Электронный журнал "Спамтест" No. 380 в этом номере: Новости Спам-статистика за период c 27 июня по 3 июля 2011 г. Новости Gmail борется с фишингом Компания Google ввела новые элементы защиты на почтовом сервисе Gmail, улучшив информирование пользователей об источниках нежданных и подозрительных сообщений. Отныне, если отправитель входящего сообщения не внесен в список контактов, его адрес будет выводиться в заголовке полностью (включая доменное имя). В случае, когда письмо отослано знакомым, но через сторонний сайт (например, с помощью штатной кнопки «Share» или «Email»), домен посредника будет указан в заголовке рядом с адресом лица, инициировавшего отправку. Gmail будет также отслеживать подозрительные сообщения и выводить получателю предупреждение о возможной подделке. Результат проверки письма на аутентичность можно посмотреть, нажав на кнопку «Show details» («Подробнее»). В заголовке вместе с доменом отправителя должна появиться информация о наличии валидной цифровой подписи DKIM или сертификации на основе SPF. Ее отсутствие подскажет, что отправитель, скорее всего, не тот, за кого пытается себя выдать. Держатели Gmail надеются, что нововведения помогут сократить число таких абьюзов, как фишинг и спуфинг. Пожаловаться на эти злоупотребления можно, выбрав опцию «Report phishing» в ниспадающем меню рядом с кнопкой «Reply». Источник: gmailblog.blogspot.com Германия страдает от интернет-фрода В прошлом году Федеральное управление уголовной полиция Германии зарегистрировало около 60 тыс. киберинцидентов ― на 19% больше, чем в 2009-м. Совокупный ущерб от деятельности сетевых злоумышленников составил 61,5 млн. евро (свыше 89 млн. долларов). Рост криминализации национального сектора интернета блюстители правопорядка объясняют расширением использования сервисов интернет-банкинга и электронной коммерции в стране. Почти половина зафиксированных инцидентов классифицируются как «компьютерный фрод». К этой категории относятся также случаи фишинга и использования краденых банковских реквизитов. Количество фишинговых атак в 2010 году почти удвоилось, суммы индивидуальных потерь от фишинга в среднем составляют 4 тыс. евро (почти 5,8 тыс. долларов). Перспектива утери банковских реквизитов и доступа к собственному счету все больше тревожит немецких пользователей. Согласно результатам опроса, проведенного национальной ассоциацией представителей ИТ-индустрии и телекоммуникаций Bitkom, такая вероятность пугает 85% сознательного (старше 14 лет) населения, пользующегося интернетом. Год назад этот показатель был на 10 пунктов ниже. Киберзлоумышленники все чаще прибегают к уловкам социальной инженерии, которые потенциальные жертвы еще не научились распознавать. Уязвимость немецких посетителей электронных сервисов усугубляет тот факт, что каждый пятый владелец ПК до сих пор не удосужился обзавестись средствами индивидуальной защиты. Чтобы оградить своих клиентов от происков сетевых мошенников, многие банки Германии были вынуждены в срочном порядке заняться обновлением своих защитных решений. Для организации отпора киберкриминалу в национальном масштабе в стране недавно создан государственный центр киберобороны. Источник: news.yahoo.com Источник: ctv.ca Cisco: традиционный спам вытесняют целевые атаки По данным Cisco, за год потоки нелегитимных писем, распространяемых en masse, сократились с 300 млрд. в сутки до 40 миллиардов. Суммарный доход злоумышленников от массовых спам-рассылок уменьшился вдвое и в июне текущего года составил порядка 500 млн. долларов. В то же время количество узконаправленных атак с использованием вредоносных программ увеличилось в 4 раза, целевых атак фишеров (spearphishing) ― в 3 раза. Вклад этих мелкомасштабных атак в общий объем спам-рассылок невелик ― лишь 0,2%, но они чрезвычайно эффективны. По оценке экспертов, ежегодные убытки мирового бизнеса от целевых кибератак составляют около 1,3 млрд. долларов при среднем уровне индивидуальных потерь 250 долларов. Успех точечных атак обусловлен, в первую очередь, повсеместным наличием незакрытых уязвимостей и неизменным присутствием человеческого фактора, на который часто делает ставку сетевой криминал. Специализированные спам-рассылки такого рода осуществляются небольшим тиражом, нацелены на одну или несколько мишеней и, как правило, полагаются на способность зловреда отыскать и собрать требуемую информацию за короткий срок. Метод целевого заражения обычно используется для кражи интеллектуальной собственности и промышленного шпионажа, персонализированный фишинг ― для эффективного отъема денежных средств. Последний требует более тщательной подготовки, чем традиционный фишинг, но может принести инициаторам в 10 раз больше прибыли. По данным Cisco, за прошедший год общая сумма доходов от spearphishing увеличилась в 3 раза и в настоящее время составляет порядка 150 млн. долларов [PDF 541 Кб]. Закат эпохи массовой эксплуатации рекламных спам-рассылок отметил и ее яркий представитель Роберт Солоуэй (Robert Soloway). Сей ловкий предприниматель, зарабатывавший на жизнь рассылкой заказного спама, утверждает, что этот «бизнес» перестал приносить доход уже 4 года назад. На излете прошлого века у «короля спама» была лишь одна учетная запись на Earthlink и один почтовый сервер, однако его ежедневная выручка составляла 20 тыс. долларов. В последующие 10 лет он был вынужден содержать сотни и тысячи аккаунтов, компьютеров и доменов, чтобы успешно играть в «прятки» с антиспам-сообществом. Системы фильтрации, методы выявления и блокировки источников спама становились все совершеннее, рентабельность спам-рассылок стремительно падала, и к моменту заключения Солоуэя под стражу его доход составлял лишь 20 долларов в сутки. Источник: newsroom.cisco.com Источник: cisco.com Реальней не бывает В Дели арестован 25-летний махинатор, который обирал своих жертв в счет мифического выигрыша в онлайн-лотерею. Сигналом к расследованию послужила жалоба одного из клиентов индийского банка, которому Мохд Адиль (Mohd Adil) предложил перевести на другой счет 50 тыс. рупий (свыше 1 тыс. долл.) в оплату пересылки приза, якобы завоеванного при розыгрыше некой лотереи. «Счастливцу» сумма взноса показалась великоватой, и он решил проконсультироваться с одним из операторов банка. Тот забил тревогу, и целевой счет был поставлен на контроль во всех филиалах банка. Когда Адиль пришел снимать навар, банковские служащие начали расспрашивать его об источниках доходов. Молодой человек не смог дать вразумительных разъяснений, и оба его счета в этом банке были заморожены. Когда к расследованию подключили полицию, оказалось, что переводы на счета мошенника поступали с завидной регулярностью, да и суммы, которые снимал их держатель, были весьма солидными. При обыске, проведенном на квартире Адиля, полицейские обнаружили 14 банкоматных и кредитных карт, 6 карточек с чужими ИНН и 11 чековых книжек, выданных разными банками. Источник: news.in.msn.com «Подарки» спамеров к национальному празднику В преддверии Дня независимости США Symantec вполне ожидаемо зафиксировала активизацию спамеров, продвигающих разные товары и услуги с праздничными скидками. Одна из таких спам-рассылок рекламировала непотопляемые «ролексы», понуждая адресатов активировать ссылки, привязанные к только что оформленным доменам. Все URL в этих письмах, включая рекламную картинку и опцию unsubscribe, вели на один и тот же веб-сайт. По свидетельству экспертов, многие доменные имена, задействованные в данной спам-компании, зарегистрированы в зоне .ru. Не уступали своим «коллегам по цеху» и распространители пресловутой «фармы». Они, как правило, обещали баснословные скидки и маскировали свои послания произвольными текстовыми вставками. URL, которыми пестрел фармаспам, были сгенерированы на сервисах коротких ссылок и работали как редиректы на целевую онлайн-аптеку. Все IP-адреса, задействованные в рассылке спам-рекламы медикаментов, принадлежали интернет-провайдерам Бразилии и Аргентины и уже неоднократно попадали в черные списки за аналогичные прегрешения. По всей видимости, соответствующие машины входят в состав ботнетов. Самой оригинальной спам-рассылкой, проведенной накануне 4 июля, стала та, что имитировала приглашение от участника новой социальной сети Google+. Исследователи из Sophos, которые обнаружили эти письма, отмечают поразительное сходство подделки с оригиналом. Однако ссылка, которой они снабжены, ведет не на ресурс Google, а на сайт, торгующий виагрой и левитрой со скидками. Очевидно, авторы этой рекламной акции понадеялись, что в предпраздничные дни ажиотаж вокруг нового социального сервиса, ограничившего регистрацию с помощью приглашений, сыграет им на руку. Да и Google подлила масла в огонь, быстро прикрыв прием «друзей», ― видимо, не справляется с бурным спросом. Источник: symantec.com Источник: nakedsecurity.sophos.com Эксплойт стал ближе MessageLabs обнаружила вредоносную рассылку, которая использует услуги как минимум пяти легальных генераторов коротких ссылок. Спам-сообщение распространяется от имени некой службы межбанковских переводов, которая уведомляет получателя о том, что его транзакция якобы была аннулирована. Для ознакомления с ситуацией ему предлагается пройти по указанной ссылке, помеченной как pdf-файл. На самом деле эта ссылка привязана к сокращенному URL, сгенерированному на легальном сервисе, который по сути является редиректом и перенаправляет посетителя на веб-сайт с drive-by эксплойтами. По свидетельству экспертов, практически все содержимое зараженного сайта сильно обфусцировано. Деобфускация производится с помощью JavaScript при открытии страницы в окне браузера. В результате отрабатывает JavaScript, внедренный в код страницы, который, собственно, и активирует эксплойты. Данный набор содержит эксплойты для PDF и Java, а также Windows Help and Support Center, которые в случае успешной эксплуатации устанавливают на машину жертвы вредоносные программы. MessageLabs зафиксировала сотни уникальных редиректов на основе коротких URL, ведущих на зараженный сайт злоумышленников. В майском отчете о киберугрозах компания уже отмечала бурный рост числа служб сокращенных ссылок в Сети, равно как и связанных с ними злоупотреблений, однако это первый случай масштабного использования услуг такого рода для распространения инфекции. Источник: symantec.com MS: Rustock уменьшился вдвое По оценке Microsoft, с момента ликвидации Rustock его глобальная популяция сократилась больше чем на 56%. Эксперты ведут непрерывный мониторинг обезглавленной бот-сети и продолжают кампанию по глобальной очистке зараженных ресурсов в тесном взаимодействии с интернет-провайдерами и региональными специалистами по экстренным ситуациям. Согласно статистике компании, за 3 месяца число резидентных ботов Rustock уменьшилось с 1,6 млн. до немногим более 700 тысяч. Большие успехи в сокращении поголовья Rustock демонстрируют Украина, Россия, Малайзия и Индия: в этих странах ситуация улучшилась примерно на 70%. При этом в Индии изначально наблюдалось наибольшее количество заражений (IP-адресов), высокими были также показатели России, Турции, США. В настоящее время рейтинг Microsoft по числу Rustock-инфекций по-прежнему возглавляют Индия, США и Турция, а Россия опустилась на пятую позицию. В помощь борцам с осиротевшими ботами эксперты собрали в единый документ весь наличный материал по ботнету-спамеру, еще в прошлом году сильно досаждавшему владельцам почтовых ящиков по всему миру. Доклад, озаглавленный «Battling the Rustock Threat», дает представление о семействе Rustock и изменениях в ареале его обитания вплоть до мая. Источник: blogs.technet.com Symantec: «социальный» спам на подъеме С начала II квартала Symantec наблюдает значительные всплески спама, имитирующего уведомления от ведущих социальных сервисов. Письма, отосланные от имени Facebook, Twitter или YouTube, используют оригинальные шаблоны и извещают получателя, что у него есть непрочитанные послания, приглашение от друга, новое сообщение от администрации социальной сети, его ящик переполнен и т.п. Ссылки, приведенные в теле письма, указывают на зараженную веб-страницу или рекламную площадку спамеров, продвигающих нелицензированные интернет-аптеки, дешевые реплики элитных товаров, онлайн-казино и сайты знакомств. По оценке Symantec, поддельные письма от Facebook составляют 40% этого потока, на долю сообщений с логотипом Twitter приходится 37%, YouTube ― 23%. Большинство этого спама генерируют боты, 53% из них расположены на территории США, 19% ― в европейских странах. Некоторые спам-письма отсылаются с взломанных ящиков почтовых служб или с аккаунтов, зарегистрированных спамерами на социальных веб-сервисах. Большинство IP-адресов, участвующих в рассылке фальшивых уведомлений от социальных сетей, уже занесены в черные списки репутационных фильтров. Источник: symantec.com Спам-статистика за период c 27 июня по 3 июля 2011 г. «Лаборатория Касперского» В последнюю неделю июня количество спама в Рунете составило 87,47%. Тематика «Образование», лидирующая в последнее время, продолжает занимать первое место — 56,1% всего спама приходится именно на рекламу семинаров и тренингов. На втором месте находится тематика «Медикаменты» (12%), на третьем — самореклама спамеров. «Ремонт и благоустройство» и «Реплики элитных товаров» поделили четвертое место с показателем 3,7% по каждой. № Тематика Описание Доля тематики 1   Образование   Реклама семинаров, тренингов, курсов.   56%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   12%   3   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   6,4%   4   Ремонт и благоустройство   Предложения по ремонту и отделке интерьера квартир и домов   3,7%   5   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   3,7%   6   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   3,0%   7   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   2,7%   8   Другие товары и услуги   Предложения других товаров и услуг.   2,1%   9   DVD   Предложения купить фильмы или другую информацию на DVD   1,9%   10   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   1,4%   11   Транспорт и перевозки   Реклама грузоперевозок и пассажирских перевозок   1,3%   12   Юридические услуги и аудит   Предложения юридических услуг.   Менее 1%   13   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   Менее 1%   14   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   Менее 1%   15   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 1%   16   Остальной спам     Менее 1%   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011