Электронный журнал "Спамтест" No. 344 в этом номере: Новости Спам-статистика за период 23-29 августа 2010 г. Новости Пользователи Facebook распространяют спам эффективнее спамеров Распространение спама через социальную сеть Facebook оказалось для спамеров даже более эффективным методом, чем традиционные рассылки по электронной почте, сообщает антивирусная компания F-Secure. Недавно запущенные спамерские кампании на тему Макдональдса «Happy Meal Horror», использующие сервис коротких URL bil.ly, получили за неделю 32 тысячи кликов, причем 15 тысяч из них — на Facebook. Показатель эффективности в результате для одной ссылки составил 40%, для другой — 48%. Для спамеров 40% — это очень высокий показатель, намного выше, чем для традиционных рассылок, объясняет представитель F-Secure Шон Салливан (Sean Sullivan). Правда, уточняет он, 32 тысячи кликов по сравнению с аналогичной кампанией двухмесячной давности, когда несколько вирусных ссылок привели к сотням тысяч переходов, это невысокий результат. А значит, люди начали распознавать и остерегаться спама, распространяемого через Facebook. К сожалению, и такое количество заинтересовавшихся спамом пользователей является сигналом для спамеров о том, что социальные сети являются потенциальной площадкой для распространения нелегальных писем. Тем более что рассылка по социальным сетям не требует согласия пользователя. Представители F-Secure уточняют, что, позволяя спаму распространяться через Facebook, пользователи сети ставят под угрозу собственные учетные записи. Пока создатели крупнейшей в мире социальной сети всеми возможными путями пытаются бороться со спамом и даже недавно вошли в состав антиспамерской организации Message Anti-Abuse Working Group (MAAWG). Источник: www.allfacebook.com Источник: www.f-secure.com Бот-сеть Pushdo вышла из строя 27 августа представители одной из крупных компаний, работающих в области сетевой безопасности, M86 Security объявили о том, что поток спама от знаменитого ботнета Pushdo (Cutwail) сократился практически до нуля. Сотрудникам компании TLLOD удалось идентифицировать в общей сложности 30 серверов Pushdo, расположенных в 8 точках мира. Им удалось связаться с представителями компаний, предоставляющих хостинг серверам Pushdo, и согласовать вопрос о демонтаже почти 20 из них. К сожалению, как отмечают сами сотрудники TLLOD, не со всеми компаниями удалось договориться об отключении серверов Pushdo, так что несколько из них остаются активными и продолжают рассылку нелегальной электронной почты. M86 Security сообщает, что падение Pushdo — несомненный успех борцов со спамом и распространителями вредоносного ПО, однако предупреждает, что подобные отключения, к сожалению, длятся недолго. Люди, занимающиеся созданием бот-сетей, довольно быстро возвращаются в спамерский бизнес с новыми серверами и новыми сетями зараженных компьютеров. Источник: labs.m86security.com Rustock остается лидером бот-сетей Корпорация Symantec опубликовала отчет MessageLabs Intelligence за август 2010 года. В апреле этого года анализ мировых ботнетов показал, что через них рассылается 84% всего спама. При этом крупнейшей бот-сетью, ответственной за 32% спам-трафика, была названа Rustock, контролировавшая на тот момент 2,5 миллиона компьютеров. Она же была связана с ростом количества спама за счет использования протокола TLS. В августе Rustock оставалась лидером мировых бот-сетей, а объемы рассылок спама составили более 41% мирового спам-трафика. Интересно, что хотя количество спама, рассылаемого Rustock, увеличилось, число зараженных компьютеров, входящих в сеть, уменьшилось до 1,3 миллионов. На данный момент они ежедневно рассылают более 46 миллиардов писем, что на 6% больше, чем в апреле (43,4 миллиарда). Эксперты считают, что увеличение производительности Rustock объясняется отказом спамеров от использования TLS протокола. К концу июля 2010 года объемы спама, рассылаемого ботнетами, возросли до 95%. С 11 по 18 июля было зарегистрировано резкое снижение активности ботнетов, когда количество рассылаемого ими спама составляло всего 60% от общемирового трафика. Эксперты считают, что уменьшение спама связано с бот-сетью Grum, хотя и другие бот-сети в этот период демонстрировали пониженную активность. Среди стран, чьи компьютеры входят в состав бот-сетей, лидирует США, за ней идут Индия и Бразилия. Однако в странах Западной Европы, особенно в Великобритании, идет постоянный прирост числа зараженных компьютеров. В августе Великобритания вышла на 4-е место с 4,5% всего рассылаемого по миру спама, то есть с апреля, когда британцы находились на 14-м месте данного рейтинга, объемы спам-рассылок увеличились почти в два раза. Сегодня на территории США располагается максимальное число ботов из трех крупнейших бот-сетей: Rustock (14%), Storm (81%) и Asprox (45%). Эксперты MessageLabs Intelligence отмечают, что спамеры практически прекратили использовать протокол TLS для обработки своих рассылок. Если еще в марте 30% всего спама и 70% спама от Rustock рассылались с использованием протокола TLS, то сейчас объемы таких рассылок сократились до 0,1-0,2% от общего спам трафика. Исследователи считают, что отказ от TLS вызван слишком малой выгодой от его использования, но при этом существенным замедлением пропускной способности и затратами времени на обработку таких писем. Всего же в августе, сообщается в отчете MessageLabs Intelligence, мировой объем спама увеличился на 3,3% и составил 92,2% мирового трафика. При анализе объемов спама по отдельным странам на первое место вышла Венгрия с 96,3% спама. На второе место вышла Дания с 94,9% спама и Китай (94,1%). В США спам составил 92,5% всей электронной почты, а в Канаде 91,7% — почти как в Великобритании (91,9%). Интересы спамеров в августе в основном были направлены в автомобильный сектор (94,8% спама), образовательный (92,9%) и сектор розничных продаж (92,8%). Источник: www.messagelabs.co.uk Опасный спам загружает поддельный антивирус Эксперты SophosLabs сообщают о масштабной рассылке спама, содержащего вложение, при активации которого на компьютер пользователя происходит загрузка поддельного антивируса. Электронная почта с таким приложением имеет темы: Parking Permit and/or Benefit Card Order Receipt — <случайное число> You're invited to view my photos! Appointment Confirmation Your Bell e-bill is ready Your Vistaprint Order Is Confirmed Vistaprint Canadian Tax Invoice (<случайное число>) Само письмо выглядит как сообщение о перечислении денег на кредитную карту и предложение бесплатной поездки на Бермуды. Пользователю предлагается открыть приаттаченный файл под названием Benefit Card Order Receipt.html, Print this album.html, Appointment Confirmation.html, e-bill.html, Vistaprint Order Invoice.html или Tax Invoice.html. Открытие приаттаченного файла с расширением .html приводит к переадресации браузера на хакерский сайт, содержащий вредоносный тег iFrame, который Sophos определяет как Troj/Iframe-FK. После этого запускаются скрипты с других сайтов, загружающие поддельный антивирус, определяемый Sophos как Mal/FakeAV-EI и маскирующийся под McAfee VirusScan. Эксперты отмечают, что, рассылая подобный спам, хакеры рассчитывают на легковерных людей, плохо защищенные веб-сайты и надежду пользователей на системы защиты собственного компьютера, которые не должны позволить мошенникам загрузить на машину доверчивого пользователя опасное ПО или добраться до конфиденциальных данных. Источник: sophos.com Китай борется с мобильным спамом с помощью регистрации покупателей сим-карт В целях борьбы со спамом власти Китая вводят обязательную регистрацию при покупке сим-карты для мобильного телефона. Представитель Министерства промышленности и информации (MIIT) Китая Дзи Дзинкуй (Ji Jinkui) заявил, что все три китайских провайдера, представляющие телекоммуникационные услуги населению — China Mobile, China Unicom и China Telecom — с 1 сентября этого года обязаны регистрировать под реальным именем всех своих пользователей и требовать от них предъявления удостоверений личности при покупке сим-карт. Планы государства относительно граждан, уже пользующихся услугами провайдеров, пока находятся на стадии разработки, но и они должны будут пройти регистрацию до 2013 года. Власти объясняют свои действия ростом количества мобильного спама. На сегодняшний день китайские пользователи в среднем ежедневно получают 8 спам-сообщений, сообщает MIIT. А с ростом числа владельцев мобильников неуклонно будут расти и объемы спама. До настоящего времени у жителей страны была возможность приобретения сим-карт без предъявления удостоверения личности. Однако, как оказалось, из 800 миллионов владельцев мобильников 320 миллионов (40%) являются обладателями незарегистрированных "симок". Чтобы как-то смягчить введение новых правил и обеспечить выполнение программы по регистрации граждан при покупке сим-карт, власти советуют провайдерам вводить дополнительные льготы и всячески поощрять регистрацию уже существующих клиентов. Сами граждане, нередко приобретающие временные сим-карты в командировках или во время отпусков в других городах, недовольны нововведением, объясняя, что процесс приобретения карты теперь будет занимать немало времени, тогда как раньше можно было купить сим-карту в любом газетном киоске. Провайдеры, в свою очередь, не уверены, что регистрация пользователей сможет снизить объемы мобильного спама, так как мошенники смогут указывать поддельные идентификационные данные. Источник: china.globaltimes.cn Спам-статистика за период 23-29 августа 2010 г. "Лаборатория Касперского" Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 81,3%. Тематическое распределение спама за прошлую неделю заметно изменилось. Наблюдалась массированная рассылка предложений купить «Реплики элитных товаров» (+17,3%), доля которых составила пятую часть всего потока спама. Лидирующая рубрика «Медикаменты; товары/услуги для здоровья» заметно сдала позиции (-4,9%). Также уменьшились доли тематик «Другие товары и услуги» (-2,5%), «Компьютерное мошенничество»(-4,3%), «Реклама спамерских услуг» (-5,4%). Колебания долей других тематик остались в пределях 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   28,3%   -4,9%   2   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   20,9%   +17,3%   3   Образование   Реклама семинаров, тренингов, курсов.   13,0%   -1,8%   4   Другие товары и услуги   Предложения других товаров и услуг.   9,6%   -2,5%   5   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   7,0%   -4,3%   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   5,3%   -5,4%   7   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   3,4%   +1,9%   8   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   3,2%   +0,3%   9   Юридические услуги и аудит   Предложения юридических услуг.   2,2%   -0,3%   10   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   2,3%   -1,8%   11   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   2,0%   -0,1%   12   Остальной спам     Менее 2%   Без измненений   13   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   Менее 2%   0,3%   14   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   +1,0%   Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2010