Электронный журнал "Спамтест" No. 317 в этом номере: Новости Спам за январь 2010 г. Спам-статистика за период 1-7 февраля 2010 г. Новости Sophos об экспансии интернет-угроз в социальных сетях Согласно результатам опроса, проведенного Sophos, в минувшем году потоки спама и вредоносных посланий в социальных сетях увеличились на 70%. В опросе, которым компания завершила свой трудовой год, приняли участие более 500 организаций. 57% корпоративных пользователей отметили, что при посещении социальных веб-сайтов получали спам, 36% — вредоносные программы, а 30% были атакованы фишерами. 72% участников опроса выразили озабоченность, что легкомысленное поведение служащих в социальных сетях ставит под угрозу корпоративную безопасность. При этом 60% нареканий было обращено в адрес Facebook. Понятно, что из четырех социальных веб-сервисов, снискавших наибольшую популярность в западном мире, Facebook обладает самой большой аудиторией. Но, по мнению Sophos, многие из социальных служб больше увлечены расширением рынка, чем вопросами защиты своих клиентов от киберугроз. Парадоксально, что половина респондентов (на 13% больше, чем в предыдущем году) позволяют своему персоналу беспрепятственно заходить на Facebook с рабочего места. Эксперты также отмечают, что, хотя LinkedIn (социальная сеть для поиска и установления деловых контактов) не считается особой угрозой корпоративному бизнесу, персональная информация, опубликованная на этом сервисе, может представлять большую ценность для злоумышленников. Поскольку им пользуются, в основном, профессионалы, LinkedIn может служить своего рода справочником по кадровым ресурсам бизнес-структур, которые легко могут стать объектами таргетированных кибератак. Источник: sophos.com [PDF 3,22 Мб] РАЭК: спам обошелся России в 14 миллиардов По оценке Российской ассоциации электронных коммуникаций (РАЭК), в минувшем году потери отечественной экономики от спама составили 14,1 млрд. рублей. Объем доходов российских спамеров превысил 3,7 млрд. Заработки спамеров Западной Европы оказались скромнее — суммарно 218 млн. евро (немногим более 9 млрд. рублей). А штрафы за спамерскую деятельность в совокупности составили 2, 85 млн. евро, т.е. 1,3% от выручки спамеров. К сожалению, российская статистика по аналогичным санкциям в новостных источниках пока отсутствует. Согласно статистике РАЭК, на спам в России приходится 20% общего объема онлайн-рекламы. 16,4% нелегитимных сообщений, получаемых россиянами, отсылается из США. Основным источником «мусорной» корреспонденции являются домашние и офисные компьютеры. 73,7% мирового спама рекламирует поддельную Виагру. Одним из главных ее распространителей является российская партнерская программа Главмед, которая создана и контролируется жителем столицы. Источник: bit.prime-tass.ru Социальные сети вытеснят почтовый сервис? По прогнозам Gartner, к 2014 году социальные сети станут основным средством электронного обмена в 20% организаций. Исследователи отмечают, что росту популярности социальных сервисов в деловых кругах будут способствовать повышение их безопасности, создание «белых» сообществ и толерантное отношение к использованию персональных аккаунтов во время работы. В ходе дальнейшего развития принципиальные различия между электронной почтой и социальными сетями постепенно нивелируются, и почтовая служба перестанет играть главенствующую роль в осуществлении деловых операций. Можно ожидать, что через пару лет больше половины бизнес-структур будут поддерживать связь друг с другом через подобие микроблогов, с улучшенной системой контроля и защиты. Появятся также адекватные инструменты для поддержки групповой работы на мобильных платформах. Тем не менее, по оценке Gartner, использование корпорациями систем, подобных Twitter, для внутреннего обмена составит менее 5%. И лишь четверть организаций к 2015 году будут обращаться к социальным механизмам анализа на регулярной основе, чтобы повысить эффективность бизнес-процессов и производительность труда. Источник: computing.co.uk Спрос на пользовательскую информацию растет Согласно статистике Lucid Intelligence, количество случаев хищения и продажи персональных данных в Сети за два года увеличилось на 230%. В минувшем году этот держатель крупнейшей базы по жертвам фишинга, мошенничества и утечек данных обнаружил более 4,1 тыс. веб-сайтов, с которых пользовательская информация попала в открытый доступ. На подпольном рынке были выставлены на продажу 3113 новых банковских счетов, пригодных для отмывания денег. Эксперты отмечают, что красть реквизиты, обеспечивающие доступ к онлайн-счетам, стали меньше. Объектом охоты в Сети все чаще становятся данные пользователей, не имеющие непосредственного отношения к финансовым транзакциям. С их помощью злоумышленники создают поддельные профили и открывают счета в банках, получают кредиты и займы. Если кредитные организации не примут экстренных мер, масштабы мошенничества в сфере электронной коммерции и онлайн-банкинга будут только увеличиваться. Lucid полагает, что в текущем году фишеры и «нигерийские» мошенники не уступят своих позиций, а для отмывания «грязных» денег преступники будут выбирать небольшие, плохо защищенные банковские организации. Источник: v3.co.uk Фишеры посеяли панику на рынке экологических квот Еврокомиссия объявила, что подвергнет пересмотру политику защиты онлайн-процессов, связанных с торговлей разрешениями на выброс парниковых газов. Причиной послужил недавний инцидент, когда у участников рынка с помощью фишинга были украдены 250 тыс. квот общей стоимостью 3 млн. евро (более 4 млн. долларов). Как показало расследование, в конце января в Европе, Новой Зеландии, Австралии и Японии прошла волна фишинговых рассылок. Фальшивые уведомления были написаны от имени национального органа по координации торговли квотами на загрязнение окружающей среды. Участников рынка просили обновить регистрационные данные — якобы из-за угрозы хакерской атаки. Пользуясь идентификаторами, которые жертвы ввели на поддельной странице, указанной ссылкой, злоумышленники похитили чужие кредиты и перевели их на счета в Дании и Великобритании, а потом быстро продали на свободном рынке с большой выгодой для себя. В результате беспрецедентной акции пострадали шесть немецких и несколько чешских компаний. Во избежание дальнейших потерь доступ к девяти национальным реестрам Европы был временно прекращен. Местные транзакции по эмиссиям проводятся через общеевропейскую биржу, а выход на международный рынок закрыт, пока не будут приведены в соответствие внутренние механизмы киберзащиты. Европейская Комиссия рекомендовала операторам национальных реестров уведомить пострадавших и сменить пароли к скомпрометированным аккаунтам. Германское управление по торговле квотами на эмиссии (Deutsche Emissionshandelsstelle, DEHSt) обратилось в секретариат РКООНИК (Рамочной конвенции ООН по изменению климата) с просьбой дать задний ход мошенническим транзакциям, но надежды на успех мало. Расследование пока ведется на уровне отдельных стран. Если окажется, что мошеннические транзакции выходят за рамки европейской системы квотирования, к расследованию подключится Еврокомиссия. Торговля сертификатами на выбросы вредных газов была введена в соответствии с Киотским протоколом как мера по ограничению загрязнения окружающей среды. В соответствии с общепринятой схемой, компании, желающие увеличить квоты, могут перекупать разрешения у тех, чье производство менее агрессивно. Объем мирового рынка квот на эмиссии в настоящее время составляет 135 млрд. долларов. Как и любой другой рынок ценных бумаг, он не застрахован от всякого рода махинаций. По оценке Европола, в некоторых странах Европы до 90% транзакций по эмиссиям являются мошенническими. За последние полтора года европейские налоговые органы недосчитались 5 млрд. евро (свыше 6,8 млрд. долларов) из-за разницы в НДС, которой пользуются недобросовестные участники рынка. Однако это первый случай, когда злоумышленники прибегли к фишинговым рассылкам. По оценке экспертов, страницы-имитации были выполнены на высоком профессиональном уровне. Скорее всего, кибератаку организовали не простые хакеры, а те, кто не желает признавать международные правила добросовестной торговли. Источник: news.zdnet.co.uk Источник: dw-world.de Источник: ftd.de Источник: reuters.com Источник: news.bbc.co.uk Спам за январь 2010 г. Мария Наместникова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с декабрем увеличилась на 3,5% и составила в среднем 86,1%. Ссылки на фишинговые сайты находились в 0,81% всех электронных писем, что на 0,03% меньше, чем в декабре. Вредоносные файлы содержались в 0,07% электронных сообщений, это на 0,09% меньше, чем в прошлом месяце. Количество спама, предлагающего туристические поездки, снизилось вдвое, в то время как количество порно-спама возросло на 4%. Для обхода спам-фильтров злоумышленники продолжают использовать зашумленные картинки. Доля спама в почтовом трафике Доля спама в почтовом трафике в январе 2010 года в среднем составила 86,1%. Самый низкий показатель месяца был зафиксирован на следующий день после православного Рождества, 8 января, — 78,9%; больше всего спама было получено пользователями Рунета 24 января — 89,7%. Вредоносные программы в почте Вредоносные файлы содержались в 0,07% электронных сообщений, что на 0,09% меньше, чем в прошлом месяце. Количество писем, содержавших файлы, запакованные при помощи Packed.Win32.Krap.x, существенно уменьшилось по сравнению с декабрем, однако осталось на достаточно высоком уровне. Доля таких писем составила 11,66% всей инфицированной почты, что позволило этому упаковщику занять вторую позицию в десятке вредоносных программ, чаще всего распространяемых в электронной почте. Напомним, что эта модификация Krap обычно используется для упаковки Zbot'а, FraudTools и Iksmas’a. Другая модификация Krap — Packed.Win32.Krap.ah также вошла в десятку. Обработанные с помощью этого упаковщика файлы встречались в 2,35% всех писем. На первом месте в десятке этого месяца Trojan-Spy.HTML.Fraud.gen. Это единственный представитель платформы HTML в топе последних месяцев. Все остальные вредоносы исполняются на самой популярной платформе Win32. Подробнее об этом вредоносе можно прочитать здесь. На четвертом и восьмом местах десятки находятся Trojan-Downloader.Win32.Agent.dadz и его «брат по оружию» Trojan-Dropper.Win32.Agent.blhj. Хотя эти троянцы принадлежат к разным семействам (один из них Trojan-Downloader, а другой — Trojan-Dropper), это не мешает им обоим незаметно устанавливать на зараженный компьютер одну и ту же вредоносную программу, детектируемую нами как Trojan.Win32.Fregee.h. Разница лишь в том, что Trojan-Downloader.Win32.Agent.dadz после инсталляции зловреда пытается подключиться к интернету и скачать другие программы. На третьем месте десятке расположился вредонос Worm.Win32.Mabezat.b, подробное описание которого можно найти здесь. Интересно заметить, что 3 из 10 представленных в топе вредоносов были зафиксированы в продолжающейся рассылке от имени DHL (пример типичного письма из этой рассылки приведен ниже). Это были Packed.Win32.Krap.x, Trojan-Downloader.Win32.Piker.brn, который загружает в систему несколько нежелательных файлов, и Trojan-Downloader.Win32.Agent.dadz. К некоторым ложным уведомлениям от этой почтовой системы в архиве был приложен Backdoor.Win32.Bredolab.bvb. Кроме того, в январе нами была зафиксирована рассылка, содержавшая архив с паролем. Письма рассылались под заголовком “ALERT!”, а в теле письма сообщалось, что во избежание раскрытия конфиденциальной информации все необходимые данные пересланы в приложенном архиве. Пароль от архива был указан здесь же. Фишинг В январе ссылки на фишинговые сайты находились в 0,81% всех электронных писем. Лидерами среди наиболее часто атакованных фишерами организаций снова стали PayPal (+21,68%) и eBay (-6,81%). Количество атак на Facebook по сравнению с прошлым месяцем заметно уменьшилось (-6,58%), и популярная социальная сеть сместилась на четвертое место, уступив третье банку HSBC. Количество атак на этот банк возросло более чем в два раза (+4,5%). В одной из зафиксированных нами фишинговых рассылок, нацеленных на клиентов HSBC, пользователю предлагалось перезапустить свой онлайн-банкинг, пройдя по ссылке. Для «перезапуска» требовалось ввести свои персональные данные и пароль в заготовленную фишерами форму. Точно такой же трюк — предложение обновить данные для доступа к онлайн-банкингу — использовали фишеры, нацелившие свою атаку на клиентов банка Chase. Страны — источники спама В январе лидером среди стран — источников спама снова стали Соединенные Штаты Америки, с территории которых было распространено чуть меньше спама, чем в прошлом месяце (-2,3%). Бразилия и Россия еще раз поменялись местами, заняв вторую и третью строчки в двадцатке соответственно. Ранее ожидалось небольшое снижение активности рассылки спама с территории России, поскольку во время длительных выходных начала января большая часть ботнетов, расположенных на территории России, находится оффлайн. Однако, судя по тому, что количество спама, распространенного из России, в январе все же несколько выросло (+0,1%), спамеры во второй половине месяца наверстали упущенное. Китай снова поднялся в списке, распространив на этот раз на 0,5% больше спама, чем в декабре, и заняв 6-ю строчку. С территории Украины в январе было распространено лишь 1,63% всего спама, что почти на 2,5% меньше, чем в прошлом месяце. Интересно отметить, что в этом месяце Колумбия, вошла в Топ-10 — с территории этой страны было распространено на 1,2% спама больше, чем в декабре. Тематический состав спама Пятерка лидирующих спам-тематик января: Медикаменты; товары/услуги для здоровья — 18,1% (+4,8%) Образование — 14,2% (-6,1%) Компьютерное мошенничество — 11,2% (+3,3%) Реплики элитных товаров — 9,3% (+3,3%) Компьютеры и интернет — 8,5% (=) Самое заметное изменение в пятерке лидирующих спам-тематик — это исчезновение из нее писем с рекламой отдыха и путешествий, в декабре занимавших вторую строчку рейтинга. Сообщения, рекламирующие различные вечеринки или поездки за рубеж, разумеется, сохранились в общем потоке, однако их количество уменьшилось вдвое. Такое изменение в пятерке не удивительно, поскольку спам, рекламировавший в декабре поездки в горы или новогодние мероприятия, был сезонным явлением. В январе, однако, начались рассылки, предлагающие масленичные мероприятия. Рубрика «Образование» потеряла еще 6% с прошлого месяца и впервые за полгода уступила первую позицию рубрике «Медикаменты», львиную долю которой составляют рассылки канадской онлайн-аптеки, предлагающей дешевые препараты. Доля мошеннических писем увеличилась на 3,3% и достигла 11,2%! Постепенное увеличение доли этих писем становится тенденцией, притом довольно тревожной, — ведь если растет количество мошенников, растет и количество их жертв. Из новых изобретений участников партнерских программ самым заметным стал «сканер тела». Нами было заблокировано множество сообщений, предлагавших скачать специальную программу для мобильного телефона, позволяющую «просканировать» одежду любого человека. Разумеется, для начала надо было отправить SMS на короткий номер. Почти 8,5% достигло количество писем четырех тематик. Помимо рубрики «Компьютеры и интернет», большей частью состоящей из рекламы дешевого софта, и уже упомянутой рекламы отдыха и путешествий, это тематики «Для взрослых» и «Другие товары и услуги». Увеличение количества спама для взрослых в некоторой степени связано с активизацией участников партнерских программ, предлагающих скачать порно, оплатив его SMS-сообщением. Количество писем, рекламирующих различные товары и услуги реального сектора экономики, уменьшилось на 3%. Это связано с сезонностью многих рассылок, относимых нами к тематике «Другие товары и услуги» — зачастую в декабре это были письма, рекламирующие новогодние подарки. В январе активизировалась реклама подарков ко Дню святого Валентина. Ссылка в письмах одной из рассылок перенаправляла российских пользователей на сайт моментальной лотереи. Кроме того, некоторые спамеры сочли, что настало время для начала рассылок рекламы подарков к 23 февраля. Спамерские методы и трюки Картиночный спам снова используется для обхода спам-фильтров. Этот трюк спамеры применяют в основном в рассылках, рекламирующих их собственные услуги. На этот раз массово рассылавшиеся картинки прогонялись через различные цветовые фильтры, благодаря чему менялся фон картинок. Заключение Как мы и предполагали, количество вредоносных вложений в почте остается пока на низком уровне. Для рассылки вредоносных программ спамеры не выдумывают новые трюки, а пользуются старым и проверенным методом — поддельными сообщениями от DHL. Подтвердились и наши предположения относительно фишинга — его количество стабилизируется. По всей видимости, такую картину мы будем наблюдать еще пару месяцев. Количество спама, рекламирующего отдых и путешествия, уменьшилось, уступив место медицинскому спаму, спаму «для взрослых», а также рекламе реплик элитных товаров. Доля «образовательного» спама продолжает уменьшаться. Важной чертой последних месяцев стал рост количества мошеннических писем. Эта рубрика объединяет фишинговые, «нигерийские» письма, поддельные извещения о выигрыше в лотерею и т.п. В январе доля таких небезопасных посланий превысила 11% от всей спам-почты. Полную версию статьи смотрите на сайте Securelist.com/ru. Спам-статистика за период 1-7 февраля 2010 г. "Лаборатория Касперского" Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 86,5%. Сменился лидер тематической статистики, им стала рубрика «Медикаменты; товары/услуги для здоровья». Доля «медицинского» спама увеличилась на 7,8% и составила 19,8%. В остальном тематическое распределение спама изменилось незначительно. Уменьшилась доля тематики «Образование» (-2,9%), а колебания долей других тематик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   19,8%   +7,8%   2   Другие товары и услуги   Предложения других товаров и услуг.   18,2%   +1,0%   3   Образование   Реклама семинаров, тренингов, курсов.   17,0%   -2,9%   4   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   15,1%   -0,2%   5   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   7,7%   -0,5%   6   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   4,9%   -1,2%   7   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   4,2%   -0,5%   8   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   3,4%   -1,4%   9   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   2,6%   +0,7%   10   Юридические услуги и аудит   Предложения юридических услуг.   2,1%   -1,0%   11   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -1,9%   12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,2%   13   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   Менее 2%   -0,1%   14   Остальной спам     Менее 2%   0,40%   Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2010