Электронный журнал "Спамтест" No. 455 в этом номере: Новости «Медовые ловушки» в интернете Новости «Валентинки» от спамеров Спам-реклама, посвященная Дню св. Валентина, появилась еще в дни новогодних каникул, однако с конца января Symantec наблюдает значительный рост этих потоков: традиционный праздник влюбленных не за горами. Согласно данным компании, предпраздничный репертуар спамеров мало изменился: по их мнению, лучший подарок по случаю такого события – это цветы, поздравительные открытки или средства для похудания. Тем, кому не хватает денег на хороший подарок, предлагаются быстрые займы, а разбитым сердцам – перспективное знакомство. Среди простой спам-рекламы встречаются и фишинговые письма. Одно такое сообщение, зафиксированное Symantec, призывает получателей воспользоваться предпраздничной распродажей и приобрести наручные часы, «идентичные элитному оригиналу». На рекламной картинке, приведенной в теле спам-письма, указан уникальный код скидки (vday[произвольный набор цифр]), который покупатель должен ввести на сайте интернет-магазина, воспользовавшись ссылкой. По свидетельству экспертов, при активации этой ссылки пользователь перенаправляется на веб-страницу, запрашивающую персональные данные. Наиболее опасными, как и следовало ожидать, являются праздничные открытки от анонима, присланные вложением. В предпраздничном спам-потоке Symantec обнаружила письмо-пустышку на эту тему, снабженное лишь заголовком и зловредным аттачем, ValentineCard4you.zip. Его содержимое было опознано как троянский бэкдор. Источник: Symantec У русскоязычных SMS-спамеров появился новый «паук» Webroot обнаружила новую модификацию хорошо известной программы-робота, предназначенной для сбора телефонных номеров с общедоступных веб-сайтов. Эти номера впоследствии используются злоумышленниками для рассылки SMS-спама, мошеннических сообщений и других неблаговидных целей. Данный продукт реализован как конструктор (DIY) и предлагается в русскоязычной версии. Он поддерживает до 100 потоков, позволяет менять период подключения и отслеживать результаты в реальном времени, с отчетностью по URL. Сбор данных (номер телефона, оператор, страна) осуществляется ковровым методом или с ограничением по географическому местоположению и тематике. По свидетельству Webroot, обновленный бот автоматически распознает номера российских и украинских телеоператоров, а также хорошо разбирается в административно-территориальном делении этих стран. Как уберечь засвеченный в Сети номер телефона от попадания в спамерские базы? Эксперты советуют прежде всего проверить, публикует ли сайт номера, запрашиваемые у пользователей. DIY-бот, обнаруженный Webroot, не способен проникать на внутренний сайт, доступ к которому требует авторизации. Однако не исключено, что его последующие версии научатся обходить такие преграды, посему лучше удостовериться, что ресурс, на котором вы оставляете свой контактный номер, использует специализированную защиту от непрошеных ботов-сборщиков. К сожалению, CAPTCHA в этом качестве – уже весьма слабая помеха, и, если нельзя обойтись без публикации, лучше использовать эксклюзивный номер для веба. Источник: Webroot Зловреды мигрируют в IM-каналы Эксперты Fortinet обнаружили нового IM-червя, распространяемого через Skype и MSN Messenger. После заражения компьютера данный зловред, нареченный W32/Rodpicom.A, проверяет наличие названных IM-приложений и терпеливо ждет их запуска, чтобы отослать по всем контактам жертвы спам-сообщение типа «lol is this your new profile pic?» («ха, это твой новый аватар?»), снабженное вредоносной ссылкой. Rodpicom также определяет языковую версию Windows по коду страны и применяет соответствующий шаблон, чтобы адресаты не заподозрили подмену отправителя. По свидетельству Fortinet, новый червь вооружен обширным набором средств самозащиты. В нем реализована технология обработки исключений с возможностью генерации ошибки, что позволяет Rodpicom уклоняться от анализа и усложняет его детектирование. Зловред снабжен также защитой от антивирусных эмуляторов и алгоритмом шифрования для обфускации кода, а все имена функций API переводятся в двоичные числа, что усложняет процесс расшифровки. При активации вредоносной ссылки, распространяемой с зараженной машины по Skype и MSN Messenger, на компьютер жертвы загружается другой IM-червь – Dorkbot. Этот зловред с функционалом бэкдора способен подключаться к C&C серверу, воровать пароли, рассылать спам, подгружать вредоносные файлы, включая новые версии Rodpicom, и выполнять много других функций, заложенных в разных модулях бота. Источник: Fortinet DMARC распечатал Рунет Почтовая служба Mail.Ru анонсировала поддержку протокола DMARC. Это первый российский почтовик, перешедший на новый стандарт, который позволяет повысить эффективность процесса аутентификации отправителя и ускорить фильтрацию входящего трафика. Спецификации DMARC (Domain-based Message Authentication, Reporting and Conformance) были опубликованы инициативной группой год назад и уже вошли в обиход многих участников проекта, включая AOL, Gmail, Hotmail и Yahoo. Данный протокол дополняет существующие механизмы аутентификации, такие как SPF и DKIM, обеспечивая недостающее звено – оперативную обратную связь между оператором почтового сервиса и легальным отправителем. DMARC определяет интеграцию техник аутентификации в инфраструктуру отправителя и позволяет сигнализировать провайдеру о наличии таких средств защиты, а также публиковать политику в отношении писем, не прошедших проверку на аутентичность, включая ложные срабатывания. Помимо этого, новый стандарт предусматривает получение от провайдера подробной статистики, позволяющей энергичному отправителю отслеживать реакцию аудитории и вносить соответствующие коррективы в свою политику. Следует отметить, что аналогичными функциями обладает действующий веб-сервис Постмастер@Mail.Ru, запущенный в конце 2011 г. Источник: Mail.Ru «Медовые ловушки» в интернете Татьяна Куликова, эксперт «Лаборатории Касперского» «Медовой ловушкой» в профессиональной среде разведчиков называется использование сексуально привлекательной девушки или молодого человека, для того чтобы добыть у вражеского агента требуемую информацию или шантажировать его в интересах спецслужб. Жизнь рядового пользователя, конечно, не похожа на полную загадок и опасностей жизнь резидента, однако и ему следует быть внимательным. Многочисленные мошенники, брачные аферисты и прочие сомнительные личности используют в своих неблаговидных целях стремление человека найти свою пару. Такого рода злоумышленники давно уже облюбовали интернет — они расставляют свои сети на веб-страницах, в рекламных объявлениях и даже забрасывают их прямо в почтовые ящики. Так что виртуальные «медовые ловушки» не редкость и на просторах Всемирной паутины, а поддавшись минутному увлечению, можно не только заразить компьютер вредоносной программой, но и потерять деньги… Приятное знакомство? Сайты знакомств давно заняли свою нишу во Всемирной паутине. Количество пользователей, зарегистрированных на самых крупных ресурсах такого рода (match.com, badoo.com mamba.ru, loveplanet.ru), исчисляется миллионами. Конечно, такая популярность интернет-знакомств не могла не привлечь внимания злоумышленников. Спамовые письма, в которых предлагается «познакомиться с приятной молодой девушкой» или просто «встретиться на одну ночь», стали попадать в наши ловушки довольно часто. Разумеется, никакого отношения к крупным порталам знакомств они не имеют. Если приличные ресурсы, заботясь о своей репутации, регулярно проверяют своих пользователей, то в спаме, наоборот, подчеркивается, что регистрация на рекламируемых сайтах не обязательна. Пройдя по ссылке из такого письма, пользователь рискует нанести урон своему компьютеру – вместо фотографий прекрасной незнакомки, на компьютер, как правило, начинает подгружаться вредоносное ПО. Еще одна опасность – фишинговые атаки. Так, например, в последнее время пользователи Рунета получали письма с приглашением посетить сайты «для взрослых», якобы созданные специально для пользователей социальной сети odnoklassniki.ru (их название нередко пародировало название этой сети: odnopostelniki, odnokrovatniki). Чтобы зайти на такой сайт, пользователю надо было воспользоваться своим логином и паролем к сети Одноклассники. Все такие сайты оказались фишинговыми - мошенники использовали их как приманку, чтобы заполучить аккаунты пользователей популярного социального ресурса. Кроме того, в ряде случаев посетителю сайта знакомств при регистрации предлагается указывать номер телефона, а это чревато для пользователя потоком спама, на этот раз мобильного. Дело техники Мошенничество на поддельных сайтах знакомств может сводиться не только к виртуальной опасности, связанной с фишингом или распространением вредоносного ПО. Пострадать могут и финансы излишне доверчивого пользователя. Охота за кошельком пользователя зачастую идет на веб-страницах, имитирующих стартовые страницы сайтов знакомств. Для регистрации на таком «сайте» или подтверждения своего возраста (старше 18 лет) пользователю нужно отправить SMS сообщение на короткий номер. Отправив платное SMS, любитель или любительница приключений расстается с определенной суммой – от 10 до 350 рублей. Однако после этого никакого доступа к контенту не предоставляется – контента просто нет. Такие веб-ресурсы, как правило, недолговечны – через несколько недель или даже дней мошеннические страницы, имитирующие стартовые страницы сайтов знакомств, исчезают, или их содержание меняется на типичную спамерскую рекламу (виагра и т.п.). Мобильный телефон достаточно часто оказывается союзником «медовых» мошенников, порой в ход идут достаточно хитрые приемы. Сравнительно недавно на форумах в интернете стали распространяться сообщения одураченных посетителей сайта знакомств. Они пробовали общаться с авторами анкет с помощью системы мгновенного обмена сообщениями на этом веб-ресурсе, но через некоторое время обнаруживали, что вместо привлекательной девушки им отвечает робот. Вся соль в том, что для отправки каждого сообщения требовалось передать SMS на короткий номер. Таким способом мошенникам за недолгое время удавалось вытянуть из каждого посетителя немалую сумму. All you need is spam В любом случае доходы мошеннических сайтов знакомств напрямую зависят от количества пользователей, поэтому борьба за посещаемость ведется любыми средствами. Основным инструментом в этом случае является спам. Обычно распространители непрошеной рекламы, продвигающие такие веб-ресурсы, используют самые элементарные приемы. Значительное количество «мусорных» писем – это сообщения из двух-трех фраз, снабженные ссылкой на сайт знакомств. Во многих случаях тексты сообщений составляются автоматическими средствами по готовым шаблонам из типовых фраз, что заметно, если просмотреть несколько сообщений подряд. Форматирование – самое простое, графических элементов нет, текст – примитивен и пестрит ошибками: «Бесплатно зарегестрировавшись…», «…заполните не большую анкету». Все, что нужно автору письма, – заманить доверчивого получателя на нужный веб-ресурс, а остальное уже дело техники. Подобные сообщения широко распространены в спаме почти на всех языках мира. А поскольку качество текстов сообщений оставляет желать лучшего, спамеры компенсируют его количеством: объемы таких рассылок без преувеличения огромны. Расчет недобросовестных рекламщиков прост: хоть кто-нибудь, да клюнет. Не брезгуют спамеры и более прозаическими заработками: рекламой притонов под видом «саун», рассылкой анкет проституток и т. д. Сразить наповал Самая колоритная разновидность спамерских писем, не утратившая своей популярности у мошенников за многие годы, – так называемый «нигерийский спам». В случае романтической разновидности нигерийских писем, помимо массовых спам-рассылок мошенники могут отыскивать потенциальную жертву и среди тех, кто зарегистрировался на сайте знакомств. Девушка, от имени которой пользователю приходит письмо, как правило, проживает в далекой африканской стране, охваченной беспорядками. В случае если пользователь зарегистрирован на сайте знакомств, практически из первого же письма становится понятно, что девушка без ума в него влюблена. Если письмо распространяется в ходе массовой рассылки, чувства у девушки вспыхивают в ходе переписки, что следует из второго или третьего письма. Возлюбленная по переписке может сообщать своему будущему жениху трогательные подробности из своей жизни. Верность невесты гарантируется письмами пастора и адвоката. Также довольно быстро выясняется, что красавица — еще и наследница миллионного состояния, и она готова отдать все вместе с рукой и сердцем. Чтобы вывести из страны невесту и ее деньги, от будущего мужа требуется лишь определенная сумма на оплату адвокатских услуг. Она может исчисляться тысячами долларов, но все это ни в какое сравнение не идет с миллионами, которые в скором времени должны будут оказаться на банковском счете жениха. Получив деньги, фальшивые красавица, пастор, адвокат и миллионы исчезают. Такая тактика обычно предполагает длительную переписку, так как мало кто согласится добровольно и по первому же движению сердца расстаться с деньгами. На первые письма претендентов на руку и сердце африканской красавицы отвечают роботы, как только становится понятно, что у мошенников есть шанс поживиться, они сами включаются в переписку. Обработка потенциальной жертвы может идти долго, и здесь важен индивидуальный подход и понимание психологии. В зависимости от подготовленности преступников, наравне с приемами социальной инженерии в ход могут пойти и попытки получить несанкционированный доступ непосредственно к счету пользователя. Работа мошенниками ведется кропотливая, но она себя оправдывает: куш, который сорвут злоумышленники, достаточно велик по сравнению с доходами от обычного интернет-мошенничества. Не отстают от своих «коллег» и мошенники, рассылающие письма от имени «русских невест». Такие письма нацелены, в основном, на пользователей стран Западной Европы и США. В отличие от «нигерийских» невест, «россиянки» — девушки бедные, но гордые, и все надежды возлагают на будущего богатого супруга. Деньги им, как выяснится в ходе переписки, понадобятся, чтобы купить билет на самолет и встретиться, наконец, с мужчиной своей мечты. Ну и от подарков от женихов милые тургеневские барышни тоже не отказываются. Подчас в голове не укладывается, как разумный человек по собственной воле может оказаться втянутым в такую нелепую историю. Однако, по данным СМИ, количество жертв мошеннических «невест» не убывает, причем для «жениха» такое приключение может закончиться трагично. Два года назад едва ли не весь интернет обошла история гражданина США, который покончил с собой, не дождавшись встречи со своей виртуальной обольстительницей. По непроверенным данным, злоумышленники сообщили ему о том, что его невеста сама совершила самоубийство – но перед этим они сумели получить от него ряд денежных переводов на общую сумму около 50 000 долларов. Соблюдайте технику безопасности! Интернет дает прекрасные возможности для общения. Однако, это не самое безопасное виртуальное пространство, в том числе для поиска романтических отношений. Мы рассказали лишь о малой части многочисленных «медовых ловушек», расставленных в интернете. Чтобы избежать разочарований, соблюдайте основные принципы безопасности: Не посещайте непроверенные сайты знакомств, особенно если они рекламируются в спаме. Не открывайте письма от неизвестных отправителей. Не отвечайте на письма, если они вызывают у вас хоть малейшее подозрение. Не доверяйте излишне щедрым и сомнительным предложениям, даже если эти предложения вам делает прекрасная девушка/мужественный красавец. И последнее, но важное: пользуйтесь надежными средствами для защиты вашего компьютера! В заключение нам остается только пожелать нашим читателям не попадаться на удочку фальшивых обольстительниц/обольстителей, найти и сберечь свою настоящую любовь. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012