Электронный журнал "Спамтест" No. 263 в этом номере: Новости Спам-статистика за период 08 - 14 декабря 2008 г. Новости «Нигерийские» вымогатели пугают судебной расправой 12.12.2008 По свидетельству американских властей, рассылка мошеннических писем от имени ФБР и Центра жалоб на интернет-мошенничество (Internet Crime Complaint Center, IC3) начинает принимать характер эпидемии. Один из вариантов этих писем в лучших «нигерийских» традициях извещает получателя о его праве на наследство или крупном выигрыше в лотерею. Однако, согласно мифическому «официальному распоряжению» высокого чина, претенденту вменяется в обязанность выслать личные данные, включая полное имя, банковские реквизиты, номер телефона и копию паспорта. В случае неповиновения ФБР якобы примет карательные меры вплоть до судебного преследования. Другая серия «нигерийских» посланий написана от имени IC3 – специализированного подразделения министерства юстиции США. Их получатели цинично обвиняются в вымогательстве; им якобы предписывается в кратчайшие сроки «вернуть» денежные средства или предстать перед судом. Источник: ic3.gov Рекламный коктейль от спамеров 12.12.2008 Специалисты компании Commtouch обнаружили забавные спамовые сообщения, разосланные, по всей видимости, с помощью функции «Share» (сделать общедоступным) публичного веб-сервиса Google Docs. Заголовок письма «Hello, are you ready?» (Эй, ты готов?) вызвал массу насмешек со стороны исследователей. Позабавило экспертов и заключительное «Marry Christmas». Ведь традиционное пожелание «Веселого Рождества» по-английски пишется как «Merry Christmas», а написание первого слова этой фразы через «a» (marry) превращает его в глагол, который переводится как «жениться». Видимо, авторам рекламной рассылки следует попросить у Санта-Клауса помощи при выполнении домашнего задания. Лаконичный текст письма, снабженный соответствующими ссылками, рекламировал услуги двух разнородных веб-сайтов – безвестной интернет-аптеки и онлайн-казино. Примечательно, что отправитель указал в качестве контактного адреса почтовый сервис Gmail. Все адреса, на которые была проведена рассылка, также принадлежали Gmail. Далеко не в первый раз репутация Google Docs эксплуатируется спамерами. Использование адресов легитимных веб-сервисов в спаме повышает эффективность обхода традиционных средств защиты электронной почты, основанных на анализе URL. Источник: blog.commtouch.com Cisco: кибератаки становятся многопротокольными и целевыми 17.12.2008 По оценке компании Cisco, количество угроз, исходящих с зараженных легальных веб-сайтов, в уходящем году увеличилось на 90%. На долю спама, рассылаемого с взломанных аккаунтов Yahoo, Gmail и Hotmail, приходилось 7,6% почтового трафика, генерируемого этими сервисами. Согласно статистике Cisco, уровень спама в 2008 году составлял примерно 90% от общего объема почтовой корреспонденции. В среднем компания ежедневно регистрировала 200 миллиардов нелегитимных сообщений. С серверов трех упомянутых бесплатных веб-сервисов отсылался 1% этого количества спам-писем. Основным источником спама, по данным Cisco, являются США, на долю которых в отчетный период приходилось 17,2% спам-трафика. Второе место занимает Турция (9,2%), на третьем оказалась Россия (8%). За последние два года число вредоносных вложений в спамовые письма уменьшилось вдвое. Основным источником инфекции стали вредоносные страницы, открываемые при активации указанной в спаме ссылки и размещенные на легальных веб-хостингах. Общее количество выявленных уязвимостей, позволяющих злоумышленникам заражать чужие ресурсы, за год увеличилось на 11,5%. В уходящем году главным средством распространения спама и вирусов были ботнеты. Проведение спам-рассылок при участии промежуточных звеньев с «белой» репутацией – таких как почтовые серверы Google, Yahoo и Microsoft – позволяет злоумышленникам скрыть истинный источник криминальной деятельности и повышает эффективность доставки. Исследователи прогнозируют дальнейший рост числа целевых атак фишеров. В настоящее время они составляют лишь 1% от всех фишинговых писем, но по мере совершенствования методов социальной инженерии их число будет расти. Источник: darkreading.com Источник: money.cnn.com Представитель Ральски в Китае признал свою вину 17.12.2008 50-летний Хау Вай Джон Хуэй (How Wai John Hui), отвечавший за связи криминальной группировки Алана Ральски (Alan Ralsky) с китайскими партнерами, сознался в преступном сговоре с целью мошенничества и рассылке «биржевого» спама. Являясь гражданином Канады, Хуэй возглавлял одну из китайских компаний, акции которых по схеме «накачка-сброс» продвигала в спаме интернациональная команда Ральски. Как выявило расследование, одна только летняя кампания 2005 года принесла членам данной группировки около 3 миллионов долларов. Ее участникам инкриминируется коллективное проведение спам-рассылок по каналам электронной почты, мошенничество с использованием средств электронной, почтовой и проводной связи, а также отмывание денег. Дело будет вынесено на суд присяжных в сентябре 2009 года. В соответствии с предъявленными ему обвинениями Хуэя ждет тюремное заключение на срок более шести лет. Однако в обмен на признание вины и свидетельские показания против других участников группировки его содержание под стражей может быть сокращено до 3 лет. Его нажитые неправедным путем капиталы в размере 500000 долларов подлежат конфискации. Приговор Хуэю будет объявлен в октябре 2009 года. Источник: The Detroit News Спамеры ставят на новых фаворитов 17.12.2008 По оценке компании IronPort Systems, спустя месяц после прекращения деятельности хостинг-провайдера McColo количество спама в Сети составляло почти две трети от объема, зафиксированного на момент отключения одиозного веб-хостинга. Многие из потерявших командные серверы ботнетов так и не оправились от удара, однако в ряде случаев использовавшие их спамеры нашли новых подрядчиков. Согласно статистике IronPort, в настоящее время в Интернете ежедневно циркулирует около 100 миллиардов спамовых сообщений, тогда как месяц назад этот показатель составлял 153 миллиарда. Сразу после отключения McColo количество спама уменьшилось до 64,1 миллиарда, так как спамботы крупнейших зомби-сетей потеряли связь с центрами управления. После временного затишья показатели по спаму начали постепенно повышаться - по мере того, как покинувшие тонущие корабли спамеры изыскивали новые возможности. По данным компании SecureWorks, в настоящее время основными источниками спама являются ботнеты Mega-D и Kraken. Операторы Srizbi и Rustock попытались перенести командные функции на другой веб-хостинг, но потерпели неудачу. По мнению ведущего научного сотрудника SecureWorks Джо Стюарта (Joe Stewart), эти ботнеты не монолитны, особенно Srizbi, который находится в руках множества людей. Каждый хозяин ботнета располагает одной-двумя троянскими программами (ботами) и сетью из зомби-машин размером до нескольких тысяч единиц. По всей видимости, в ограниченный период онлайн-активности многие владельцы не успели восстановить управление своими ресурсами, и потеряли значительную часть заказчиков. Возможно также, что операторы этих ботнетов приняли решение построить новые зомби-сети. Тем временем рассылкой спама занялись их конкуренты. Одним из ведущих игроков стал прежде небольшой ботнет Xarvester, мощности которого начали стремительно увеличиваться. По оценкам SecureWorks, он по размерам обогнал ботнет Pushdo и в настоящее время насчитывает не менее 130000 инфицированных машин. В игру вступила и еще одна «темная лошадка», ботнет Gheg, который до сих пор использовался для продвижения традиционного ассортимента - виагры, циалиса и поддельных «швейцарских» часов. Оба этих ботнета теперь распространяют спам, на котором ранее специализировались Srizbi и Rustock. По данным SecureWorks, новых источников масштабных спам-рассылок пока не появилось. Источник: computerworld.com Спам-статистика за период 08 - 14 декабря 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама На прошедшей неделе доля спама в почтовом трафике Рунета составила 76,0%. В тематическом распределении спама с большим отрывом продолжает лидировать рубрика «Медикаменты; товары/услуги для здоровья», ее доля повысилась на 10,2% и составила 30,4%. Примечательно, что на прошлой неделе отмечена массовая рассылка предложений лекарств на русском языке (раньше письма этой рубрики были в основном англоязычными). Заметно увеличилась доля тематики «Реплики элитных товаров» (+6,9). Значительно понизились доли рубрик «Образование» (-6,6%), «Другие товары и услуги» (-3,8%), «Недвижимость» (-3,8%), «Компьютеры и Интернет» (-2,3%). Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложение приобрести лекарственные препараты, БАДы и т.п. в online. Предложение медицинских и оздоровительных услуг, а также сопутствующих товаров.   30,4%   +10,2%   2   Спам "для взрослых"   Предложение скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   14,6%   Без изменений   3   Другие товары и услуги   Предложение других товаров и услуг.   12,5%   -3,8%   4   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   8,9%   +6,9%   5   Образование   Реклама семинаров, тренингов, курсов.   7,8%   -6,6%   6   Отдых и путешествия   Предложение туристических поездок, а также организации и проведения различных развлекательных мероприятий.   5,2%   -1,4%   7   Реклама спамерских услуг   Предложение организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   4,5%   +1,3%   8   Недвижимость   Предложение сдать/снять недвижимость, строительство, риелторские услуги и пр.   3,5%   -3,8%   9   Компьютеры и Интернет   Предложение приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   2,8%   -2,3%   10   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   2,7%   +1,7%   11   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,3%   -0,6%   12   Юридические услуги и аудит   Предложение юридических услуг.   2,1%   +0,7%   13   Личные финансы   Предложение по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   +0,2%   14   Остальной спам     Менее 2%   -0,2%   Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2008