Электронный журнал "Спамтест" No. 513 В этом номере: Новости Записки спам-аналитиков Спам в первом квартале 2014 Новости CYREN о спаме и фишинге в I квартале По данным CYREN (ранее Commtouch), тенденция к сокращению спам-потока сохранилась и в начале текущего года. В январе-марте на долю нелегитимных сообщений пришлось лишь 57% почтовой корреспонденции. Суточная норма спама в среднем составляла 54 млрд. сообщений, а в некоторые дни падала до 30 млрд. Более четверти почтового мусора исходило с территории Западной Европы. В тематическом разделении спам-рассылок наибольший рост показала категория «Фармацевтические препараты»; за минувший квартал объемы этой рекламы, по оценке CYREN, увеличились на 45%. Эксперты также отметили качественные изменения в способе продвижения в спаме различных диет: их распространители начали публиковать пресс-релизы со ссылкой на свой сайт в популярных новостных изданиях. Любой последующий отзыв на такой релиз с упоминанием известного имени мог служить достойной приманкой с точки зрения спамера. Количество фишинговых сайтов, обнаруженных CYREN, за отчетный период заметно увеличилось. Так, за две недели наблюдений эксперты зафиксировали рост URL/сайтов, имитирующих PayPal, на 73%. Всего за первый квартал было обнаружено 18,6 тыс. таких подделок. Второе место в рейтинге мишеней фишеров заняла Apple (около 2,3 тыс. ловушек), третье – Poste Italiane (более 1,7 тыс.). Источник: CYREN Lethic занялся накруткой кликов Как обнаружили эксперты Fortinet, операторы Lethic нашли другой способ монетизации данного ботнета. Lethic больше не распространяет спам, он обращается к заданным страницам и загружает их, не показывая жертве заражения. Ботнет Lethic известен как минимум с начала 2010 года и на протяжении всей своей истории использовался исключительно для рассылки спама. Спамботы Lethic достаточно примитивны и используют зараженную машину как прокси-посредника между C&C и целевым SMTP-сервером. IP-адрес публичного почтовика и номер порта спамбот получает из центра управления в виде шифрованной команды. В минувшем марте мониторинговая система Fortinet показала, что вместо почтовых серверов Lethic упорно запрашивает веб-сайт, торгующий билетами на некое шоу в Торонто. Оказалось, что почти исчезнувший со спам-арены зловред сменил профиль и стал «кликером». Он по-прежнему работает как прокси-бот, однако вместо IP почтовика получает с C&C некий URL, а вместо SMTP-команды – команду на передачу HTTP GET. Имитируя поведение браузера, обновленный Lethic скрытно от пользователя загружает страницу, накручивая посещения, приносящие доход его повелителям. Источник: Fortinet Банк оштрафован за нарушение ФЗ «О рекламе» Челябинское управление федеральной антимонопольной службы признало SMS-рассылку ОАО «Восточный экспресс банк» ненадлежащей и назначило правонарушителю штраф в размере 100 тыс. рублей. Расследование было проведено по жалобе местного абонента, на номер которого поступило текстовое сообщение с рекламой услуг данного банка. Поскольку распространитель рекламы не смог представить в ФАС документы, подтверждающие согласие абонента на получение подобных рассылок, антимонопольщики усмотрели в его действиях нарушение федерального законодательства. Согласно ч. 1 ст. 18 закона «О рекламе», коммерческие рассылки по сетям электросвязи допускаются лишь с предварительного согласия абонентов или адресатов. При этом наличие такого согласия должен доказывать распространитель рекламы. Челябинское УФАС признало распространителя рекламы – «Восточный экспресс банк» – правонарушителем и привлекло его к административной ответственности. Источник: УФАС по Челябинской области Symantec отчиталась о спаме по итогам февраля Согласно статистике Symantec, в минувшем феврале поток нелегитимных писем увеличился на 2,2 процентных пункта и составил 64,3% почтовой корреспонденции. Как и в предыдущем месяце, наиболее высокие уровни спама наблюдались в Шри-Ланке (74,1%), а в разделении по областям хозяйственной деятельности – в горнодобывающей (64,1%) и обрабатывающей (63,4%) промышленности. Рейтинг стран-источников спама возглавила Испания с показателем 9,8%, второе место заняли США (8,2%), третье – Германия (5,4%). Прежний лидер Канада опустился на 7-ю ступень, Россия и Украина выбыли из ведущей десятки. По оценке Symantec, совокупный вклад участников февральского Тор 10 в спам-трафик составил 52,7%. В тематическом составе спама вновь преобладала реклама порноресурсов и сайтов знакомств, хотя доля этой категории в общем спам-потоке снизилась с 75,2 до 54,9%. Вклад рекламы фармацевтических препаратов, напротив, почти удвоился – до 39,7%. Частота фишинговых сообщений в феврале снизилась до 1 письма на 1858 против 1 на 1444 в предыдущем месяце. Усерднее прочих фишеры атаковали жителей ЮАР (1 письмо на 668) и Новой Зеландии (1 на 713). В разделении по отраслям наиболее высокие уровни фишинга наблюдались в таких сферах, как сельское хозяйство, лесоводство и рыбный промысел (совокупно 1 письмо на 887), а также в госсекторе (1 на 915). Основная масса фишинговых посланий в феврале распространялась с территории США (49,7%) и Великобритании (10,9%), несколько меньше – из Австралии и Германии (8,9 и 7,0% соответственно). Доля фишинговых сайтов, созданных автоматизированными средствами, в феврале заметно уменьшилась, с 58,1 до 35,0%. Фишеры явно предпочитали размещать свои ловушки на взломанных ресурсах (58,9%). Почти две трети (62,4%) поддельных сайтов, обнаруженных в отчетный период, имитировали ресурсы финансовых организаций, 29,8% – информационные сервисы. Концентрация вредоносных писем в почтовой корреспонденции в феврале заметно возросла; вредоносным являлось в среднем 1 сообщение из 351, тогда как в январе – 1 из 431. Наиболее высокие уровни заражения наблюдались в Великобритании (1 письмо на 162), а также в госсекторе (1 на 149). Около половины (49,1%) вредоносных писем были отосланы с территории США, 36,7% – из Великобритании. Источник: Symantec Записки спам-аналитиков I’m phishing it! Татьяна Щербакова, эксперт «Лаборатории Касперского» Письма с заманчивыми предложениями пройти опрос и получить за это некоторую сумму денег уже давно используются мошенниками для обмана пользователей. Как правило, фишеры пишут такие письма от имени известных и популярных компаний, так как узнаваемый бренд вызывает большее доверие у пользователя, что увеличивает шансы на успешную кражу персональной информации. В апреле мы обнаружили рассылку, авторы которой пытались выманить данные банковских карточек у говорящих на португальском языке посетителей сети ресторанов быстрого питания McDonald’s. В поддельном письме сообщалось, что получатель может получить 150 евро от сети ресторанов, для этого ему необходимо лишь пройти по указанной в письме ссылке и ответить на несколько вопросов, касающихся его впечатлений от посещения McDonald’s. На открывающейся фишинговой странице пользователь действительно видит обещанные вопросы, а ниже его просят ввести все данные банковской карты для зачисления заработанных денежных средств. Естественно, указанные пользователем ответы мошенников не интересуют – их реальной целью является финансовая информация. Отметим, что мошенническое письмо было написано на португальском языке и, скорее всего, было рассчитано на жителей Бразилии и Португалии, однако текст опроса на сайте был на привычном английском языке. Спам в первом квартале 2014 Дарья Гудкова, эксперт «Лаборатории Касперского» Подделки под нотификации мобильных приложений С повсеместным распространением мобильных устройств в электронной почте начинает появляться спам, нацеленный на пользователей смартфонов и планшетов. Мы уже писали о рассылках, содержащих вредоносные программы под Android. Пока таких программ совсем немного, но рассылаются они с завидной регулярностью. В этом квартале мы заметили еще одну тенденцию: спамерские поддельные уведомления теперь копируют сообщения от мобильных приложений. Чаще других в подобных рассылках встречается кроссплатформенное мобильное приложение WhatsApp: подделки под нотификации WhatsApp использовались спамерами как для распространения вредоносных программ, так и для обычной рекламы. В январе мы обнаружили рассылку письма, в котором кто-то якобы прислал получателю картинку через WhatsApp. Наблюдательный пользователь задумался бы, почему подобное письмо пришло в почту, ведь аккаунт WhatsApp напрямую не привязан к почтовому ящику. Однако многие пользователи привыкли как к синхронизации контактов, так и к тому, что по электронной почте нам могут приходить сообщения от мобильных приложений, поэтому такое письмо не насторожит большинство пользователей. На самом деле в приложенном к письму архиве находилась вредоносная программа, детектируемая «Лабораторией Касперского» как Backdoor.Win32.Androm.bjkd. Это известный бэкдор, основная функция которого — загрузка на компьютер пользователя других вредоносных программ. В марте нам попалась другая рассылка, также эксплуатирующая популярность мобильного приложения. В письмах получателю сообщали о якобы пропущенном в WhatsApp голосовом сообщении и предлагали пройти по ссылке, чтобы прослушать его. Нажав на «Autoplay», пользователь попадал на взломанный легитимный сайт со вставленным javascript. Cайт действовал как редиректор и перенаправлял пользователя на другой сайт, в данном случае с рекламой «Виагры». Примечательно, что в подобной схеме были использованы подделки не только под сообщения от WhatsApp, но и под нотификации других популярных мобильных мессенджеров — Viber и Google Hangouts. На фоне роста интереса к мобильным устройствам можно отметить участившиеся фишинговые атаки, целью которых является кража Apple ID. В первом квартале 2014 компания Apple оказалась на 17-м месте среди атакуемых фишерами организаций. Горячие темы в спаме: Олимпийские игры В феврале в России прошли зимние Олимпийские игры. Такое событие не могло остаться незамеченным спамерами. И действительно, они использовали эту тематику в разнообразных рассылках, хотя спамерский ажиотаж вокруг Олимпиады был не столь велик, как можно было ожидать. Китайские предприниматели предлагали различную продукцию с символикой Олимпиады, «нигерийские» мошенники эксплуатировали тему для выманивания у пользователей денег. Также мы обнаружили несколько крупных рассылок, рекламирующих реплики «часов для поездки на Олимпиаду» и услуги частного вертолета в Сочи. Надо отметить, что мы наблюдаем слабую активность спамеров по отношению к такому громкому событию не первый раз. Во время летних Олимпийских игр в Лондоне мы фиксировали в основном мошеннические рассылки об «олимпийских» выигрышах в лотерею, зимние игры 2010 года в Ванкувере и вовсе не привлекли внимания киберпреступников. Интересно, что во время мировых чемпионатов по футболу тематических спамерских рассылок всегда больше. Помимо темы Олимпиады в Сочи спамеры (в основном «нигерийские» мошенники) использовали такие новостные поводы, как смерть бывшего премьер-министра Израиля Ариэля Шарона. Кроме того, мошенники продолжают присылать «нигерийский» спам якобы от приближенных экс-президента ЮАР Нельсона Манделы, который скончался в декабре. Спамерские методы: зашумление HTML Чтобы сделать каждое письмо в большой рассылке уникальным, спамеры часто прибегают к «зашумлению» текста — добавлению случайных символов, слов, фрагментов текста. Очевидно, что письмо от этого становится менее аккуратным и читаемым, вызывает меньший интерес пользователей. Поэтому спамеры, как правило, стараются скрыть от пользователя случайный текст. Такие старые приемы, как размещение белого текста на белом фоне или простое отделение мусорного текста от основного содержания большим количеством переносов строки до сих пор широко применяются спамерами, хотя трюки эти практически ровесники самого спама. Однако некоторые спамеры используют более продвинутые методы. Один из них — зашумление письма HTML-тегами. Особенностью метода является то, что пользователь не увидит ничего, кроме основного контента, при этом для спам-фильтра каждое письмо будет уникальным. Весь HTML-текст письма, кроме ссылок и картинок, совершенно бессмысленный. В частности, часто встречается тег span с разными атрибутами. Это тег-контейнер, используемый в основном для оформления и/или назначения уникального идентификатора определенному фрагменту текста. В данном случае никакого реального текста между открывающими и закрывающими тегами нет, то есть эти теги просто замусоривают письмо. Отдельного внимания стоит сама ссылка, которая также зашумлена. Можно заметить, что между нормальными буквами несколько раз в случайных местах добавлена последовательность «=EF=BB=BF». Такой последовательностью в шестнадцатеричной системе обозначается один UTF-8- символ, используемый для индикации порядка байтов текстового файла. Но это в том случае, если он используется по своему прямому назначению и стоит в начале текста. Согласно спецификации Unicode, такой символ в середине потока данных должен интерпретироваться как «нулевой ширины неразрывный пробел» (по существу, нулевой символ). То есть почтовый клиент просто проигнорирует эту последовательность и с легкостью откроет ссылку или подгрузит картинку. Однако для спам-фильтров каждая такая ссылка будет уникальной. Кроме того, последний кусок ссылки (выделен оранжевым) тоже является случайным. По объему мусорная часть существенно превышает содержательную часть письма. Весь этот мусор генерируется случайным образом и является уникальным для каждого письма в рассылке. При этом получатель, открывающий письмо в почтовом клиенте, видит только аккуратно оформленное письмо, без каких-либо следов спамерских ухищрений. Статистика Доля спама в почтовом трафике Доля спама в почтовом трафике в первом квартале 2014 года составила 66,34%. Это на 6,43% меньше, чем в предыдущем квартале. Однако по сравнению с аналогичным показателем за первый квартал 2013 года доля спама в Q1 2014 уменьшилась незначительно — лишь на 0,16%. Можно также отметить, что на протяжении квартала доля спама сильно колебалась, достигнув самого низкого значения — 61% — в последнюю неделю квартала. Страны – источники спама Что касается географического распределения источников спама, то оно изменилось незначительно. Первые три места в TOP 20 занимают, соответственно, Китай (-0,34%), США (+1,23%) и Корея (-0,91%). Россия по количеству распространяемого спама опередила Тайвань и поднялась на 4-е место — на одну позицию выше по сравнению с прошлым кварталом (+0,34%). В остальном первая десятка рейтинга изменилась незначительно. Во второй десятке произошли более заметные изменения. С 20-го на 11-е место поднялись Филиппины (+0,67%), уменьшилась доля Казахстана (-0,76%), который сместился с 11-го на 17-е место. Кроме того, Канада, занимавшая в прошлом квартале 10-е место, опустилась на 27-ю строчку, ее показатель уменьшился с 1,73% до 0,49%. Регионы — источники спама Распределение источников спама по регионам тоже не претерпело особых изменений. Доля Азии немного уменьшилась — на 3,2%, — однако она по-прежнему с большим отрывом лидирует в рассылке спама. Доля Северной Америки практически не изменилась (-0,01%), показатели остальных регионов немного увеличились. Размеры спамовых писем В спаме по-прежнему с большим отрывом лидируют супер-короткие письма размером не более 1Кб. В январе мы зафиксировали увеличение количества писем размером от 10 до 20Кб. Возможно, это связано с праздничными рассылками красиво оформленного спама с картинками. Вредоносные вложения в почте Наиболее популярным вредоносным вложением в почте по-прежнему является Trojan-Spy.HTML.Fraud.gen. Эта программа обычно распространяется с фишинговыми письмами и представляет собой HTML-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Она используется фишерами для хищения учетных данных пользователей. На второе и седьмое места вышли сетевые черви Net-Worm.Win32.Aspxor. Такие вредоносные программы могут автоматически искать уязвимые сайты, которые будут впоследствии массово заражены с целью дальнейшего распространения бота. В их функционал входит скачивание и запуск другого вредоносного ПО, сбор ценной информации на компьютере (такой как сохраненные пароли, данные для доступа к почтовым и FTP-аккаунтам), а также рассылка спама. На третьем месте давний участник нашего TOP 10 червь Email-Worm.Win32.Bagle.gt. Основная функция всех почтовых червей — собирать электронные адреса с зараженных компьютеров. Почтовый червь семейства Bagle также может принимать удаленные команды на установку других вредоносных программ. На 4-м и 8-м местах троянцы семейства Fareit, наиболее активно они распространялись в январе. Эти вредоносные программы могут воровать пользовательские пароли, осуществлять DDoS-атаки, скачивать и запускать произвольное ПО. Два представителя семейства, попавшие в наш рейтинг, также скачивают и запускают троянцев семейства Zbot. Кроме того, зловреды семейства Fareit крадут кошельки Bitcoin и других криптовалют (всего около 30). На пятом месте находится Trojan.Win32.Bublik.bwbx, который может закачивать на компьютер пользователя другие вредоносные программы, в частности, семейства Zbot. На шестом месте Backdoor.Win32.Androm.bngy. К семейству Androm относятся бэкдоры, позволяющие злоумышленникам незаметно управлять зараженным компьютером. Часто зараженные такими программами компьютеры становятся частью ботнета. На девятом месте находится старый почтовый червь Email-Worm.Win32.Mydoom.l. Замыкает десятку небезызвестный троянец семейства Zbot. Это семейство специализируется на краже конфиденциальной информации. Помимо этого, зловред может устанавливать на зараженную машину Cryptolocker — вредоносную программу, шифрующую данные на компьютере пользователя и требующую деньги за расшифровку. Что касается стран, в которые рассылались письма с вредоносными вложениями, то по сравнению с прошлым кварталом выросла доля срабатываний почтового антивируса в США (+3,68%), в то же время понизилась доля Великобритании (-2,27%), Германии (-1,34%) и Гонконга (-2,73%). В результате США, которые в предыдущем квартале занимали только 3-е место в рейтинге, вновь возглавили TOP атакуемых стран. Доля вредоносных программ, направленных в другие страны, изменилась незначительно. Фишинг С этого квартала мы решили объединить две категории организаций «Электронная почта, программы мгновенного обмена сообщениями» и «Поисковики» в одну — «Почтово-поисковые порталы». Дело в том, что на таких порталах зачастую есть один общий аккаунт, который одновременно отвечает за настройки, за историю поиска, является почтовым аккаунтом, а кроме того, дает доступ к облачным сервисам и другим возможностям. Как и ожидалось, категория «Почтово-поисковые порталы» заняла верхнюю строчку в рейтинге категорий атакуемых фишерами организаций. Несмотря на то, что современный аккаунт на почтово-поисковом портале дает множество возможностей, большинство таких атак нацелены на кражу данных, дающих доступ к почтовому ящику пользователя. Отметим, что помимо использования ящика в своих целях, злоумышленники могут проверить его содержимое на наличие других логинов и паролей. А ведь именно почтовый ящик часто используется различными сайтами для напоминания забытого пароля. Причем, если одни сайты присылают только ссылки для генерации нового пароля, то другие присылают пароль прямо в письме. К тому же, некоторые сайты присылают письмо, содержащее логин и пароль, сразу после регистрации. Чтобы избежать потери конфиденциальной информации, современные почтовые системы предлагают метод двойной аутентификации: кроме логина и пароля нужно ввести код, пришедший по SMS. Кроме того, можно просто удалять из ящика все письма, содержащие конфиденциальную информацию. Занимающие вторую позицию аккаунты социальных сетей по-прежнему очень популярны среди фишеров, хотя их доля в рейтинге понизилась на 1,44% по сравнению с прошлым кварталом. Наиболее заметно выросла доля атак на онлайн-магазины (+2,47%). Произошло это в первую очередь за счет атак на купонные сервисы, а также на особенно популярные у фишеров в марте агентства, продающие билеты на разные мероприятия. Несколько понизилась доля атак на IT вендоров (-2,46%), в остальном распределение категорий осталось практически без изменений. Заключение В настоящее время «умные» мобильные устройства есть практически у каждого, и почти все популярные интернет-ресурсы имеют мобильные версии. Кроме того, есть и специальные мобильные приложения, пользующиеся огромной популярностью. Эту популярность эксплуатируют злоумышленники, подделывающие спам под уведомления мобильных приложений. Со временем таких подделок станет только больше. Кроме того, можно ожидать и роста фишинга, целью которого будут пароли от аккаунтов мобильных приложений. Вредоносные программы под ОС Android уже распространяются по электронной почте, но пока их довольно мало. Можно ожидать увеличения в почте количества вредоносных программ, созданных для мобильных платформ. Основной целью большинства вредоносных программ, распространяемых через почту, является хищение конфиденциальной информации пользователя. Однако в этом квартале также были популярны зловреды, способные рассылать спам и устраивать DDoS-атаки. Отметим, что большинство популярных зловредов многофункциональны: они могут воровать данные с компьютера жертвы, подключать компьютер в ботнет, скачивать и устанавливать другие вредоносные программы. Для обхода фильтров спамеры продолжают использовать различные трюки. Один из наиболее прогрессивных — зашумление писем HTML-тегами, а также обфускация ссылок в письме. Последний подобный трюк — добавление в ссылки UTF-8 символа, который, когда находится не в начале текста, интерпретируется как нулевой символ. На самом деле подобных хитростей в UTF-8 довольно много, чем периодически и пользуются злоумышленники. Большинство фишинговых атак было нацелено на почтовые аккаунты. Часто пользователи не опасаются за свою почту, многие используют простые логины и пароли. Однако мы хотим напомнить, что взломанная почта дает злоумышленникам доступ ко всей хранящейся там информации, включая другие логины и пароли. Мы рекомендуем использовать сложные пароли для почтовых ящиков и по возможности пользоваться двойной аутентификацией. Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013