Электронный журнал "Спамтест" No. 532 В этом номере: Новости Записки спам-аналитиков Новости APWG подвела итоги по фишингу за первое полугодие На прошлой неделе Антифишинговая рабочая группа (APWG) опубликовала результаты анализа данных о фишинге, собранных за период с января по июнь ее участниками, а также другими профессионалами и активистами, в том числе китайскими борцами с фишингом из CNNIC (China Internet Network Information Center, Информационный центр интернет-инфраструктуры Китая) и APAC (Anti-phishing Alliance of China, китайский Антифишинговый альянс). При этом APWG отметила, что ее китайские коллеги фиксируют фишинговые URL не только в электронных письмах, но также в SMS- и IM-сообщениях, и их регулярный вклад позволяет расширить охват публикуемых два раза в год исследований до истинно глобальных размеров. За полгода в базу APWG было занесено около 124 тыс. уникальных фишинговых сайтов – своеобразный рекорд за последние 4,5 года. По свидетельству борцов с фишингом, основной причиной этого роста является возврат фишеров к использованию совместных виртуальных веб-серверов, позволяющих внедрять одну и ту же страницу-ловушку на большом числе сайтов, а также рост злонамеренных регистраций доменов и поддоменов. Согласно статистике APWG, на долю виртуального хостинга в первом полугодии пришлось 20% ловушек, на целевые регистрации – 14%. За отчетный период фишеры использовали услуги 200 служб поддоменов – такого размаха абьюзов в этой сфере до сих пор не наблюдалось. При этом большинство фишерских поддоменов оказались зарегистрированными через Hostinger (63%) и AlterVista (13%). Общее число доменов, задействованных в фишинговых схемах и обнаруженных за полгода, превысило 87,9 тысяч, что почти на 6 тыс. больше, чем в предыдущем полугодии. Четверть из них оказались намеренно зарегистрированными и в большинстве своем были нацелены на китайские мишени. Остальные ассоциировались, в основном, со скомпрометированными ресурсами. Все фишинговые домены были привязаны к 227 TLD-зонам, из них больше половины – к .COM. Из региональных доменов рекордсменом по валу оказался .BR. Фишеры, самостоятельно регистрирующие имена, отдавали предпочтение TLD-зонам COM, .TK (Токелау), .PW, (Палау), .CF (Центральная Африка) и .NET. У операторов .COM и .NET, по данным APWG, нет никакого регламента по блокировке зловредных доменов, а в .TK, .PW и .CF была объявлена свободная регистрация. В пересчете на 10 тыс. зарегистрированных доменов в лидеры по фишингу выдвинулись TLD-зоны, в которых работают бесплатные или дешевые службы поддоменов. Так, при медианном показателе 4,7 зона .COM (4,1) передвинулась далеко вниз по общему списку. Непочетный пьедестал здесь с высокими показателями делят .CF (320,8), .ML (Мали, 118,9) и .PW (122,0). Оператором всех этих зон с открытой регистрацией, как и .TK, является голландская компания Freenom. .PW, в частности, особенно популярна у китайских фишеров; в отчетный период они зарегистрировали в этой зоне около 1,9 тыс. доменов для атак на соотечественников. Абьюзы на сервисах коротких ссылок, по оценке APWG, несколько умерились, в большой степени благодаря непримиримой позиции Bit.ly, прежнего фаворита фишеров. По итогам первого полугодия эта служба спустилась на вторую ступень с весьма скромным показателем 14%. Освободившееся место лидера заняла TinyURL, на долю которой в январе-июне пришлось около половины атак с использованием служб сокращения ссылок. В отчетный период участники APWG зафиксировали 756 атакованных брэндов – это самое большое число на их памяти; около половииы этих мишеней отсутствовали в списке за вторую половину 2013 года. Фишеры активно атаковали большие и малые банки Латинской Америки, Индии, Ближнего Востока, а также сайты разного профиля: брокерскую службу недвижимости Century21, обменник Coinbase, ирландский телеком-сервис Eircom, службу аренды офисных помещений Regus, сайт продукции с маркой Norton, облачное хранилище Box, интернет-магазин Gucci, веб-сайт FIFA. По всей видимости, злоумышленников особо привлекали новые, только обретающие популярность компании, еще не готовые к атакам фишеров, как и их растущая аудитория. В целом, согласно APWG, список мишеней фишеров в первой половине текущего года выглядел следующим образом (без учета страниц на совместно используемых виртуальных серверах): электронная коммерция – 32,4% атак; банки – 25,7%; соцсети и почтовый сервис – 23,1%; безналичные денежные переводы – 12,8%. Самым популярным брэндом у фишеров на сей раз оказался Apple (17,7% атак). Прежний и неизменный лидер этого рейтинга PayPal опустился на вторую строчку (14,4%), третье место заняла крупнейшая торговая площадка Китая Taobao.com (13,2%). Среднее время жизни фишинговых сайтов в отчетный период составило 32 ч. 32 мин., медианное – 8 ч. 42 мин., то есть половина фишинговых сайтов сохраняли активность менее 9 часов. CNNIC не фиксирует такие показатели, поэтому в статистике APWG они не отражены. Источник: APWG Интернет-мошенники поразили ФБР своей наглостью Спамеры продемонстрировали один из самых циничных методов обмана — они вымогают деньги у пользователей, называя себя представителями американского Центра жалоб на интернет-мошенничество (Internet Crime Complaint Center, IC3). Информацию об этом публикует у себя на официальном сайте само ведомство, которое было создано при Федеральном бюро расследований США для получения от граждан сообщений о киберпреступлениях. Суть спамерской операции в том, что жертве отправляется письмо якобы от сотрудника Центра жалоб на интернет-мошенничество. Пользователя пытаются запугать тем, что в отношении него будто бы возбуждено уголовное дело, которое сейчас находится на рассмотрении у ответственных лиц в правоохранительных органах. Злоумышленники требуют связаться с ними в течение одного-двух дней. В случае отсутствия какой-либо реакции спамеры угрожают выдать ордер на арест пользователя. Чтобы войти в доверие к жертве, преступники используют реальный номер социального страхования пользователя и другую конфиденциальную информацию. Правда, в некоторых случаях люди, которым пришел соответствующий спам, сообщали, что мошенники отправляли им ошибочные данные. Конечная цель спамеров — получить от пользователя денежную взятку, за которую они великодушно соглашаются спасти гражданина от судебного иска. Центр жалоб на интернет-мошенничество рекомендует пользователям не поддаваться давлению со стороны спамеров и не переводить никаких денег, а всем получателям писем советует незамедлительно подать жалобу в Центр жалоб на интернет-мошенничество, говорится в сообщении ведомства. Источник: Threatpost Диет-спам для пользователей Snapchat Журналисты ВВС обнаружили в Twitter ряд жалоб на рекламный спам, распространяемый с аккаунтов сравнительно молодого сервиса обмена сообщениями Snapchat. Спамеры активно продвигают некий сайт, предлагающий разные средства для похудания. Примечательно, что этот сайт, как выяснила ВВС, зарегистрирован на частное лицо с громким именем Станислав Войцеховский (Stanislaw Wojciechowski) – по всей видимости, вымышленное: такие же имя и фамилию носил известный политик, занимавший пост президента Польши в 1922-26 годах. Рекламные письма-картинки распространяются по всем контактам жертв взлома. Пока непонятно, сколько аккаунтов Snapchat было скомпрометировано. Судя по сообщениям в Twitter, подобный спам атакует пользователей из разных стран. В своем комментарии ВВС представители Snapchat опровергли предположение о хакерской атаке на сервис, заявив, что спамеры, скорее всего, используют данные, оставленные пользователями на других сайтах. «Во многих случаях наши защитные решения уведомляют пользователя о компрометации аккаунта, – отмечено в заявлении Snapchat. – Мы рекомендуем использовать уникальный и сложный пароль для входа в аккаунт Snapchat». Между тем ВВС отмечает, что за три года своего существования данный веб-сервис не раз страдал от утечек. Последняя и самая масштабная из известных произошла в минувшем январе, когда неизвестные хакеры опубликовали в Сети 4,6 млн. имен пользователей Snapchat и цензурированные номера их телефонов – якобы в доказательство уязвимости, которую Snapchat надлежит исправить. Источник: BBC Челябинцы активно жалуются на SMS-спам Судя по тематике жалоб, направляемых в Челябинское УФАС, в первой половине текущего года наиболее распространенным видом нарушения рекламного законодательства РФ в данном регионе являлось проведение коммерческих SMS-рассылок без согласия абонентов. «Количество заявлений от челябинцев в этой части было наибольшим, – сообщила журналистам «Южноуральской панорамы» Людмила Галичина, заместитель руководителя Челябинского УФАС. – Абонентов связи просто атаковали рассылкой, а те, в свою очередь, атаковали антимонопольный орган, будучи не согласными с нежелательными сообщениями. Таких заявлений поступило за шесть месяцев 120». По результатам рассмотрения этих жалоб антимонопольщики возбудили 24 дела, в 96 случаях заявитель получил отказ. «Отказы в основном связаны с тем, что заявители не предоставляют согласие на обработку персональных данных, – пояснила представитель антимонопольного органа. – В отсутствие такого согласия УФАС, направляя запрос операторам связи, не получает от них ответа. Они ссылаются на то, что не имеют права разглашать персональные данные». В других случаях делу не был дан ход, так как сотрудникам ФАС не удалось установить конечного распространителя рекламы. Цепочка бывает длинной, до 10 лиц, единого механизма нет, поэтому на переписку может уйти много времени. «Мы не укладываемся в месячный срок рассмотрения заявления, установленный законодательством, и два месяца на рассмотрение возбужденного дела, – комментирует Галичина. – Поэтому приходится отказывать, но не окончательно. Мы всегда в любом случае пишем, что при предоставлении соответствующей запрошенной информации антимонопольный орган продолжит работу». В Челябинском УФАС журналистам сообщили, что к ответственности за спам обычно привлекается тот, кто последним осуществил техническую операцию по рассылке. Инициатором противозаконной рассылки по региону чаще всего оказывается местная компания, предлагающая услуги такси, или собственный телеоператор абонента. «Антимонопольные органы не могут вести превентивную работу по SMS-спаму, – заявила в заключение Галичина. – Должен быть выработан государственный механизм, о чем говорил президент, заявляя, что эта сфера будет приводиться в соответствие. Спама меньше не стало, даже несмотря на то, что создана контролирующая организация Росспам. Поэтому тут должны разрабатываться глобальные меры не только по предупреждению и пресечению, но и по недопущению такой рассылки». От себя добавим, что специализированный сервис rosspam.org не только облегчает подачу жалобы в ФАС на мобильный спам, но также публикует еженедельную статистику по количеству подозрительных SMS, спаму и числу принятых жалоб. Источник: Южноуральская панорама Штраф за SMS-спам по тройному тарифу Решением мирового суда г. Пермь с местного ООО «Билдинг» будет взыскано 3,2 млн. рублей за неуплату штрафов, назначенных ранее Кемеровским УФАС. Суд признал компанию виновной в нарушении требований ФЗ «О рекламе» по всем 12 вмененным ей эпизодам, по 10 из них сумма штрафа была утроена. В 2013 и 2014 гг. кемеровские антимонопольщики неоднократно штрафовали «Билдинг» за рассылку рекламных SMS без согласия абонентов, однако компания ни разу не уплатила назначенные 100 тыс. рублей в срок. Кемеровское УФАС составило 12 протоколов и направило их в мировой суд по адресу регистрации ответчика, ходатайствуя об удвоении суммы штрафа, как то предусматривает ст. 20.25 КоАП. Рассмотрев 10 из этих протоколов, судья постановил признать ООО «Билдинг» виновным в совершении административного правонарушения и взыскать с нарушителя дополнительно двойную сумму к каждому назначенному штрафу. При этом все 100-тысячные штрафы, назначенные УФАС, остались в силе. В итоге общая сумма штрафа по 10 эпизодам составила 3 млн. рублей, по двум – 200 тыс. рублей. Источник: УФАС по Кемеровской области Записки спам-аналитиков Русскоязычное мошенничество в Skype Дмитрий Бестужев, эксперт «Лаборатории Касперского» У российских киберпреступников давно вышло из моды воровать деньги с мобильных счетов жертв, отправляя им SMS-сообщения типа "Мама, у меня неприятности. Кинь мне денег на телефон. Объясню вечером". Жертвами этой мошеннической схемы стали многочисленные отцы, сестры, братья и просто друзья, решившие, что отправитель сообщения – тот, за кого он себя выдает. К счастью, российские операторы мобильной связи много сделали для того, чтобы искоренить подобное мошенничество, и теперь киберпреступники переместились в Skype. Вчера я получил от одного из моих знакомых сообщение в Skype с просьбой перевести деньги. Как выяснилось, киберпреступники украли у моего знакомого пароль – как правило, они это делают с помощью специальных вредоносных программ. Таким образом, даже те аккаунты Skype, на которых совсем нет денег, представляют ценность для злоумышленников. Положив 100 или 200 рублей на мобильный счет, жертвы больше этих денег не увидят. Номер не принадлежит владельцу взломанного аккаунта в Skype, а киберпреступники, конечно, никогда денег не вернут. Сколько народу стало жертвами подобных уловок? Не знаю, но факт остается фактом: киберпреступники пользуются приемами социальной инженерии очень эффективно. Примеры спамовых писем смотрите на сайте Securelist.ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013