Электронный журнал "Спамтест" No. 509 в этом номере: Новости Записки спам-аналитиков Новости Google зашифровала все Gmail-соединения Когда начались разоблачения методов сбора информации, применяемых АНБ, пожалуй, ни одна компания не выражала свои чувства по этому поводу громче, чем Google. Последние месяцы этот сервис-провайдер активно вносит изменения в свою инфраструктуру, чтобы затруднить задачу любителям пошпионить за пользователями. Самая радикальная из этих мер была оглашена в прошлый четверг: отныне Gmail-сервис будет использовать только HTTPS, т.е. SSL-шифрование становится обязательным для любых подключений в рамках Gmail. Это весьма примечательное изменение, особенно если учесть, что Google также ввела криптозащиту на всех каналах связи между ее датацентрами. Это значит, что Gmail-сообщения подвергаются шифрованию с момента отправки с машины пользователя и до тех пор, пока не покинут инфраструктуру Google. Это сильно осложняет жизнь всем лицам, включая АНБ, которые пытаются мониторить сеансы пользователей Gmail. «С сегодняшнего дня Gmail всегда будет использовать шифрованное HTTPS-соединение, когда вы проверяете почту или отправляете письмо, – поясняет Николас Лидзборски (Nicolas Lidzborski), глава отдела технического обеспечения безопасности Gmail. – Поддержка HTTPS существует на Gmail со времени запуска этой почтовой службы, а в 2010 году мы сделали HTTPS дефолтным. Нынешние изменения означают, что никто не сможет перехватить ваши сообщения, пока те кочуют между вами и серверами Gmail – не важно, используете вы при этом публичный WiFi или входите в почту со своего компьютера, телефона или планшета». «Кроме того, – продолжает Лидзборски, – абсолютно все сообщения, которые вы получаете или отправляете, – все 100% вашей корреспонденции – шифруются во время передачи по внутренним каналам. Это гарантирует сохранность ваших сообщений не только в пути между вами и серверами Gmail, но и во время обмена между датацентрами Google. Этот замысел стал нашей первоочередной задачей после летних разоблачений». В прошлом году Google как раз занималась криптозащитой связей между датацентрами, когда появились сообщения о том, что АНБ имеет возможность мониторить эти каналы и перехватывать письма и другие данные. Эта новость стала неприятным открытием для ИБ-специалистов Google, и компания ускорила работы по шифрованию обмена между датацентрами. Возможность дефолтного HTTPS доступна пользователям Gmail уже более четырех лет, однако рядовой пользователь мог и не знать, что эту опцию нужно просто включить. Теперь об этом можно даже не думать, любые соединения в рамках данного почтового сервиса используют шифрование по умолчанию. Источник: Google Мошенники грабят клиентов Сбербанка с помощью SMS В Эхирит-Булагатском районе Иркутской области зафиксировано 5 случаев отъема денег с банковских счетов посредством мошеннической SMS-рассылки. Как оказалось, пострадавших ввел в заблуждение номер 900, указанный злоумышленниками в самом тексте сообщения: как известно, это сервисный номер Сбербанка России. Поддельные SMS извещали абонентов о некой попытке перевода денег с их счета и предлагали узнать подробности, позвонив на указанный номер. «Пенсионерам, позвонившим на неизвестный номер, отвечали люди, представлявшиеся службой безопасности банка, – отметила сотрудник Межмуниципального отдела МВД «Эхирит-Булагатский» Лилия Шарланова. Отвечая на телефонный звонок, обманщики подтверждали приведенную в SMS информацию и убеждали жертву, что денежные средства еще можно сохранить, переведя на другой счет. При повторном звонке «служба безопасности банка» уже не брала трубку. На настоящий момент удалось установить, что мошеннические SMS-сообщения отправлялись с абонентских номеров, зарегистрированных в Курганской области. Источник: «Комсомольская правда» Украденные пожертвования В Ульяновской области задержаны двое местных жителей, подозреваемых в хищении денежных средств под видом сбора пожертвований на лечение детей-инвалидов. Расследование по данному делу было проведено силами управления «К» МВД России. Установлено, что участники данной группировки отыскивали в Сети сайты с информацией о детях-инвалидах, нуждающихся в дорогостоящем лечении, копировали контент и размещали его на сайтах-клонах, подменяя платежные реквизиты. Для пущей убедительности в оформлении поддельных сайтов использовались имена и логотипы реальных благотворительных организаций. Обнаружены также десятки интернет-публикаций и спам-рассылок на тему благотворительности, содержащих платежные реквизиты сообщников. Мошенники уделяли большое внимание конспирации. Используемые ими электронные кошельки, банковские карты и номера телефонов были оформлены на подставных лиц, выход в интернет осуществлялся с обезличенных SIM-карт, которые часто менялись. Нажитыми обманом капиталами преступная группировка распоряжалась по своему усмотрению. По предварительным данным, жертвами данной мошеннической схемы стали сотни пользователей интернета. В ходе обысков у подозреваемых были изъяты мобильные телефоны, SIM-карты, чужие банковские карты и компьютерная техника. По факту мошенничества (ч. 2 ст. 159 УК РФ) возбуждено уголовное дело, задержанные пока отпущены под подписку о невыезде. Источник: МВД Волна арестов в рамках борьбы с SMS-спамом в КНР Китайская полиция задержала более 1,5 тыс. граждан, подозреваемых в рассылке нелегитимных SMS-сообщений с использованием подставных базовых станций мобильной связи. Аресты произведены по результатам расследования, запущенного в минувшем феврале. Как сообщает министерство госбезопасности Китая, расследование позволило выявить спамерскую группировку, действующую на северо-востоке провинции Ляонин, на границе с Северной Кореей. По данным полиции, данная ОПГ разослала свыше 200 млн. спамовых SMS, замаскированных под сообщения правительственных структур. Цели этих рассылок весьма разнообразны, от фишинга и продвижения сомнительных сделок с недвижимостью до рекламы порно, которое в этой стране запрещено. На настоящий момент выявлено 3,54 тыс. инцидентов с участием данной ОПГ и захвачено более 2,6 тыс. фейковых базовых станций. Текстовый спам – большая проблема в Китае; по официальным данным, в первой половине 2013 года SMS-спамеры совокупно разослали на территории этой страны около 200 млрд. сообщений. Одним из популярных методов распространения SMS-спама в КНР является использование подставных базовых станций, обычно сокрытых в фургоне или автомобиле, который циркулирует по улицам, забивая легитимные сигналы. Подставная станция по сути представляет собой SMS-сервер, через который и осуществляются спам-рассылки. По данным китайской полиции, одна такая псевдостанция способна за полчала разослать на ближайшие телефоны около 6 тыс. сообщений. Борьбу с «мобильными» SMS-спамерами затрудняет тот факт, что их услугами охотно пользуются легальные бизнес-структуры. Китайский спамер-профессионал взимает 1 тыс. юаней (немногим более 160 долларов) за рассылку спама на тысячи номеров в радиусе двухсот метров от подвижной псевдостанции. При этом сам SMS-сервер обходится ему в 45 тыс. юаней. Источник: Reuters Источник: The Register Беларусь атакуют заграничные SMS-спамеры С прошлой недели белорусские абоненты жалуются на SMS-спам, в котором содержится просьба срочно позвонить на указанный номер. Как оказалось, рассылка спама осуществляется из-за рубежа, и звонок на указанный в SMS номер для получателя недешев. Операторы сотовой связи блокируют номера, с которых проводится спам-рассылка, и призывают абонентов игнорировать мошеннические сообщения. «SMS, которое получили абоненты компании velcom сегодня, является одним из примеров изобретательности мошенников, – комментирует представитель крупнейшего оператора Беларуси. – Текст рассылки был составлен на русском и белорусском языках, сама рассылка производилась по международным каналам из-за границы – она выполнялась в сети Tele2Sweden. Таким образом, абоненты, которые последовали указаниям в тексте сообщения и совершили звонок на указанный в SMS иностранный номер, сделали звонок за границу». При этом, по словам velcom, расходы несут не только абоненты, но также операторы и провайдеры международного соединения. Аналогичный SMS-спам поступал и местным абонентам МТС, жалоб от пользователей life:) пока не зафиксировано. Оба оператора рекомендуют не отвечать на подозрительные сообщения из незнакомых источников, а в случае сомнений обязательно уточнить номер отправителя и тем более тот, на который предлагается позвонить, через интернет или справочные службы по коду страны. Источник: it.tut.by Спамеры используют фото из публикации о спаме Эксперты Sophos обнаружили спам-письмо о (мнимом) выигрыше в лотерею со ссылкой на изображение, иллюстрирующее давнюю запись о «нигерийском» спаме в их собственном блоге, Naked Security. В этой публикации автор приведел скан поддельного паспорта некой американки Карен Шоу, которая якобы предлагала финансовую помощь всем нуждающимся. Как впоследствии оказалось, мошенники снабдили паспорт «Карен» фотографией Джулии Гиллиард, которая в то время занимала пост премьер-министра Австралии. Попавший на ловушки Sophos «лотерейный» спам извещал получателя о выигрыше в американскую лотерею Green Card, официально известную как Diversity Visa Immigrant Program. Доя получения грин-карты адресату предлагалось заполнить и выслать стандартную форму (ссылка на PDF), присовокупив отсканированную страницу паспорта, на которой вклеена фотография (ссылка на картинку из коллекции Sophos в качестве образца). Таким образом, мошенники использовали блог Naked Security в качестве хостинг-сервиса для своей рассылки. К счастью, спам-письмо оформлено на плохом английском и способно ввести в заблуждение разве что соискателей, не владеющих этим языком. Домен, используемый лотерейщиками для рассылки, зарегистрирован в TLD-зоне .hm, закрепленной за двумя безлюдными островами в южной части Индийского океана. Источник: Sophos Американские SMS-спамеры атакуют иностранных абонентов Как обнаружила Cloudmark, спамеры охотно используют сети американских телеоператоров уровня 2, чтобы распространять текстовые сообщения на зарубежные номера. Не исключено, что их просто привлекают низкие тарифы на международную связь. Так, эксперты зафиксировали объемные рассылки, адресованные жителям Малайзии, с трех вашингтонских номеров. С каждого распространялось порядка 3 тыс. сообщений в сутки. Все эти SMS предлагали получателям отослать определенный ответ на премиум-номер в обмен на «бесплатный» подарок. Чтобы избежать обнаружения, спамеры предваряли каждый текст уникальным набором символов, преимущественно цифровых. Вторая масштабная спам-рассылка проводилась с единственного номера, была адресована мексиканцам и продвигала некий сайт mesajilos.com. Cloudmark в среднем регистрировала 500 таких SMS в сутки. Веб-сайт mesajilos.com, судя по оформлению, специализируется на предоставлении бесплатных услуг по отправке текстовых соообщений на номера мексиканских абонентов. Как оказалось, владельцы данного сервиса собирают введенные в форму абонентские номера, чтобы рассылать на них разнообразную рекламу. На долю этого потока ежедневно приходится около 21 тыс. спам-сообщений, и распространяются они с американского номера. Еще одна, совсем недавняя спам-рассылка на мексиканские номера носила явно мошеннический характер. Получателю сообщали, что его знакомый якобы только что пересек границу США и просит срочно с ним связаться по указанному телефонному номеру. По свидетельству Cloudmark, такие рассылки проводятся с 1-3 американских номеров, которые сменяются каждую неделю. В случае блокировки номеров-источников спамеры через пару недель обзаводятся новыми. Объемы данной спам-кампании довольно умеренные и составляют около 100 сообщений в сутки. Следует отметить, что звонки на указанные спамерами зарубежные номера обходятся жертвам обмана недешево. Несколько ранее аналогичный SMS-спам был обнаружен также на территории Беларуси, куда он поступал из сетей иностранного оператора Tele2Sweden. Источник: Cloudmark Записки спам-аналитиков С миру по паролю – сайты для преступников Татьяна Куликова, эксперт «Лаборатории Касперского» Любая конфиденциальная информация в интернете является лакомой приманкой для киберпреступников. Недавно нами была зафиксирована фишинговая атака на клиентов hoster.ru. В письме от имени hoster.ru администраторам или владельцам сайтов предлагалось пройти по ссылке, чтобы возобновить работу своего ресурса, который якобы был полностью или частично отключен в связи с тем, что скрипты этого сайта вызвали серьезную перегрузку сервера Ссылка в письме была замаскирована и на первый взгляд вела на сайт www.hoster.ru, однако при наведении курсора на ссылку высвечивался реальный адрес, не имеющий никакого отношения к этому ресурсу. На самом деле ссылка в письме вела на фишинговый сайт, где преступники предлагали пользователю ввести логин и пароль, которые используются для доступа к hoster.ru. После введения учетной информации злоумышленники получали доступ ко всем сайтам, созданным клиентом у данного провайдера. Мошенники очень старательно подделали заголовки письма (в поле From стоял адрес организации, чьим дочерним проектом и является hoster.ru). Поэтому главным признаком того, что письмо фишинговое, была замаскированная ссылка, ведущая на посторонний сайт. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013