Электронный журнал "Спамтест" No. 518 В этом номере: Новости Спам в мае 2014 Новости Mail.Ru усилила защиту от спама Российский почтовый сервис Mail.Ru объявил о заключении партнерского соглашения с Return Path, специалистом по совершенствованию email-сервиса, повышению его надежности и безопасности. Решения Return Path дополнят набор инструментов, позволяющих Mail.Ru ограничить количество спама и фишинговых сообщений, а также снизить риски в отношении взлома и захвата аккаунтов. Кроме того, Почта Mail.Ru присоединилась к созданной Return Path международной информационной сети Trusted Cooperative Network (TCN), отслеживающей репутацию отправителей писем и случаи мошенничества. По словам провайдера, некоторые из внедренных им решений Return Path предназначены для бизнес-структур, использующих электронную почту для общения с клиентами. Так, компании смогут проверять репутацию своих корреспондентов, отслеживать доставку писем и просматривать отчеты о действиях адресатов. Действующая система фильтрации Mail.Ru сможет использовать белые списки отправителей, доступные участникам TCN, среди которых числятся Google, Microsoft и Yahoo. Кстати, такую же возможность на днях приобрел другой ведущий российский почтовик, «Яндекс». Использование белых списков позволяет быстрее и точнее определять репутацию массовых отправителей, снижая возможность ложных срабатываний. Mail.Ru надеется, что сможет внести ответный вклад в работу TCN: оказать помощь в оценке репутации крупных российских отправителей писем и поделиться опытом защиты от спама и фишинга. «Арсенал методов, которые мы используем для защиты пользователей от спама и мошенничества, весьма широк, однако мы никогда не упускаем возможность его пополнить, – заявила Анна Артамонова, вице-президент Mail.Ru Group, руководитель бизнес-подразделения Почта и портал. – Партнерство с Return Path – важный шаг в этом направлении, учитывая роль этой компании в мировой email-индустрии и инновационность продуктов, которые она предлагает email-провайдерам». «Почта Mail.Ru уже более года работает вместе с нами над созданием наиболее удобной среды для пользователей, – отметил, в свою очередь, гендиректор Return Path Мэтт Блумберг (Matt Blumberg). – Наше партнерство позволяет Mail.Ru усилить защиту от нежелательной корреспонденции, при этом сохранив доставляемость тех писем, которые адресаты действительно ждут. Вместе мы сделали огромный шаг к повышению защищенности электронной почты в России и мире». Источник: Mail.ru Symantec коротко отчиталась о майском спаме Компания Symantec опубликовала отчет об интернет-угрозах по итогам мая, уделив основное внимание утечкам, уязвимостям и вирусным угрозам. Раздел, традиционно посвященный спаму и фишингу, на сей раз оказался предельно лаконичным: он содержит лишь несколько комментариев и графики, отображающие динамику соответствующих составляющих почтовой корреспонденции на протяжении последних пяти месяцев. Согласно статистике Symantec, после заметного спада в апреле совокупный поток мусорной почты несколько увеличился. Концентрация спам-рекламы возросла до 60,6%, фишинговых сообщений – с 1 письма на 731 до 1 на 395, писем с вредоносными вложениями – до 1 на 183. Вредоносные ссылки в минувшем месяце содержали 13,7% электронных сообщений, тогда как в апреле – лишь 2,6%. Статистика по целевому фишингу (spear phishing) в майском отчете Symantec выделена в особый раздел и представлена более подробно. Эксперты отмечают, что в начале текущего года такие атаки находились на подъеме и проводились с частотой порядка 165 в сутки. Однако с конца января эта тенденция медленно, но неуклонно пошла на спад, и в мае Symantec уже регистрировала в среднем 54 инцидента в сутки. Проводя узконаправленные рассылки, злоумышленники, согласно Symantec, предпочитают подавать свои файлы-приманки в формате .doc. На долю doc-вложений пришлось 17,9% spear-phishing атак, зафиксированных экспертами за первые 5 месяцев года. Формат .exe использовался в 16,1% случаев. Наиболее часто целевые рассылки наблюдались в сферах услуг, которые Symantec классифицирует как «нетрадиционные» (non-traditional): гостиничный, туристический бизнес, а также ремонтный сервис. На их долю в отчетный период совокупно пришлось 22% spear-phishing атак; на сферу производства – 19%, на финансы, страхование и недвижимость – 17%. Источник: Symantec Зловред с парольной защитой AppRiver обнаружила скромную по размерам спам-кампанию, нацеленную на засев ZeuS. Поддельные сообщения от имени брокера Berkeley Futures Limited предлагают клиенту ознакомиться с выпиской по счету за истекший день и оформить платежную заявку, форма которой содержится в запароленном ZIP-вложении. Пароль указан в теле спам-письма в открытом виде, что, по словам экспертов, должно сразу насторожить получателя. Кроме того, запароленные файлы обычно бывают шифрованными, и это сильно осложняет скан на предмет вредоносного содержимого. По свидетельству AppRiver, вредоносный архив на самом деле является не ZIP, а RAR-файлом, что, видимо, тоже сделано для обхода почтовых фильтров: RAR-файлы реже ZIP бывают вредоносными, так как программы для их распаковки присутствуют далеко не в каждой пользовательской системе. Как оказалось, вложенный в поддельное письмо архив содержит два файла: исполняемый .scr и сфабрикованный счет в PDF-формате. Дата компиляции первого – 5/25/2014; на момент анализа его определяли как вредоносный лишь три антивируса из списка VirusTotal. Содержимым scr-файла является троянский даунлоудер, который при запуске соединяется с российским IP-адресом и загружает 220-КБ файл 1.exe с логотипом Amazon в качестве иконки. Этот исполняемый файл скомпилирован в тот же день, что и .scr; его результат на VirusTotal – 5/52, причем детектируется он как ZeuS. При тестировании в AppRiver 1.exe попытался подключиться к другому российскому IP, однако установить соединение не смог. К 18 июня почтовые фильтры AppRiver заблокировали свыше 40 тыс. вредоносных сообщений в рамках данной спам-кампании. Источник: AppRiver Открытки с рекламой быстрого заработка Symantec обнаружила нестандартную спам-рассылку, прикрытую именем известного портала электронных поздравлений 123greetings.com. Обычно спамеры используют формат виртуальной открытки для распространения зловредов, однако на сей раз они лишь продвигали очередную сомнительную схему быстрого обогащения. По свидетельству экспертов, спам-письма распространяются с поддельного адреса @123greetings.com и имитируют уведомление о виртуальной открытке, которую можно посмотреть, пройдя по короткой ссылке. Судя по заголовку одного из таких сообщений, оно должно было быть отослано с IP-адреса Amazon, однако оказалось, что указанный IP преобразуется в доменное имя, не имеющее ничего общего с этим веб-хостингом. Для сокращения ссылок спамеры используют разные службы, в том числе goo.gl. Symantec отмечает, что настоящий 123greetings в своих нотификациях обычно использует не короткие ссылки, а полноценные URL, которые в обязательном порядке содержат доменное имя этого веб-сервиса. В данном случае по короткой ссылке воспроизводится поддельная «открытка от друга» с пространным текстом, рекламирующим некий способ хорошо заработать, и ссылкой на видео. По словам спамеров, для участия претенденту придется оформить подписку стоимостью 97 долларов. Как оказалось, домен, в котором размещена эта страница с «открыткой», был зарегистрирован в Панаме за два дня до спам-рассылки. Внедренная в «открытку» ссылка через несколько редиректов ведет на целевой сайт, где посетителю предлагается оставить контактную информацию. Используя ее, спамер впоследствии свяжется с пользователем и начнет убеждать его оформить платную подписку. Не исключено, что эта информация будет в дальнейшем использована в других спам-атаках. Эксперты зафиксировали также аналогичную, но несколько видоизмененную спам-рассылку. При активации короткой ссылки получателю фальшивого письма воспроизводилась не имитация открытки, а подложная новостная заметка на сайте, имя которого схоже с доменом BBC. Источник: Symantec Успехи борьбы с SMS-спамом на южном Урале По свидетельству новостного агентства «Доступ», операторы сотовой связи Челябинской области стали получать меньше жалоб на текстовый спам. «За последний год число жалоб от абонентов сократилось в десять раз, – заявил журналистам Андрей Елизаров, коммерческий директор МТС в Челябинской области. – Мы пересмотрели договоры и составили черный список контент-провайдеров, которые навязывают абонентам рекламу, а также ввели штрафы для назойливых контент-провайдеров. Кроме того, мы заблокировали ряд сайтов, рассылающих спам». По подсчетам коммерческого директора Tele2-Челябинск Михаила Лейзерова, южноуральцы в среднем получают 15 текстовых спам-сообщений в месяц. «Доступ» напоминает, что с минувшего месяца на территории России начали действовать поправки к закону «О связи» (N 229-ФЗ от 23 июля 2013 г.), призванные навести порядок в сфере контент-услуг. Отныне оператор обязан по заявлению абонента открыть ему отдельный счет для оплаты сторонних контент-услуг, в том числе по предоставлению справочной, развлекательной и иной оплачиваемой информации, а также возможности участвовать в голосовании, играх, конкурсах и проч. Предполагается, что наличие отдельного счета для контент-услуг позволит абонентам регулировать свои расходы в мобильной сфере и ограничит объемы незаконных списаний и навязчивых или мошеннических предложений. Как узнал «Доступ», полностью исключить рассылку рекламы, которая уведомляет об акциях в магазине, предлагает услуги такси или конкретного банка, невозможно. «Выслать такое сообщение может любой: берется список номеров и делается массовая рассылка, – поясняет Александр Плаксин, заместитель руководителя управления Роскомнадзора по региону. – Некоторые дела мы перенаправляем в антимонопольный орган. Например, только в прошлом году было заблокировано около миллиарда номеров». Как заверили «Доступ» представители местных операторов, с недобросовестными клиентами, распространяющими подобную рассылку, контракты расторгнуты, так как «договоры со спамерами не окупают доверие абонентов и те средства, которые они тратят, пользуясь сотовыми услугами». Источник: «Доступ» Канадский антиспам заработает через неделю С 1 июля вступит в силу большая часть положений канадского закона о спаме (Canada's Anti-Spam Legislation, CASL). Чтобы продолжать рекламную деятельность, местным организациям придется заручиться предварительным согласием абонентов. В настоящее время в Канаде наблюдается массовая рассылка запросов на подтверждение согласия, снабженных кнопкой Click here («Нажать здесь»), так как с июля такие письма будут классифицироваться как спам. Эксперты ожидают, что злоумышленники не преминут воспользоваться текущей кампанией в своих интересах. Канада – единственный представитель «большой восьмерки», который не имеет действующего антиспам-законодательства. Оригинальный текст CASL был принят 3,5 года назад, впоследствии подвергся доработке, однако юридическую силу обретает лишь сейчас. Причина тому – активное сопротивление деловых кругов, которые опасаются, что узаконенное ограничение коммерческих рассылок поставит под угрозу свободное развитие легального бизнеса. Жаркие дебаты в итоге вынудили авторов законопроекта ввести в свой документ ряд исключений. CASL был разработан на основе лучших образцов зарубежного законотворчества в данной сфере и касается массовых рассылок, использующих технические средства, размещенные на территории Канады. Если такая рассылка проведена без предварительного согласия получателей (принцип opt-in) и отправитель не может доказать обратное, его действия классифицируются как правонарушение. Все коммерческие послания должны четко идентифицировать отправителя и рекламодателя, содержать контактную информацию и удобный механизм отказа от рассылки. Новый канадский закон запрещает не только рассылку спама, но и такие потенциально опасные виды деятельности, как фишинг, фарминг, скрытая установка шпионского ПО. Запрет на установку приложений, плагинов и прочих программ без согласия пользователей будет введен в силу с января 2015 года. Нарушителям положений CASL грозят солидные штрафы: до 1 млн. долларов для физических лиц и до 10 миллионов – для юридических лиц. При этом частные лица могут обращаться в суд с гражданским иском и требовать 200 долларов компенсации за каждое правонарушение. Поскольку CASL требует четко заявленного или подразумеваемого (при наличии активных деловых контактов) согласия на получение писем, факсов и SMS, многие бизнес-структуры, которым придется доказывать наличие такого разрешения, торопятся им заручиться. Согласно новому законодательству, деловые связи гарантируют согласие адресатов лишь на ограниченный срок (до двух лет), и канадские бизнесмены для верности испрашивают согласие у всех без разбору, создавая могучий поток незапрошенных сообщений, которые зачастую перегружены графикой и ссылками и выглядят весьма подозрительно. Не исключено, что настоящие злоумышленники тоже внесут свою лепту в эту кампанию, воспользовавшись удобным случаем. Источник: ICS Спам в мае 2014 Мария Вергелис, эксперт «Лаборатории Касперского» Татьяна Щербакова, эксперт «Лаборатории Касперского» Особенности месяца В преддверии летнего сезона пользователи Рунета получали спам с предложением летнего отдыха для детей. Еще один вид сезонного спама, зафиксированного в мае – предложения для школьников и студентов по выполнению дипломных, курсовых, рефератов и других контрольных работ, а также продажа готовых дипломов, ученых степеней и программ дистанционного обучения. Летний отдых для детей В период конца учебного года и начала летних отпусков спамеры активно рассылают туристический спам и другие предложения, связанные с летним отдыхом; ежегодно на протяжении летних месяцев мы фиксируем увеличение спама данной тематики. Май этого года не стал исключением: мы обнаружили в спам-траффике Рунета рассылки с предложением отдыха для детей - семейные туры, путевки в лагеря и даже необычные варианты отдыха в городе. Родителям предлагали не только пляжный отдых со скидками, но и разнообразные обучающие программы для детей на отдыхе, в том числе и с изучением английского языка и подготовкой к школе для дошкольников. Услуги переводчиков В марте мы уже писали о том, что за последний год значительно увеличилось количество спам-рассылок от имени различных переводческих агентств. Большая часть спама данной тематики приходилась на иноязычный сегмент Интернета, но в мае ситуация несколько изменилась, и теперь мы наблюдаем внутри Рунета множество рассылок с рекламой агентств, предлагающих выполнение переводов различной сложности и тематики. Как правило, в таких письмах напрямую не указывается название конкретного агентства, но всегда даются контакты для связи, часто сильно зашумленные. Иногда может присутствовать ссылка на сайт, также зашумленная – для обхода спам-фильтра. Внимание получателя авторы таких рассылок пытаются привлечь информацией о различных скидках, акциях и прочих выгодных предложениях. Дипломы и ученые степени Май – это пора выпускных экзаменов в школах и экзаменационной сессии в ВУЗах. В это время повышается спрос на услуги выполнения различных видов студенческих работ, и, соответственно, увеличивается количество спама от компаний, занимающихся написанием курсовых, дипломных, рефератов, контрольных и прочих работ за деньги. Но этим список предлагаемых услуг не ограничивается: за определенную плату спамеры обещают в кратчайшие сроки выполнить и такие виды работ, как чертежи, сочинения, эссе или просто составить ответы на данные пользователем экзаменационные вопросы. Встречаются даже предложения заполнить дневник производственной практики. Внимание пользователей к таким письмам обычно привлекается говорящими заголовками наподобие «Помощь студентам» или «Диплом без проблем». В некоторых рассылках пользователям предлагалось не купить готовую работу, а самим выполнить заявки нерадивых студентов и заработать на этом. Для этого в письме указывается ссылка на сайт, где можно подобрать заказы интересующей тематики. Логично предположить, что такая взаимопомощь является риском как для автора заявки на реферат, так и для исполнителя, поскольку ни спамеры, ни владельцы сайтов-посредников не гарантируют качества работы или оплату заказа. Еще один вид рассылок, обнаруженный нами в мае, содержал предложения купить уже готовый диплом о высшем образовании любого российского ВУЗа. Надо ли говорить, что многие работодатели сегодня проверяют подлинность дипломов, а кроме того подделка, изготовление или сбыт поддельных документов подпадает под статью УК РФ. Для связи и размещения заказа получателям спама предлагают ответить на письмо. Стоит отметить, что в последнее время набор средств для связи и общения с авторами спам-рассылок значительно расширился. Теперь он не ограничивается стандартными звонками через Skype, перепиской по ICQ или электронной почте, но включает и новые популярные виды связи, например, мессенждеры WhatsApp и Viber. Страхование всего и от всего Еще одной актуальной в минувшем месяце темой стало страхование различных рисков. В Рунете по количеству предложений лидировали услуги автострахования: спамеры предлагали пользователям подобрать наиболее выгодный вариант покупки полиса КАСКО. Адреса отправителей таких писем, как и их имена, были сгенерированы автоматически, а ссылка из письма через редирект вела на сайт, где пользователям предлагалось ввести данные своего полиса ОСАГО и с помощью онлайн-калькулятора узнать стоимость КАСКО, подобрать наиболее оптимальное предложение и оформить доставку полиса в удобное время и место. Авторы еще одной рассылки предлагали купить страховку от укусов клеща, не выходя из дома, причем от имени одной из лидирующих компаний страхового рынка России. Ссылка в письме вела на сайт с подробной информацией о страховании и возможностью заказать и оплатить полис онлайн. Однако данный сайт не имел отношения к страховой компании, предоставляющей данную услугу; на нем не было даже ссылки на официальный ресурс, присутствовал только логотип компании. Оплатить услугу предлагалось лишь одним способом – с помощью карты Visa/MasterCard, в то время как на официальном сайте страховой компании данную услугу можно оплатить онлайн с помощью большего количества платежных сервисов. Все это навело нас на мысль, что мы имеем дело с попыткой мошенничества с целью получить данные банковских карт пользователей. Тем более, что письма приходили с разных адресов, также не имевших отношения к страховой компании. Доля спама в почтовом трафике В среднем доля спама в почтовом трафике в мае составила 69,8%, что на 1,3% меньше по сравнению с показателями предыдущего месяца. Наибольший показатель уровня спама наблюдался в третью неделю месяца (72,1%), наименьший – в середине месяца (69%). Вредоносные вложения в почте В мае TOP 10 вредоносных программ вновь возглавили троянцы семейства Trojan-Spy.HTML.Fraud.gen, которые представляют собой поддельные HTML-страницы и рассылаются по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, компаний-разработчиков ПО и т.д. На 2, 3, 5, 7 и 10 позициях расположились зловреды семейства Bublik, которые в прошлом месяце занимали восемь позиций из первых десяти. Основная функция программ такого типа – несанкционированная загрузка и установка на компьютер-жертву других вредоносных программ. После выполнения задачи программа копирует себя в папку %temp%. Маскируется под приложение или документ компании Adobe. При этом в случаях с Trojan.Win32.Bublik.cpik и Trojan.Win32.Bublik.cpil скачивается уже хорошо знакомый нам троянец ZeuS/Zbot. Этот зловред способен выполнять различные вредоносные действия, но чаще всего он используется для воровства банковской информации. Также он может устанавливать CryptoLocker – вредоносную программу, вымогающую деньги за расшифровку данных пользователя. Четвёртую позицию рейтинга занимает Trojan-Banker.Win32.ChePro.ilc - банковский троянец, нацеленный на пользователей бразильских банков. Как и положено зловреду этого типа, крадет банковскую информацию и пароли. А на девятой разместился Trojan.Win32.Pakes.agxu - шпион, собирающий нажатия клавиш и скриншоты экрана жертвы, которые впоследствии отправляет на электронную почту злоумышленника. В рейтинге стран по количеству срабатываний почтового антивируса на первое место вышла Великобритания (13,5%), которая прибавила в мае 3,5%. США (9,9%) опустились на вторую строчку, потеряв 1,8%, а Германия (8,2%) так и осталась на третьей позиции. Из новичков нашего рейтинга стоит отметить Колумбию (1,83%), которая оказалась в 20-ке стран лидирующих по количеству срабатываний антивируса. А вот Россия, наоборот, в мае покинула список стран с наибольшими показателями срабатываний антивируса. Показатели других стран существенных изменений в мае не претерпели. Особенности вредоносного спама Тема страхования присутствовала не только в тематическом спаме, но и в майских рассылках, содержащих вредоносные вложения. Например, нам встречались сообщения на немецком языке с заголовками «Вы не оплатили ежемесячный страховой взнос» и уведомлением о том, что в следующем месяце процентная ставка изменится. Такие письма содержали ссылку якобы на подробную информацию по теме письма, и если получатель кликал по ней, на его компьютер загружался ZIP-архив под названием «Dokumentation» (документация) или либо «Rechnung» (счёт). И в том, и в другом случае в архиве находился зловред Backdoor.Win32.Androm.dsqy. Представители семейства Andromeda – бэкдоры, позволяющие злоумышленникам незаметно управлять зараженным компьютером. Часто зараженные такими программами компьютеры становятся частью ботнета. Также в мае злоумышленники рассылали поддельные уведомления от имени популярного онлайн-магазина iTunes Store. Получателю сообщали о якобы произошедшей покупке приложения, причем в письме указывалось название приобретенного пользователем ПО и его стоимость. В приложенном архиве, где должен был быть счет на покупку, на самом деле находился зловред Trojan-Banker.Win32.Shiotob.f. Троянцы этого семейства крадут сохраненные в FTP-клиентах пароли, а также «прослушивают» интернет-трафик браузеров, чтобы украсть данные для авторизации на различных сайтах. Жертвами еще одной атаки могли стать клиенты крупной энергокомпании E.ON, занимающейся производством и поставкой электроэнергии и тепла во многих странах, включая Россию. От имени компании рассылалось письмо с ее логотипом и текстом следующего содержания: «Данным письмом доводим до Вашего сведения, что нам не удалось обработать Ваш последний платеж. Подробности смотрите во вложении». Во вложенном архиве находился Trojan-Spy.Win32.Zbot.svvs – очередной представитель популярного семейства Zbot, предназначенный для кражи персональных данных, в первую очередь банковской информации. Фишинг По итогам мая рейтинг атакованных фишерами организаций продолжают возглавлять почтово-поисковые порталы (32,3%), их показатель по итогам месяца увеличился всего на 0,5%. Вторую строчку занимают социальные сети (23,9%) во главе с Facebook. Показатель финансовых и платежных организаций (12,8%) увеличился на 0,2%, как и показатель онлайн-магазинов (12,1%), которые продолжают удерживать 4-е место. Доля фишинговых атак на организации категории «Телефонные и интернет-провайдеры» по сравнению с апрелем, наоборот, уменьшилась на 0,4%. Часто поддельные сообщения о налогах рассылаются мошенниками с целью установки на компьютеры пользователей Интернета различных вредоносных программ. В мае в наши ловушки пришло фальшивое уведомление от имени государственной налоговой службы Южной Африки, в котором во вложении содержался не вредоносный файл, а фишинговая HTML-страничка. Злоумышленники пытались убедить получателя ввести в ее поля данные своей банковской карты под предлогом возврата некоторой суммы с ранее уплаченных налогов. Для придания страничке легитимного вида мошенники использовали логотип службы, а в поле From использовали не только название государственной компании, но и официальный адрес sars.gov.za в качестве доменного имени сервера. Заключение Доля спама в мировом почтовом трафике в мае уменьшилась на 1,3% и составила 69,8%. Наибольший показатель уровня спама наблюдался в третью неделю месяца - 72,1%. Приближение летнего сезона и окончание учебного года спамеры использовали для рассылки туристического спама с рекламой различных вариантов летнего отдыха для детей, услуг по написанию разнообразных студенческих и школьных работ, а также предложений купить готовые дипломы любого интересующего ВУЗа. Ежегодное увеличение количества туристического спама, связанного с сезоном отпусков, ожидается и этим летом. Еще одной темой, эксплуатируемой спамерами в мае, стало страхование от самых разнообразных рисков, в первую очередь страхование автомобиля. Лидером среди вредоносных программ, распространяемых по почте, в мае остался троянец Trojan-Spy.HTML.Fraud.gen. Количество представителей зловредов семейства Bublik в нашем рейтинге заметно уменьшилось – в мае за ними сохранилось «лишь» пять позиций. По итогам мая рейтинг организаций, атакованных фишерами, не претерпел существенных изменений. Возглавляют рейтинг почтово-поисковые порталы (32,3%). Вторую строчку удерживают социальные сети (23,9%), замыкают тройку финансовые и платежные организации (12,8%). Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013