Электронный журнал "Спамтест" No. 504 В этом номере: Новости Записки спам-аналитиков Новости Cloudmark о спаме в 2013 году Cloudmark опубликовала годовую статистику по спаму, распространяемому по SMS-каналам и электронной почте. Напомним, что данные о нелегитимных текстовых рассылках компания собирает с помощью службы приема жалоб 7726, действующей на территории США и Великобритании. Согласно оценке экспертов, в минувшем году 67% SMS-спама в США и 85% в Великобритании носило финансовый характер. При этом в США преобладали поддельные сообщения от разных банков (20% жалоб на текстовый спам), а число мошеннических посулов подарочных карт, на долю которых в предыдущем году приходилось 44% SMS-спама, сократилось на 80% – до 14% мусорного потока. Большую роль в снижении этого показателя сыграла ФТК, которая в марте подала иск против 29 американских компаний и физических лиц, раздававших такие «подарки». Второе место в тематическом рейтинге нелегитимных SMS-рассылок в США заняла порнореклама (16%). Британцам SMS-спамеры предпочитали предлагать займы «до получки» (43% жалоб на текстовый спам). В отчете Cloudmark впервые представлена информация о текстовых рассылках в Аргентине. В этой стране, по данным компании, в минувшем году преобладала реклама продаж дешевых автомобилей, на долю которой пришлось около половины жалоб абонентов на спам. Эксперты также отметили заметный рост числа заражений мобильными зловредами, замаскированными под генератор одноразовых кодов для финансовых транзакций (mTAN). Рост криминализации интернета вынуждает банки создавать дополнительный уровень защиты, внедряя системы двухуровневой аутентификации. Одним из таких защитных средств являются мобильные приложения, выдающие одноразовые коды. Помимо поддельных mTAN-генераторов, злоумышленники активно распространяли локализованных SMS-троянцев, таких как Svpeng, обнаруженный минувшим летом экспертами «Лаборатории Касперского». Лидером по почтовым спам-рассылкам в настоящее время являются США: в минувшем году на их долю, по оценке Cloudmark, пришлось около трети нелегитимных писем. Почти две трети этого спама оседало внутри страны, американские спамеры также активно атаковали жителей Бразилии, Австралии, Японии, Великобритании, Италии и Швейцарии. Эксперты при этом отметили, что более половины списка Spamhaus ROSKO (злостных спамеров) составляют американцы. Спам-поток, приходящий на территорию США из-за рубежа, весьма интернационален, но особенно отличаются в этом плане российские и украинские боты. Следует заметить, что общие объемы спама, исходящего из каждой страны, Cloudmark оценивает по количеству IP-адресов, рекомендуемых ею к блокировке. Второе место по этому показателю в 2013 году занял Китай, показавший тенденцию к активному росту числа источников спама. За ним в убывающем порядке следуют Румыния, Россия и Германия. Годовой рейтинг стран с учетом процента блокируемого адресного пространства вновь возглавила Румыния, в которой Cloudmark каждый месяц блокирует 22-25% IP-адресов. Непочетное первенство по этому показателю Румыния уступила лишь в мае, когда наблюдался значительный приток почтового мусора из Беларуси и эксперты заблокировали 28% ее адресов. С тех пор поток спама из Беларуси значительно сократился; в настоящее время Cloudmark ассоциирует со спамом лишь 17% белорусских IP, и этот процент продолжает снижаться. В отчетный период эксперты зафиксировали более 200 тыс. скомпрометированных сайтов, используемых для рассылки спама, размещения спамерских редиректов и лендинг-страниц. По данным Cloudmark, большинство таких площадок используют Joomla или WordPress и принадлежат предприятиям малого бизнеса или представителям индустрии развлечений. Полностью отчет Cloudmark за 2013 год можно посмотреть на сайте компании. Источник: Cloudmark APWG о фишерских атаках в III квартале 2013 года За июль-сентябрь участники Антифишинговой рабочей группы (APWG) обнаружили более 143 тыс. фишерских сайтов – на 20% больше, чем в предыдущем квартале. Количество фишинговых атак тоже увеличилось, их пик пришелся на август: в этом месяце борцы с фишингом зафиксировали около 68 тыс. уникальных рассылок. Повышению показателей по фишингу в III квартале в большой мере способствовал рост числа атак на платежные сервисы (56,30% инцидентов), точки розничной торговли и сайты электронной коммерции. На финансовые институты пришлось 21,74% атак фишеров. Наиболее заметные перемены произошли в игровом бизнесе: показатель по фишингу в этом секторе снизился до 0,84% против 5,66% в 1-м квартале. Число ежемесячно атакуемых брэндов несколько снизилось, максимальное их количество было зафиксировано в августе (400). Наибольшее число поддельных сайтов было обнаружено в TLD-зоне .COM – 42%, что несколько меньше, чем в предыдущем квартале (44%). Основным хостером фишерских ловущек являлись США, на долю которых в июле-сентябре пришлось 50-59% таких находок. За отчетный период участник APWG PandaLabs идентифицировала около 10 млн. новых зловредов, из них 75,85% составляли троянские программы. На долю троянцев пришлось также 78% заражений, выявленных этой компанией. Признаки инфекции были обнаружены на 31,88% пользовательских компьютеров. Наиболее высоким уровень заражения оказался в Китае (59,36% компьютерного парка). За ним в убывающем порядке следовали Турция (46,58%), Перу (42,55%) и Россия (41,80%). В Тор 10 по зараженности вошли также Тайвань, Аргентина, Бразилия, Чили, Польша и Канада. Основным хостером фишинговых зловредов и даунлоудеров вновь были признаны США, на долю которых приходилось от 36 до 62% зараженных IP, выявляемых ежемесячно. Второе и третье места в этом непочетном рейтинге все 3 месяца делили Германия и Россия (от 6,5 до 25%). Источник: APWG Новая спам-атака ZeuS В начале февраля спам-аналитики из алабамского университета в Бирмингеме (UAB) зафиксировали значительный всплеск вредоносных рассылок. На долю этих сообщений приходилось от 16 до 26% почтового мусора, ежедневно оседающего на ловушках Malcovery Security – исследовательской компании, учрежденной в прошлом году под эгидой UAB. Спам-атака началась 5 февраля рассылкой типовых поддельных писем от Bank of America, на следующий день – от Visa/Mastercard, на третий – от FedEx. Все эти спам-сообщения были снабжены ZIP-вложением, якобы детализирующим тревожную информацию, предоставленную спамерами в теле письма. Если получатель открывал вложение, его компьютер пытался закачать с некоего IP-адреса EXE- или PHP-файл. Последний был определен исследователями как эксплойт-пак, который в случае успеха награждал жертву зловредом. Все URL, обнаруженные UAB в ходе вредоносной спам-кампании, привязаны к ресурсам российского хостинг-провайдера Сlodo.ru, московского сервис-провайдера «Оверсан» (AS48172) или питерской точки обмена трафиком Pirix (AS56534). Распространяемую спамерами вредоносную программу 7 антивирусов списка VirusTotal опознают как ZeuS. За три дня мониторинга университетским исследователям удалось выявить около 108 тыс. уникальных источников спама (IP), разбросанных по всему миру. Каждый засветился на ловушках Malcovery в среднем 6,8 раза. Наибольшее количество вредоносных писем было получено с двух адресов – французского 86.64.142.28 и перуанского 200.123.8.123. Более 45% выявленных ботов оказались прописанными в испаноязычных странах. Источник: Gary Warner SMS-реклама сети «Л’Этуаль» признана ненадлежащей Федеральная антимнопольная служба России (ФАС) наложила на ООО «Алькор и Ко» штраф в размере 100 тыс. рублей за рассылку SMS-рекламы сети парфюмерных магазинов «Л’Этуаль» без согласия получателей. Расследование было проведено по частной жалобе, в которой заявитель указала, что пыталась самостоятельно избавиться от навязчивой рекламы, направив в адрес «Алькора» письменный отказ. Однако эта мера не помогла, и гражданка обратилась в ФАС. Исполнитель рассылки не смог доказать наличие согласия абонента на получение рекламных сообщений, как того требует федеральное законодательство «О рекламе». ФАС признала данную SMS-рассылку ненадлежащей и наказала правонарушителя штрафом. Источник: ФАС России VBSpam: очередные успехи Virus Bulletin опубликовал результаты очередной проверки качества систем фильтрации спама. Тестировщики с удовлетворением констатировали высокий уровень современных защитных решений: все 18 испытуемых показали эффективность блокировки не менее 99,4%, сертификат качества не получили лишь 3 спам-фильтра, заблокировавших слишком много легитимных сообщений. Пять продуктов-участников – OnlyMyEmail, Libra Esva, ZEROSPAM, Bitdefender и Sophos – получили высшую оценку (VBSpam+). В ходе испытаний они заблокировали более 99,5% спама, причем без ложных срабатываний. Virus Bulletin также провел опрос о степени внедрения DMARC в антиспам-продукты и с сожалением обнаружил, что этот защитный протокол пока мало кто поддерживает. DMARC обеспечивает обратную связь между получателем и легальным массовым отправителем, помогая повысить эффективность аутентификации источников сообщений и снизить риск спуфинга. Поддержка этого протокола позволяет владельцам доменов извещать интернет-провайдеров о применяемых механизмах аутентификации (SPF, DKIM) и о своей политике в отношении писем, не прошедших проверку на подлинность. Согласно результатам опроса, большинство испытуемых продуктов осуществляют проверку SPF-статуса и подписи DKIM во входящей почте, однако DMARC поддерживают единицы. Обратная связь по DMARC реализована лишь в одной из 18 систем фильтрации, еще одна проверяет DMARC-статус входящих писем, но отклик не дает. Источник: Virus Bulletin Автор мошеннических SMS вернет нетрудовые доходы Специалист по маркетингу из Висконсина заключил мировое соглашение с ФТК, обвинившей его в распространении текстовых спам-сообщений о раздаче подарочных карт и призов, якобы бесплатных. Джейсон Круз (Jason Q. Cruz) является одним из 29 ответчиков по иску ФТК, поданному торговым регулятором в марте прошлого года против авторов мошеннических SMS-рассылок на территории США. По свидетельству ФТК, Круз проводил спам-рассылки, предлагая американским абонентам «бесплатные» подарочные карты на $1000 от ведущих ритейлеров, а также «призы» в виде iPad. Чтобы востребовать «подарок», получатель должен был ввести на указанном сайте кодовое слово «FREE» («бесплатно»). Однако ни карты, ни «айпада» он в итоге не получал. Вместо этого посетителя пересылали на другие веб-сайты, где ему предлагалось оставить персональные данные и опробовать разные продукты или услуги. Впоследствии оказывалось, что такие «пробы» стоят денег и предполагают ежемесячную оплату подписки. Согласно условиям мирового соглашения, Крузу отныне воспрещается проводить спам-рассылки и оказывать содействие другим SMS-спамерам. Ему также запрещено вводить потребителей в заблуждение относительно каких бы то ни было предложений и собирать персональные данные, утаивая истинную цель таких кампаний. С Круза также взысканы более 185 тыс. долларов, нажитые мошенническими методами. Срок возврата всей суммы за исключением 10 тысяч отложен в связи с неплатежеспособностью ответчика. Кроме того, недобросовестный предприниматель должен будет уничтожить всю собранную у жертв информацию и оказывать содействие ФТК в ее дальнейших расследованиях. Источник: FTC Американцев атакуют «лотерейщики» из Гватемалы Последние 2-3 года Cloudmark фиксирует в США значительное количество мошеннических SMS, исходящих из Гватемалы. Все обнаруженные сообщения написаны на испанском языке и уведомляют получателя о мнимом выигрыше в лотерею, якобы организованную латиноамериканскими операторами сотовой связи Claro и Tigo. Мошенники сулят абонентам 35 тыс. долларов и «Тойоту» впридачу, предлагая позвонить по указанному в SMS номеру для получения дальнейших инструкций. По свидетельству Cloudmark, на звонки потенциальных жертв отвечает специально обученный персонал, который работает строго по будням, а в выходные просит абонента перезвонить в ближайший рабочий день. При ответе операторы мошеннического колл-центра пытаются заставить претендента раскрыть персональные данные, включая реквизиты банковского счета. Автомобиль ему предлагают получить прямой поставкой или приехать за ним в Гватемалу. Разумеется, в дальнейшем «счастливчик» обнаружит, что ему надо уплатить пошлину на ввоз, некие налоги, сборы, которые осядут в карманах мошенников, а «Тойота» окажется мифом. Эксперты также выявили ряд поддельных страниц, связанных с данной спам-кампанией. Все они имитируют блоги ведущих телеоператоров и показывают фото неких граждан, якобы ставших обладателями автомобиля благодаря лотерее. На эти страницы злоумышленники направляют потенциальных жертв, чтобы придать больше убедительности своим спам-рассылкам. По оценке Cloudmark, в настоящее время на гватемальские сообщения о мифическом выигрыше приходится 22% текстового спама, распространяемого на территории США. Однако основная масса этих SMS направляется в латиноамериканские страны – в Коста-Рику, Никарагуа, Белиз и Уругвай. Источник: Cloudmark Записки спам-аналитиков Чемпионат мира: спамеры пробивают пенальти Татьяна Щербакова, эксперт «Лаборатории Касперского» В 2014 году пройдут сразу два крупнейших спортивных мероприятия: Чемпионат мира по футболу в Бразилии и Олимпийские игры в Сочи. В ноябре мы уже писали о мошеннической рассылке использующей Чемпионат мир, ее авторы пытались заманить получателя выдуманным выигрышем в лотерею. В январе количество таких рассылок увеличилось. Сюжет обнаруженных нами писем был одинаковым: получателю сообщали, что его электронный адрес, выбранный случайным образом из миллионов других, победил в лотерее и теперь он стал обладателем огромного выигрыша. Чтобы забрать причитающиеся деньги, необходимо связаться с организаторами по указанным в письме адресам и телефонам. Отметим, что тело обнаруженных писем либо было пустым, либо содержало одну фразу - «Посмотрите вложение для получения подробной информации» или просто «Откройте вложение». Содержимое вложенного файла с дополнительной информацией, который мошенники просили открыть, менялось от письма к письму, как и формат вложения - JPEG, PDF или DOC. В этом файле содержалась вся информация о выигрыше, а в его названии упоминались FIFA или Чемпионат мира. Кроме того, для оформления содержимого файла мошенники использовали изображения логотипов чемпионата, главного приза и фотографии с церемонии объявления страны-хозяйки Мундиаля 2014. В конце января мы также обнаружили рассылку с вредоносными вложениями, эксплуатирующую предстоящий Чемпионат мира в Бразилии. В поддельном письме от имени сайта copa2014.gov.br, официального канала связи правительства Бразилии с прессой для мероприятий FIFA, пользователя поздравляли с тем, что он стал счастливым обладателем двух билетов на Чемпионат Мира. Распечатать выигранный электронный билет можно было, перейдя по указанной в письме ссылке. Если пользователь попадался на приманку, то вместо желанных билетов на его компьютер загружалась вредоносная программа вида Trojan-Downloader, которая, в свою очередь, закачивала червя Worm.VBS.Dinihou. Данный червь не только используется для скачивания и запуска посторонних файлов без ведома пользователя, но и инфицирует подключенные к компьютеру USB-накопители. Для придания письму легитимного вида злоумышленники использовали логотипы Чемпионата мира и на первый взгляд достоверный адрес в поле отправителя. Однако если присмотреться внимательнее, можно увидеть, что в письме указан домен .com, а не .gov, что явно указывает на подделку. Наши коллеги из Бразилии обнаружили похожие вредоносные рассылки. Их авторы предлагали пользователям бесплатные билеты на Чемпионат мира, бесплатный перелет в Бразилию и другие «подарки». Целью злоумышленников была кража персональных данных пользователя, в первую очередь данных его банковской карты. Мелкие и средние компании также не упустили возможности прорекламировать свои услуги в преддверии Чемпионата мира и рассылали пользователям предложения мобильных услуг на территории Бразилии по выгодным ценам. Китайские фабрики и заводы предлагали чехлы на смартфоны известных марок с логотипами любимых мировых футбольных клубов. Крупные мировые события спамеры охотно используют для самых различных целей, от обычной рекламы до выуживания денежных средств и кражи персональной информации. Поэтому следует быть предельно внимательным с незапрошенной корреспонденцией. Письма, сообщающие о неожиданном выигрыше в лотерею или внезапном получении дорогостоящих билетов, могут нанести материальный ущерб и стать причиной заражения компьютера. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Мобильные злоумышленники атакуют болельщиков Роман Унучек, эксперт «Лаборатории Касперского» Олимпийские игры - событие, несомненно, значимое. И злоумышленники не упускают случая воспользоваться интересом к ним со стороны пользователей. Мы уже рассказывали об «олимпийском» спаме в почте. Не остались в стороне и спамеры, рассылающие вредоносный SMS-спам. 10 февраля мы зарегистрировали спам-рассылку SMS сообщений со ссылкой якобы на трансляцию соревнований на Олимпиаде: «Трансляция олимпийских игр в Сочи hxxp://mms****.ru/olympic.apk» Если неосторожный пользователь кликнет по ссылке, на его смартфон попытается загрузиться троянец, детектируемый нами как HEUR:Trojan-SMS.AndroidOS.FakeInst.fb. При успешной загрузке после запуска этот троянец обращается к управляющему серверу и предает данные, собранные на зараженном телефоне, в том числе контакты пользователя. После этого вредоносная программа получает команду на отправку SMS. По этой команде на номер одного из крупнейших российских банков отправляется SMS сообщение с текстом BALANS. Если пользователь является клиентом этого банка и у него подключена услуга «мобильный банк», в ответ на отправленное троянцем сообщение ему придет SMS с информацией о балансе банковского счета. Троянец перехватывает все входящие SMS и отправляет их на сервер злоумышленников. В результате к киберпреступникам попадает информация и о балансе банковского счета жертвы-клиента данного банка. Банк злоумышленники выбрали не случайно: он предоставляет своим клиентам удобную возможность пополнять мобильный счет, переводя деньги с банковской карты. Для этого надо отправить SMS определенного содержания на номер банка. Получая от своих хозяев соответствующие команды, троянец будет отправлять SMS на номер банка и переводить деньги с банковского на мобильный счет владельца зараженного смартфона. А с мобильного счета жертвы злоумышленники будут переводить деньги на свои электронные кошельки. Ежедневно троянец может похищать с банковского счета жертвы до 10 000 рублей. При этом все сообщения от банка о переводе денег будут скрыты от пользователя. Социальная инженерия всегда была опасным инструментом в руках злоумышленников. А когда происходят события, заведомо вызывающие всеобщий интерес, пользователям надо быть особенно внимательными. Как минимум, не следует переходить по ссылкам, полученным от неизвестных отправителей. В таких случаях всегда есть риск попасть в ловушку злоумышленников и, как следствие, потерять немалые деньги. Для того чтобы снизить риск заражения мобильными зловредами, мы рекомендуем пользователям: Не включать на мобильных устройствах «режим разработчика». Не ставить галочку «установка приложений из сторонних источников». Устанавливать приложения только из официальных каналов (Google Play, Amazon store и т. п.). Внимательно следить за теми правами, которые приложения запрашивают при установке. Если набор прав не соответствует назначению приложения (например, игра запрашивает право на отправку SMS), отказаться от установки подозрительного приложения. Использовать защитное ПО. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013