, проведенного по частной жалобе. В своем заявлении этот гражданин указал, что неоднократно получал рекламные SMS, отправителем которых значились «Sberbank» и «900» (служба «Мобильный банк» Сбербанка). При этом согласия на получение текстовой рекламы он не давал. Завершив расследование, УФАС признало распространяемую Сбербанком рекламу ненадлежащей, так как она противоречит требованиям российского законодательства о рекламе. Правонарушителю назначили административное наказание – штраф в размере 100 тыс. рублей. Сбербанк попытался опротестовать это постановление и обратился в арбитраж, однако суд признал действия антимонопольщиков законными. Источник: УФАС по Сахалинской области Ваш холодильник пока не замешан в спам-рассылках Эксперты Symantec опровергли участие домашних интеллектуальных устройств в спам-рассылках, о которых недавно сообщила компания Proofpoint. По их данным, отправителями спама в данном случае являлись Windows-компьютеры, и, как удалось установить, некоторые из них являются частью ботнета Kelihos. «Мы не заметили, чтобы спам исходил из каких-либо других источников, отличных от Windows-систем, – заявили эксперты. – Не было и сомнительных случаев, когда поток спама можно было бы привязать к другим источникам». Тем не менее, Proofpoint продолжает отстаивать свою правоту и даже опубликовала еще один постинг, прояснив свою методику определения источников спама. Хотя холодильники пока и вне подозрения, угроза кибератак с участием смарт-устройств (IoT-атак, Internet of Things – интернет вещей) не столь уж нереальна. В минувшем ноябре Symantec обнаружила Linux-червь, способный заражать IoT-устройства, такие как роутеры, видеокамеры и мультимедийные системы, и даже избавляться от конкурентов. Опровергая находку Proofpoint, эксперты не преминули заметить, что проследить источник спама до конкретного физического устройства в интернете удается далеко не всегда. Многие домашние гаджеты сидят за роутером и используют один и тот же внешний IP-адрес. При такой ситуации трудно выделить истинный источник сетевого трафика. Чтобы убедиться в вероятности ошибки, исследователи произвели проверку IP-адреса одного из зараженных Kelihos компьютеров. Как и следовало ожидать, во многих случаях ответ обнаружил открытую для удаленного доступа мультимедийную систему или иное домашнее устройство, которое было подключено к роутеру и находилось в той же сети, что и зараженная машина. Источник: Symantec МТС подвела итоги борьбы с SMS-спамом По оценке ОАО «Мобильные ТелеСистемы», в декабре количество непрошеной рекламы в его сетях сократилось в 4,7 раза. Оператор полагает, что основной причиной этого прорыва является успешная реализация комплекса защитных мер, принятых им во второй половине минувшего года. С июля 2013 года МТС приступила к переводу рекламных и информационных SMS-сообщений на свою сеть, заключая прямые договоры с распространителями и агрегаторами SMS. По словам оператора, это дало ему возможность проверять наличие согласия абонентов на получение текстовой рекламы. Со 2 декабря МТС начала полностью блокировать сторонний SMS-трафик с коротких и буквенно-символьных номеров, что позволило сократить количество рекламных сообщений к концу месяца до 200 млн. против 940 млн. в ноябре и 600 млн. в октябре. «Итоги декабря наглядно продемонстрировали, что блокировка входящих из внешних сетей SMS с коротких и буквенно-символьных номеров и перевод всего этого трафика на прямые договора с оператором явились наиболее эффективной мерой по защите наших абонентов от спама и мошеннических SMS. Нам удалось существенно оздоровить ситуацию и отсечь основной объем спам-сообщений, в то же время обеспечив доставку в полном объеме информационных и рекламных SMS от банков и других организаций с привычных коротких номеров», – отметил директор департамента информационной безопасности МТС Сергей Прадедов. Напомним, в прошлом году МТС внедрила автоматизированную систему «Антиспам», позволившую значительно снизить поток спам-рассылок в пределах внутренней сети. Прием жалоб на спам оператор производит по короткому номеру 1911; абонентам также предоставляется возможность самостоятельно блокировать нежелательные SMS через услуги SMS Pro и «Черный список». В результате запуска всех этих сервисов количество блокируемых текстовых сообщений, по оценке МТС, увеличилось в 10 раз. Однако в октябре и ноябре поток спама из внешних сетей возрос более чем в 2 раза, и оператор был вынужден ввести тотальную блокировку сторонних SMS с коротких номеров, не охваченных договорными отношениями. Источник: МТС Россиян приглашают оценить концепцию кибербезопасности Комиссия Совета Федерации по развитию информационного общества представила на суд общественности концепцию стратегии кибербезопасности страны. Новый документ, опубликованный на сайте верхней палаты, призван устранить пробелы в регулировании этой сферы и вовлечь все заинтересованные стороны в процесс обеспечения безопасности киберпространства. В феврале результаты публичного обсуждения будут обобщены, и финальную версию концепции подадут на рассмотрение в Совет безопасности РФ. Концепция «обосновывает необходимость и своевременность разработки стратегии кибербезопасности Российской Федерации, определяет ее принципы и направления, а также ее место в системе нормативных актов государства». Согласно новой концепции, стратегия кибербезопасности «имеет свой предмет регулирования, не вступает в противоречие с действующими нормативными актами и не создает избыточного регулирования». Совфед предлагает рассматривать киберпространство как определенный элемент информационного пространства – единственного понятия, которым до сих пор оперировали российские регуляторы, а также выделить кибербезопасность в самостоятельный термин, как это делается за рубежом. Такая практика, говорится в концепции, «позволит установить соответствие между российскими и иностранными нормативными актами, а также даст возможность участвовать в международной нормотворческой работе в сфере кибербезопасности». При этом в новом документе подчеркивается, что «стратегия кибербезопасности РФ основывается на ключевых принципах федерального закона «Об информации, информационных технологиях и о защите информации», развивает отдельные положения Доктрины информационной безопасности РФ и согласуется с иными нормативными актами, принятыми в этой сфере. В качестве приоритетных задач в стратегию предлагается включить: развитие национальной системы защиты от кибератак и предупреждения киберугроз, поощрение частной инициативы в этой области; развитие и поддержку современных механизмов повышения надежности критической инфраструктуры; совершенствование мер обеспечения безопасности государственных ресурсов; разработку механизмов партнерства государства, бизнеса и гражданского общества в данной сфере; развитие цифровой грамотности населения и культуры безопасного поведения в киберпространстве; наращивание международного сотрудничества. Если настоящая концепция будет принята, разработкой собственно стратегии займется правительственная рабочая группа, сформированная из представителей Совета безопасности РФ, профильных федеральных органов, коммерческих компаний, академических организаций и НКО. Финансирование мероприятий в рамках утвержденной стратегии будет осуществляться за счет бюджета госорганов, ответственных за их проведение. Источник: Digit Американцы предпочитают читать почту со смартфона По данным маркетинговой компании Movable Ink, в минувшем квартале почти две трети полученных американцами рекламных писем (включая «серую» почту) были открыты на мобильном устройстве. Это рекордный показатель за всю историю мониторинга, проводимого компанией, и, согласно ее статистике, он неуклонно растет. За квартал доля просмотров сообщений коммерческого характера со смартфонов и планшетов в США увеличилась с 61 до 65%, причем на первые пришлось 48% открытых писем. Более половины «мобильных» заходов были осуществлены с iPhone или iPad, около 14% – с Android, хотя в III квартале последний составлял лишь 10%. Пользователи Android предпочитают просматривать почту со смартфона (12,5% просмотров против 1,9% для планшетов). На Windows Phone, Kindle (ОС Amazon на базе Android) и BlackBerry пришлось 0,2; 0,1 и 0,02% заходов соответственно. Статистика Movable Ink не учитывает долю рынка и клиентскую базу мобильных ОС, однако наглядно показывает сдвиг в предпочтениях пользователей электронной почты. Эксперты справедливо полагают, что основной причиной снижения почтовой активности пользователей десктопов (Windows/OS X) и ноутбуков является возрастание роли мобильных устройств в повседневной жизни американцев. По данным исследовательской компании IDC, в минувшем году объем продаж ПК в США снизился на 3,6%, особенно в розничном секторе; оживить этот рынок не смогли даже рождественские распродажи. К сожалению, всеобщее увлечение современными гаджетами, сетует Movable Ink, часто играет на руку злоумышленникам: «мобилизуя» свою деятельность в Сети, пользователи начинают пренебрегать элементарными правилами защиты своих «маков» и ПК, сохраняющих связь с интернетом. Источник: Network World Записки спам-аналитиков Спешите встретить китайский Новый год! Татьяна Щербакова, эксперт «Лаборатории Касперского» Китайский Новый год является самым продолжительным и важным праздником в Китае. Неофициально его называют «лунным новым годом», поскольку дата его празднования зависит от лунных фаз и обычно располагается между 21 января и 21 февраля. Так как праздничных дней в Китае не так много, во время Нового года многочисленное население пользуется возможностью посетить друзей и близких, попутешествовать и просто отдохнуть. Большинство фабрик и заводов приостанавливают свою работу на время праздника, и этот факт не остался незамеченным спамерами. В январе во многих письмах от китайских фабрик и заводов он использовался для того, чтобы побудить получателей сделать заказ до предстоящего Нового года. В Рунете тема китайского Нового года использовалась некой службой доставки товаров из Китая: в своей рассылке компания предлагала потенциальным клиентам «горящие места» на авиадоставку товаров до 28 января, китайского Нового года. Текст письма не зря был выделен красным цветом, ведь именно этот цвет означает удачу и достаток и с незапамятных времен используется для различных церемоний. Обычно спамеры побуждают получателей рассылок к скорейшей покупке предлагаемых товаров при помощи огромных скидок, ограниченных по времени. Однако в январе спамеры нашли еще один необычный повод поторопить потенциальных покупателей и активно использовали предстоящий китайский Новый год для увеличения продаж. Ваша почта под угрозой или червь атакует! Татьяна Куликова, эксперт «Лаборатории Касперского» В нашей практике мы очень часто сталкиваемся со случаями, когда на множество адресов одновременно производится рассылка сообщений с вредоносным вложением. Но недавно мы наблюдали ряд писем, целенаправленно посылаемых на один и тот же адрес. Судя по всему, основной целью злоумышленников было заражение компьютера - во всех письмах, независимо от заголовков, содержался червь Email-Worm.Win32.NetSky.q, характерной особенностью которого является распространение посредством вложений в электронные письма. После заражения компьютера вредоносное ПО находит на нем почтовые адреса и рассылает по ним свои копии, используя короткие характерные фразы и избегая при этом тех почтовых адресов, которые напрямую могут быть связаны с обеспечением компьютерной безопасности, например, адресов антивирусных компаний. Первое из обнаруженных нами сообщений пришло якобы от платежной системы PayPal. В сопровождающем письмо тексте говорилось о том, что во вложении пользователь найдет выставленный ему счет. Насторожить в таком письме может то, что обычно PayPal посылает квитанции в теле письма, а не в виде заархивированного файла во вложении. Другое письмо пришло от имени администрации хостинга USA Hosting. В качестве повода для открытия вложения злоумышленники использовали «истечение срока действия аккаунта» и предложение восстановить его. Отправителем третьего значилась антивирусная компания Symantec. В самом сообщении говорилось о том, что компьютер получателя был заражен новым вирусом, для уничтожения которого необходимо срочно загрузить на компьютер вложенные в письмо антивирусные сигнатуры. При этом в письме стояла автоподпись другой антивирусной компании – Bitdefender – что должно было сразу же насторожить получателя. Все эти письма пришли в течение одного месяца и, хотя и имели разные заголовки,  преследовали одну цель – заражение компьютера и распространение вредоносного ПО в сети. Поэтому хочется еще раз напомнить о том, что к письмам с вложениями нужно относиться очень внимательно. Важно помнить, что любое официальное письмо должно быть соответствующим образом оформлено (иметь логотипы и автоподписи), а в случае каких-либо сомнений относительно его отправителя не стоит пренебрегать возможностью обратиться по телефону в службу технической поддержки компании. Внимательное отношение к корреспонденции и надежный антивирус позволяют уберечь компьютер от опасностей, подстерегающих его в виртуальном пространстве. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Нигерийские письма с русскими словами Мария Рубинштейн, эксперт «Лаборатории Касперского» Мы много писали о том, как интернет-мошенники используют электронные переводчики, чтобы рассылать письма по всему миру. Иногда результат перевода получается забавным, чаще - просто корявым, а иногда, как сейчас, поистине загадочным. Если заметить в этом шедевре лингвистических технологий слова tseli и svyazatsya, то можно сделать вывод, что письмо автор переводил с русского языка. (Если два слова не разделены пробелом, то автоматический переводчик часто просто транслитерирует их, не переводя.) Тем не менее остальной текст совсем не похож на кальку с русского. Возможно, письмо переводилось с языка на язык несколько раз, а возможно, у автора что-то пошло не так с шаблонами письма и в одно письмо вставился текст из другого. (Так или иначе, два русских слова должны существенно затруднить понимание письма англоязычным читателем.) Увы, поиск по имени Rosaline Palant, как и по адресу юриста, не дал вразумительных результатов. Мы так и остались в неведении, откуда у нее (или "у него", если автор письма на самом деле мужского пола) в тексте письма русские слова. Если к вам в ящик попадет похожее сообщение на каком-нибудь другом языке, напишите нам! Примеры спамовых писем смотрите на сайте Securelist.com/ru. Полиглоты из Нигерии Татьяна Куликова, эксперт «Лаборатории Касперского» Нас уже не удивляют послания, в которых банковский служащий или бежавший от государственного переворота миллионер предлагают за определенный процент помочь обналичить немалый капитал.  Большинство подобных писем написано на английском, который давно стал языком международного общения, и поэтому мошенники довольно редко рассылали сообщения на других языках: португальском, французском, испанском, русском и т.д. Но все меняется и сейчас нам все чаще встречаются письма не только на перечисленных языках, но также на иврите, белорусском и арабском. Вот сообщение о выигрыше в некую «австралийскую лотерею», которая проводилась среди жителей нескольких континентов. Оно написано на арабском и использует стандартную схему мошенников: получателю сообщают, что он был случайным образом выбран среди миллионов людей и выиграл баснословную сумму, которую сможет получить, связавшись с мошенниками. А в этом письме, написанном на иврите, банковский служащий предлагает разделить многомиллионное состояние клиента банка, погибшего в аварии. В письме на белорусском языке речь также идет об умершем миллионере, чьим родственником предлагается представиться для получения наследства. Для перевода своих  рассылок на другие языки мошенники часто прибегают к услугам электронных переводчиков, поэтому суть предложения, которое они хотят донести до своей жертвы, несколько искажается.  При написании письма они не пытаются учитывать какие-либо национальные особенности получателя и используют все те же истории про умерших бездетных миллионеров, только переводят их текст на нужный язык. Если вы получили такое подобное послание на родном языке, и нашли в нем некоторые несуразности, лучше посмеяться над попытками мошенников представить себя полиглотами и не обращать внимания на их грандиозные посулы. Ведь как бы привлекательна ни была сумма и какой бы язык не использовали преступники, мошенничество все равно  остается мошенничеством. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Миллионы от Манделы! Татьяна Щербакова, эксперт «Лаборатории Касперского» В декабре мы зафиксировали рассылку «нигерийских» писем, в которых мошенники использовали смерть Нельсона Манделы для обмана пользователей. Похожую рассылку мы обнаружили в январе, но на этот раз письма внутри одной рассылки отличались темой, вступлением и подписью автора. Так что на первый взгляд казалось, что письма разные и не связаны друг с другом. Так,  первое письмо было написано от имени внучки Нельсона Манделы, а автор второго письма подписался как председатель одного из комитетов фонда Нельсона Манделы. Эти имена были указаны в поле From и в подписи в конце сообщений. Причем мнимая внучка в начале своего письма также рассказывала о фонде, председателем которого якобы является автор другого. Остальной текст в письмах совпадал с точностью до буквы. «Нигерийские» мошенники использовали традиционную уловку: сообщали получателю, что перед смертью Нельсон Мандела поручил раздать 20 миллионов долларов из своего фонда случайно выбранным людям по всему миру, и, конечно же, получатель письма оказался среди десяти счастливчиков.  Для получения подробной информации о внезапно возникшем богатстве жертве было необходимо связаться с автором письма. Причем «внучка» для обратной связи  указывала адрес электронной почты, отличный от того, с которого пришло письмо. А вот председатель комитета не стал вызывать подозрения у получателя и указывать дополнительные контакты для связи. Еще одной особенностью рассылки стала попытка мошенников связать «нигерийские» письма с прошедшими праздниками, именно для этого в теме и в конце писем упоминались Новый Год и Рождество. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Проверь меня! Татьяна Куликова, эксперт «Лаборатории Касперского» Многие люди проводят большую часть свободного времени в социальных сетях, общаясь и рассматривая фотографии виртуальных друзей. Некоторые тратят на подобное общение так много времени, что ставят под угрозу реальные отношения - вторая половинка начинает подозревать их в слишком близком общении с виртуальным другом. Этим пользуются киберпреступники, распространяющие зловреды под видом шпионских программ, якобы позволяющих отследить, что делает тот или иной пользователь социальной сети. Недавно мы обнаружили рассылку, рекламирующую подобное ПО. Спамеры предлагали получателям проверить верность своей второй половины и «узнать все» о его или ее общении в социальных сетях. Для получения обещанной программы пользователю необходимо было пройти по ссылке в письме на рекламный сайт и зарегистрироваться там, оставив свой адрес электронной почты.  После этого на указанный адрес приходило сообщение, содержащее логин и пароль для доступа к демо-версии шпионской программы, которую также можно было скачать на сайте. Для того чтобы немного усыпить бдительность посетителя сайта, создатели поместили на главной странице подделку под логотип «Лаборатории Касперского» с надписью «Проверено Kaspersky Lab вирусов не обнаружено». К разочарованию пользователя, программа не спешила раскрывать, чем вторая половинка занимается на виртуальных просторах, а лишь демонстрировала скриншоты популярных социальных сетей и настоятельно рекомендовала потратить около 2000 рублей на покупку полнофункциональной версии. Но не стоит совершать поспешных действий и нести свои деньги «доброжелателям» из спам-рассылки. Не существует программ, способных «получить всю переписку» любого пользователя любой социальной сети. А это значит, что после оплаты возможны два варианта развития событий. В первом случае мошенники получат деньги и исчезнут; писать на адрес, с которого пришло спам-сообщение, бессмысленно, а с онлайн-консультантом на сайте связаться невозможно. Да и сам ресурс, скорее всего, вскоре станет недоступен. Во втором случае покупателю будет предоставлена некая программа, но слишком велика вероятность того, что под видом желанного шпиона на компьютер будет установлено вредоносное ПО. Например, троянец, следящий за владельцем ПК, а не за его второй половинкой, и ворующий его личные данные. Но в первую очередь стоит обратить внимание на некоторые факты, которые должны насторожить опытного пользователя. Во-первых, добропорядочные ресурсы не рекламируются с помощью спама. Во-вторых, в письмах используется не прямая ссылка, а короткая - таким образом спамеры пытаются обойти спам-фильтры. В-третьих, сайт, на который пользователь попадает, кликнув по ссылке в рекламном письме, не совпадает с тем, на который он проходит после регистрации для получения демо- или платной версии. Все вышесказанное говорит о том, что перед нами попытка мошенников заработать на ревнивых пользователях. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013