Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 505

В этом номере:


Новости

Новая спам-кампания с предложением легкого заработка

Последние несколько дней ИБ-компания CYREN (ранее Commtouch) фиксирует мощный всплеск мошеннического спама с предложением надомной работы. По оценке экспертов, из-за этой кампании уровень спама в почтовых каналах повысился почти до 90% – против 75% в январе.

По свидетельству CYREN, сообщения мошенников имитируют формат новостных бюллетеней Fox News и снабжены соответствующими заголовками типа «BREAKING NEWS: Special Report», «BREAKING NEWS: It’s hard to believe, but…» и т.п. Спамеры сулят получателям до 8 тыс. долларов в месяц при занятости не более пяти часов в сутки.

Все ссылки, внедренные в эти письма, ведут на один и тот же сайт в зоне .com, имитирующий солидный финансовый портал. Здесь посетителю сообщают, что он может работать на дому, с торговлей это не связано и никаких капиталовложений не потребуется. Для пущей убедительности на сайте размещено новостное сообщение и фото молодой матери с младенцем, которая, используя свободное время, якобы зарабатывает около $90 тыс. в год и при этом не занимается продажами. Внизу страницы, в разделе комментариев, воспроизведена оживленная дискуссия на эту тему.

CYREN отмечает, что при попытке уйти с рекламной страницы скамеров в браузере отображается всплывающее сообщение: «Do you really want to leave the website?» («Вы действительно хотите покинуть эту страницу?». Одновременно пользователь перенаправляется на другой поддельный сайт трудоустройства, где ему предлагают принять участие в онлайн-опросе.

Эксперты предупреждают соискателей, что после регистрации на мошенническом сайте их могут попросить заплатить порядка 200 долларов за доступ к некой «закрытой информации». Такие схемы развода с использованием спам-рассылок и поддельных страниц хорошо известны, достаточно ввести в любом поисковике ключевую фразу «work at home scam».

Источник: CYREN

SMS-фишинг в обход защиты от абьюзов

Компания Cloudmark обнаружила фишинговую SMS-рассылку, ориентированную на клиентов нескольких крупных телеоператоров США. Чтобы обойти защитные меры, применяемые службами борьбы с злоупотреблениями, фишеры показывают свои страницы лишь в мобильных браузерах, а пользователям настольных компьютеров отображают ошибку 404.

Нацеленные на сбор ключей к аккаунтам текстовые сообщения сулят получателю кредит по абонентскому счету или скидку в ближайший месяц. Указанная фишерами короткая ссылка, по свидетельству экспертов, ведет на вполне убедительную страницу регистрации, снабженную логотипом оператора сотовой связи. Подлог выдает лишь имя домена в адресной строке: оно не имеет никакого отношения к ресурсам владельца используемого брэнда. Введенные на этой странице логин, пароль и последние 4 цифры номера социального страхования попадают прямиком к фишерам.

Если пользователь пытается пройти по фишерской ссылке в десктопном браузере, ему отображается сообщение Page Not Found – «Страница не найдена» (ошибка 404). Эксперты полагают, что фишеры используют этот трюк в надежде обойти анализаторы, используемые добросовестными сервисами сокращения ссылок в качестве защиты от злоупотреблений. Если ссылка неактивна, анализировать нечего, и она может быть сочтена безвредной.

Согласно данным службы 7726 (приема жалоб на спам), оператором которой является Cloudmark, в качестве источников рассылки фишеры задействовали большое количество телефонных номеров и с каждого отправляют по нескольку сообщений. Более 90% этих номеров выданы сервис-провайдером Twilio, который предоставляет интернет-доступ к API своих служб передачи речевых и SMS-сообщений. По оценкам Cloudmark, за последние два месяца фишеры атаковали через Twilio около 250 тыс. американцев, разослав более 385 тыс. текстовых сообщений с 2,5 тыс. уникальных номеров.

Для генерации коротких ссылок атакующие вначале использовали службу bit.do, а после того, как этот провайдер обнаружил и пресек их активность, обратились к ow.ly. Данный сервис, по всем признакам, не производит проверку оригинальных URL, а его механизм приема жалоб на абьюзы, по данным Cloudmark, оставляет желать лучшего, – как, впрочем, и у Twilio. Последняя, по словам экспертов, уже сталкивалась с обвинениями в рассылке спама.

После публикации новых находок Cloudmark администрация Twilio связалась с ИБ-компанией и выразила готовность объединить усилия в расследовании текущего инцидента, а также в разработке адекватных мер по защите ее сервиса от злоупотреблений.

Источник: Cloudmark

ФБР: опасайтесь ложных онлайн-знакомств

Накануне Дня всех влюбленных ФБР опубликовало предупреждение, еще раз напомнив романтикам об опасностях, которые поджидают их в Сети. Те, кто ищет свою «половинку» на просторах интернета, нередко становятся жертвами мошенников, эксплуатирующих уязвимость одиноких сердец с корыстной целью.

Обманщики выискивают потенциальных жертв в социальных сетях и чатах и вовлекают их в переписку, обычно от имени странствующего или работающего за границей американца, хотя на самом деле часто являются иностранцами. Их жертвами легко становятся дамы старше 40 лет, разведенные, овдовевшие и/или нетрудоспособные, хотя излишне доверчивых хватает и в прочих возрастных и демографических группах.

Чтобы придать убедительность созданному ими персонажу, мошенники используют подложные профили, высылают по почте привлекательные фото и не скупятся на нежные признания. Они даже могут прислать цветы или мелкий подарок, однако на каком-то этапе бурной переписки все равно попросят денег – в качестве помощи в неких стесненных обстоятельствах или на билет, чтобы, наконец, увидеться вживую. Разумеется, встреча в итоге окажется невозможной по той или иной причине, а отданные деньги канут в глубоких карманах обманщиков. Иногда «возлюбленный» (-ая) высылает чек на заведомо бОльшую сумму, который надо обналичить в банке и вернуть разницу денежным переводом или товарами. Такие чеки всегда бывают фальшивыми, и жертва мошенничества становится соучастницей (соучастником) тривиальной схемы отмывания денег.

Зафиксированы также случаи, когда потенциальную жертву просили перенести переписку с сайта знакомств в другое, якобы более уединенное место – например, на некий социальный веб-сайт. Впоследствии ей давали ссылку на веб-страницу, где выложена ее увлеченная переписка, фотографии, номер телефона – вместе с обвинением в мошенничестве. Жертве обмана затем предлагали заплатить 99 долларов за удаление этой информации, однако без гарантии, что, получив деньги, обманщики выполнят свое обещание.

При возникновении подозрений в отношении новых сетевых знакомств и в прочих случаях мошенничества ФБР рекомендует обращаться в правительственный центр приема жалоб www.ic3.gov.

Источник: ФБР

Отыщи пароль на карте

ИБ-специалисты из Рас-эль-Хаймы (ОАЭ) предложили оригинальную систему парольной авторизации, позволяющую избавиться от многих проблем, связанных с использованием традиционных паролей. Созданный ими прототип генерирует идентификатор на основе географических данных обозначенного пользователем места на карте и пространственных параметров объекта, который ему чем-то памятен.

При создании пароля пользователь выбирает по фотоснимкам объект – местную достопримечательность или просто дерево в лесу, у которого он всегда отдыхает во время прогулки с собакой, затем задает масштаб и обводит границы участка. Система регистрирует широту, долготу, высоту, площадь, периметр, углы наклона, радиусы и прочие признаки и на их основе генерирует идентификатор, добавляя к нему произвольные скрытые символы. После этого «посоленный» пароль хэшируется.

По словам Зияда эль-Салума (Ziyad S. Al-Salloum), одного из соавторов проекта и основателя ИБ-компании ZSS – Research, угадать такой пароль практически невозможно, а если он содержит данные нескольких памятных мест, энтропия будет еще выше. Если разбить карту мира на 360 млрд. фрагментов и использовать 20 вариантов увеличения, можно получить практически неограниченное число предельно сильных «географических» паролей. «Как показал анализ более 47 тысяч известных утечек, наше предложение по эффективной замене традиционных паролей поможет исключить 76% таких инцидентов», – подчеркнул эль-Салум.

Новая разработка примечательна также тем, что позволяет с легкостью создавать уникальные пароли: земля большая, а вкусы и воспоминания у всех разные. Кроме того, даже если допустить, что несколько пользователей выберут один и тот же объект, масштаб и одинаково ограничат изображение, пароли у них будут разные – из-за «соли».

Арабские разработчики опубликовали соответствующую статью в журнале International Journal of Security and Networks и предоставили к ней открытый доступ.

Источник: Science Daily

Полмиллиона за незаконные SMS-рассылки

Управление Федеральной антимонопольной службы по Кемеровской области наложило на пермское ООО «Билдинг» 500 тыс. рублей штрафа по итогам рассмотрения пяти дел о нарушении федерального закона «О рекламе».

Расследование, запущенное по жалобам местных абонентов, установило, что в течение 2013 года названная пермская компания распространяла по сетям «Билайн» заказную рекламу, не заручившись согласием получателей. В основном, это были текстовые сообщения, продвигающие услуги таксистов, а также турагентств, монтажников сетевого оборудования и продавцов детской обуви. Телефонные номера, указанные в этих рекламных SMS, были впоследствии внесены в блоклисты специализированного приложения ООО «СофтПрофи», которое согласно договору использовала компания «Билдинг».

Поскольку ФЗ «О рекламе» запрещает коммерческие рассылки без согласия получателей, УФАС усмотрело в действиях распространителя SMS-рекламы правонарушение и возбудило сразу 5 административных дел. Решения о наложении штрафа по этим делам были вынесены автоматически за отсутствием представителя ответчика. Заметим, что в минувшем году ООО «Билдинг» уже привлекалось к административной ответственности и платило штрафы за аналогичные нарушения.

Источник: УФАС по Кемеровской области

Украинские налоговики предупреждают об опасной фальшивке

В первой половине текущего месяца на территории Украины зафиксирована целевая рассылка писем с вредоносными вложениями. В качестве отправителя спамеры указывают поддельные адреса в домене minrd.gov.ua, который принадлежит министерству доходов и сборов. Последнее выпустило соответствующее предупреждение и полагает, что основной целью данной спам-кампании является дискредитация работы правительственного ведомства.

Вредоносные сообщения рассылаются на адреса юридических лиц и имитируют уведомление о задолженности или о сбое в почтовом сервисе. Получателю предлагается ознакомиться с вложенным документом, формат которого указан как .doc, хотя на самом деле это RTF-файл. При его запуске отрабатывает Word-эксплойт, и на машину пользователя устанавливается вредоносная программа-бот. Не исключено, что в ходе расследования обнаружатся и другие неприятные последствия.

По факту вредоносной атаки возбуждено уголовное дело. Украинские налоговики призывают пользователей к бдительности и просят не открывать вложения в спам-письма от неведомых отправителей типа pjil@, jngr@ и т.п. Получателям фальшивок следует обращаться в специализированную службу реагирования на ИБ-инциденты по адресу cert@cert.gov.ua. Жертвам заражения рекомендуется произвести проверку компьютера антивирусными средствами, например, Kaspersky Virus Removal Tool.

Источник: Министерство доходов и сборов Украины


Записки спам-аналитиков

Виртуальные биткоины vs. реальные деньги

Татьяна Куликова,
эксперт «Лаборатории Касперского»

Зимние праздники с подарками, украшениями и нарядами – серьезное испытание для любого бюджета. Поэтому неудивительно, что в постпраздничный период спамеры начинают активно рассылать письма с предложением заработать в Сети. В массовых рассылках все чаще в качестве приманки стали использовать биткоины – криптовалюту, которую можно получить в обмен на вычислительные мощности оборудования. В газетах и журналах нередко можно встретить истории о миллионерах, добывших свое состояние благодаря этой виртуальной валюте, что играет на руку спамерам, которые надеются воспользоваться популярностью этой денежной единицы. Тем более, что по последним наблюдениям, курс ее постоянно растет (например, сейчас 1 биткоин стоит около 22 тыс. рублей), и обогащение путем заработка биткоинов может показаться реальным и весьма привлекательным.

Тема заработка на криптовалюте используется спамерами по-разному. В одной из обнаруженных нами рассылок спамеры предлагали поделиться секретом некоего миллионера, построившего свое состояние на биткоинах. Согласно написанным в письме обещаниям, с помощью этого секрета можно за один день заработать полторы тысячи долларов, даже не покупая биткоины.

Ссылка из письма ведет на красочную веб-страницу с посулами огромного заработка. Для получения доступа к обеспечивающему желанный заработок ПО нужно всего лишь ввести адрес электронной почты.

Подписавшись на участие в подобном проекте, человек вряд ли сможет обогатиться. Подобные предложения обычно являются скрытой финансовой аферой, где прибыль получит только ее основатель. Зато оставленный на сайте почтовый адрес попадет в спамерские базы и его владелец еще долго будет получать различные «заманчивые предложения».

Другая обнаруженная нами рассылка предлагала выиграть биткоины в лотерею. Согласно письму, Лотерейный комитет выбрал пользователя для участия в биткоин-лотерее, и единственное, что теперь он него требуется – скачать и установить файл, пока розыгрыш не закончился. К сожалению, скачать предложенный файл и проверить его содержание оказалось технически невозможно, поэтому можно только догадываться о последующих за скачиванием событиях. В любом случае письма от неизвестного лица, предлагающие выиграть баснословную сумму в никому не известной лотерее должны настораживать. А скачивание файла по ссылке, приведенной в письме, может представлять вполне реальную угрозу для компьютера.

А в следующем письме предлагается приобрести специальную программу для заработка популярной криптовалюты. Для того, чтобы получать большой и стабильный доход, по словам спамеров, достаточно заплатить всего 7 долларов. Однако, сделав это, пользователь вряд ли получит хоть какую-нибудь прибыль. Скорей всего, его попытаются вовлечь в финансовую аферу, где весь доход оказывается в руках организаторов.

В настоящее время добычу биткоинов сравнивают с поисками жилы, содержащей драгоценный металл, во времена «золотой лихорадки». Чем больше биктоинов производится, тем труднее их извлекать. Если изначально для получения дохода в виде криптовалюты было достаточно обычного персонального компьютера, то теперь приходится создавать специальные майнинговые фермы, что требует больших финансовых вложений. Но только они сейчас позволяют вырабатывать новые биткоины, справляясь с решением задач повышенной сложности, которые простой персональный компьютер может решать 5-6 лет. Все это свидетельствует о том, что, каковы бы не были обещания спамеров, заработать баснословные суммы в виртуальной валюте технически невозможно. А, значит, не стоит обращать внимания на предложения «получить много денег, тратя всего несколько часов в день за компьютером».

Примеры спамовых писем смотрите на сайте Securelist.com/ru.

Ваш аккаунт в фейсбуке выиграл приз!

Мария Рубинштейн,
эксперт «Лаборатории Касперского»

Мы все не раз видели мошеннические письма с текстом вроде "ваш е-мейл выиграл в лотерею миллион долларов или евро, свяжитесь с нами, чтобы получить приз" (а сотрудники ЛК еще и писали о них). Интернет-мошенники пользуются этим приемом, чтобы выманить у жертвы деньги: прежде чем получить выигрыш, оказывается, нужно сначала заплатить налог или комиссионные за банковский перевод (или еще что-то оплатить).

Сегодня мы наблюдали забавную вариацию на тему этой схемы: "выиграл" на этот раз не адрес электронной почты, а аккаунт в фейсбуке.

Интересно, зачем "Эдуардо Саверину" (это, кстати, вполне реальный человек, один из основателей фейсбука) знать мое имя в фейсбуке, если именно на него заведомо пришелся выигрыш?.. Боюсь, что этот вопрос может и не прийти в голову доверчивой жертве, оглушенной обещанием огромного выигрыша, - и мошенник это тоже понимает.

Не сомневаюсь, что читатели нашего блога ни на секунду не поверят в "выигрыш с фейсбука". Но ведь сейчас аккаунты в соцсетях есть и у наших родных и близких, а у них может быть меньше опыта, чем у нас. И вот их стоит предупредить лишний раз: смотрите, и такое письмо - тоже обман.

Примеры спамовых писем смотрите на сайте Securelist.com/ru.

Вы действительно хотите отписаться от нашей спам-рассылки?

Мария Вергелис,
эксперт «Лаборатории Касперского»

Спамеры не прекращают искать способы обойти антиспам-фильтр и ввести получателя спам-сообщения в заблуждение. Недавно мы обнаружили рассылку, авторы которой пытались выдать свои письма за автоответ на отказ от подписки на некий новостной дайджест. В заголовке письма авторы выражали сожаление по поводу потери одного из абонентов и даже удивленно вопрошали, действительно ли получатель хочет отказаться от их услуг.

Такие фразы, как «Сожалеем, что вы решили отписаться от нашей рассылки» и подобные, действительно встречаются в письмах, отправленных в ответ на прекращение подписки. Однако далее шел уже не совсем типичный текст. Авторы письма с горечью сообщали, что отписали пользователя и от других тематических информационных рассылок, таких, например, как:

  • Водительские права без медицинской комиссии;
  • Процедура банкротства юридических лиц;
  • Банковские лицензии;
  • Открытие бизнеса за границей;
  • Недвижимость со скидкой 50%.

Всё перечисленное – обычные темы спам-рассылок, которые в данном случае попытались выдать за тематические информационные блоки. Что же заставляет усомниться в подлинности подобных «отписок»? Тот факт, что нигде в письме даже не упоминалось, какой именно информационный портал, новостной сайт или интернет-журнал отписал пользователя от своих рассылок.

Такая информация отсутствовала и в данных отправителя: адрес почтового домена отправителя представлял собой фразу, которая переводится как «водительские права прямо сейчас» (к слову, спамеры, очень часто называют вновь созданные домены фразами или словами, связанными с тематикой предлагаемых услуг), а домен был создан в том же месяце, в котором были разосланы такие письма. Никаких ссылок на ресурс, где в дальнейшем, наоборот, можно было возобновить свою подписку, также обнаружено не было. Похоже, авторы рассчитывали, что пользователь, заинтересовавшись одной из указанных тематик, сам ответит на письмо и получит уже весь спектр спам-предложений по выбранной теме.

Еще большей наглостью отличились авторы другой рассылки. За небольшую плату они обещали рассказать получателю, откуда спамеры взяли его почтовый адрес и почему в его ящике столько спама. За сведения, которые помогут, наконец, избавиться от нежелательных сообщений, неизвестные «доброжелатели» просили всего $3.5. Для оплаты услуги пользователю нужно было пройти по указанной в письме ссылке.

Ссылка вела на страницу под названием «конец спаму» (End of Spam), где, к слову, прейскурант уже немного расширялся. Так, за «пожертвование» в размере $1.50, отправленное посредством платежной системы PayPal, пользователь мог отписать свой почтовый ящик от спам-рассылок. А за более крупную сумму в $3.50 – узнать «секрет», как же этим и другим спамерам удалось выяснить почтовый адрес данного пользователя. При этом авторы рассылки настоятельно рекомендовали не забыть указать свой электронный адрес в примечании к платежу, чтобы «знать, кого отписывать».

Любая из выбранных ссылок вела на страницу оплаты PayPal с готовым платежным документом. Если пользователь уже был авторизован в платежной системе, ему оставалось только нажать кнопку «оплатить» и отправить свои денежки в неизвестность.

На деле, конечно, перечисленные манипуляции не гарантировали прекращение потока назойливых спам-сообщений – очень трудно поверить в то, что авторы рассылки знакомы со всеми спамерами мира и могут по запросу пользователя остановить все организованные ими спам-рассылки. Более того, получив деньги, «доброжелатели»  вполне могут не только не прекратить поток незапрошенной корреспонденции, но и, наоборот, увеличить его, убедившись в валидности адреса и наивности его владельца. А в худшем случае и воспользоваться персональными данными, указанными в платежном переводе.

Примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное