Электронный журнал "Спамтест" No. 531 В этом номере: Новости Записки спам-аналитиков Новости APWG фиксирует рост числа фишинговых сайтов За период с апреля по июнь участники Антифишинговой рабочей группы (APWG) обнаружили порядка 128,4 тыс. сайтов-ловушек, созданных фишерами. Согласно статистике APWG, этот показатель немногим выше, чем в предыдущем квартале и второй по величине за последние два года. За отчетный период борцы с фишингом получили от пользователей около 171 тыс. уникальных отчетов о фишинговых рассылках. Как и прежде, большинство обнаруженных сайтов-имитаций имели американскую прописку; в апреле-июне на долю США приходилось от 35,6 до 48% таких находок. При этом больше половины фиш-сайтов были привязаны к TLD-зоне .COM; лидером среди региональных TLD остался бразильский домен, показатель которого, впрочем, остался неизменным (3%). Общее количество атакуемых брэндов за квартал уменьшилось с 557 до 531, при этом участники APWG отметили повышенный интерес фишеров к новым платежным веб-сервисам и службам, оперирующим криптовалютой. «На сегодняшний день в 2014 году обнаружен ряд новых мишеней, которые в 2013 году не наблюдались, – заявил Грег Аарон, президент Illumintel и один из активных участников проводимых APWG исследований. – Фишеры атакуют новые сервисы онлайн-платежей, например, австрийский сайт безналичных платежей PayLife, базирующуюся в Гонконге альтернативную платежную систему Perfect Money, а также веб-сервис Payoneer, оказывающий разные виды финансовых услуг, в том числе по переводу денег и приему платежей с помощью предоплаченных пополняемых дебетовых карт MasterCard. Кроме того, наблюдается рост числа фишинговых атак на Bitcoin-сайты, в частности, на цифровые кошельки Blockchain и учетные записи обменника Coinbase». Распределение мест во главе списка мишеней фишеров осталось прежним: на долю платежных сервисов во втором квартале пришлось 39,8% атак, на финансы – 20,2%, на розничную торговлю и сферу услуг 16,5%. Среди новых образцов вредоносных программ, обнаруженных участниками APWG из PandaLabs, по-прежнему преобладали троянцы, на долю которых в отчетный период пришлось 58,2% опасных находок – заметно меньше, чем в первом квартале. Уменьшение «троянской» составляющей эксперты объясняют ростом экспансии PUP, потенциально опасных программ, таких как шпионское ПО и программы показа рекламы (adware). PUP часто раздаются в связке с легальными программами, и невнимательный пользователь может загрузить их, вовсе того не желая. Одновременно APWG отметила заметный рост спроса на программы-упаковщики. Экспансия PUP, по мнению APWG, послужила также одной из основных причин роста зараженности глобального компьютерного парка. В апреле-июне среднестатистический уровень составил 36,8%, что значительно выше показателей за предыдущие кварталы. В разделении по странам чемпионом по степени заражения по итогам второго квартала оказался Китай (51,05% местного парка), за ним следуют Перу и Турция (44,34 и 44,12% соответственно). Россия в этом непочетном рейтинге заняла 6 место (42,89%), пропустив вперед Боливию и Эквадор и обогнав Аргентину. Основным хостером троянцев и даунлоадеров, используемых для фишинга, тоже являются США. В отчетный период на долю этой страны приходилось от 60 до 77% ежемесячно фиксируемых вредоносных источников (IP-адресов). Источник: APWG Выпуск новых iPhone вдохновил сетевых мошенников Специалисты по сетевой безопасности фиксируют всплеск спам-рассылок, приуроченных к выпуску новых гаджетов Apple. Журналист Ларри Зельцер (Larry Seltzer) из ZDNet, например, получил сообщение от фишеров, охотящихся за идентификаторвми к сервисам Apple. Мошенники от имени якобы клиентской поддержки Apple уведомляли получателя о недавнем (разумеется, мифическом) обновлении его записи в базе данных, – о замене номера кредитной карты, привязанной к Apple ID. Если пользователь считает это ошибкой, ему надлежит войти в аккаунт по указанной ссылке и сбросить пароль. По словам Зельцера, фальшивка выполнена вполне профессионально. Домен в предлагаемой ссылке указан как iforgot.apple.com – легитимный сайт Apple со страницей для смены пароля. Однако при наведении курсора на эту ссылку в Outlook журналист обнаружил, что на самом деле она ведет на страницу стороннего WordPress-сайта в Алабаме. Эта страница была впоследствии изъята. Адрес отправителя фишингового письма указывал на то, что оно было отправлено из Греции. Дальнейшее расследование показало, что рассылка исходила из сети Verizon FiOS с использованием индонезийского сервера в качестве посредника. В день открытия продаж iPhone 6 в аналитический центр (ISC) института SANS было передан другой вариант поддельного письма, в котором фишеры от имени службы клиентской поддержки Apple сообщали получателю, что срок действия его аккаунта якобы истекает через двое суток. Потенциальной жертве предлагается обновить свои данные, заполнив веб-форму, указанную ссылкой. Подобные спам-кампании, нацеленные на сбор Apple ID, не новы. В данном случае фишеры просто используют очередное знаменательное событие в известной компании, чтобы атаковать ее клиентуру. По свидетельству ISC SANS, фальшивку с ходу выдает плохой английский. Между тем эксперты AppRiver сообщили, что уже две недели наблюдают спам-кампанию, использующую iPhone 6 и iPhone 6 Plus как приманку с целью засева программ принудительного показа рекламы (adware). Получателям спам-писем предлагают принять участие в неком опросе, проводимом якобы в рамках розыгрыша призовых «айфонов». Если пользователь последует инструкциям мошенников, на его машину загрузится потенциально опасное приложение, от которого трудно избавиться. С 12 сентября исследователи обнаружили около 1 млн. сообщений, связанных с данной спам-кампанией. Источник: ZDNet Кейлоггер использует AutoIT для самозащиты На ловушках греческой исследовательской компании обнаружено ориентированное на корпоративных пользователей вредоносное письмо с не совсем обычной начинкой. Как оказалось, «счет-фактура», прикрепленная в виде SFX-файла к типовому напоминанию о фиктивном долге, содержит кейлоггер и AutoIT-скрипт, помогающий незваному гостю сокрыться в системе. Анализ показал, что зловред представляет собой многофункциональный коммерческий продукт, известный в хакерских кругах как Limitless Keylogger. Заархивированный вместе с ним AutoIT-скрипт (с соответствующим вполне легальным интерпретатором) призван защитить вредоносный код от статического анализа. Тем не менее, представивший результаты анализа греческий исследователь отметил, что распространители вредоносного «коктейля» использовали далеко не все возможности AutoIT – стандартного инструмента для автоматизации выполнения задач в Windows. Распространяемый по почте кейлоггер, по словам эксперта, способен регистрировать ввод с клавиатуры, делать скриншоты, отыскивать и копировать пароли, сохраненные в браузере и некоторых приложениях, а также отсылать собранную информацию через почтовый сервер на прописанный в коде адрес (в данном случае @yandex.ru). Для определения прописки зараженной машины зловред использует службу bot.whatismyipaddress.com. Источник: 133tsec.com В некоторых онлайн-магазинах лучше не оставлять адрес почты Порядка 10% крупнейших онлайн-ритейлеров недобросовестно используют адреса электронной почты своих покупателей — такой вывод следует из отчета некоммерческой организации Online Trust Alliance. По данным исследования, эти магазины нарушают американский и канадский законы, направленные на борьбу со спамом. Специалисты из Online Trust Alliance изучили деятельность 200 популярных ритейлеров, оценивая в первую очередь, насколько легко клиенту, оставившему свой email-адрес по просьбе компании, отписаться от получения информационных писем. В частности, исследователи проверяли, насколько четкой и очевидной для пользователя является ссылка на отказ от рассылки, не «похоронена» ли она среди многочисленных пунктов правил и соглашений. Кроме того, устанавливалось, не пытается ли ритейлер запутать людей, прибегая к непонятным выражениям вроде «Нажмите сюда, чтобы изменить вашу подписку», вместо «Отписаться» или «Отказаться от рассылки». При этом текст, дающий возможность отменить подписку, должен легко читаться пользователями разных возрастов и быть набран шрифтом, который по размеру не сильно отличается от основного содержания письма. Наконец, сам механизм отказа от писем компании должен быть простым, а покупатели не должны отправлять дополнительных писем, в которых они обязаны еще раз подтвердить, что не намерены больше получать информационных сообщений от ритейлера. Отписка от рассылки должна быть незамедлительной. Всего 10 критериев оценки. В целом результат исследования оказался обнадеживающим. Большинство ритейлеров (70%) прошли аудит и соответствовали как минимум 8 критериям из 10. Наилучшими онлайн-магазинами, показавшими 100-процентный результат, стали: AirCompressorsDirect.com, AmericanGirl.com, AnnTaylor.com, BassPro.com, Belk.com, BlueNile.com, BordenUSA.com, BonTon.com, Carters.com, CDW.com, Coach.com, CrateandBarrel.com, LivingSocial.com, NastyGal.com, NineWest.com, NorthernTool.com, SierraTradingPost.com, Staples.com, Sweetwater.com и TheBay.com. Исследователи полагают, что 10% нарушителей законодательства, которых им удалось обнаружить среди ритейлеров, исправят недочеты и дистанцируются от спамеров, поскольку это положительным образом скажется на отношении пользователей Интернета к их бизнесу. Источник: Online Trust Alliance Белтелеком: успехи борьбы со спамом По данным Белтелеком, после блокировки порта 25 в минувшем июне количество нелегитимных рассылок в сетях оператора уменьшилось с 34 тыс. до 2,4 тыс. в сутки. При этом с жалобами на возникшие при этом проблемы обратились не более 1% абонентов. Напомним, решение о закрытии возможности отправки сообщений по SMTP через порт 25 провайдер принял с целью ограничить спам, исходящий из его сетей. В минувшем году ИБ-эксперты неоднократно отмечали увеличение спам-потока из Беларуси. Каждый квартал эта страна неизменно оказывалась в списках лидеров по исходящему мусору, публикуемых Cloudmark, Sophos, AppRiver, однако к концу года объемы белорусского спама стали снижаться, – видимо, благодаря принятию мер на разных уровнях. Белтелеком – один из крупнейших телеоператоров Беларуси, и успехи его борьбы с нелегитимными рассылками должны благотворно влиять на общенациональные показатели. Так, публикуя рейтинги стран-источников спама по итогам второго квартала текущего года, Sophos отметила заметное улучшение ситуации в Беларуси. Белтелеком напоминает, что в случае возникновения проблем с почтовыми клиентами Outlook Express, The Bat, Thunderbird и проч. из-за блокировки порта 25 пользователям следует просто поменять порт в настройках, указав более защищенный 587 или 465. Почтовые ящики gmail.com, mail.ru и т.п. проводимые Белтелекомом мероприятия не затрагивают. Источник: Белтелеком Борцы со спамом не поверили оптимистичному исследованию Некоммерческая организация Spamhaus, специализирующаяся на борьбе со спамом на протяжении 15 лет, скептически отнеслась к исследованию, показавшему, что лишь 10% крупнейших онлайн-ритейлеров недобросовестно используют адреса электронной почты своих покупателей, нарушая американский и канадский законы о нежелательных рассылках. Эту оценку озвучил онлайн-изданию The Register руководитель Spamhaus Ричард Кокс. Напомним, что исследование было проведено некоммерческой организацией Online Trust Alliance. Эксперты изучили деятельность 200 популярных ритейлеров, оценивая в первую очередь, насколько легко клиенту, оставившему свой email-адрес по просьбе компании, отписаться от получения информационных писем. Результат исследования оказался обнадеживающим. Большинство ритейлеров (70%) прошли аудит и соответствовали как минимум 8 критериям из 10. Между тем, Ричард Кокс считает, что итоги получились чересчур оптимистичными, а сами законы редко пускаются в ход. По его мнению, регулирование этой проблемы тормозится невозможностью активно и адекватно применять законодательство, чтобы пресекать нарушения. За десять лет, пока существует американский CAN-SPAM, он был применен считанное количество раз, возмущается Ричард Кокс. Он подчеркивает, что меры против нарушителей были приняты только в исключительно вопиющих случаях, и то лишь в качестве дополнения к другим санкциям. Еще хуже обстоят дела в Великобритании, переживает специалист. По его словам, там слабый надзор, и закон попросту игнорируют. Как и в США, подавать иски против спамеров здесь могут только интернет-провайдеры, однако жертвы спама редко обращаются в суд, поскольку взыскать с организаторов нежелательных рассылок какую-либо компенсацию – невероятно сложная задача. Источник: The Register Записки спам-аналитиков Фишинг для клиентов почты Италии Татьяна Щербакова, эксперт «Лаборатории Касперского» За последние месяцы мы обнаружили несколько фишинговых рассылок, в которых мошенники пытались выудить у клиентов государственной почтовой службы Италии «Poste Italiane» логины и пароли от личных кабинетов, а также персональную банковскую информацию, так как компания предлагает своим клиентам финансовые услуги в платежной системе Postepay. Фишеры рассылали мошеннические сообщения на адреса пользователей Италиии и для достижения своей цели прибегали к традиционным приемам и уловкам. Письма-уведомления о блокировке ученой записи рассылались с поддельного адреса почтовой службы. В качестве доменного имени сервера мошенники использовали домен созвучный официальному названию почтовой службы, однако указанный в поле отправителя домен не имел отношения к компании. В письме пользователя просили ввести логин и пароль от личного кабинета во вложенной в письмо HTML-форме. Мошенники обещали, что в результате заполнения необходимых полей блокировка снимется автоматически в течение нескольких минут без дополнительных действий со стороны получателя. В письмах другой рассылки ссылка на фишинговую страничку указывалась в теле письма и была привязана к текстовой фразе. Составители письма не стали пугать пользователя блокировкой учетной записи и ограничениями доступа к онлайн-услугам, а решили вызвать у него интерес, подделав письмо под уведомление о получении новой телеграммы. Для большей убедительности номер телеграммы также указывался в письме. Фишинговая страница была замаскирована под вход в личный кабинет. Отметим, что такая страница входа в онлайн-кабинет использовалась «Poste Italiane» в 2010 году, сейчас она выглядит немного по-другому. Но так как основной текст остался прежним, а изменения заметны только при сравнении двух страниц, фишеры рассчитывают, что у пользователей вряд ли возникнут сомнения в подлинности страницы. Для оформления поддельных писем злоумышленники использовали кроме текста еще и графические изображения – прием, характерный, в основном, для рекламных рассылок. Фишинговая ссылка была прикреплена к картинке в теле письма. Из написанного на ней текста получатель узнавал о вводе новой системы безопасности. Для того, чтобы продолжить пользоваться услугами почты Италии, ему необходимо было активировать платежную карту РօsteРаy, перейдя по ссылке, указанной в письме. Так как фальшивая ссылка была прикреплена к картинке, то она открывалась при нажатии пользователем на любой части изображения. На поддельной странице требовалось ввести полные данные платежной карты, что позволяло мошенникам сразу получить доступ к финансовой информации жертвы. География мошеннических писем расширяется, в спам-трафике увеличивается количество фишинговых писем на разных языках, злоумышленники проводят таргетированные атаки для кражи персональных данных клиентов в разных странах. Поэтому мы вновь рекомендуем не переходить по подозрительным ссылкам и ни в коем случае не вводить на открывшихся страницах свои данные. Также следует помнить, что мошенники могут рассылать письма от имени не только крупных, но и не очень известных компаний. Примеры спамовых писем смотрите на сайте Securelist.ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013