Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 530

В этом номере:


Новости

Фишеры просят повторить ввод данных

Последний месяц исследователи из PhishLabs фиксируют рост популярности нескольких новых трюков у фишеров. В частности, при входе на сайт-ловушку посетителю отображается сообщение Please Try Again («Повторите ввод»), используемое на многих легитимных ресурсах для уведомления пользователя об ошибке при вводе информации.

Один из таких фишинговых сайтов, обнаруженных PhishLabs, при первом визите неизменно по-итальянски сообщал: «Uno o più codici inseriti non sono corretti» («Неверный код или коды»), независимо от того, соответствует это действительности или нет. Другой аналогичным образом приветствовал англоязычных пользователей, сообщая, что те неправильно ввели логин и/или пароль.

Иногда при повторном вводе в поле «Password» посетителю отображаются привычные «точки» или «звездочки», которые обычно показывают, что посетитель здесь уже был и его данные сохранены. На самом деле это фейк, заранее заданная строка, призванная развеять возможные сомнения жертвы, которой предлагается своими руками верифицировать собственный пароль до внесения в базу фишеров. По словам экспертов, такие уловки на фишинговых сайтах создают у потенциальной жертвы иллюзию легитимности и повышают шансы злоумышленников на захват корректных данных.

Исследователи также описали более сложную схему. Некий кибермошенник за небольшую мзду предлагал посетителям пробный 5-минутный доступ к платному видеочату. Оплату он принимал на отдельной (фишинговой) странице, которая по нескольку раз подряд выдавала ошибку по вводу, а затем сообщала посетителю, что данная услуга доступна лишь при использовании аффилированного платежного сервиса. Потенциальную жертву перенаправляли на другую фишинговую страницу, где он и осуществлял ввод финансовой информации, за которой охотились злоумышленники. После этого пользователю сообщали об успешном проведении платежа и инициировали чат-сеанс, который, впрочем, быстро прерывался «по техническим причинам».

Как оказалось, задействованные в данной схеме фишинговые страницы были размещены на сервисе веб-форм с доступом по шифрованным каналам (HTTPS). Таким образом, при заходе на эти ловушки все браузерные индикаторы (значок «замка», зеленая подсветка адресной строки), а также отсутствие каких-либо предупреждений систем безопасности должны были убедить пользователя в том, что он вводит свои данные на легитимном сайте.

Источник: PhishLabs

«Нигерийские» мошенники эксплуатируют трагедию на Украине

Известный исследователь и блогер Грэм Клули (Graham Cluley) предупреждает о появлении новой темы в «нигерийских» письмах. На сей раз потенциальным жертвам сулят миллионы погибшего пассажира малазийского Боинг-777, причина крушения которого над территорией Украины до сих пор точно не установлена. Примечательно, что для пущей убедительности кибермошенники используют реальное имя, которое, видимо, взяли из опубликованных в СМИ списков жертв авиакатастрофы.

Обнаруженное экспертом ESET «нигерийское» сообщение, о котором идет речь, написано от имени некоего юриста из Германии, якобы поверенного в делах 52-летнего уроженца Малайзии Фу Мин Ли (Foo Ming Lee), который в минувшем июле летел рейсом MH17 Амстердам – Куала-Лумпур. По словам «адвоката», в одном из европейских банков на счету погибшего осталось 19 млн. евро. За отсутствием реальных наследников получателю письма предлагается получить их на правах бенефициара или родственника с помощью своего корреспондента, который хочет за свои услуги половину «наследства».

Как всегда в таких случаях, получателя подложного письма просят соблюдать конфиденциальность, ответить как можно скорее и сообщить номер своего телефона для дальнейших переговоров. Клули поясняет, что подобные схемы всегда предполагают ряд выплат со стороны будущего «наследника» в погашение неких орграсходов или раскрытие конфиденциальной информации, такой как данные паспорта или банковской карты. Обещанные же золотые горы – не более как миф.

Проведенный исследователем поиск показал, что Фу Мин Ли, действительно, числится среди жертв трагедии MH17. Пожилой вице-президент японской табачной компании проживал в Женеве, однако после гибели, вопреки утверждению фальшивого адвоката, оставил вдову и двоих детей.

Комментируя новую находку, Клули отмечает, что злоумышленники всегда торопятся извлечь выгоду из горячей новости, какой бы она ни была. Вопросы этики и морали их при этом не волнуют, главное – чтобы тема не остыла. Предыдущая трагедия на малазийских авиалиниях, по словам эксперта, тоже не прошла незамеченной в сетевом андеграунде. Загадочная пропажа другого малазийского «боинга» (рейса MH370) за несколько месяцев до трагедии MH17 породила ряд спам-рассылок, включая «утку» на Facebook о якобы найденной пропаже, подложное видео и spear-phishing атаку, о которой заявили СМИ представители правительства Малайзии.

Источник: We Live Security

Proofpoint сравнила спам-потоки в Западной Европе и США

По оценке компании Proofpoint, специализирующейся на защите почтового сервиса, вредоносный URL-спам атакует британцев почти в 3 раза чаще, чем американцев. Наиболее высокий уровень спама летом наблюдался в Германии – на 30% выше, чем в США.

Представленные Proofpoint индексированные рейтинги составлены по результатам исследования, проведенного минувшим летом; показатели США при этом были приняты за единицу. Чтобы выявить региональные различия, эксперты на протяжении трех недель анализировали до 1 млрд. URL в сутки.

Несмотря на высокий процент нелегитимных писем, распространяемых на территории Германии, вредоносных среди них почти в 9 раз меньше, чем в Великобритании, и на 70% меньше, чем в США. Во Франции спам-поток в целом оказался меньше, чем в трех других странах, а по числу вредоносных ссылок она заметно опередила Германию, но не дотянула до уровня США.

Комментируя свои результаты, исследователи пояснили, что вероятность получения вредоносной ссылки в нелегитимном письме у британцев почти в 3 раза выше, чем в США. Во Франции и Германии эта вероятность значительно ниже, чем в США, и в 5-9 раз ниже, чем в Великобритании.

По данным Proofpoint, большинство вредоносного спама, распространяемого на территории Великобритании, нацелено на получение финансовой выгоды. Полезная нагрузка, раздаваемая с помощью таких сообщений, весьма разнообразна, от фишинговых страниц до банковских троянцев, при этом распространители зловредов могут полагаться как на эксплойты, так и на методы социальной инженерии. Особо исследователи отметили рост экспансии банкера Dyre, он же Dyreza, который часто загружается с помощью распространяемого в спаме загрузчика Upatre и, похоже, пытается занять нишу, освободившуюся после масштабной международной операции против ZeuS/Gameover.

Источник: Proofpoint

Symantec отчиталась об августовском спаме

В августе Symantec зафиксировала снижение спам-потока на 1,1 процентных пункта; в этом месяце на долю нелегитимных писем, по данным компании, пришлось 62,6% почтовой корреспонденции.

Фишинговая составляющая электронной почты вновь заметно снизилась, до 1 письма на 1587 против 1 на 1290 в июле. Концентрация сообщений с вредоносным вложением, напротив, возросла, в августе этот показатель составил 1 письмо на 270, тогда как в предыдущем месяце – 1 на 351. На долю вредоносного URL-спама в отчетный период пришлось лишь 3,2% почтового трафика; это очень резкий спад по сравнению с июльским уровнем (7,9%).

Количество spear-phishing рассылок в августе сократилось до 20 в сутки против 54 в предыдущем месяце и 88 в июне. Эксперты отметили, что это самый низкий уровень за последние 12 месяцев. Доля вредоносных вложений в формате .exe увеличилась более чем в 2 раза (с 15,1 до 31,8%), в .doc – незначительно (22,8% против 19,9%).

Рейтинг основных мишеней целевого фишинга с июля несколько видоизменился. На первом месте оказалась сфера производства (29% spear-phishing атак), обогнавшая с большим отрывом нетрадиционные веб-сервисы. Вторую позицию заняла категория «Профессиональные услуги» (16%), третью по-прежнему удерживают финансы, страхование и недвижимость (15%).

Источник: Symantec

Внимание, этот спам лишит вас доступа к важным файлам

Создатель антиспам-проекта Dynamoo.com Конрад Лонгмор (Conrad Longmore) предупреждает о спам-рассылках, нацеленных на распространение зловреда, которого аналитики ThreatTrack Security опознали как блокер-шифровальщик Cryptowall. Вредоносные письма ориентированы на корпоративных пользователей и имитируют сообщения, обычно распространяемые по интранету.

Одно из таких сообщений-ловушек использует форму уведомления о новом факсе, другое замаскировано под общую нотификацию от отдела кадров. В обоих случаях в письмо внедрена ссылка на вредоносный ZIP-архив, размещенный на стороннем ресурсе.

Заархивированный исполняемый файл в настоящее время детектируется большинством антивирусов из списка Virus Total. Защитные решения «Лаборатории Касперского» определяют его как Trojan-Ransom.Win32.Cryptodef.

В ходе анализа ThreatTrack обнаружила несколько IP-адресов и доменов, к которым после запуска обращается зловред, чтобы отправить или получить данные. Один из таких GET-запросов указывает на связь вредоносной спам-кампании с ботнетом Cutwail.

Источник: Dynamoo.com




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное