Электронный журнал "Спамтест" No. 465 В этом номере: Новости Записки спам-аналитиков Новости Российский банк оштрафован за SMS-рекламу Федеральная антимонопольная служба (ФАС) России оштрафовала ООО «Хоум Кредит энд Финанс Банк» на 100 тыс. рублей за нелегитимную рассылку рекламных SMS. Как показало расследование ФАС, крупнейший участник российского рынка потребительского кредитования распространял свои новости на абонентские номера, не заручившись согласием получателей. Такие действия банка противоречат требованиям ч. 1 ст. 18 федерального закона «О рекламе», посему на провинившегося рекламодателя был наложен административный штраф. Антимонопольщики напоминают, что при подаче в ФАС жалобы на противозаконный SMS-маркетинг к заявлению следует приложить фотографию дисплея телефона с текстом сообщения, распечатку электронной почты или аудиозапись звонка, а также заверенную детализированную выписку от оператора связи, подтверждающую поступление текстового сообщения или звонка. До подачи жалобы заявитель должен проверить, не давал ли он согласие на получение любой SMS-рекламы, подписывая договор со своим оператором. Письма, обращения, жалобы ФАС принимает как по электронной, так и по обычной, наземной почте. Источник: ФАС России Cloudmark о спаме в первом квартале 2013 года В минувшем квартале Cloudmark зафиксировала резкое сокращение потоков мошеннических SMS-сообщений, предлагающих абонентам «бесплатные» призы и подарочные карты от ведущих ритейлеров. По мнению экспертов, главной причиной этого спада являются коллективные иски, поданные Федеральной комиссией США (ФТК) против распространителей такого спама. ФТК подала в суд на SMS-мошенников в начале марта. Сразу после публикации этой новости Cloudmark отметила, что дневная норма жалоб на «подарочный» SMS-спам снизилась до 10% от общего объема. В 2012 году на его долю пришлось 44% текстовых спам-сообщений, в январе-феврале нового года на пике эксперты получали до 78% жалоб в сутки, а в марте этот показатель сократился до 6%. Следует отметить, что статистика Cloudmark по SMS-спаму основана на данных Spam Reporting Service – специализированной службы ассоциации GSMA, учрежденной ее участниками для приема жалоб на спам. Cloudmark является оператором данного сервиса и проводит расследования по жалобам абонентов. По оценке Cloudmark, вклад предложений трудоустройства в месячные потоки SMS-спама за квартал увеличился на 400%, рекламы порноресурсов – в два раза. В прошлом году на долю каждой из этих тематических категорий приходилось не более 5% нелегитимных SMS в месяц. Квартальный Тор 5 от Cloudmark выглядит следующим образом: подарочные карты (20%), краткосрочные займы (12,5%), трудоустройство (12%), порноконтент (11%), финансовый фишинг (8%). Объемы последнего тоже выросли; эксперты полагают, что это сезонное явление, связанное с периодом подачи налоговых деклараций. Квартальный список стран-источников почтового спама возглавила Румыния, превзошедшая всех по абсолютному числу IP-адресов, рекомендованных Cloudmark к блокировке. В пятерку лидеров вошли также (в порядке убывания) США, Россия, Китай и Индия. Последняя демонстрирует устойчивое улучшение показателей и вскоре, похоже, уступит свое место Беларуси. Процент блокируемых Cloudmark адресов в разных странах неодинаков. Так, в Румынии он в настоящее время составляет 23,3% адресного пространства, в США – 0,2%, в Беларуси около 10%, в России 2,5%, в Китае 0,2%. В специальном разделе отчета дана краткая характеристика нескольких панамских веб-сервисов, ассоциированных со спамерской деятельностью. В минувшем году Cloudmark зафиксировала ряд масштабных спам-рассылок с участием ботнета Grum и Android-сети SpamSoldier, использующих в качестве C&C панамские домены. Эксперты винят в попустительстве спамерам два сервиса, Internet.bs и Panamaserver.com. Первый предоставляет услуги по регистрации доменов на Багамах, но его руководство, по данным Cloudmark, проживает в Панаме. За сервис обеспечения конфиденциальности этого регистратора отвечает панамская компания, веб-сайт которой размещен в Великобритании. По некоторым оценкам, через Internet.bs зарегистрированы треть нелицензированных интернет-аптек, продвигаемых в спаме, а также несколько доменов, используемых ботоводом SpamSoldier. Panamaserver.com предоставляет хостинг-услуги анонимным клиентам, принимая оплату через Web Money или Liberty Reserve. Этот панамский провайдер имеет также контактные телефоны в США и Бразилии. По свидетельству Cloudmark, большинство спама, исходящего с IP-адресов Panamaserver, составляет непрошеная коммерческая реклама, адресованная жителям Бразилии. Поскольку ни в Панаме, ни в Бразилии нет антиспамового законодательства, такие рассылки никто не запрещает. В настоящее время в базе Cloudmark числятся свыше 80% IP-адресов Panamaserver, которым присвоен статус подозрительных или ресурсов с плохой репутацией. В прошлом году этот хостер отличился тем, что упорно игнорировал запросы на отключение командного сервера Grum, хотя в итоге борцы за чистоту интернета добились от него положительной реакции. Источник: Cloudmark ФТК: навязчивый SMS-сервис нарушает права потребителей Федеральная торговая комиссия США (ФТК) подала иск против двух компаний, которые, по данным комиссии, заработали миллионы долларов, обманом подписывая владельцев мобильных устройств на премиум-услуги и взимая с них плату за навязанный сервис. Согласно исковому заявлению ФТК, Wise Media, LLC распространяла текстовые сообщения с предложениями платных услуг по составлению гороскопов, поиску новых знакомств, предоставлению информации по разным вопросам и т.п. Многие получатели этих SMS удаляли их как спам или просто игнорировали, некоторые отвечали отказом. Но независимо от ответной реакции адресатов автоматически подписывали на премиум-сервис и взимали ежемесячную плату в размере $9,99 без ведома и согласия «подписчика». Примечательно, что в итоговом счете за мобильные услуги подписка от Wise Media обозначалась аббревиатурой, поэтому потребителю было нелегко понять имя получателя платежа. Чаще всего абоненты и не пытались вникнуть в содержание счета, а просто оплачивали итоговую сумму. Кроме того, по утверждению ФТК, Wise Media старалась всячески скрыть свои координаты от потребителей. Если кому-то из обманутых удавалось раздобыть ее контактный телефон, ему сулили компенсацию, но денег так и не возвращали. ФТК сочла вышеперечисленную деятельность противоречащей правилам добросовестной торговли и обратилась в суд. Американский регулятор ходатайствует о замораживании счетов ответчиков, пресечении порочных методов ведения бизнеса, а также конфискации обманом нажитых доходов в пользу потерпевших. В числе ответчиков фигурирует еще одна компания, Concrete Marketing Research, LLC, которая, по мнению ФТК, тоже получала доход от реализации данной мошеннической схемы. В мае ФТК проводит круглый стол по проблеме навязчивого сервиса, в котором примут участие защитники прав потребителей, ведущие представители сферы премиум-услуг и органы правительственного надзора. Источник: FTC Symantec: спам мигрирует из почты в социальные сети Согласно статистике компании Symantec, в минувшем году доля спама в почтовой корреспонденции продолжала уменьшаться и составила 69% против 75% в 2011 году. Суточная норма спама снизилась на 29%, с 42 до 30 млрд. писем. Пик мусорных потоков пришелся на август. Причин сокращения почтового мусора, по мнению экспертов, может быть несколько. В 2012 году были обезоружены два приметных ботнета-спамера, Kelihos (повторно) и Grum. С учетом аналогичных акций, проведенных защитниками интернета в предыдущем году, арсенал спамеров основательно поредел. Ключевые партнерские программы, продвигавшие изделия теневой фарминдустрии, тоже канули в Лету, а с ними и львиная доля спама соответствующей тематики. Наконец, сыграл свою роль и перенос интернет-активности в социальные сети: спамеры, фишеры и распространители зловредов с готовностью используют новые возможности, не без успеха эксплуатируя доверительные отношения участников этого пространства в своих интересах. Наиболее высокие уровни спама в 2012 году наблюдались в Саудовской Аравии (79%) и Болгарии (76%), а также Чили, Венгрии и Китае (по 73-74%). В разделении по областям хозяйственной деятельности от почтового мусора больше прочих страдали представители рекламной индустрии и СМИ, обрабатывающей промышленности, индустрии отдыха и развлечений, сельскохозяйственного производства и химико-фармацевтической промышленности (везде по 69%). Среди тематических категорий спама преобладала «знакомства и порно», ее доля в общем объеме мусорной почты увеличилась на 40% и ныне составляет 55%. Потоки фармацевтического спама, как уже упоминалось выше, значительно сократились по сравнению с 2011 годом – на 19%. На долю этой категории в отчетный период пришелся лишь 21% нелегитимных писем. Количество фишинговых сообщений тоже сократилось. Если в 2011 году такие письма встречались одно на 299, то в 2012-м – одно на 414. Повышенная активность фишеров наблюдалась в Голландии, Южной Африке и Великобритании (1 письмо на 123, 177 и 191 соответственно), а из сфер хозяйственной деятельности – в публичном секторе (1 на 95). Популяция фишинговых сайтов, напротив, увеличилась. Эксперты отмечают, что злоумышленники стали создавать очень правдоподобные имитации, прилежно копируя оригинальные ресурсы. Основными мишенями фишеров в минувшем году являлись кредитно-финансовые организации и социальные сети, причем число поддельных социальных ресурсов возросло на 123%. Для продления срока службы своих ловушек фишеры усердно маскировали их адреса и активно использовали службы сокращения ссылок, а чтобы придать достоверность подделкам, снабжали их фальшивыми SSL-сертификатами. По данным Symantec, количество «сертифицированных» фишинговых сайтов за год увеличилось на 46%. Число неанглоязычных ловушек выросло в три раза. Наибольший прирост таких сайтов наблюдался в Южной Корее. Из языков, отличных от английского, фишеры предпочитали французский, итальянский, португальский, китайский и испанский. Количество вредоносных сообщений составило 1 на 291 против 1 на 239 в 2011 году. Из них 23% содержали ссылку на зараженный ресурс, что также меньше предыдущего показателя (39%). Чаще прочих вредоносные письма атаковали жителей Голландии и Люксембурга (1 письмо на 108 и 144 соответственно), а также госучреждения (1 на 72). Источник: Symantec Китайских операторов обязали фильтровать SMS-спам Министерство промышленности и информационных технологий Китая (MIIT) опубликовало новые нормативы в отношении коммерческих SMS-рассылок. Ожидается, что новая мера поможет сократить поток незапрошенной рекламы в стране, где число владельцев мобильных телефонов превышает 1 миллиард. Отныне операторам сотовой связи запрещается рассылать какие-либо тестовые сообщения на мобильные устройства абонентов без их согласия. Они должны также немедленно прекратить рассылку, если абонент заявил однозначный отказ. Кроме того, MIIT обратилось к телеоператорам с просьбой установить спам-фильтры в сетях, чтобы отсеивать чужую рекламу. Пока непонятно, как министерство собирается контролировать соблюдение всех этих запретов, и насколько они непреложны. Ранее MIIT пыталось бороться с SMS-спамом, воздействуя на телеоператоров приказами и призывами. Новый шаг Китая на этом пути свидетельствует о том, что государство не оставляет попыток ограничить поток навязчивого текстового мусора. Источник: Tech in Asia Записки спам-аналитиков Туристический бизнес с «нигерийцами» Татьяна Щербакова, эксперт «Лаборатории Касперского» «Нигерийские» письма уже стали классическим примером мошеннического спама в интернете. Легенды для писем выбираются самые разнообразные, но мы не устаем удивляться изобретательности мошенников и тому, сколько пользователей из года в год становятся их жертвами. Одним из сравнительно редких сюжетов «нигерийских» писем является просьба помочь инвестировать якобы имеющиеся у мошенника деньги в какой-нибудь проект, и совсем недавно мы обнаружили одну из таких рассылок. Мошенники, выдававшие себя за богатого инвестора, предлагали получателю помочь им вложить деньги в постройку туристического отеля «в вашей стране». Естественно, не за «спасибо» - мошенники щедро предлагали потенциальной жертве долю в бизнесе и должность директора нового отеля. Если доверчивый пользователь вступит в переписку со спамерами, то в дальнейшем мошенники потребуют от него перевести небольшую сумму денег под предлогом оплаты каких-либо расходов, связанных с будущим бизнесом. В итоге обманутая жертва останется не только без обещанных ей благ, но и без своих собственных денег. Чем больше сенсаций, тем больше зловредов Мария Рубинштейн, эксперт «Лаборатории Касперского» Татьяна Куликова, эксперт «Лаборатории Касперского» Как только в мире случается какое-то громкое событие, спамеры и кибермошенники немедленно используют его для привлечения внимания пользователей к своим рассылкам. Не стали исключением и последние трагические события в США: теракт на марафоне в Бостоне и взрыв на химическом заводе в Техасе послужили поводом для создания новых рассылок вредоносного спама. Уже 17 апреля мы зафиксировали первую рассылку писем, использующую происшествие в Бостоне для привлечения внимания получателей. Спам-сообщения содержали ссылки на взломанные страницы, на которых злоумышленники разместили вредоносные объекты. На следующий день, 18 апреля, вновь мы зафиксировали рассылки, спекулирующие на трагедии в Бостоне. Темы рассылаемых сообщений имитировали заголовки новостей на сайте CNN (Opinion: Osama death was Faked by CIA - Boston Marathon Explosions Worse News. - CNN.com, Opinion: Updates on the Aftermath of Boston Marathon Explosions - CNN.com, Opinion: Boston Marathon Explosions - Obama Benefits? - CNN.com), но при этом имели абсолютно произвольные и, естественно, поддельные поля «From». Такие «новости» с шокирующими заголовками рассылались также от имени социальной сети LinkedIn и других респектабельных источников. Размещенные в сообщениях ссылки вели на взломанные сайты с эксплойт-паком BlackHole 2. В случае успешной атаки эксплойт загружал шпионскую программу, предназначенную для передачи данных с пользовательского компьютера: информацию из защищенных соединений браузера (HTTPS); cookies браузеров; скриншоты; список контактов, информацию о компьютере (установленные программы, конфигурация системы). «Лаборатория Касперского» детектирует эту программу как Backdoor.Win32.Papras.ppk. Получатель мог распознать вредоносную ссылку, наведя на нее курсор: адрес сайта не имеет никакого отношения к компании CNN, а кроме того, присланная ссылка имеет характерный постфикс bostoncnn.html. Также 18 апреля мы заметили еще одну очень похожую рассылку. Сообщения с темой «Texas plant explosion» не содержали ничего, кроме ссылки вида http://xxx.xxx.xxx.xxx/texas.html (вместо имени сайта использовались IP-адреса). А в поле «From» каждый раз стояли разные имена и адреса. Присланные злоумышленниками ссылки вели на зараженные сайты, где пользователя ждал Java-эксплойт. В случае успешной атаки на компьютер жертвы закачивались два Trojan-Downloader, которые, в свою очередь, скачивали целый букет вредоносного ПО. Во-первых, шпионскую программу, предназначенную для кражи информации из браузеров, почтовых клиентов и FTP-клиентов жертвы. Во-вторых, троян-блокер, который «Лаборатория Касперского» детектирует как Backdoor.Win32.PMax.ugh. Он блокирует работу компьютера под предлогом того, что пользователь якобы просматривал запрещенные порнографические материалы и вымогает у жертвы деньги за разблокировку (сумма может быть разной в зависимости от страны проживания жертвы). В-третьих, вредоносную программу Email-Worm.Win32.Hlux.bu, она же Kelihos, которая подключала зараженный компьютер к ботнету. Как видите, киберпреступники не брезгуют ничем. Они используют в своих целях вечную тягу людей к сенсациям даже там, где речь идет о человеческом горе. А это значит, что даже в экстремальных ситуациях пользователи не должны терять бдительности. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013