Электронный журнал "Спамтест" No. 515 В этом номере: Новости Спам в апреле 2014 Новости Российский законопроект об SMS-спаме прошел первый круг Госдума приняла в первом чтении поправки к федеральному закону «О связи», позволяющие сократить объемы нежелательных текстовых сообщений. Данный законопроект был предложен Совфедом полгода назад, он закрепляет право и обязанность оператора блокировать доставку сторонних SMS, распространяемых с нарушением закона. Законопроект вводит понятие рассылки по сети мобильной связи коротких текстовых или иных неголосовых сообщений. Разрешены только такие рассылки, на получение которых абонент предварительно дал однозначно выраженное согласие. Доказывать наличие такого согласия при этом должен заказчик массовой рассылки. Принятые поправки также обязывают заказчика SMS-рассылки заключить договор с оператором связи и предоставить ему сведения об объеме и характере рассылки. Абоненты, в свою очередь, получают право обращаться к оператору с требованием прекратить рассылки от конкретного отправителя. Разблокировка номера по инициативе абонента будет расцениваться как согласие на получение рекламы. В текущей редакции законопроект не предусматривает внесение изменений в административный кодекс, хотя вопрос о мерах пресечения для SMS-спамеров уже поднят и прорабатывается. Непонятно также, что будет считаться подтверждением согласия абонента, а также кто и как будет контролировать наличие этого согласия. Кроме того, есть опасения, что с принятием нового закона возрастет стоимость SMS в массовых рассылках и, как следствие, – расценки на товары и услуги заказчиков этих рассылок. Источник: Lenta.ru Атаки фишеров на PayPal – результат взлома eBay? С начала марта журналисты Softpedia регистрируют фишинговые сообщения с заголовком «View your recent activity» («Отчет о недавней активности»), распространяемые с поддельного адреса paypal@e.paypal.com. По свидетельству редакции Softpedia, фальшивки выглядят вполне убедительно и по времени совпадают с взломом серверов eBay, материнской компании PayPal. Последняя подтвердила, что фишинговые сообщения – подделка. «Спасибо, что потрудились переслать это подозрительное сообщение, – гласит ответ PayPal на письмо Softpedia. – Вы правы, это попытка фишинга, и мы стараемся остановить мошеннический поток. Ваш отчет оказался как нельзя кстати». Приводя скриншоты фишинговых писем, журналисты отмечают, что подделки выглядят очень профессионально. Фишеры обращаются к адресату по имени и фамилии или названию компании, что большая редкость; им известен также корректный почтовый адрес получателя. Подозрения может вызвать лишь поддельный адрес отправителя. Текст сообщений, распространяемых фишерами, составлен по двум шаблонам: в одном случае пользователю выражают признательность за лояльность, в другом порицают за эпизодичность использования платежной системы PayPal. Для проверки актуальности аккаунта получателю фальшивки предлагается осуществить вход, используя приведенную в теле письма кнопку Login. Нетрудно догадаться, что данная ссылка открывает поддельную страницу регистрации, специально созданную для сбора пользовательских идентификаторов. По данным Softpedia, эти фишинговые рассылки от имени PayPal впервые появились в начале марта, примерно тогда же, когда произошел взлом eBay с кражей паролей и персональных данных пользователей. Сомнительно, что это простое совпадение, тем более что появление спама и фишинговых сообщений после таких инцидентов – обычное явление. Компания eBay, со своей стороны, не торопится оглашать размеры ущерба и заявила, что данные клиентов PayPal при взломе не пострадали. При получении писем, имитирующих уведомления PayPal, Softpedia рекомендует пересылать их на адрес spoof@paypal.com или пометить отправителя как спамера (завести в блоклист фильтра), чтобы последующие сообщения из этого источника направлялись прямиком в спам-карантин. Источник: Softpedia ProtonMail бета в открытом доступе В середине мая открылся публичный доступ к бета-версии ProtonMail – защищенной почте со сквозным шифрованием, запущенной около года назад разработчиками из ЦЕРН и Массачусетского технологического института. Спустя три дня после старта регистрацию участников бета-тестирования пришлось временно приостановить из-за наплыва желающих. На сервисе ведутся работы по наращиванию серверных ресурсов; в ожидании их завершения потенциальные пользователи могут пока зарезервировать имя, с которым будут входить в аккаунт. По словам авторов проекта, главным назначением ProtonMail является пресечение массовой слежки. Поскольку эта служба прописана в Швейцарии и использует местный веб-хостинг, вся пользовательская информация находится под защитой федеральных законов Швейцарии о защите данных, которые известны своей строгостью. «Раскрыть то предельно скромное количество информации о пользователе, которое имеется на сервисе, мы можем лишь по приказу кантонального суда Женевы или федерального суда Швейцарии», – отмечено на сайте ProtonMail. Новая почтовая служба использует AES, RSA, OpenPGP и криптографические библиотеки с открытым кодом, не регистрирует IP-адреса и не требует персональные данные для регистрации. Оплата услуг принимается в биткойнах или наличных, можно также открыть бесплатный аккаунт и платить только за повышение лимита на память. Примечательно, что шифрованные сообщения ProtonMail могут получать пользователи других почтовых служб, вместе с сообщением им высылается кодовая фраза для расшифровки. Как заявлено на сайте, концепция ProtonMail использует многие из тех принципов, на которых был основан закрытый в прошлом году Lavabit, но со значительными усовершенствованиями. В частности, новый защищенный сервис построен с акцентом на удобство использования, хотя из-за этого разработчикам пришлось отказаться от дополнительных возможностей повышения защиты. При использовании ProtonMail достаточно запомнить два пароля: для авторизации и для расшифровки данных в браузере. Второй пароль не хранится на сервисе, поэтому его нельзя забывать или терять, в противном случае расшифровать данные, сохраненные в аккаунте, будет невозможно. «Мы лишены доступа к вашим сообщениям и, поскольку у нас нет возможности их расшифровать, мы не можем их выдать сторонним лицам», – заявляют авторы проекта. ProtonMail корректно работает лишь с современными версиями браузеров, доступна с любого устройства, совместима с другими почтовыми службами и производит шифрование незаметно для пользователя. Компромисс в пользу удобства пользователя, по словам разработчиков, имеет свои недостатки. Так, ProtonMail не способна блокировать установку кейлоггеров на машину пользователя, а также MitM-атаки с использованием поддельных SSL-сертификатов и работу неавторизованных бэкдоров на сервере, хотя последний случай маловероятен: на сервисе ведется постоянное сканирование на предмет сохранности программных кодов. Источник: Help Net Security «Пангея-7» – новый успех международного сотрудничества Интерпол подвел итоги седьмой по счету трансграничной акции по ограничению неконтролируемого сбыта медицинских препаратов через интернет. В операции «Пангея-7» приняли участие около 200 правоохранительных органов из 111 стран. За период с 13 по 20 мая было совокупно произведено 237 арестов, возбуждено 1235 дел, закрыто более 10,6 тыс. сайтов и 3 подпольные лаборатории в Колумбии, удалено свыше 19 тыс. рекламных страниц спамеров, продвигающих услуги нелицензированных интернет-аптек в социальных сетях. В ходе совместной акции были также изъяты 9,4 млн. потенциально опасных препаратов, общая стоимость которых составила около 36 млн. долларов. Как и прежде, координацию «Пангея-7», помимо Интерпола, осуществляли Всемирная таможенная организация (World Customs Organization, WCO), Постоянный форум по международной преступности в области фармацевтики (Permanent Forum on International Pharmaceutical Crime, PFIPC), специализированная рабочая группа глав европейских агентств по лекарственным средствам (Heads of Medicines Agencies Working Group of Enforcement Officers, HMA WGEO), Институт фармацевтической безопасности (Pharmaceutical Security Institute, PSI) и Европол. Международная операция проводилась при поддержке Центра безопасных интернет-аптек (Center for Safe Internet Pharmacies, CSIP) и представителей частного сектора, в том числе G2 Web Services, LegitScript, MasterCard, Microsoft, PayPal,Visa. Недельная акция затронула все ключевые звенья подпольного бизнеса: недобросовестных регистраторов доменных имен, электронные платежные системы и службы доставки. «Единственной целью организованных преступных групп, занимающихся сбытом этих поддельных и запрещенных медикаментов, является нажива, – подчеркнул генеральный секретарь Интерпола Рональд Ноубл (Ronald K. Noble). – При этом их ничуть не волнует, что их действия имеют последствия, потенциально опасные для жизни». «Результаты «Пангея-7» – это не просто захваты и аресты, это также демонстрация растущей готовности стран-участниц к борьбе с такими преступлениями, роста опыта и практических навыков», – отметила Алин Плансон (Aline Plançon), глава подразделения Интерпола по борьбе с торговлей контрафактом и преступностью в сфере фармбизнеса (Medical Products Counterfeiting and Pharmaceutical Crime, MPCPC). «Захваты и изъятия позволяют физически пресечь доставку потенциально опасных для жизни медикаментов ничего не подозревающему потребителю, – добавляет Плансон, – однако не менее важно закрыть онлайн-платформы, используемые организованным криминалом для атак на широкие массы». Напомним, операция «Пангея» впервые стартовала в 2008 году. Организаторы этих масштабных кампаний признают, что подобные мероприятия – лишь частичное решение проблемы. Не менее важно, чтобы рядовые пользователи осознали риски, связанные с покупкой лекарств на черном рынке. Эти товары зачастую неэффективны, некачественны и могут нанести непоправимый ущерб здоровью. Источник: Interpol Английскую «спам-ферму» нашли благодаря службе 7726 В ходе обысков, проведенных в Западном Мидленде силами британского комиссариата по защите частной информации (ICO), у неназванных SMS-спамеров были изъяты сотни SIM-карт, а также компьютерная техника и документальные свидетельства противоправной деятельности. Расследование было запущено по жалобам абонентов, поданным на горячую линию службы 7726, которую поддерживают все ведущие телеоператоры Великобритании. По предварительным оценкам, с помощью найденного в ходе обысков оборудования спамеры совокупно разослали свыше 350 тыс. текстовых сообщений, хотя реальный объем спам-рассылок из этого источника может превышать 1 миллион. «То, что мы сегодня изъяли, подтверждает информацию о рассылке сотен тысяч нежелательных сообщений с данного адреса, – заявил Энди Карри (Andy Curry), менеджер ICO по надзору за соблюдением законодательства. – Правила рассылки сообщений четко определены, и если следственный материал подтверждает факт правонарушения, мы назначаем соответствующий штраф ответчикам». Представитель ICO также отметил, что основанием для выдачи ордера на обыск послужили данные, подкрепленные отчетами службы 7726 – системы обработки жалоб абонентов на SMS-спам. «Это показывает, насколько важно заявлять о таких сообщениях нам и оператору сотовой связи, – комментирует Карри. – Не будь ваших жалоб, поданных через службу 7726, мы бы не смогли провести этот рейд сегодня». В тот же день, но несколько ранее, две британских компании получили от ICO предупреждение о грозящем им штрафе за нарушение норм электронного маркетинга. По имеющимся данным, оба правонарушителя причастны к рекламным кампаниям, в ходе которых были произведены тысячи несанкционированных телефонных звонков. ICO и национальный реестр отказников от телефонной рекламы (Telephone Preference Service, TPS) получили свыше 1,2 тыс.жалоб на непрошеные звонки с предложением купли-продажи или услуг по возврату переплаты за страховку по кредиту (PPI – весьма актуальная для британцев тема, которую давно и усердно эксплуатируют спамеры). Если в месячный срок обе компании не представят свидетельства своей невиновности, с каждой будет взыскан штраф в размере 140 тыс. фунтов стерлингов (более $235 тысяч). В 2013 году число жалоб на мобильный спам, направляемых в ICO, значительно снизилось, хотя в минувшем квартале наметилась обратная тенденция. Тематический состав SMS-спама тоже меняется: поток рекламы PPI-услуг заметно сократился, уступив место новым лидерам – экологически чистой энергетике и премиям за утилизацию. По оценке ICO, на долю этих категорий в настоящее время приходится 42% претензий в отношении спама. Источник: ICO Какие короткие ссылки популярны у фишеров? Неделю назад аналитическая компания Netcraft опубликовала небольшое сообщение, посвященное DDoS-атаке на бесплатный сервис сокращения ссылок is.gd. Из-за этого инцидента более миллиарда коротких ссылок с общим числом обращений около 50 млрд. не работали двое суток, хотя многие ранее созданные URL продолжали появляться в Twitter. Пользуясь случаем, Netcraft представила также рейтинг популярности служб сокращенных ссылок у фишеров по итогам минувшего месяца. Как оказалось, жертва DDoS-атаки занимает в ведущей пятерке нижнюю строчку. По данным Netcraft, на долю is.gd (владелец – британский хостинг-провайдер Memset) в апреле пришлось 4% фишинговых сайтов, доступных по коротким ссылкам списка Тор 5. В качестве защиты от абьюзов данный сервис, как и родственный сайт v.gd, ввел запрет на сокращение URL, использующих схему data: или javascript. Лидером по популярности у фишеров в настоящее время является tinyurl.com (60% сайтов-ловушек в рамках Тор 5). Второе место занимает bit.ly (20%), за ним следуют goo.gl и x.co (владелец – GoDaddy). Источник: Netcraft Спам в апреле 2014 Мария Вергелис, эксперт «Лаборатории Касперского» Татьяна Щербакова, эксперт «Лаборатории Касперского» Особенности месяца В апреле праздничные рассылки были связаны с предстоящей Пасхой – эту тематику использовали не только рекламирующие свои товары спамеры, но и различные мошенники, рассылавшие пользователям интернета фальшивые уведомления о выигрыше в лотерею и вредоносное ПО под видом поздравительных открыток. В апреле мошенники также массово рассылали предложения заработать на акциях американской фармацевтической компании, так называемый pump and dump спам. Немало крупных рассылок рекламировали услуги различных медицинских учреждений и стоматологических клиник, а также способы борьбы с вредными привычками и реабилитационное лечение для зависимых от наркотиков или алкоголя. Пасхальный спам Пасха является главным религиозным праздником как у православных, так и у католиков, и потому с размахом отмечается верующими по всему миру. Ежегодно в преддверии праздника в почтовые ящики пользователей поступает большое количество спама пасхальной тематики. Пользователям Рунета спамеры рассылали предложения по организации и проведению пасхального вечера, а также рекламу доставки куличей и другой пасхальной еды на дом. В качестве подарка близким спамеры предлагали купить пасхальные фигурки из шоколада, а также необычные яйца в стиле Фаберже. Доставка грузов В апреле различные компании пытались с помощью спам-рассылок привлечь новых клиентов, обещая быструю и безопасную доставку пользователям Рунета любых грузов из стран Азии и Европы, а также из США. Для оформления рекламных писем спамеры использовали графический спам, цветовое выделение текста и зашумление русских слов латинскими буквами. В поле From спамеры подставляли автоматически сгенерированные адреса или адреса, зарегистрированные на сервисах бесплатной почты и недавно созданных доменах. «Заработай» на акциях В минувшем месяце мы зафиксировали новую волну так называемого pump and dump («накачка и сброс») спама. Его авторы рассылают письма с предложением купить по супернизкой цене акции некой компании, стоимость которых якобы должна вскоре значительно вырасти. В результате спрос на акции этой компании увеличивается, их цена искусственно повышается, и в этот момент мошенники распродают имеющиеся у них ценные бумаги. Далее цена акций падает, а обманутые инвесторы остаются с обесценившимися бумагами и теряют вложенные деньги. Как правило, для реализации этой схемы мошенники выбирают малоизвестные компании, акции которых обращаются на вторичном рынке. В апреле они использовали американскую фармацевтическую компанию Rich Pharmaceuticals. Обнаруженные рассылки pump and dump спама осуществлялись от имени различных компаний, предоставляющих услуги в сфере инвестирования и продажи ценных бумаг потенциальным инвесторам. Для придания письмам легитимного вида мошенники использовали логотипы реальных компаний и подставляли их названия в качестве имени отправителя, хотя сами адреса в поле From не были похожи на официальные. Для затруднения детектирования спамеры использовали графические изображения и мусорный текст в конце письма. Спамеры на страже здоровья Значительная часть спамерских рассылок в апреле содержала рекламу разнообразных медицинских услуг: от общих – таких как медосмотр, экспресс-анализы или изготовление медицинских справок – и оздоровительных процедур до лечения специфических заболеваний и даже оперативного вмешательства. В таких письмах в основном рассылались ярко оформленные картинки с информацией об услугах и контактными данными для связи. В некоторых случаях картинки содержали гиперссылку на сайт с более подробной информацией и ценами на услуги. Иногда спамеры умудрялись даже устроить двойную рекламу. Так в письме, приведенном ниже, можно видеть помимо рекламы конкретных медицинских услуг предложение по организации массовых рассылок по всей России – для такой услуги дается отдельный контакт для связи. Посредством спама свои услуги рекламировали и стоматологические клиники – они заманивали клиентов скидками, действующими ограниченное время, и розыгрышами различных призов. Нередко спамеры пытались зашумлять целые куски текста с помощью смешанного использования латиницы и кириллицы, легко различимого для человеческого глаза, но затрудняющего автоматическую идентификацию. Нам встречались и предложения от так называемых народных целителей, которые в своих сообщениях размещали ссылку на сайт, где можно было заказать набор DVD дисков для проведения исцеляющих видео-сеансов «по уникальному методу лечения». Всего за 10 минут в день предлагалось излечить абсолютно любой недуг: от ушиба и болей в суставах до опухоли головного мозга. Для большей убедительности на сайте приводились видеозаписи благодарностей излечившихся пользователей. Спамеры против вредных привычек Спамеры активно рекламировали в апреле весьма необычный способ отказа от курения. Они рассылали короткие сообщения, в которых для обхода антиспам-фильтров прибегали к использованию малоупотребительных, порой даже абсурдно звучащих синонимов («бросить курить», «избавиться от пагубной привычки», «покинуть смолить», «вызволить от вредоносной привычки» и т.д.). Помимо короткой фразы или небольшого текста такие письма содержали различные ссылки, ведущие на один и тот же сайт с рекламой так называемых биомагнитов, от которых, если верить обещаниям, «тяга к курению пропадает полностью буквально за одни сутки». Нередко спамеры упоминали в своих сообщениях некий закон, подписанный президентов Путиным, запрещающий продажу сигаретных изделий. Заголовки некоторых писем содержали фразы наподобие: «Новость дня: Путин запретил продажу сигарет: Сказал всем бросать курить!!!». Статистика Доля спама в почтовом трафике В среднем доля спама в почтовом трафике в апреле составила 71,1%, что на 7,6% больше по сравнению с прошлым месяцем. Наибольший показатель уровня спама наблюдался в последнюю неделю месяца (73%), наименьший – в предпоследнюю (69,6%). Географическое распределение источников спама По итогам апреля 2014 года в первой тройке стран - источников спама, распространяемого по всему миру, произошли изменения. Первое место по-прежнему занимает Китай (24,1%), чей показатель претерпел лишь незначительное сокращение в полпроцента. Далее следует Южная Корея (15,6%), которая месяц назад замыкала тройку лидеров; доля разосланного из этой страны спама увеличилась на 2,4%. Третье место занимают США (12,1%), чей показатель, напротив, уменьшился почти на 5%, что и повлияло на смещение страны на позицию ниже. Сохранили свои места в первой пятерке Россия (9,1%) и Тайвань (6,5%). При этом показатель России увеличился еще на 2,5%. Увеличение доли разосланного спама наблюдалось также во Вьетнаме (4,2%), Украине (2,7%) и Филиппинах (1,9%) – в среднем показатели этих стран увеличились на 0,6%. В результате Филиппины оказались в рейтинге на 9-м месте. Напомним, в прошлом месяце страна занимала только 11-ю позицию. Замыкает десятку Япония (1,9%), доля разосланного из этой страны спама практически не изменилась, но страна сместилась вниз на одну позицию. По итогам месяца TOP 10 покинула Румыния (1,4%). Увеличение спамерской активности зафиксировано во Франции (1%), которая в этом месяце попала в TOP 20, причем сразу на 12-ю позицию. Также в апреле в наш рейтинг вошла Германия (0,7%). Ситуация со спам-потоками в Рунете по итогам апреля сложилась следующим образом. Лидером среди стран – источников спама в Рунете остается Россия (22%); за месяц доля разосланного из этой страны спама увеличилась еще на 4,7%. Далее следует Тайвань (13,2%), чей показатель и положение в списке за месяц не претерпели никаких изменений. Замыкает тройку лидеров Вьетнам (11,3%), прибавивший 2% и потеснивший с этой позиции Индию (7,7%), показатель которой уменьшился на 3,2%. На 5-м месте находится Южная Корея (4,7%). Доля спама, разосланного из этой страны, выросла почти на 2%, что позволило ей переместиться на целых четыре позиции вверх. Украина (3,8%) по-прежнему занимает 6-ю позицию; мы наблюдали лишь незначительное увеличение доли разосланного из этой страны спама - на 0,2%. Снижение доли спама зафиксировано в Румынии (3,4%) – её показатель уменьшился на 1,4%, а также в США (3%) и Италии (1,7%) – эти страны потеряли по 0,4%. Италия при этом замыкает первую десятку по итогам апреля. В прошлом месяце эта позиция принадлежала Сербии (1,1%), которая в апреле сместилась уже на 14-е место. Немного увеличилась доля спама, разосланного пользователям Рунета из Казахстана (1,4%); в апреле страна поднялась на четыре позиции вверх и занимает 11-ю строчку нашего списка. Среди регионов лидером по распространению спама остается Азия (59,8%). Восточная Европа (16,9%) и Северная Америка (12,3%) поменялись местами и заняли в апреле второе и третье места соответственно. При этом доля спама, разосланного из Восточной Европы, увеличилась более чем на 2%, в то время как показатель Северной Америки сократился почти на 5%. Далее следуют регионы Западная Европа (5,3%) и Латинская Америка (2,9%), где также зафиксировано увеличение доли разосланного спама на 0,6% и 0,5% соответственно. Вредоносные вложения в почте В апреле TOP 10 вредоносных программ, распространяемых по почте, выглядел следующим образом. Традиционно открывает список вредоносных программ, распространяемых по почте, Trojan-Spy.HTML.Fraud.gen. Хочется верить, что после многочисленных публикаций и упоминаний об этом зловреде количество пользователей, ставших его жертвами, свелось к минимуму. Напомним, чем именно опасен данный зловред: Trojan-Spy.HTML.Fraud.gen представляет собой фишинговую HTML-страницу и рассылается по электронной почте под видом важного сообщения от банков, интернет-магазинов, различных сервисов и т.д. В апреле в наш ТОР 10 вошли многочисленные представители семейства Bublik. Все попавшие в первую десятку зловреды этого семейства скачивают на зараженный компьютер троянца из семейства ZeuS/Zbot (о котором мы также неоднократно упоминали в наших отчётах). Представители этого семейства предназначены для атаки на сервера и пользовательские компьютеры, а также перехвата данных. Хотя ZeuS/Zbot способен выполнять различные вредоносные действия, чаще всего он используется для воровства банковской информации. Также он может устанавливать CryptoLocker – вредоносную программу, вымогающую деньги за расшифровку данных пользователя. Червь Email-Worm.Win32.Bagle.gt, занявший в апреле 7-ю позицию, разбавил массовую атаку представителей семейства Bublik. После заражения компьютера вирус-червь Email-Worm.Win32.Bagle.gt рассылает себя по всем найденным на компьютере адресам электронной почты. Его основной задачей является загрузка и запуск файлов из интернета без ведома пользователя. В рейтинге стран по количеству срабатываний почтового антивируса лидирующую позицию по-прежнему удерживают США (11,73%), чей показатель уменьшился на 0,28%. Великобритания (9,95%) и Германия (9,47%) занимают второе и третье места соответственно. На 2,13% увеличилась доля срабатываний почтового антивируса на территории Бразилии (4,13%), как следствие, страна поднялась сразу на 5-ю позицию. Показатель России уменьшился на 0,25%, в результате чего она сместилась с 16-го на 20-е место. Доля срабатываний почтового антивируса в других странах существенных изменений в апреле не претерпела. Особенности вредоносного спама На следующий день после Пасхи злоумышленники осуществили рассылку поздравительных писем на немецком языке от имени пользователей, чьи почтовые ящики, вероятно, были взломаны. В письмах содержались добрые пожелания и поздравительная открытка (во вложении), под видом которой скрывался зловред Trojan-PSW.Win32.Fareit.aonw. В отличие от других модификаций семейства Fareit функционал обнаруженного зловреда был несколько скромнее: он не крадет пароли от ПО, но загружает и запускает другого троянца – Trojan-Spy.Win32.Zbot.sbba, - предназначенного для атаки серверов и кражи персональных данных. Также в апреле мы зафиксировали несколько крупных вредоносных атак, происходивших под видом рассылки факсов с помощью известного онлайн-сервиса факсовой печати eFax, который позволяет оправлять и получать факсы в виде вложений в электронной почте. Поддельные сообщения обычно содержали уведомление о получении факса и для большей убедительности – информацию о количестве страниц в полученном документе. На деле же в архивах находилось вредоносное ПО, в частности зловред Trojan-Downloader.Win32.Cabby.a – небольшой троянец-загрузчик, который носит в своем теле CAB файл с документом или картинкой, которые показывает пользователю после запуска. Пока жертва занята просмотром вложения, Cabby незаметно загружает другой зловред. В рассматриваемом нами случае скачивался представитель все того же популярного семейства ZeuS/Zbot (Trojan-Spy.Win32.Zbot.shqe). Фишинг В апреле в рейтинге атакованных фишерами организаций мы объединили электронную почту, программы мгновенного обмена сообщениями и поисковики в одну категорию «Почтово-поисковые порталы». По итогам апреля именно эта категория возглавила рейтинг с показателем 31,9%. Вторую строчку занимают социальные сети (23,8%), их показатель уменьшился на 0,2%. Тройку лидеров замыкают финансовые и платежные организации (13%), потерявшие 0,2%. Доля атак на онлайн-магазины (12,1%) уменьшилась на 0,8%. Показатели остальных категорий также претерпели незначительные изменения, что никак не повлияло на их расположение в рейтинге. Крупные китайские организации часто становятся мишенями фишеров, в их числе и телекоммуникационная компания Tencent, занимающаяся, помимо прочего, и поддержкой сервиса мгновенного обмена сообщениями QQ. Мошенники пытались заполучить у клиентов компании логины и пароли от их личных кабинетов, используя для этого популярные уловки. Так, в поддельном уведомлении сообщалось, что с аккаунта пользователя был отправлен запрос по его восстановлению. Так как данный запрос был сделан посторонним пользователем, то в целях предотвращения кражи личной информации доступ к учетной записи был ограничен. Чтобы отменить запрос, пользователю предлагалось пройти по ссылке, которая вела на фишинговую страницу. Отметим, что уведомление рассылалось в виде графического изображения, что затрудняло работу спам-фильтра, и позволяло без труда придать письму легитимный вид. Заключение Доля спама в мировом почтовом трафике в апреле увеличилась на 7,6% и составила 71,1%. Наибольший показатель уровня спама наблюдался в последнюю неделю месяца - 73%. Количество праздничного спама, посвященного Пасхе, в апреле достигло своего максимума. В основном спамеры рассылали предложения различных пасхальных товаров и услуг, а также рекламу товаров, не имеющих прямого отношения к этому празднику. Пасха упоминалась и в мошеннических уведомлениях о выигрыше в лотерею – для привлечения внимания и обмана пользователей. Кроме того, на волне праздника злоумышленники рассылали письма поздравления, содержащие вредоносные программы. Тройка лидеров среди стран - источников спама, распространяемого по всему миру, выглядела в апреле следующим образом: Китай (24,1%), Южная Корея (15,6%), США (12,1%). Среди регионов лидером по распространению спама остается Азия (59,8%). По итогам апреля рейтинг организаций, атакованных фишерами, возглавила новая категория «Почтово-поисковые порталы» (31,9%). Вторую строчку удерживают социальные сети (23,8%), а замыкают тройку лидеров финансовые и платежные организации (13%). Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013