Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


"Лаборатория Касперского"
Электронный журнал "Спамтест" No. 258

в этом номере:


Новости

Symantec опубликовала статистику по октябрьским спам-рассылкам

07.11.2008

По оценке компании Symantec, в октябре уровень спама несколько снизился по сравнению с предыдущим месяцем и составлял 76,4% почтового трафика.

Как показал анализ октябрьской статистики, соотношение тематических категорий спам-рассылок в целом осталось прежним - с преобладанием предложений интернет-услуг (22% от общего объема спама), промтоваров (18%), финансовой «помощи» (18%) и медицинских препаратов (16%). С приближением даты выборов президента США количество политического спама продолжало увеличиваться: в минувшем месяце на долю этой категории нелегитимных писем пришлось 3% спам-трафика.

В географическом разделении источников спама значительных изменений также не наблюдалось. Ведущая троица – США, Турция, Россия – сохранила свои позиции и долевое участие в глобальном спам-трафике (29, 8 и 7% соответственно).

Фишерские атаки эксплуатировали обстановку финансовой нестабильности: поддельные уведомления о денежном переводе приходили от имени министра финансов США либо Федеральной корпорации по страхованию депозитов - Federal Deposit Insurance Corporation, FDIC. «Лотереи» были якобы организованы в поддержку грядущих событий - всемирного розыгрыша кубка ФИФА в 2010 году и Олимпийских игр в 2012 году. А подарочные карты предлагались в обмен на участие в предвыборном опросе.

Все это предполагало передачу персональных данных в руки авторов спам-рассылок.

В злонамеренных фальшивках все чаще используются логотипы компаний и организаций. Соответственно увеличивается и количество нелегитимных писем с «картинками». По данным Symantec, объемы графического спама за истекший месяц выросли почти в 3,5 раза, и на долю этой разновидности почтового «мусора» в октябре пришлось 9% спам-трафика. Размер 92% спамовых писем с «картинками» составлял от 5 до 50 Кб.

Эксперты также отметили масштабную рассылку порноспама на адреса, зарегистрированные в зоне .de, и начало рекламной спам-кампании, связанной с приближающимся праздничным сезоном.

Источник: symantec.com[PDF_740Кб]

Троянец торопится возвестить о победе Обамы

10.11.2008

На следующее утро после выборов нового президента США специалисты по сетевой безопасности зафиксировали появление вредоносных «горячих новостей», на долю которых в первые часы рассылки приходилось 60% спам-трафика.

По данным экспертов, эти нелегитимные сообщения распространяются с ботнета Srizbi от имени различных новостных источников – BBC, CNN, USA Today, блога unitedstates.com либо пресс-центра избирательной комиссии. Объем спам-рассылки составляет несколько десятков миллионов писем. При большом разнообразии заголовков текст спамовых посланий неизменен и призывает просмотреть видеоролик с благодарственной речью Обамы.

Пройдя по указанной в теле письма ссылке, получатель попадает на веб-страницу, имитирующую официальный правительственный ресурс america.gov. При попытке запустить «видеоролик» на экране появляется уведомление о необходимости обновления соответствующего плагина. На самом деле предлагаемый к загрузке файл adobe_flash9.exe содержит троянскую программу с функциями даунлоудера, предназначенную для хищения пользовательской информации и защищенную руткитом.

По имеющимся сведениям, данная программа относится к семейству кейлоггеров, представители которого использовались в недавних кибератаках на клиентуру банковских структур, в том числе Wachovia. На начальном этапе атаки ее смогли идентифицировать только 14 из 36 наиболее распространенных антивирусов.

Как обнаружили исследователи, поддельная веб-страница america.gov размещена на пяти доменах, зарегистрированных в день выборов китайской компанией-регистратором BizCN.com. Вредоносный веб-хостинг меняется по технологии fast-flux со скоростью примерно 14 IP-адресов в час. Используемые злоумышленниками серверы размещены на территории европейских стран и на Тайване. Похищенная кейлоггером информация отсылается в Киев на IP-адрес некоего Марка Либермана, являющегося абонентом интернет-провайдера Zhitomir.Net.

Еще через пару дней из того же источника была проведена спам-рассылка по идентичному сценарию, но с использованием другого шаблона. Новый вариант вредоносного письма повествовал о скандале в Белом доме и предлагал посмотреть видеоролик, главным героем которого якобы был Маккейн, призывающий к импичменту Обамы.

«Фармаспамеры» тоже не преминули использовать интерес мировой общественности к итогам выборов в США и провели спам-рассылку в поддержку одиозного ресурса Canadian Pharmacy. Заголовки рекламных писем вещали о сердечном приступе у Джона Маккейна, о гибели обоих претендентов на президентский пост, намекали на пикантные подробности личной жизни «звездных» политиков и их близких. Однако организаторы атаки не потрудились даже правильно написать фамилии, используемые в качестве приманки.

Источник: garwarner.blogspot.com

Источник: sophos.com

Источник: blogs.zdnet.com

Получателям спама дали временную передышку

12.11.2008

Специалисты по сетевой безопасности отмечают, что на следующие сутки после отключения от Сети 90% ресурсов калифорнийской хостинговой компании McColo Corp. количество непрошеной корреспонденции в почтовом трафике сократилось на порядок.

На протяжении многих месяцев поборники чистоты «всемирной паутины» фиксировали криминальную активность, связанную с адресным пространством McColo. По их оценкам, этот веб-сервис последнее время был ответственен за три четверти объема спама в Интернете.

В его сетях хостились командные серверы крупнейших ботнетов – Srizbi, Pushdo и Rustock. Помимо рассылки спама, ресурсы McColo использовались криминальными элементами для распространения детской порнографии, фальшивых антивирусов и шпионского ПО.

Изучив доказательные материалы о злоупотреблениях, имеющих место на данном сервисе, основные интернет-провайдеры McColo, а именно Hurricane Electric и Global Crossing, отказали компании в доступе к Интернету. По свидетельству экспертов, в настоящее время ни один из ее IP-адресов не отвечает.

Источник: voices.washingtonpost.com

Источник: msmvps.com

Какова эффективность спамовой рекламы?

12.11.2008

Внедрившись в инфраструктуру «штормового» ботнета, исследователи из Калифорнийского университета смогли установить, что распространение фармаспама с помощью этого ресурса ежегодно может приносить до 3,5 миллионов долларов.

Весной текущего года экспериментаторы создали ряд веб-страниц, которые имитировали рекламирующиеся в спаме интернет-аптеки, и перенаправили на них часть ссылок в генерируемом ботнетом спам-трафике. Однако при попытке посетителя оплатить покупку и ввести персональные данные для отгрузки выбранных медикаментов сервер-ловушка выводил сообщение об ошибке. Таким образом, сайт служил только для учета количества посещений и подсчета попыток оформить заказ.

Схема работала около месяца. За это время со «штормового» ботнета было разослано около 350 миллионов нелегитимных сообщений, рекламирующих подставные веб-сайты. Оформить заказ пожелали 28 посетителей, 27 из них выбрали «товар для мужчин». Средняя стоимость покупки составила около 100 долларов.

По оценкам исследователей, им удалось перехватить примерно 1,5% рекламы, распространяемой с ботнета. С учетом его огромного на тот момент потенциала ежедневный доход авторов спам-кампании должен был составлять 7-9,5 тысяч долларов – даже если принять во внимание, что три четверти рекламных писем не попали в почтовые ящики благодаря системам фильтрации и «черным спискам». Однако рамки поставленного эксперимента не позволили оценить аспект, играющий большую роль в формировании прибылей подпольного фармабизнеса, а именно повторные заказы.

Вторая часть эксперимента была направлена на определение процента пользователей, кликающих на вредоносные ссылки в спам-письмах. Таким образом установлено, насколько эффективно происходит заражение новых компьютеров «штормовым» троянцем. Около 120 миллионов злонамеренных сообщений, отправленных с ботнета, были переориентированы исследователями на веб-сайты, имитировавшие зараженный веб-хостинг. Подсчет числа посещений ловушек, показал, что по ссылкам проходит 10% пользователей. Если вредоносную ссылку активирует каждый десятый получатель опасных писем, то с учетом всего вышеизложенного «штормовой» ботнет может ежедневно увеличиваться на 3,5-8,5 тысяч зомби-машин.

Источник: voices.washingtonpost.com


Спам-статистика за период
3 - 9 ноября 2008 г.

"Лаборатория Касперского"

Объем и тематические особенности спама

Доля спама в почтовом трафике Рунета на прошедшей неделе в среднем составила 80,5%.

На прошлой неделе доля спама «для взрослых» увеличилась почти в два раза и составила 48,2%. Несколько агрессивных массовых порно-рассылок наблюдалось практически во всех почтовых потоках. На этом фоне заметно снизились доли рубрик «Другие товары и услуги» (-5,9%), «Отдых и путешествия» (-4,1%), «Образование» (-3,4%), «Недвижимость» (-2,4%) и «Личные финансы» (-2,3%).

Популярные тематики

Тематика Описание Доля тематики Изменения за неделю
1   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   48,2%   +23,2%  
2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   10,6%   -0,8%  
3   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   7,3%   -1,9%  
4   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   7,1%   -4,1%  
5   Образование   Реклама семинаров, тренингов, курсов   6,0%   -3,4%  
6   Другие товары и услуги   Предложения других товаров и услуг   5,0%   -5,9%  
7   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   3,7%   +0,2%  
8   Юридические услуги и аудит   Предложения юридических услуг   2,9%   -0,9%  
9   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   2,7%   -0,3%  
10   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   2,4%   -2,4%  
11   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -2,3%  
12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,9%  
13   Остальной спам     Менее 2%   -0,8%  
14   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   Менее 2%   +0,5%  

Примеры спамовых писем смотрите на сайте Спамтест.


Спам в октябре 2008 г.

Татьяна Куликова, "Лаборатория Касперского"

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с сентябрем снизилась на 2,3% и составила в среднем 79,9%.
  • Вредоносные файлы содержались в 2,09% электронных сообщений, что в два раза больше сентябрьских показателей.
  • Ссылки на фишинговые сайты находились в 0,83% всех электронных писем.
  • Доля спама с графическими вложениями составила 9%.
  • Спам «для взрослых» остается лидером в списке из пяти самых популярных спамерских тематик.
  • В незапрошенных письмах с предложениями различных товаров и услуг содержались призывы «Сократить расходы в связи с кризисом».
  • Мошенники активно рассылали поддельные извещения от имени популярных социальных сетей и ресурсов с целью выманивания денег с помощью SMS-сообщений.
  • Спамеры рассылали письма с закодированным JavaScript’ом для обхода спам-фильтров.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в октябре 2008 года в среднем составила 79,9%. Самый низкий показатель отмечен 13 октября - 68,4%, больше всего спама зафиксировано 21 числа - 90,3%. Доля графического спама осталась неизменной в сравнении с прошлыми месяцами - 9%. Процент писем, содержащих вредоносные вложения, вырос в два раза и составил 2,09% от всех электронных cообщений.

Фишинг

В октябре доля писем, содержащих фишинговые ссылки, повысилась по сравнению с предыдущим месяцем на 0,21% и составила 0,83%. Чаще всего мишенью фишеров становились платежные системы PayPal (23,25%) и AmericanExpress (22,27%).

В октябре было зафиксировано 12 атак группы Rock-Phish, направленных на различные организации.

Тематический состав спама

Пятерка лидирующих спам-тематик октября:

  1. Спам «для взрослых» - 22,6%
  2. «Медикаменты; товары и услуги для здоровья»- 12,5%
  3. «Образование» - 11,3%
  4. «Отдых и путешествия» - 9,5%
  5. «Реклама спамерских услуг» - 8,7%

В октябре в пятерку тематик-лидеров не попала рубрика «Реплики элитных товаров», ее сменила тематика «Реклама спамерских услуг», которая заняла пятое место. Остальные четыре тематики, возглавляющие рейтинг, остались прежними.

Любопытно, что доля спама, рекламирующего копии элитных товаров (в основном часов) резко выросла в апреле 2008 года, и с тех пор соответствующая тематика не покидала пятерку лидеров. Реклама спамерских услуг традиционно попадает в число лидирующих спам-тематик в праздничные месяцы, когда спамеры не загружены работой и ищут заказчиков. В 2008 году «Реклама спамерских услуг» оказывалась в верхних строчках рейтинга спам-тематик в январе и в мае. Возможно, октябрьские перемены связаны с тем, что на фоне экономического кризиса спамеры теряют заказчиков и вынуждены активизировать рассылку собственной рекламы, тогда как копии элитных товаров, даже дешевые, теряют популярность у покупателей.

Приближение Хэллоуина и ноябрьских праздников обусловило рост доли спама рубрики «Отдых и путешествия» с 6% до 9,5%.

Эксплуатация спамерами темы мирового экономического кризиса

Если предвыборная гонка кандидатов в президенты США осталась почти незамеченной спамерами Рунета, то тема экономического кризиса активно ими использовалась. Под предлогом помощи в преодолении финансовых трудностей предлагались самые разные услуги, начиная от массовых рассылок и заканчивая производством корпоративной сувенирной продукции.

Среди вполне безобидных предложений встречались и письма, в которых авторы намеренно старались раздуть панику вокруг разрастающегося кризиса. Эти письма содержали «полезные» советы о том, что надо делать, чтобы не лишиться средств к существованию.

Мошенничество в спаме

Экономическая ситуация подстегивает спамеров к активизации мошеннической деятельности. В октябре в большей части мошеннических спамовых писем содержалось предложение отправить SMS-сообщение на премиум-номер, при этом спамеры утверждали, что SMS-сообщение можно отправить бесплатно.

В начале октября наблюдалась крупная спамерская рассылка, производившаяся якобы от лица администрации почтовой системы Gmail. Как это часто бывает, в письмах сообщалось о необходимости авторизации почтового ящика с помощью SMS-сообщения. Для правдоподобия спамеры написали, что акция проводится для всех пользователей и указали дату ее начала.

Другая группа мошенников предпочла проверенное прикрытие и выступила от имени администрации Mail.Ru. Под предлогом спасения поврежденных файлов, находящихся в ящике пользователя, ему рекомендовалось послать SMS для получения нового логина и пароля. Важно отметить, что письмо было написано латиницей, чего не позволит себе ни одна администрация крупного ресурса.

Из другой подделки можно узнать о новой «услуге» для пользователей Mail.Ru. По легенде спамеров, при отправке SMS-сообщения на четырехзначный номер получатель мог ознакомиться со скрытым письмом, которое имело загадочную тему «Не грусти, тебя любят!». Доверять завлекательному постскриптуму «Стоимость сообщения оплачена отправителем», конечно же, не стоило - за «переписку» с операторами четырехзначных номеров всегда расплачивается посылающий SMS-сообщение.

В конце октября мошенники решили воспользоваться акциями, проводимыми крупными мобильными операторами. Первой жертвой жуликов стала компания Мегафон, от лица которой рассылались письма с предложением участвовать в лотерее. В письмах сообщалось, что, отправив SMS-сообщение на четырехзначный номер, получатель сможет купить новый iPhone за небольшие деньги, либо даже получить его бесплатно. Хотя мошенники «честно» предупреждали, что на SMS-сообщение необходимо потратиться, они явно преуменьшили расходы, ожидавшие любителей бесплатного сыра. Четырехзначный номер, указанный в спам-письмах, - один из самых дорогих, так что кроме трех рублей получатель такого заманчивого предложения мог лишиться еще 297. Разумеется, на сайте компании, информации о такой акции не было: посетителям предлагалось приобрести iPhone по льготной цене, но не с помощью SMS-сообщений.

Буквально днем позже преступники замаскировали свои сообщения под рассылку от МТС. В этих письмах предлагалось получить бонус (300 руб.), отправив SMS-сообщение на короткий номер. Важно отметить, что сообщение предлагалось отправить на тот же номер, который фигурировал в акции от лже-Мегафона. На официальном сайте МТС не было ни слова о таком подарке.

Необходимо проявлять осторожность, если в письме от имени какой-либо компании предлагается оплатить услугу посредством SMS-сообщения либо просто послать сообщение на четырехзначный номер. В большинстве случаев такие письма являются мошенническими. Чтобы не стать жертвой мошенников, рекомендуется пройти на сайт компании и убедиться, что такая акция действительно имеет место, или связаться со службой поддержки по указанным на сайте координатам.

Атаки спамеров на социальные сети

В октябре от имени популярного сайта «В контакте.ру» прошел ряд рассылок с приглашением пообщаться онлайн. Чтобы пользователь ничего не заподозрил, в письме указывалось, что услуга новая. При переходе по фальшивой ссылке открывалась поддельная страница, имитирующая регистрационное окно сайта «В контакте». После ввода данных доверчивому посетителю сообщалось, что введенный им адрес не зарегистрирован или пароль набран неверно, а логин и пароль попадали к фишерам.

Социальные сети используются спамерами не только для кражи пользовательских данных, но и для выманивания денег обманным путем. На популярном ресурсе Одноклассники.ру стали распространяться письма с просьбой помочь выиграть Apple iPhone. Послание приходило от имени пользователя из списка друзей, поэтому получатель мог не заподозрить обмана. Подлог обнаруживался только при личном контакте с предполагаемым отправителем и списании с телефонного счета 177 рублей вместо 5, заявленных в письме.

Некая зарубежная социальная сеть попыталась «раскрутиться» с помощью спамерской рассылки. Чтобы увеличить посещаемость ресурса, было разослано большое количество писем с приглашением посетить сайт, на котором пользователь может найти старых друзей. Ссылки в сообщениях вели на разные сайты, на всех воспроизводился дизайн основного сайта, а при регистрации посетитель перенаправлялся на главный сайт. В результате получатель нескольких таких писем мог зарегистрироваться на сайте несколько раз, и тем самым внести свою лепту в повышение его рейтинга. Кроме того, разные ссылки служат прекрасной маскировкой для ресурса, рейтинг которого поднимается с помощью спама.

Спамерские методы и трюки

В октябре была зафиксирована спам-рассылка, приходившая к большинству пользователей в неудобочитаемом виде. В письме содержался закодированный JavaScript, который должен был переводить пользователя на спамерскую страницу при открытии письма. Однако такой переход возможен только в старых версиях браузеров. Прием не получил массового распространения, а большинству получателей пришлось довольствоваться разгадыванием очередной спамерской шарады.

Заключение

Мировой экономический кризис оказывает заметное влияние на тематический состав спамерских писем, на социально-инженерные решения, используемые спамерами, и на сам спам-бизнес. С одной стороны, спамеры используют темы, связанные с кризисом, в заголовках спам-сообщений, а саму обстановку тревоги для психологического давления на возможного потребителя предлагаемых товаров и услуг. С другой стороны, спамерские компании сами испытывают влияние неблагоприятных экономических обстоятельств.

Ранее предполагалось, что после летнего спада спамерской активности осенью начнется её рост. Однако пока этого не происходит – доля спама в почтовом трафике наоборот несколько упала. Возможно, это говорит об уменьшении числа получаемых «спам-агентствами» заказов. В таком случае, активизация рассылок, рекламирующих услуги спамеров, направлена на выравнивание их собственных экономических проблем. Дальнейшая криминализация спама, выразившаяся в удвоении (по сравнению с сентябрем) числа писем с вредоносными вложениями, судя по всему, также симптоматична и призвана поддержать уровень дохода спамеров в непростых условиях.

В том, что касается безопасности пользователя, которого спамеры все время пытаются «спасать» от кризиса, - можно прогнозировать массовые рассылки интересных спамерских предложений о путях выхода из сложившейся ситуации, но надо отдавать себе отчет в том, что цель их всегда одна – улучшить благосостояние самих спамеров.

Полную версию статьи смотрите на сайте Спамтест.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2005


В избранное