"Лаборатория Касперского" Электронный журнал "Спамтест" No. 257 в этом номере: Новости Спам-статистика за период 27 октября - 2 ноября 2008 г. Новости Новая инициатива в борьбе против «лотерейного» мошенничества 1.11.2008 Компании Microsoft, Yahoo!, Western Union и межгосударственный Африканский банк развития (African Development Bank) вступили в альянс. Цель союза - помочь правоохранительным органам и пользователям Интернета выявлять авторов рассылок поддельных уведомлений о выигрыше в лотерею и привлекать их к ответу. Лотерейные махинации - известное средство вымогательства денег сетевыми мошенниками. Основной прием махинаторов - рассылка фальшивых извещений о крупном выигрыше от имени известных организаций (в том числе от имени организаций, вступивших в альянс). Для получения «приза» потенциальная жертва должна оплатить некие «административные расходы» или сообщить личные данные, которые затем используются злоумышленниками в своих целях. По итогам опроса, проведенного по инициативе Microsoft в ряде европейских стран, за 2007 год жертвами «лотерейного» мошенничества стали более 2% опрошенных пользователей. Суммы персональных потерь составили от 100 до 7000 евро (150–10000 долларов). 27% участников опроса сочли этот вид мошенничества серьезной личной угрозой, более половины признались, что из опасений сократили объемы закупок онлайн, а 36% даже ограничили пользование интернетом. В большинстве случаев авторы таких схем остаются безнаказанными. Этому способствует трансграничный характер «лотерейного» мошенничества, а также ограниченные ресурсы и квалификация национальных стражей порядка. Однако, по наблюдениям экспертов, число мошеннических групп, практикующих подобную деятельность в Сети, не столь велико. Это дает надежду на пресечение такого вида киберпреступлений. Участники альянса планируют создать объединенную базу данных. В базу будут заноситься отчеты местных полицейских отделений о случаях вымогательства под видом выигрыша в лотерею. Так будет собираться информация о тех случаях, когда мошенники действовали от имени одной из компаний-участниц альянса. Для сбора информации создан сайт и электронные адреса. При желании, пострадавшие смогут воспользоваться и обычной почтовой связью. Данные, внесенные в базу, будут обрабатываться экспертами, а результаты экспертного анализа - передаваться в полицию. Интерпол взял на себя координацию работы программы, оказание консультативной помощи и пропаганду нового источника информации. Источник: biz.yahoo.com Источник: pcworld.com Регистратор используемых киберкриминалом доменов может лишиться аккредитации 1.11.2008 Организация ICANN (Internet Corporation for Assigned Names and Numbers), управляющая распределением адресного пространства Интернета, уведомила администрацию компании-регистратора EstDomains о досрочном расторжении соглашения о ее аккредитации. Основанием для отзыва аккредитации послужил то факт, что 27-летний президент компании Владимир Цацин в феврале текущего года был осужден в Тарту за махинации с кредитными картами, отмывание денег и подделку документов. Поскольку ICANN не получила уведомления о назначении нового руководителя EstDomains, она воспользовалась своим правом на такой шаг, закрепленным в типовом соглашении (один из пунктов соглашения об аккредитации гласит, что она может быть аннулирована, если руководитель или должностное лицо регистратора привлекались к суду за экономические преступления и при этом не были уволены со своих должностей). Зарегистрированная в американском штате Делавэр EstDomains базируется в Эстонии. По размеру рыночной доли она занимает 53 место в списке аккредитованных в ICANN регистраторов и контролирует свыше 280 тысяч доменных имен. По сведениям, собранным экспертами, на протяжении нескольких лет подведомственные ей ресурсы широко использовались криминальными элементами для рассылки спама, размещения нелицензированных интернет-аптек и командных серверов ботнетов, а также проведения фишинговых атак, распространения детской порнографии и вредоносного ПО (в том числе ложных антивирусов). Специалисты по сетевой безопасности также связывают имя этого регистратора и его филиала EstHost с недавно заблокированным за попустительство киберкриминалу интернет-провайдером Atrivo и службой анонимной регистрации доменов PrivacyProtect. Кроме того, EstDomains является реселлером домена .in, контролируемого владельцем privacyprotect.org - регистратором Directi (PDR), который в рейтинге популярности у спамеров занимает 2 место. ICANN планирует передать домены, зарегистрированные компанией в рамках аккредитации, другому лицу, если найдет желающего принять столь незавидное наследство. Администрация EstDomains, в свою очередь, намерена опротестовать действия международного контролера и заявила, что Цацин сложил свои полномочия в компании еще в июне. Поскольку этот факт требует проверки, отзыв аккредитации был отложен. Источник: voices.washingtonpost.com Источник: theregister.co.uk Источник: f-secure.com Венгерские бизнесмены включили штрафы за спам в расходы на рекламу 5.11.2008 Отсутствие в венгерском законодательстве жестких мер в отношении нелегитимных рассылок позволяет бизнес-структурам рассматривать спам как удобное средство сетевого маркетинга. В отличие от англоязычного почтового «мусора», спам-письма на венгерском языке имеют, в основном, коммерческий характер. Согласно действующему в стране законодательству об электронной коммерции, рассылка рекламы по каналам электронных средств связи должна осуществляться с предварительного согласия получателя (по схеме «opt-in»). С 2006 года правоохранительные функции в отношении рекламных рассылок возложены на Венгерское управление по телекоммуникациям - Nemzeti Hírközlési Hatóság (NHH), которое рассматривает жалобы от населения в соответствии со стандартной процедурой. Управление может наложить запрет на противоправную деятельность либо оштрафовать нарушителя на сумму от 50 до 500 тысяч форинтов (около 250-2500 долларов). Однако, как показывает практика, угроза штрафа такого размера не останавливает недобросовестных рекламодателей, получающих в несколько раз больше от каждой спам-кампании. Так, в течение прошлого года NHH наказывало агентство по недвижимости Hermina Bau Ingatlanforgalmazó семь раз. Общая сумма выписанных этой компании штрафов составила 1,6 миллиона форинтов (7830 долларов). Тем не менее, уплатив очередной штраф, бизнесмены запускали новую рекламную акцию, рассылая непрошеную информацию на 50 тысяч адресов. Новый законодательный акт, введенный в силу на территории Венгрии с 1 сентября текущего года, был призван прояснить терминологию, связанную с онлайн-маркетингом, и закрепить ограничения на распространение бизнес-рекламы. Однако, судя по отзывам экспертов, обстановка с нелегитимной почтой в стране только усугубилась. Дело в том, что, в соответствии с новыми поправками, полномочия NHH стали ограничиваться рассмотрением жалоб исключительно от индивидуальных пользователей. Юридические лица по-прежнему могут обратиться в Управление за помощью, но действия по восстановления законности в этом случае не входят в круг обязанностей данной инстанции. Зато цитаты из нового статута теперь нередко завершают текст нелегитимной рекламы, написанной на венгерском языке, – вместо опции «отказаться от рассылки». Видимо, таким образом отправители пытаются убедить адресатов в правомочности своих действий и избежать правовой ответственности. Источник: realdeal.hu Фишеры открыли охоту на чужие домены 5.11.2008 Специалисты по сетевой безопасности обнаружили нетрадиционные фишинговые рассылки, целью которых является хищение доменных имен в зонах, контролируемых регистраторами Network Solutions и eNom. В поддельных уведомлениях службы технической поддержки eNom получателю сообщается о временном отсутствии доступа к аккаунту в связи с проведением профилактических работ в информационном центре. Фальшивые письма, написанные от имени администрации Network Solutions и рассылаемые с ботнета Pushdo, требуют продлить истекший срок пользования доменным именем под угрозой передачи его другому лицу. В обоих случаях адрес отправителя указан как tech@название-компании.com, а указанная в теле письма URL-ссылка ведет на поддельную веб-страницу регистрации целевого аккаунта. Эксперты Sophos отмечают, что html-код этих страниц идентичен оригинальному во всем, кроме поля для ввода имени и пароля. Как удалось установить исследователям компании Marshal, поддельный веб-сайт Network Solutions размещен на домене .asia. По мнению экспертов, время проведения, назначение и высокий уровень подготовки упомянутых фишинговых атак не случайны. Их инициаторами, скорее всего, являются встревоженные клиенты регистратора доменных имен EstDomains, полномочия которого недавно были поставлены под сомнение международной организацией ICANN. Если EstDomains лишится аккредитации, криминальным элементам, которые беспрепятственно хостились в подведомственных ей сетях, придется перекочевывать к другим регистраторам, как это уже сделали самые прозорливые из них. Похищенные у регистрантов eNom и Network Solutions реквизиты откроют злоумышленникам доступ к чужим аккаунтам и могут быть использованы ими для регистрации новых доменов. Кроме того, уже зарегистрированные жертвами фишинга доменные имена с «белой» репутацией можно перевести к другому регистратору и использовать как прикрытие в криминальной деятельности. По данным ICANN, компания-регистратор eNom контролирует около 9 миллионов доменных имен, Network Solutions – более 6 миллионов. Источник: marshal.com Источник: sophos.com MessageLabs: бесплатные веб-сервисы не теряют привлекательности для спамеров 5.11.2008 По данным MessageLabs, уровень спама в октябре был несколько ниже, чем в предыдущем месяце, и составлял 69,7% почтового трафика. В октябре отмечен рост числа рассылок с почтовых аккаунтов Apple MobileMe (ранее mac.com) и числа нелегитимных писем со ссылками на сайт Google Blogspot. Расширение эксплуатации бесплатных сетевых служб со стороны спамеров исследователи объясняют наличием на теневом рынке доступных средств взлома CAPTCHA – системы защиты от автоматической регистрации. Спам-сообщения с обратным адресом ресурса MobileMe, используемого владельцами пользователей ПК Macintosh, содержали ссылки на легитимно оформленные страницы Blogspot. При заходе на такую страницу посетитель через несколько секунд автоматически перенаправлялся на целевой спам-хостинг. Адреса аккаунтов, открытых спамерами на MobileMe, теперь используются ими при создании поддельных профилей в социальных сетях – таких, как Bebo. В результате, на пользователей этих ресурсов, согласившихся на назойливые предложения «дружбы» от подставных лиц, обрушился поток непрошеной рекламы. Спам-рассылки, использующие доверие пользователей к известным и общедоступным сервисам, в основном продвигают непатентованные заменители широко рекламируемых в спаме лекарственных препаратов. Зафиксирована масштабная рассылка фармаспама, проведенная с ботнета Srizbi. По оценке MessageLabs, на долю этой спам-кампании пришлось около 1% общего объема спама, циркулировавшего в это время в Интернете. Одной из тем заголовков рекламных писем было празднование Хеллоуина. Отмечено увеличение числа фишинговых атак, связанных с экономическим кризисом. Согласно статистике компании, в октябре их количество возросло более чем в два раза. В числе наиболее активных источников фишингового спама - ботнет Cutwail, включающий в настоящее время 1 миллион зомби-компьютеров. Лидером по получению нелегитимных сообщений остается Гонконг, хотя количество спама в этом административном районе КНР сократилось на 1,4%. В отраслевом разделении чаще других электронный «мусор» получали промышленные предприятия. Уровень спама в производственном секторе составил 75,7% от общего объема электронной почты. Источник: messagelabs.com Microsoft: равновесие сил в борьбе за почтовый трафик 6.11.2008 По оценке Microsoft, вот уже год или два количество спам-писем, пробивающих защиту и попадающих в ящики пользователей электронной почты, остается практически неизменным. Согласно статистике компании, в первой половине текущего года уровень спама в почтовом трафике в среднем составлял 90%. Более половины этих нелегитимных сообщений продвигали лекарственные препараты, предлагаемые к продаже через нелицензированные интернет-аптеки. На долю одиозной рекламы средств совершенствования мужской физиологии приходилось 30,6% от общего объема спама, на долю рекламы прочих снадобий – 20,9%. «Нигерийские» письма в отчетный период составляли лишь 1,1% спам-трафика, фишинговые послания - 2,5%, порноспам 8,6%. Пятая часть спамовых сообщений традиционно рекламировала различные промтовары и поддельные предметы роскоши, на долю «биржевого» спама приходилось 9,6% от общего объема нелегитимных писем. Эксперты отмечают, что за последние несколько лет количество пропускаемого почтовыми фильтрами спама значительно уменьшилось, однако в настоящее время этот показатель практически стабилизировался. Это отнюдь не означает, что спамеры и защитники почтового трафика ослабили усилия по совершенствованию и адаптации своего инструментария. Их противостояние достигло своего рода «мертвой точки», когда ни одна из противоборствующих сторон не может одержать верх. Источник: techradar.com Спам-статистика за период 27 октября - 2 ноября 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошедшей неделе в среднем составила 79,4%. Доля спама «для взрослых» повысилась на 12,2% и вновь достигла 25%. Заметно снизились доли рубрик «Другие товары и услуги» (-2,6%), «Полиграфия» (-2,5%), «Образование» (-2,3%), колебания долей других тематик остались в пределах 2%. Наблюдались мошеннические рассылки с предложениями послать SMS-сообщение на короткий номер. Эксплуатируют спамеры и тему мирового финансового кризиса, включая ее в заголовки своих писем, не имеющих, как правило, к кризису никакого отношения. Самым массовым стал спам «Для взрослых». Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   25,0%   +12,2%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   11,4%   -1,5%   3   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   11,2%   +0,3%   4   Другие товары и услуги   Предложения других товаров и услуг   10,9%   -2,6%   5   Образование   Реклама семинаров, тренингов, курсов   9,4%   -2,3%   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   9,2%   +2,0%   7   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   4,8%   -0,2%   8   Юридические услуги и аудит   Предложения юридических услуг   3,8%   -0,8%   9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   3,5%   -1,3%   10   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   3,3%   -0,7%   11   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   3,0%   -0,3%   12   Остальной спам     Менее 2%   -0,5%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -2,5%   14   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   Менее 2%   -0,9%   Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005