Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 543

Поздравляем всех с наступающим 2015 годом!

Следующий номер журнала выйдет 15 января.


в этом номере:


Новости

Хакеры добрались до системы файлов зон ICANN

Неизвестным хакерам удалось скомпрометировать ключевые системы ICANN, организации, осуществляющей регулирование адресного пространства интернета. В частности, злоумышленники получили доступ к файловой системе, которая содержит разделенную по TLD-зонам информацию, необходимую для преобразования доменных имен в IP-адреса.

Кибератака, по всей видимости, была проведена в прошлом месяце, несанкционированное проникновение было обнаружено ICANN в начале декабря. Взлому предшествовала целевая фишинговая рассылка (spear phishing), в результате которой были скомпрометированы учетные данные электронной почты нескольких штатных сотрудников этой организации. В итоге атакующим удалось получить доступ к централизованной службе файлов корневой зоны (Centralized Zone Data System, CZDS). Файлы зоны вносятся в CZDS операторами соответствующих TLD-реестров и содержат много ценной информации, в том числе имена доменов, ассоциированные с ними NS-сервера и их IP-адреса.

Представители ICANN заявили, что организация приступила к оповещению пользователей, данные которых могли быть скомпрометированы в результате атаки.

«Злоумышленник получил административный доступ ко всем файлам в CZDS, – говорится в заявлении ICANN. – Это копии файлов зоны в системе и предоставленная пользователями информация – имя, почтовый адрес, адрес электронной почты, номера факса и телефонов, имя пользователя и пароль. Несмотря на то, что пароли хранились в виде соленых хешей, мы на всякий случай деактивировали все пароли в CZDS. Пользователи могут запросить новый пароль через czds.icann.org. Мы предлагаем пользователям CZDS предпринять необходимые шаги для защиты других учетных записей, в которых они использовали то же имя пользователя и/или пароль. ICANN извещает пользователей CZDS, чьи персональные данные могли пострадать».

ICANN – неотъемлемая часть интернет-инфраструктуры, эта некоммерческая организация выполняет львиную долю работы по обеспечению функционирования системы доменных имен и по управлению глобальным адресным пространством. ICANN также принимает участие в управлении корневыми серверами, которые являются ключевым компонентом DNS-системы.

Согласно заявлению ICANN, взлому подверглась не только CZDS, атакующие получили также доступ к блогу ICANN и порталу WHOIS, однако никаких неприятных последствий для этих систем обнаружено не было.

Представители ICANN также отметили, что с начала года организация реализует программу повышения безопасности. По их мнению, именно эти меры помогли ограничить масштабы несанкционированного проникновения.

«Мы предоставляем общественности информацию об этом инциденте не только в рамках выполнения обязательств по открытости и прозрачности, но и в связи с тем, что обмен информацией о кибербезопасности помогает всем пострадавшим исследовать вопросы угрозы их системам», – заявила в заключение ICANN.

Источник: ICANN

ESET подсчитала убытки от TorrentLocker

По оценке ESET, появившийся в минувшем феврале блокер-шифровальщик TorrentLocker уже заразил около 40 тыс. Windows-компьютеров и принес своим операторам от 292,7 до 585,4 тыс. долларов в биткойнах.

За истекший период зловред успел зашифровать около 285 млн. документов, владельцы которых проживают преимущественно в Западной Европе, а также в Канаде, Австралии и Новой Зеландии. Выкуп в обеспечение возврата своих файлов заплатили лишь 1,45% жертв заражения.

TorrentLocker – не самый продвинутый вымогатель, применяющий шифрование, но, согласно ESET, один из наиболее распространенных зловредов данного типа. Раздается он, как и многие прочие блокеры, через спам с вредоносными вложениями или ссылками, который имитирует уведомления о неоплаченном счете, почтовом отправлении или штрафе за превышение скорости. Заряженные TorrentLocker спам-письма были замечены на территории Австралии, Австрии, Канады, Чехии, Италии, Ирландии, Франции, Германии, Нидерландов, Новой Зеландии, Испании, Турции и Великобритании. США, как ни странно, в этом списке отсутствуют.

Для шифрования пользовательских документов, фото и прочих файлов TorrentLocker генерирует 256-битный ключ AES и требует до 4 биткойнов за расшифровку. Этот ключ затем шифруется публичным 2048-битным RSA и отсылается на командный сервер. Поскольку сгенерированный по месту AES-ключ удаляется из памяти, при уплате выкупа его сохраненная на сервере копия дешифруется с помощью приватного RSA-ключа и высылается зловреду для освобождения файлов.

По мнению экспертов ESET, за TorrentLocker стоит та же группировка, которая оперирует также банкерами семейства Hesperbot. Злоумышленники постоянно держат руку на пульсе и быстро реагируют на смену событий. Так, новая, исправленная модификация вымогателя появилась через неделю после публикации результатов анализа кода, выявившего криптографическую ошибку его авторов. Благодаря этому промаху финские исследователи смогли без особого труда восстановить полоненный зловредом контент.

Хотя на настоящий момент основным способом доставки TorrentLocker является вредоносный спам, не исключено, что его распространители решат задействовать и другие механизмы – например, эксплуатацию уязвимостей. «Важно понимать, что для вымогательского ПО начальная точка компрометации – это не какой-нибудь статичный или новый параметр, – комментирует Тим Элин (Tim Erlin), директор Tripwire по безопасности и оценке рисков. – К услугам злоумышленников широкий спектр средств, пригодных для распространения инфекции. Спам с вредоносными ссылками или вложениями популярен, потому что сохраняет свою эффективность».

Источник: The Register

T-Mobile выплатит $90 млн. жертвам навязчивого сервиса

Крупнейшие американский оператор сотовой связи T-Mobile согласился урегулировать конфликт с Федеральной торговой комиссией во внесудебном порядке. Компания уплатит 90 млн. долларов для возвращения абонентам, с которых без их согласия взыскивалась ежемесячная плата за навязанные услуги – присылаемые в виде SMS гороскопы, советы влюбленным, светские сплетни и проч. С провинившегося оператора также взыскано $18 млн. штрафа в пользу 50 американских штатов и округа Колумбия, а также $4,5 млн., которые отойдут Федеральному агентству по связи (Federal Communications Commission, FCC).

Иск против T-Mobile был подан ФТК в минувшем июле; торговый регулятор обвинил оператора в неавторизованных списаниях с абонентских счетов в пользу недобросовестных продавцов премиум-услуг – в так называемом крэмминге (cramming). Контент-провайдеры, предлагающие платные услуги, продвигают их весьма агрессивно, нередко прибегая к мошенническим методам. Они платят операторам процент за включение платы за навязанный сервис в общий счет, который ежемесячно высылается абоненту. Оператор, как лицо заинтересованное, пытается скрыть от потребителя эти статьи расхода: не называет вещи своими именами, прячет эти не согласованные с абонентом приписки среди множества других, законных позиций.

ФТК активно борется с этой порочной практикой и за последние месяцы подала множество исков против операторов и контент-провайдеров. «От мобильного крэмминга страдают миллионы американцев, – констатирует глава ФТК Эдит Рамирес (Edith Ramirez), – и я рада, что мы пришли к соглашению, которое вернет деньги потребителям, пострадавшим от действий T-Mobile. Абонент должен быть уверен, что в его счет за мобильные услуги включены лишь те платежи, на которые он дал согласие».

По свидетельству ФТК, T-Mobile получала 35-40% от каждого платежа в пользу третьей стороны. Навязанные услуги обычно обходились абонентам в $9,99 ежемесячно. Наиболее внимательные и педантичные отыскивали эти позиции в счетах, объем которых доходил до 50 страниц, и просили оператора вернуть деньги за услуги, на которые они не подписывались. Такие возвраты иной раз доходили до 40% итоговой суммы счета, и жалобы на незаконные списания лились в T-Mobile рекой.

Согласно условиям мирного урегулирования, провинившийся оператор должен связаться со всеми абонентами, пострадавшими от крэмминга, и четко проинформировать их об условиях соглашения с ФТК, а также о программе возврата всех незаконно списанных сумм. Впредь T-Mobile надлежит согласовывать с абонентами сторонние платежи, прежде чем включать их в общий счет за мобильные услуги. Компания также обязана каждый раз информировать абонентов о таких списаниях и обеспечить опцию блокировки сторонних платежей.

Источник: FTC

Новый Cryptolocker пытается испортить Рождество австралийцам

В середине декабря эксперты Barracuda Networks обнаружили, как они полагают, новую версию Cryptolocker, которая, судя по результатам VirusTotal, пока плохо детектируется. Зловред закачивался по ссылке, указанной в спаме.

Вредоносные сообщения адресованы, по всей видимости, жителям Австралии, так как написаны от имени State Debt and Recovery office – госслужбы, ведающей наложением и сбором штрафов на территории этой страны. Авторы поддельных писем извещают получателя о том, что он якобы оштрафован за неоднократное превышение скорости, зафиксированное видеокамерой.

Во избежание больших неприятностей «нарушителю ПДД» рекомендуют в короткие сроки произвести платеж, размер которого можно узнать, нажав кнопку Invoice («Счет»). В теле подложного письма приведена еще одна кнопка, View Camera Images («Снимки с видеокамеры»). Обе ссылки, по свидетельству Barracuda, ведут на сторонний веб-сайт, где посетителю предлагают скачать копию счета или оформить напоминание о необходимости оплаты. Чтобы придать фальшивке легитимный вид, злоумышленники внедрили на странице загрузки поле с CAPTCHA.

Под видом счета на машину «штрафника» закачивается блокер, который шифрует информационные файлы и выводит жертве сообщение о том, что ее данные зашифрованы Cryptolocker и для их восстановления нужно уплатить выкуп. Эксперты Barracuda утверждают, что данный вымогатель не имеет видимой связи с одноименным оригиналом, практически исчезнувшим после ликвидации ZeuS/Gameover. Вполне возможно, что это очередной последователь, прикрывающийся именем некогда весьма эффективного орудия вымогательства. Такие случаи уже были, хотя сути это не меняет: в настоящее время блокеры-шифровальщики составляют одну из наиболее актуальных угроз, а спам – самый распространенный способ их доставки.

Источник: Barracuda Networks

«Нигерийцы» продолжают и выигрывают

Очередной жертвой «нигерийских» спамеров стала 43-летняя жительница белорусского города Гродно. Доверчивая женщина перевела «нигерийцам» около 40 тысяч долларов для оплаты услуг по оформлению крупного выигрыша в лотерею, в которой она никогда не участвовала.

По электроной почте женщина получила письмо, в котором сообщалось о том, что она якобы выиграла пятьсот тысяч фунтов стерлингов в некой лотерее. Как всегда в подобных письмах, мошенники под благовидным предлогом просили перевести им относительно небольшую по сравнению с выигранной денежную сумму.

«Победительница лотереи» несколько раз перечисляла 1500-2000 долларов США, чтобы оформить все необходимые документы и получить свой выигрыш. Прежде чем женщина заподозрила неладное и обратилась в милицию, мошенники заполучили около 40 тысяч долларов.

По сообщению правоохранительных органов, часть денег была снята в Нигерии, часть в Великобритании. Исходя из этой информации, можно предположить, что вероятность поимки мошенников весьма мала.

Источник: Пресс-служба УВД Гродненского облисполкома


Записки аналитиков

Ура скидкам, или урожай для фишеров

Андрей Костин, эксперт «Лаборатории Касперского»

Еще один год подходит к концу, впереди новогодние и рождественские праздники, в разгаре сопутствующие им распродажи. Это благоприятное время для шоппинга, но многие даже не догадываются, что мошенники из года в год пользуются предпраздничным ажиотажем покупателей в своих целях. Ведь большие скидки лишают многих трезвомыслия, а это как раз то, что нужно для успешной фишинговой атаки.

Черная пятница

Аналог предновогодних распродаж в России – сезон рождественских распродаж в западных странах. Так называемая Черная пятница – это день, когда распродажи начинаются. В Черную пятницу скидки на товары сумасшедшие, а покупатели не только бегут в магазин за выгодными покупками, но и заказывают вещи и подарки онлайн.

В этом году Черная пятница пришлась на 28 ноября. В этот день эксперты «Лаборатории Касперского» зафиксировали взрывной рост количества фишинговых атак на популярные платежные системы и крупные интернет-магазины, участвовавшие в акциях распродаж. Количество попыток пользователей выйти на фишинговые сайты, имитирующие сайты этих организаций, в 2 и более раз превысило показатели обычных дней (в таких случаях в наших продуктах срабатывает компонент «анти-фишинг»).

В Черную пятницу фишинговые страницы буквально заполонили интернет. Кроме того, мы заблокировали множество фишинговых e-mail рассылок, приуроченных к Черной пятнице, в которых пользователю предлагалось сделать выгодные покупки или, что более стандартно, подтвердить свой аккаунт к тому или иному платежному сервису.

Приведем несколько примеров.

Количество попыток пользователей выйти на фишинговые сайты, подделанные под сайты “American Express”, 28 ноября выросло в среднем в полтора раза.

Количество попыток пользователей выйти на страницы, подделанные под сайт “Visa,Inc.”, в Черную пятницу увеличилось в 2 раза.

Количество попыток пользователей выйти на фишинговые страницы, имитирующие сайт известного онлайн-магазина “Wal-Mart Stores,Inc.”, 28 ноября увеличилось в 6 раз:

В большинстве своем эти атаки были направлены на кражу аккаунтов и конфиденциальных данных пользователей. Однако вследствие такой кражи жертва фишеров может потерять не только доступ к аккаунту, но и денежные средства на счете. А скидки Черной пятницы, завлекающие пользователей и деструктивно влияющие на их способность трезво мыслить, играют на руку мошенникам.

Ловушки в Рунете

Период предновогодних скидок и покупательского ажиотажа не менее заманчив и для российских мошенников. И здесь фишеры и мошенники разных сортов действуют в это время весьма активно.

Например, известный игровой сервис Steam устроил праздничную предновогоднюю распродажу компьютерных игр, скидки доходят до 75%. Этим не преминули воспользоваться фишеры, увеличив количество фишинговых атак на этот сервис. В интернете появились фишинговые сайты, подделанные под сайт Steam.

По нашим данным, число попыток российских пользователей выйти на фишинговые сайты, подделанные под сайты сервиса Steam, резко выросло в середине декабря.

Помимо классического фишинга, в Рунете популярны и другие схемы мошенничества.

Например, на мошенническом сайте пользователям предлагается купить новенький iPhone 6 с очень хорошей новогодней скидкой. Для успешной реализации мошеннической схемы злоумышленники регистрируют на 1 год домен и хорошо оформляют свой сайт. При этом данные о том, на кого именно зарегистрирован домен, скрываются.

Покупателю предлагается внести предоплату или же произвести полную оплату через QIWI-кошелек, переведя деньги по реквизиту, коим является email мошенника. Злоумышленники обещают, что после этого смартфон будет выслан срочной курьерской службой.

Когда покупатель делает предоплату или полностью оплачивает покупку, злоумышленники исчезают, и найти их практически невозможно: они не выходят на связь, по адресу интернет-магазина никаких офисов нет, «рабочие» телефоны не отвечают. И вожделенный iPhone покупателю никто не приносит.

Защита от мошенников

Чтобы не стать жертвой злоумышленников, пользуясь услугами интернет-магазинов, необходимо выполнять следующие правила:

  • Создайте специальную карту для онлайн-покупок и не держите на ней большую сумму денег.
  • Не переходите на сайты по ссылкам в почтовых сообщениях, сообщениях в социальных сетях и чатах или кликнув по рекламному баннеру на сомнительном сайте.
  • Финансовые организации никогда не присылают писем с просьбой отправить им свои личные данные в электронном сообщении, перейти на сайт для авторизации или ввести личные данные во всплывающих окнах. Не переходите на сайт по ссылкам, присланным от имени банковских организаций и платежных систем.
  • Не переходите ни по каким ссылкам, присланным незнакомыми людьми.
  • Избегайте магазинов, зарегистрированных на бесплатных хостингах.
  • Если сайт магазина вызывает сомнения, исследуйте на сервисах whois данные о времени существования домена, на котором размещен сайт, его владельце. Обратите внимание, на какой срок оплачен домен.
  • Вводите адрес банка или платежной системы вручную.
  • Внимательно проанализируйте URL страницы с полями ввода конфиденциальных данных. Если интернет-адрес состоит из бессмысленного набора символов или URL выглядит подозрительно, не оформляйте на странице с этим адресом платеж.
  • Проверяйте, используется ли при передаче ваших конфиденциальных данных шифрованное соединение. Если соединение защищенное, адрес сайта должен начинаться с https, а в адресной строке или строке состояния браузера должна быть иконка закрытого замочка.
  • Старайтесь не пользоваться услугами онлайн-банкинга или делать онлайн-покупки в публичных местах (интернет-кафе, клубах, библиотеках). На таких компьютерах могут быть установлены различные шпионские программы, считыватели нажатий клавиш, перехватчики интернет-трафика. Даже если вы пользуетесь своим компьютером, но при этом осуществляете банковские операции по публичной бесплатной сети Wi-Fi, существует риск перехвата трафика администратором этой сети, прослушивания посторонними лицами и атак с использованием сетевых червей — особенно, если сеть Wi-Fi не защищена паролем.
  • Всегда держите вашу операционную систему и антивирусное ПО в актуальном состоянии. Используйте на компьютере антивирусную программу с защитой от фишинга.

Будучи внимательным и соблюдая все меры предосторожности, можно с комфортом пользоваться всеми удобствами, которые предоставляет интернет.

Удачных покупок!




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное