Электронный журнал "Спамтест" No. 546 В этом номере: Новости Новости Sophos: Китай обогнал США по рассылке спама Согласно статистике Sophos, Китай весь прошлый год устойчиво держался в пределах ведущей пятерки стран-лидеров по количеству исходящего мусора, квартал за кварталом повышая свою позицию. К концу декабря КНР возглавила «грязную дюжину», резко повысив свой вклад в общий спам-трафик до 16,7%. Доля США, спустившихся по итогам IV квартала на вторую ступень, при этом сократилась незначительно, с 11,5 до 11,2%. Лидирующие позиции этих стран эксперты объясняют, в первую очередь, большими масштабами компьютерного парка и доступностью быстрого интернета: ведь основную часть спам-потока генерируют зараженные машины. Третью строчку непочетного списка заняла Южная Корея (8,8%), поднявшись сразу на три ступени. На четвертой осталась Россия, вновь ухудшив свой показатель (7,3 против 6,3%). Замыкает ведущую пятерку Япония (5,7%), до этого занимавшая два квартала подряд 11 место. Значительный прогресс показали Франция и Италия: обе оказались за пределами «грязной дюжины», хотя в предыдущем квартале входили в ТОП 5. Список стран-спамеров с учетом численности населения, по мнению Sophos, отражает не величину компьютерного парка или степень проникновения интернета, а, скорее, уровень зараженности подключенных к Сети устройств, то есть, в итоге, отношение жителей страны к компьютерной безопасности. Напомним, ТОП 12 по количеству исходящего спама на душу населения эксперты составляют, взяв за единицу показатель США. Первое место в «подушном» списке по итогам IV квартала было присуждено Южной Корее (5,1), которая и здесь поднялась на три позиции. На втором оказался Гонконг (4,6), впервые в году появившийся в «грязной дюжине», на третью строчку с первой сошла Болгария (4,2 против 4,9 в предыдущем квартале). Заметно улучшили свои показатели Уругвай и Швейцария; первый спустился при этом со второй на седьмую позицию, вторая – с третьей на двенадцатую. Беларусь продолжает успешно бороться с автоматизированным спамом и в минувшем квартале благополучно выбыла из состава «подушного» ТОП 12. Примечательно, что к концу года в этом списке, считая Гонконг, появилось сразу шесть дебютантов, в том числе Украина и Казахстан (4 и 8 места соответственно). Источник: Sophos Жителей Коми атакует блокер-шифровальщик Центр информационных технологий Республики Коми (ЦИТ) предупреждает о вредоносной рассылке, нацеленной на распространение мощного шифровальщика. По свидетельству ЦИТ, после запуска данный зловред «настолько сильно портит офисные документы и базы данных, что ими невозможно пользоваться». Поддельные письма приходят как на веб-почту (Mail.ru, Gmail), так и на корпоративные ящики и имитируют извещения от разных организаций: судебных органов, банков, ритейлеров, почтовых служб, местных отделений госавтоинспекции. Эти фальшивки оформлены очень убедительно, пестрят логотипами, могут даже иметь персонализированный характер: в отдельных случаях злоумышленникам известны личные данные получателя – ФИО, должность и т.п. Поддельные письма снабжены вредоносным вложением или ссылкой на «документ», о котором идет речь в тексте. Восстановление зашифрованных файлов, по словам пострадавших, обходится недешево. ЦИТ призывает пользователей к бдительности, а в случае сомнения рекомендует уточнять присланную информацию, обратившись к заявленному отправителю по телефону. Источник: «Комиинформ» Информационная атака повышает шансы фишеров на успех Как показало исследование, проведенное сотрудниками университета штата Нью-Йорк в Буффало, информационно-насыщенные приманки фишеров весьма эффективны, так как провоцируют получателя на эвристические оценки, подавляя критическое мышление. Под информационно-насыщенными приманками исследователи подразумевают фишинговые сообщения, изобилующие узнаваемой графикой, логотипами и прочей атрибутикой любого брэнда, заимствование которой помогает злоумышленникам создавать иллюзию аутентичности отправителя. «Кроме того, сам текст хорошо продуман, похож на персональное обращение, приковывает внимание и пробуждает чувство тревоги, – комментирует Арун Вишванатх (Arun Vishwanath), профессор нью-йоркского университета и один из соавторов исследования. – Зачастую в нем указывается срок для ответа, который получатель должен озвучить, пройдя по указанной ссылке на (поддельный) сайт. Такие сайты, специально создаваемые фишерами, могут также наградить посетителя программой-шпионом, которая начнет искать на компьютере жертвы имена пользователей, пароли, списки контактов и данные кредитных карт». Как обнаружили исследователи, обилие информации в фишинговом сообщении усыпляет бдительность получателя, заставляет его поверить в реальность собеседника и способно ввести в заблуждение даже самых недоверчивых и искушенных пользователей. В итоге получатель такого письма теряет способность трезво оценивать действительность и может совершить опрометчивый поступок – например, раскрыть информацию, интересующую фишеров, причем сделать это очень быстро. Для постановки эксперимента была создана контрольная группа из 125 студентов-старшекурсников, неоднократно имевших дело с фишингом. На их адреса с Gmail-аккаунта была проведена тестовая рассылка; письма содержали адрес отправителя, использующий имя университета. Получателю сообщалось о неких проблемах с настройками его университетского ящика, которые ему предлагали решить, воспользовавшись приведенной в письме ссылкой. При этом студенту рекомендовали сделать это в ограниченные сроки, дабы не лишиться доступа к учетной записи. Примечательно, что 49 участников эксперимента ответили на это письмо сразу же, еще 36 – после отдельного напоминания. То есть эффективность «приманки» в данном случае составила 68%. Результаты данного исследования были представлены на Международной конференции по системологии (HICSS), прошедшей 5-8 января на Гавайях. Источник: Newswise Лицедейство как способ отъема денег ФБР предупреждает об учащении целевых рассылок мошенников, научившихся ловко имитировать переписку партнеров по бизнесу. Проштудировав публичную информацию о мишени и ее зарубежных связях, грабители направляют ей поддельное сообщение о смене банка и номера счета для платежных переводов. По свидетельству экспертов, эти фальшивки выглядят очень убедительно; за минувший год имперсонаторы сумели обмануть более 2,1 тыс. организаций, в основном, американских, и получить на подставные счета около 215 млн. долларов, предназначенных другим лицам. За период с 10 января 2013 г. по 12 января 2014 г. Центр приема жалоб в отношении киберпреступлений (IC3), работающий под эгидой ФБР, собрал уйму информации об этом способе угона платежей (в США его называют BEC, Business E-mail Compromise – компрометация деловой переписки). Заявления поступили изо всех американских штатов, а также из 45 других стран, и этот поток, по свидетельству IC3, продолжает расти. BEC-мошенничество практикуется в США с 2009 года, однако критерии отбора мишеней в рамках этой схемы до сих пор не известны. Спектр атакуемых организаций широк, от малых до самых крупных предприятий; все они покупают или продают разные товары: ткани, мебель, продукты питания, фармацевтические препараты. Целевые BEC-атаки отличает хорошая подготовка: авторы BEC-схемы, видимо, долго мониторят и изучают потенциальную жертву, прежде чем обратиться к ней от имени ее давнего поставщика или партнера. Для пущей убедительности мошенники могут также взломать почтовый ящик делового партнера своей мишени и отослать с него ложное сообщение об изменении счета. Подставные счета в этом случае обычно открывают наемники-дропы, которые могут прикрываться именем фиктивной компании. «Угнанные» платежи, по данным IC3, обычно оседают в азиатских банках, работающих на территории Китая и Гонконга. В параллель с IC3 аналогичные данные опубликовала ACCC, антимонопольная служба Австралии. За последние несколько месяцев на ее информационный портал SCAMwatch было подано 20 жалоб на поддельные сообщения партнеров о смене платежных реквизитов; треть заявителей при этом поверили мошенникам и в результате совокупно потеряли $600 тысяч. По данным ACCC, необходимую для таких рассылок информацию – списки клиентов, банковские реквизиты, копии прежних накладных – злоумышленники добывают из взломанных почтовых ящиков вендоров и поставщиков. Подлог всплывает лишь в тот момент, когда деловой партнер забьет тревогу по поводу долгого отсутствия платежей. Угонщики австралийских платежей базируются, в основном, в Азии и Африке. Распознать BEC-мошенничество, по свидетельству IC3, можно по следующим признакам: целевая фальшивка обычно приходит на адрес бесплатной веб-почты; адресатом является лицо, ответственное за денежные переводы; в большинстве случаев взлома поддельное письмо приходит с личного, а не с корпоративного почтового ящика; мошенники часто просят произвести изменения или платеж в сжатые сроки; целевая рассылка обычно совпадает по времени с командировкой сотрудника, который указан отправителем; IP-адрес отправителя зачастую ассоциируется с бесплатным доменом. Многие заявители отмечают высокое качество подделки, корректность правописания, хорошее знание специфики деловой переписки в конкретной сфере, а также соответствующие бизнес-нормам суммы, которые запрашивают мошенники. Меры предосторожности, предлагаемые IC3, в данном случае следующие: не использовать веб-почту для деловой переписки; соблюдать осмотрительность, публикуя информацию в социальных сетях и на корпоративных сайтах; ввести дополнительные процедуры IT- и финансовой безопасности, реализовать двухэтапную систему верификации – например, запрашивать подтверждение важных транзакций по телефону; применять цифровые подписи; удалять спам не читая; не использовать опцию Reply для ответа на деловые письма; внимательно относиться к неожиданным нарушениям привычного регламента, при возникновении подозрений всегда уточнять полученную информацию у первоисточника, пользуясь другим каналом. IC3 также просит заявителей сохранять всю релевантную информацию, будь то письма, факсы или логи, на тот случай, если она понадобится представителям правопорядка. Источник: IC3 Фишеры заинтересовались счетами Postbank В середине января эксперты CYREN зафиксировали мощную фишинговую атаку на клиентов популярного германского банка Postbank. На пике на эти поддельные сообщения пришлось около 15% спама, обнаруженного на территории Германии. Авторы фальшивки от имени Postbank просили получателя подтвердить свои логин и пароль на странице, указанной ссылкой. За первые сутки злонамеренной рассылки исследователи из CYREN насчитали более 50 тыс. URL, используемых фишерами. При этом эксперты отметили, что и само поддельное письмо, и фишинговая страница выполнены с большим мастерством и почти идентичны оригиналам. Для распространения писем-ловушек фишеры использовали ботнет; наиболее активные источники (зараженные компьютеры) оказались прописанными в Италии (29%), Германии (17%), Северной Америке (15%) и Франции (7%). CYREN напоминает пользователям о том, что никакая кредитно-финансовая или иная организация не станет запрашивать подтверждение конфиденциальной информации (пароля, PIN-кода) электронным письмом. Подлог также может выдать URL в адресной строке браузера: используемый фишерами домен обычно не имеет ничего общего с заявленным отправителем. В любом случае, если есть сомнения, лучше просто позвонить в банк и уточнить полученную по почте информацию. Источник: CYREN Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013