Электронный журнал "Спамтест" No. 537 В этом номере: Новости Новости Новая уловка фишеров: оригинал вместо копии Исследователи из Trend Micro обнаружили в японском секторе интернета фишерские ловушки, созданные необычным способом. Вместо копии целевого интернет-магазина злоумышленники используют специальную страницу с проксирующей программой, которая при просмотре контента передает запросы пользователя на сервер оригинала; модифицированные, фишинговые страницы отображаются лишь в том случае, если посетитель решит провести платеж. Нововведение позволяет фишерам создавать очень убедительные ловушки с минимальными трудозатратами; кроме того, в сравнении с обычными фиш-имитациями такой подлог труднее обнаружить. До сих пор для создания ловушки фишеру приходилось изрядно повозиться: копировать HTML-код целевого сайта, вносить нужные изменения, регистрировать собственный (под)домен или компрометировать легитимный ресурс, чтобы обеспечить веб-хостинг. А для атаки на интернет-магазин с разными разделами (одежда, продукты питания, музыка) злоумышленник, как отмечают эксперты, должен был создавать не одну, а несколько имитаций – по числу этих разделов. Новая техника позволяет фишеру обойтись одним хостинг-доменом и атаковать сразу много мишеней. Фишинговый URL при этом включет уникальный идентификатор релей-атаки и преобразованный в base64 адрес атакуемого сайта: http://{фиш-домен}/clothes/tslyphper{URL целевого сайта}.html, где tslyphper сигнализирует, что данный URL задействован в прокси-схеме. Эксперты отмечают, что такой способ атаки достаточно прост и не зависит от типа устройства или браузера, используемых потенциальной жертвой. Атакующий проксирует все части ее HTTP-запроса и все составляющие ответа легитимного сервера. Чтобы завлечь пользователя на ловушку, злоумышленники применяют черную оптимизацию, обеспечивая своим страницам приоритет в поисковой выдаче. Для проведения атаки, которую обнаружила Trend Micro, фишерам пришлось переписать функцию Add to Basket («добавить в корзину»). При этом стоимость выбранного жертвой товара на поддельной странице была умышленно занижена – видимо, чтобы сделать покупку более привлекательной. Обычно кнопка Add to Basket обеспечивает HTTPS-соединение с продуктовой корзиной; посетитель модифицированной страницы, задействующий эту функцию, попадет на другую страницу фишеров, причем по незащищенному (HTTP) каналу. Все последующие веб-формы, которые обычно отображаются согласно процедуре оформления покупки, тоже являются подделками; введенные в них данные попадут прямиком к фишерам. В поддержание иллюзии легитимности покупателю даже высылают стандартное благодарственное письмо, подтверждающее «заказ», – на тот адрес, который жертва оставила фишерам. Trend Micro удалось обнаружить лишь одну мишень креативных фишеров – японский интернет-магазин. Судя по некоторым признакам, данная атака проводилась с территории Китая. Поскольку новый метод позволяет без особых усилий создавать жизнестойкие реплики, максимально приближенные к оригиналу, эксперты ожидают, что это начинание может быть замечено и взято на вооружение в фишерских кругах. Источник: Help Net Security Чьи gov-сайты популярны у фишеров? Согласно новейшим тенденциям, отмеченным в отчете Антифишинговой рабочей группы (APWG) за первое полугодие, фишеры предпочитают размещать свои страницы на скомпрометированных ресурсах. Эксперты американской компании Cyveillance, специализирующейся на мониторинге интернет-рисков, проанализировала свою коллекцию фишинговых URL, собранных за истекший год, и составили рейтинг правительственных хостов, на которых обнаружены страницы-ловушки. Как оказалось, лидером по этому показателю являются Бразилия и Китай. За период с сентября 2013 по сентябрь 2014 гг. Cyveillance насчитала немногим более 72 тыс. уникальных доменных имен, используемых фишерами. На правительственных ресурсах, которые исследователи определяли по использованию домена первого или второго уровня .gov (например, badsite.gov или badsite.gov.uk), было при этом обнаружено 195 фишинговых имитаций, из них 26 – в зоне gov.br, 24 – в gov.cn. Несколько менее привлекательными для фиш-хостинга оказались правительственные сайты Колумбии, Турции, Непала и Нигерии (от 10 до 18 находок). Примечательно, что в коллекции Cyveillance не нашлось ни одной фишинговой страницы, размещенной на российских ресурсах такого ранга. Исследователи признают, что их результаты, хотя и точны, не могут претендовать на полноту охвата, так как далеко не все правительственные сайты используют домен .gov. Так, в Испании, например, для государственных учреждений зарезервирован домен .gob. Источник: Cyveillance Москвичам грозят судом и раздают зловредов Управление Федеральной службы судебных приставов по Москве предупреждает о вредоносной рассылке, использующей имя и гербовый логотип ФССП России. По свидетельству этой организации, обратный адрес спам-письма может быть указан как mail@r77.fssprus.ru или cvsnt@cvsnt.ru, отправителем значатся «судебные приставы» или «управление организации исполнительного производства», которого на самом деле не существует. В качестве темы злоумышленники указали «Судебное дело». В теле письма спамеры с ходу грозят безымянному получателю заочным судебным решением в случае его неявки и принудительным исполнением этого решения. Для ознакомления с деталями иска и сроками рассмотрения «дела» пользователю предлагают перейти по ссылке «Загрузить информацию». ФССП предостерегает получателей аналогичных писем от необдуманных действий: вместо обещанных документов в данном случае на машину пользователя загружается вредоносная программа. В связи с данным инцидентом УФССП России по Москве заявило, что «не рассылает письма по судебным делам и не предоставляет конфиденциальную информацию по телефону или e-mail». Организация напоминает пользователям о бдительности, призывает обращать внимание на отсутствие точных данных в подобном спаме и в случае сомнений рекомендуют вначале проверять информацию на официальных сайтах судов или с помощью сервиса «Банк данных исполнительных производств» на сайте http://r77.fssprus.ru. Источник: УФССП России по Москве Google: ловушки фишеров успешны в половине случаев Исследование мотивов и техник угона аккаунтов, проведенное Google с целью усиления защиты от этой угрозы, дало интересные результаты. В отличие от других аналогичных работ, данный отчет посвящен «угонам вручную», которые, по данным компании, достаточно редки, но зачастую причиняют более серьезный ущерб, чем массовые взломы, осуществляемые автоматизированными средствами. Анализ инцидентов, зафиксированных в 2011-14 гг. службой приема жалоб и защитными решениями Google, показал, что захваты аккаунтов вручную происходят с частотой примерно 9 случаев на 1 млн. пользователей в сутки. Осуществляют их, как правило, профессиональные взломщики, процесс этот достаточно трудоемкий, и в случае успеха жертва часто несет финансовые потери. Основные источники таких атак, по данным компании, базируются в Китае, Кот-д'Ивуар, Малайзии, Нигерии и Южной Африке. Сразу оговоримся: взломы с целью шпионажа Google рассматривает особо, данное исследование их не учитывает. Ключи к аккаунтам, которые ломаются вручную, злоумышленники обычно добывают с помощью фишинговых рассылок. Чтобы узнать, какие аккаунты интересуют фишеров, исследователи проанализировали большое количество сообщений, предоставленных пользователями и другими источниками, а также фишинговые страницы, обнаруженные с помощью функции SafeBrowsing. Как оказалось, взломщики охотятся, в основном, за идентификаторами пользователей веб-почты (35% случаев), онлайн-банкинга (21%), а также покупателей приложений и завсегдатаев социальных сетей. Эффективность фишинговых сайтов, как и следовало ожидать, сильно зависит от качества их исполнения. Для ловушек из коллекции Google этот показатель в среднем составил 14% при максимальном значении 45%. С учетом того, что фишинговые рассылки бывают многомиллионными, это очень тревожный результат. Согласно статистике Google, около 20% скомпрометированных аккаунтов взламываются в течение первого получаса после кражи регистрационных данных. Незваный гость в среднем тратит 3 минуты на то, чтобы определить ценность своей добычи, и, если она стоит усилий, может провести в угнанном профиле более 20 минут, меняя пароль, отыскивая другие идентификаторы и рассылая фишинговые сообщения по всем контактам жертвы. Последние, по оценке Google, могут оказаться в 36 раз эффективнее ковровых рассылок, так как отправлены с адреса, хорошо известного получателям. Исследователи также отметили, что угонщики очень быстро меняют тактику в случае принятия ответных мер. Так, например, когда Google начала требовать обратную связь при заходе пользователя с непривычного IP-адреса или устройства, фишеров стали интересовать возможные ответы на вопросы, предлагаемые владельцам аккаунтов. Исследователи планируют использовать свои находки для дальнейшего совершенствования действующих защитных решений. Согласно статистике Google, на настоящий момент наиболее надежным способом восстановления контроля над аккаунтом является получение идентификаторов в виде SMS на заранее оговоренный номер телефона (81% успеха). Использование запасного email-адреса с этой целью обеспечивает искомый результат в 75% случаев, секретных вопросов – лишь в 14%. Источник: Google Китай вводит штрафы за SMS-спам В Китае планируется ужесточить санкции за рассылку спама на мобильные телефоны. В частности, министерство промышленности и информационных технологий КНР (MIIT) предложило взимать с правонарушителей штрафы в размере до 30 тыс. юаней (около $5 тыс.). Соответствующий проект дополнений к существующим нормам опубликован на сайте MIIT для широкого обсуждения. Согласно этому документу, коммерческие рассылки по сетям сотовой связи будут считаться правонарушением, если их авторы не заручились предварительно оговоренным и явно выраженным согласием адресатов. Доставку легитимной SMS-рекламы предлагается сделать бесплатной. Комментируя новую инициативу правительства Китая в борьбе с засильем рекламного мусора, агентство Рейтер отмечает, что вопреки всем усилиям спам по-прежнему процветает на всех телекоммуникационных платформах страны. Используя факсимильные, текстовые сообщения, маркетинговые звонки, спамеры изо дня в день атакуют китайцев самыми разными предложениями, от якобы выгодных капиталовложений и займов до курсов массажа и сделок с недвижимостью. Жителям Китая особенно докучает спам, распространяемый по сетям сотовой связи, – по данным MIIT число владельцев мобильных телефонов в стране уже приблизилось к 1,3 млрд. Правительство неоднократно пыталось ограничить неудержимый поток непрошеной рекламы, однако все принятые до сих пор меры оказались безуспешными. Вначале MIIT попробовало возложить ответственность за спам на телеоператоров, воздействуя на них приказами и призывами. В 2010 году, как отмечает Рейтер, телеоператоры Шанхая и Пекина сами проявили инициативу, запретив употребление ненормативной лексики в текстовых сообщениях. Весной прошлого года MIIT ввело правила для коммерческих SMS-рассылок, запретив операторам распространять какие-либо тестовые сообщения без согласия получателей. Их также обязали немедленно прекращать рассылку, если абонент заявил однозначный отказ, и установить спам-фильтры для отсева сторонней рекламы. По всей видимости, соблюдение этих норм оставляет желать лучшего, поэтому было решено подкрепить их штрафными санкциями. Источник: Reuters Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013