Электронный журнал "Спамтест" No. 533 В этом номере: Новости Записки спам-аналитиков Новости Фишинг с компрометацией WordPress-сайтов Основатель и технический директор ИБ-компании Sucuri Дэниел Сид (Daniel Cid) получил по почте фишинговое сообщение, отправителем которого значилась некая калифорнийская компания. Письмо-ловушка было снабжено ссылкой на документ Google Docs, якобы важный для получателя. Наведя курсор на указанную в теле письма ссылку, исследователь обнаружил, что она ведет на WordPress-сайт. Как оказалось, для ознакомления с «документом» пользователю предлагают зарегистрироваться на поддельной странице Google, спрятанной в папке wp-includes на скомпрометированном ресурсе. По словам Сида, Sucuri ежемесячно фиксирует тысячи взломанных WordPress-сайтов, которые используются, в основном, для рассылки спама и распространения зловредов. Многие из этих ресурсов ассоциируются также с фишингом, однако в таких случаях злоумышленники часто прячут свои имитации в подпапках, не связанных с домашней страницей веб-сайта, и их трудно обнаружить удаленным сканированием. К сожалению, владельцы скомпрометированных WordPress-сайтов редко сами замечают такие абьюзы. Благодаря случайному фиш-письму исследователи из Sucuri целенаправленно просмотрели содержимое своего спам-карантина и обнаружили сотни скомпрометированных WordPress-сайтов, на которых фишеры разместили поддельные страницы регистрации eBay, Paypal, Fedex, Halifax, Alibaba и нескольких финансовых организаций. Все ловушки были cпрятаны в разных местах, в том числе в папках wp-includes и wp-content. Анализ показал, что 73% этих WordPress-сайтов обновлены до версий 3.9.2 и 4.0, то есть основной код CMS не мог быть виновником компрометации. Поскольку у Sucuri не было доступа к серверам или логам, а используемые для фишинга сайты хостились у разных провайдеров, исследователям пришлось искать общий знаменатель другими путями. В итоге оказалось, что многие скомпрометированные сайты использовали устаревшие плагины, подверженные весьма распространенным уязвимостям вроде Remote Command Execution, SQL Injection и т.п. Доказать, что они и были точкой входа, исследователям не удалось, однако они считают такой вариант весьма вероятным. Сид также отметил, что некоторые взломщики проявили небрежность и оставили на атакованных сайтах zip-файлы со своим инструментарием. Благодаря этому были идентифицированы два Gmail-адреса, которые фишеры использовали для аккумуляции краденых данных. В своей блог-записи руководитель Sucuri также привел отчетный график Google, из которого видно, что по темпам прироста фишинговые сайты давно обогнали сетевые источники заражений и на протяжении пяти лет демонстрируют экспоненциальное увеличение популяции. Сид при этом указал, что в 2008 году команда Google Safe Browsing ежедневно фиксировала около 3 тыс. фишинговых сайтов; ныне этот показатель превышает 23 тысячи. Источник: Sucuri Trend Micro: жители США рискуют больше других твиттерян Согласно данным Trend Micro, URL-спам на социальном веб-сервисе Twitter весьма разнообразен: его целью, помимо тривиальной рекламы, могут также быть сбор персональных данных, угон аккаунтов или засев зловредов. Наиболее уязвимой аудиторией, склонной бездумно кликать по спамерским ссылкам, являются американцы. Исследование Trend Micro было запущено летом прошлого года, когда эксперты за две недели повышенной активности спамеров собрали более 570 публичных твитов. Из них была составлена выборка из 33 млн. сообщений со ссылками, по которой начали работать спам-аналитики. Наблюдения продолжились и в текущем году; за истекший период Trend Micro удалось отследить несколько масштабных спам-рассылок, в том числе фишинговых и вредоносных. По словам экспертов, некоторые из этих атак удалось пресечь при поддержке службы безопасности Twitter, которая прилежно блокировала уличенные в спаме профили. По результатам своего исследования Trend Micro идентифицировала 17 разных криминальных групп; благодаря вмешательству Twitter из-под их контроля удалось совокупно вывести 34 тыс. аккаунтов, при этом потери спамеров в некоторых случаях превысили 90%. Чтобы повысить эффективность фишинговых рассылок на Twitter, злоумышленники нередко используют встроенные функции этого сервиса микроблогов. Они распространяют свои сообщения со скомпрометированных аккаунтов по списку легальных пользователей, полагаясь на социальный инжиниринг; используют разные службы коротких ссылок и длинные цепочки редиректов. Эти уловки позволяют спамерам обойти традиционные средства противостояния – ловушки, песочницы, репутационные списки. В одной из таких фишинговых кампаний, которую Trend Micro наблюдала с минувшего марта по конец мая, злоумышленники на пике использовали более 20 тыс. Twitter-аккаунтов и распространяли ссылки, привязанные к 13 тыс. целевых URL. Около половины жертв фишинга составили американцы, 15% – японцы. В итоге Twitter удалось справиться с агрессивной атакой, и с июня активность фишеров на данном веб-сервисе значительно снизилась. Одна из крупнейших вредоносных Twitter-рассылок поразила, в основном, жителей стран Ближнего Востока: Саудовской Аравии (16% жертв), Египта (11%), Судана (10%). На долю США, против ожидания, пришлось лишь 7% обманутых пользователей. Эксперты также выделили в самостоятельную категорию русскоязычный спам, продвигающий контент в нарушение законов об авторских правах. Ссылки спамеров, привязанные к размещенным на российских и украинских серверах страницам, продвигали бесплатные видео, взломанные игры и софт. К удивлению экспертов, эти предложения спамеров заинтересовали и твиттерян, проживающих за пределами РФ: на долю России пришлась половина трафика на рекламируемых в таком спаме сайтах, на долю США и Японии – 27 и 13% соответственно. Источник: Trend Micro GFI: вредоносный спам сокрушает SMB-бизнес Согласно результатам опроса, проведенного по заказу GFI Software, в минувшем году спам-инциденты послужили причиной дестабилизации и даже приостановки деятельности более 68% предприятий малого и среднего (SMB) бизнеса США и Великобритании. Такие атаки отрицательно сказываются на производительности и влекут дополнительные расходы на очистку и восстановление ресурсов в тех случаях, когда неосторожный служащий получает по почте вредоносное ПО. В ходе спам-атак участники опроса наиболее часто сталкивались с фишингом (49% американцев и 47% британцев), непрошеными сообщениями банков (44 и 35%), рекламой сайтов знакомств (34 и 25%) и фармацевтических препаратов (32 и 28%). В Великобритании также широко распространена реклама услуг казино и букмекеров (39% респондентов). Общий уровень мусора в корпоративной почте был, по субъективным оценкам, невысоким, от 15 до 50%, хотя больше половины опрошенных за год зафиксировали его повышение. В результате сокрушительной спам-атаки 27% американских предпринимателей и 24% британских были вынуждены бороться с заражениями, 22% остались без связи. На ликвидацию этих последствий у половины респондентов ушло от одного до трех часов, остальные потеряли полдня или даже не уложились в рабочие часы. Особым источником неприятных сюрпризов являются ложные срабатывания защитных систем, с такими инцидентами в течение года столкнулись две трети участников опроса. Решения по непрошеным письмам, проскользнувшим за фильтры, около 80% SMB-компаний оставляют за конечным пользователем. Примечательно, что почти все предприниматели имеют определенные политики в отношении входящего спама; в большинстве случаев служащим рекомендуется просто удалять подозрительные сообщения. «Криминальные элементы все чаще используют спам для доставки вредоносного ПО на рабочие места с целью нарушить связь, взять в заложники ПК и серверы или выкрасть ценную информацию, которую можно продать или мошеннически использовать, – комментирует Серджо Галиндо (Sergio Galindo), один из руководителей GFI. – Заражения чреваты снижением продуктивности пользователей и компьютеров, ограничением деловых операций и, как результат, финансовыми потерями. Кража данных может иметь самые разные последствия, от наложения штрафа до утраты доверия клиентов. Даже безвредный спам может причинить большой вред, так как забивает почтовые ящики, пожирает память и расходует время админов, которое могло бы быть употреблено на более полезные задачи». Анонимный опрос, спонсированный GFI, был проведен специализированным агентством Opinion Matters на первой неделе сентября. В нем приняли участие 200 американских и 200 британских руководителей IT-подразделений из организаций, в которых числятся от 5 до 1000 служащих. Источник: GFI Software Devino Telecom фиксирует рост потока SMS-спама Согласно статистике Devino Telecom, московского агентства мобильного маркетинга, за два минувших месяца количество текстового спама, блокируемого на платформе премодерации трафика компании, заметно увеличилось. Так, в сентябре на эту платформу поступило около 170 млн. SMS, из них 1 млн. сообщений были заблокированы, что в два с лишним раза больше, чем в июле. По оценке Devino Telecom, с ее интернет-сервиса ежемесячно распространяется до 500 млн. заказных SMS, компания состоит в договорных отношениях с более чем 130 агрегаторами. Наиболее частыми темами SMS-спама, по данным Devino Telecom, являются наркотики, алкоголь, казино и интим-услуги. Такая реклама нередко бывает завуалированной, поэтому на сервисе, помимо спам-фильтра, работают два-три модератора. При необходимости они проверяют приведенную в сообщении информацию: звонят по указанному телефону или заходят на сайт. Компания уверена, что такой подход позволяет в значительной мере сократить количество мксорных и мошеннических рассылок. «Клиенты, в интересах которых производится рассылка, должны ответственнее относиться к их содержанию, – заявил журналистам Content-Review.com Данила Шмелев, генеральный директор Devino Telecom. – Заказчик рассылки должен понимать, что за нарушение законодательства ему придется нести финансовую ответственность. Помимо штрафов, спам-рассылки влекут за собой и другие негативные последствия. Например, у конечного получателя, абонента, резко снижается доверие к SMS-рассылкам в целом, вне зависимости от их содержания». Content-Review отмечает, что в последнее время борьба с нелегитимными SMS-рассылками ужесточилась: операторы сотовой связи начали по собственному почину блокировать сторонние спам-рассылки, а недавно принятые поправки к федеральному закону «О связи» вообще узаконили право фильтровать SMS-сообщения. Однако важно не только бороться с последствиями таких рассылок, говорят журналисты, но и вырабатывать ответственное отношение к распространяемому контенту. Источник: Content-Review.com Записки спам-аналитиков Как не заблудиться в трех генеалогических соснах Татьяна Куликова, эксперт «Лаборатории Касперского» Ляпы автоматических переводчиков уже неоднократно подводили нигерийских мошенников, которые любят писать длинные письма, сдабривая их огромным количеством душещипательных подробностей. Но даже если мошенники стараются быть краткими, им не всегда удается избежать казусов, возникающих при переводе с одного языка на другой. Вот, например, письмо, в котором некий «служащий банка» (который почему-то сообщает о себе в среднем роде «где я могу быть достигнуто») предлагает получателю связаться с ним и поговорить об «информации, которую я хотел бы поделиться». Интрига письма кроется в банковском счете, который «принадлежал к кто-то из ваших дальних генеалогическое дерево». За последнее время среди пользователей интернета сильно возрос интерес к составлению родословных и поиску своих корней. Без сомнения, нигерийские мошенники привнесли в эту тенденцию свежую струю, показав возможность взращивания целого леса генеалогических деревьев ближнего и дальнего типа. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013