Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 547

В этом номере:


Новости

Cloudmark подытожила спам-потоки за 2014 год

Cloudmark опубликовала годовой отчет по интернет-угрозам. Как всегда, большая часть этого документа посвящена анализу спам-рассылок, проводимых по почтовым и SMS-каналам.

В минувшем году эксперты отметили тенденцию к росту числа китайских и американских IP-адресов, которые компания рекомендует блокировать как стойкие источники спама. В Китае этот тренд был впервые зафиксирован в мае. Как оказалось, главным виновником исходящего из этой страны мусора являлась ASN-сеть гонконгского хостера ZenInet Communications. На пике Cloudmark блокировала свыше 1,1 млн. IP ZenInet, представлявших 89,7% его адресного пространства. Ассоциированные со спамом IP-адреса были впоследствии переданы Zhejiang Telecom Company Ltd., дочерней компании China Telecom, и с ноября никаких злоупотреблений в этом блоке замечено не было.

Давний лидер рейтинга стран-спамеров Румыния во втором полугодии показала значительное улучшение: число блокируемых IP с румынской пропиской уменьшилось вдвое. Тем не менее, на настоящий момент в черных списках Cloudmark числится 13,6% адресного пространства этой страны, и та по-прежнему возглавляет непочетный список. Второе место занимает Панама с показателем около 10%, третье – Иран (4%). Беларусь в течение года вела последовательную борьбу с исходящим спамом, причем весьма эффективно: за истекший период показатель этой страны снизился с 12 до 1%. Основную роль в достижении этого успеха, по мнению Cloudmark, сыграла белорусская CERT.

Статистику по SMS-спаму эксперты составляют на основании жалоб абонентов, подаваемых в службу 7726. Наибольшее количество претензий, озвученных американцами, касается мобильного фишинга. На долю фишинговых сообщений пришлось 26% текстового мусора, зафиксированного на территории США. Как показала практика, особую ценность для фишеров представляют предоплаченные дебетовые карты; по данным Cloudmark, с этим предметом охоты были связаны до 54% январских попыток мобильного фишинга. Примерно в 3% случаев фишеры имитировали уведомления от крупных банков вроде Wells Fargo, Chase и Bank of America. По словам экспертов, столь низкий показатель не явился для них неожиданностью: такие банки обычно имеют мощные антифрод-службы и адекватные ресурсы, позволяющие успешно бороться с абьюзами.

Другой тематической категорией, также получившей большое распространение в США, является реклама призов и подарков, якобы бесплатных. Согласно статистике Cloudmark, на ее долю в 2014 году пришлось более четверти нелегитимных SMS-сообщений. Помимо «дармовых» билетов и iPhone, мошенники зачастую предлагали абонентам поучаствовать в розыгрыше круиза на Карибы. Во втором квартале на долю предложений «бесплатно» поплавать по морю пришлось свыше 70% мошеннических SMS-рассылок.

В минувшем году эксперты также зафиксировали небывалый размах спам-кампаний, использующих возможности сервиса iMessage. Основной темой таких сообщений, получивших большое распространение на территории США, являлось продвижение дешевых реплик дизайнерских изделий. Пик этого спам-потока пришелся на лето, в июне на долю товарной рекламы пришлось 43% нелегитимных SMS-сообщений, адресованных американцам. С сентября по декабрь iMessage-спам возрос в 4 раза, однако из-за подъема в других категориях его вклад в общий мусорный SMS-трафик сократился до 5-7%. Как удалось установить, основная масса iMessage-спама распространялась с нескольких почтовых веб-сервисов, базирующихся в Китае. По оценке Cloudmark, на пике на долю аккаунтов, ассоциированных с китайскими почтовыми адресами, приходилось 59% источников нелегитимной iMessage-рекламы.

Тематический состав британского SMS-спама за год не претерпел особых изменений. Самой распространенной категорией здесь остаются предложения краткосрочных займов («до получки»), на долю которых приходится 44% текстового мусора. В Новой Зеландии преобладает «лотерейный» спам (63% жалоб на SMS-спам), в Аргентине – реклама автомобилей, которые в итоге оказываются мифом (разновидность мошенничества с предоплатой, 47%).

Источник: Cloudmark

Новая вредоносная атака на фейсбукеров

Блоггеры с My Online Security предупреждают о массовой рассылке поддельных писем, призванных убедить участников Facebook в изменении условий использования этой социальной сети.

Фальшивка написана от имени «команды Facebook», в строке From: проставлен поддельный адрес @mail.fb.com. Неизвестные злоумышленники уведомляют получателя, что его профиль в социальной сети якобы временно отключен в связи с обновлением пользовательского соглашения. Ознакомиться с «изменениями» предлагается с помощью указанной ссылки.

На самом деле внедренная в тело письма кнопка Terms & Policies привязана к сервису коротких ссылок goo.gl и перенаправляет пользователя на скомпрометированный веб-сайт, не имеющий никакого отношения к Facebook. Файл TermsPolicies.pdf.exe, загружаемый с этого сайта, содержит вредоносную программу, которая при проверке на VirusTotal оказалась даунлоадером.

Источник: My Online Security

Symantec о декабрьском спаме

По данным Symantec, уровень спама в почтовой корреспонденции третий месяц подряд остается практически неизменным: 55,3% в октябре, 54,6% в ноябре и вновь 55,3% в декабре.

Концентрация фишинговых сообщений в электронной почте в конце года сократилась до 1 письма на 1517 против 1 на 647 в ноябре. В то же время вредоносная составляющая продолжает увеличиваться. В декабре зараженным было 1 письмо на 195, тогда как в предыдущем месяце – 1 на 246. Доля спам-сообщений с вредоносными ссылками, напротив, резко снизилась, с 41,3 до 14%.

Целевые атаки фишеров (spear phishing) к концу года пошли на спад: в октябре эксперты фиксировали в среднем 45 таких инцидентов в сутки, в ноябре – 43, в декабре – лишь 33. Большинство фишинговых вложений по-прежнему составляют doc- (26,7%) и exe-файлы (15,7%).

Наиболее часто spear phishing атакам в декабре подвергались представители сферы промышленного производства (27% попыток). Второе место по этому показателю заняли финансисты, страховщики и торговцы недвижимостью (совокупно 24%).

Источник: Symantec

Cutwail раздает Tinba в немецкоязычном спаме

Активисты швейцарского ИБ-проекта Abuse.ch предупреждают о трех параллельных вредоносных рассылках, замеченных в конце января на территории Швейцарии. Все спам-сообщения распространяются большим тиражом с адресов швейцарской бесплатной почты (по всей видимости, поддельных), написаны на немецком языке и снабжены вложением в формате ZIP, в котором скрывается банковский зловред Tinba.

В первом случае злоумышленники предлагают получателю посмотреть прикрепленное фото с iPhone. В качестве отправителя при этом указаны произвольные именные адреса @bluewin.ch, одного из ведущих почтовых провайдеров Швейцарии. Однако анализ служебных заголовков этих писем показал, что распространяются они с территории разных стран и, вероятнее всего, с помощью ботнета.

Вторая спам-рассылка использует в качестве отправителя номерные адреса @orange.ch, регистратором которых является крупный телеком-оператор Orange, действующий также в Швейцарии. Эти спам-письма имитируют уведомление о входящем MMS; как оказалось, адреса отправителя в данном случае тоже поддельные.

В третьем спам-шаблоне заданы отправители @gmx.ch – еще одного бесплатного почтового сервиса, доступного в Швейцарии и Германии. Соответствующее письмо оформлено как заявка на замещение вакантной должности и содержит замаскированное под резюме вредоносное вложение в двойном формате .docx.zip. Исследователи отмечают, что авторы этого сообщения явно испытывали трудности с использованием характерного для немецкого языка умляута, что уже подозрительно. При проверке IP-адресов отправителя по черным спискам Spamhaus оказалось, что все они ассоциируются с крупнейшим ботнетом-спамером Cutwail.

Единственной целью новой спам-кампании с этого ботнета является засев банкера Tinba, он же Tinybanker, Illi и Zusy. Этот зловред известен уже 2,5 года, после утечки исходников научился использовать DGA для сокрытия центров управления и приобрел еще несколько защитных функций. Тем не менее, согласно исследователям, распространяемая ныне в Швейцарии версия Tinba обращается к C&C, используя лишь прописанные в коде домены. Два из них уже подменены по методу sinkholing, остальные Abuse.ch рекомендует блокировать, как и соответствующий блок адресов 91.220.131.0/24 (AS44050, Санкт-Петербург).

Источник: Abuse.ch

Телеоператор расследует рассылку, но отрицает взлом

С конца прошлого месяца абоненты О2 массово жалуются на мошеннические рассылки, использующие имя этого крупнейшего телеоператора Великобритании. По имеющимся сведениям, поддельные письма содержат личные данные получателя (имя, дату рождения), детали его тарифного плана и последние платежи. Наличие этой информации может свидетельствовать о взломе абонентской базы, однако О2 решительно отрицает утечку.

Журналистам The Register оператор заявил, что провел исследование и не нашел признаков несанкционированного проникновения. По его мнению, мошенники собрали данные абонентов O2 в Сети или приобрели у фишеров. Тем не менее, после вмешательства СМИ компания доложила о подозрительных рассылках в британский комиссариат по защите информации (ICO), как того требуют действующие в стране нормативы.

Жалоб от абонентов O2 в ICO пока не поступало, хотя первой инстанцией в таких случаях всегда является оператор. Зато обсуждение этой темы на одном из форумов, по свидетельству The Register, уже занимает 31 страницу.

Журналисты также вспомнили недавний аналогичный случай с другим британским телеоператором, Plusnet («дочкой» ВТ). Поток жалоб от абонентов на спам-рекламу, распространяемую на почтовые адреса, известные лишь оператору, заставил Plusnet провести внутреннее расследование, которое, впрочем, никаких нарушений не выявило. Тем не менее, ICO счел уместным открыть дело о возможной утечке, его рассмотрение еще не закончено.

Источник: The Register

«Яндекс» и Mail.Ru включили двухфакторную аутентификацию

Уязвимость парольной защиты доступа к онлайн-сервисам давно не дает покоя ИБ-специалистам. Концепция системы авторизации на основе пары «логин-пароль», по мнению множества экспертов, давно устарела, а постоянно совершенствующие техники взлома наносят ей все более ощутимые удары. Пароли легко похитить, взломав базу данных или выудив информацию у самих пользователей через фишинговые письма. На настоящий момент единственным способом укрепить защиту доступа является двухфакторная аутентификация. Например, отраслевой альянс FIDO, объединяющий несколько ведущих мировых IT-компаний, начал работу по созданию единого решения двухфакторной аутентификации, совместимого с широким спектром устройств и платформ.

На этой неделе две крупнейших российских Интернет-компании также решили озаботиться безопасностью своих пользователей и объявили о запуске бета-версий своих реализаций двухфакторной аутентификации.

Mail.ru объявила об открытом бета-тестировании своей системы двухфакторной аутентификации, которая будет применяться в Почте, Облаке, Календаре, Игровом центре и на других площадках Mail.Ru. Принцип работы двухфакторной аутентификации зиждется на привычной схеме, где первых фактором выступает придуманный пользователем пароль, а вторым – генерируемый случайный код, высылаемый на привязанный к учетной записи телефон. По мнению представителей, это наиболее доступный и понятный способ валидации доступа, используемый, например, в системах онлайн-банкинга. Как справедливо считают в Mail.Ru, самым слабым звеном в защите учетной записи является пароль. Добавление второго фактора значительно минимизирует вероятность взлома: шансы возникновения ситуации, что злоумышленник, помимо логина и пароля, также овладел телефоном, довольно малы, и такой способ авторизации является достаточно надежным. В дальнейшем компания планирует работать над реализацией поддержки мобильных приложений, основанных на публичном стандарте — например, Google Authenticator.

Механизм двухфакторной аутентификации от Яндекса ориентирован на пользователей, имеющих смартфон: при прохождении авторизации, по словам разработчиков, пользователям можно вообще забыть о вводе пароля, так как для верификации необходим смартфон с установленным на него специальным приложением «Яндекс.Ключ», доступным для iOS и Android. Для работы этой системы Яндекс разместил QR-коды на главной странице, а также на страницах сервисов Почта и Паспорт. В случае отсутствия подключения к сети или отказа камеры смартфона, система генерирует пароль, как и в уже привычных нам реализациях двухфакторной аутентификации, однако, ввести его нужно успеть за 30 секунд, иначе срок его действия истечет – поэтому, по утверждению представителей Яндекса, перехват или подбор пароля практически невозможен.

В случае утери смартфона, к которому привязана учетная запись, доступ к данным сохраняется, так как для валидации доступа к учетной записи используется четырехзначный пин-код (для владельцев iOS-устройств с поддержкой Touch ID, доступна опция биометрической аутентификации). Так что данные останутся в безопасности даже при потере смартфона.

В «Яндексе», по утверждению его представителей, отказались от более распространенного подхода к реализации двухфакторной аутентификации из-за его несовершенства и вреда для юзабилити сервиса, а также ненадежности SMS как способа доставки одноразового пароля. В то же время преимущества двухфакторной аутентификации доступны только владельцам смартфонов. На конец 2014 года показатель проникновения смартфонов в России составил 66%, что, хотя и впервые в истории выше аналогичного показателя для обычных телефонов (64%), пока далеко от 100%. К тому же, приложение «Яндекс.Ключ» могут установить только владельцы iOS- и Android-устройств. В Mail.Ru решили пойти по проторенной дорожке и сделали двухфакторную аутентификацию доступной максимальному количеству юзеров, которые могут подключить или отключить ее в настройках учетной записи, – сотовый телефон, скорее всего, есть у 100% пользователей. Пока удобство и надежность обеих систем проверяют подписчики сервисов – они смогут оценить, что лучше: «дешево и сердито» или «элегантно, но не для всех».

Источник: Threatpost


Записки спам-аналитиков

Спамеры против ураганов и терактов

Анна Володина,
эксперт «Лаборатории Касперского»

Ничто так не захватывает внимание потенциального читателя, как рассказ о неотвратимых катастрофах. На днях мы встретили замечательный пример рассылки, в которой спамеры на полную катушку используют эту человеческую слабость.

Рассылка, о которой идет речь, предназначена в первую очередь для американских пользователей. В ней спамеры упоминают различные трагические события, которые в последнее время потрясали мир, предвещают наступление аналогичных катаклизмов в ближайшем будущем и предлагают всем, перешедшим по ссылке, узнать, как защитить себя и свою семью.

Например, авторы одной из рассылок вспоминают ураган Сэнди, обрушившийся на Северную Америку чуть больше двух лет назад. Спамеры апеллируют к ситуации, в которой сразу после урагана оказались многие американцы – без еды и электричества в полуразрушенных домах. Автор письма утверждает, что знает парня, который, живя в одном из сильно пострадавших городов Нью Джерси, ни в чем не нуждался. И если вы перейдете по ссылке, говорят спамеры, то и вы узнаете, как стать таким же счастливчиком.

В другом примере упоминаются совсем недавние трагические события во Франции. Спамеры в самых мрачных тонах рисуют будущее Америки – власти скрывают, но скоро по ее улицам потечет кровь так же, как это уже происходит во Франции. Есть способ помочь своей семье в ситуации террора – перейдите по ссылке, и вы узнаете все, что нужно знать.

Сайты, которые открываются при переходе по ссылкам в этих письмах, также заслуживают внимания. При переходе на них запускается аудиозапись с доверительным рассказом от имени некоего доброжелателя. Дизайн сайтов, голос и детали рассказа отличаются, но суть одна и та же: всякий, кто потратит несколько минут на прослушивание записи, услышит подробный рассказ о том, что побудило лирического героя разослать письма о катастрофах, которые ждут Америку в ближайшем будущем, и в конце концов узнает о существовании чудо-генератора, который легко можно собрать в домашних условиях. За ссылку на видеоурок по самостоятельной сборке этого спасительного прибора спамеры просят совсем не много денег, всего несколько десятков долларов, зато в итоге даже ваша бабушка сможет собрать чудо-генератор. Счастливый покупатель не только получит автономный источник энергии на случай катаклизма, но и сможет в несколько раз снизить свои счета за электроэнергию.

Аудиозапись сопровождается параллельной демонстрацией презентации, на которой отображается все тот же текст. Так что те пользователи, у кого нет возможности включить звук, но есть терпение и несколько минут в запасе, все равно могут ознакомиться с предложением и отблагодарить спамеров своими кровно заработанными долларами за их усилия по распространению паранойи.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное