Электронный журнал "Спамтест" No. 476 В этом номере: Новости Записки спам-аналитиков Новости В России открыта горячая линия «Антифишинг» С начала лета на сайте «Лиги безопасного интернета» открыт прием сообщений о фишинговых сайтах. За тестовый период горячая линия «Антифишинг» собрала 897 жалоб; по 37 из них принято решение о блокировке ресурсов. В середине июля новая служба заработала в полнофункциональном режиме. Оставленный на странице горячей линии «Лиги» сигнал проходит обработку и проверку. Параллельно проводится сбор информации о заявленном ресурсе, которая вместе с результатами проверки передается в правоохранительные органы или соответствующему хостинг-провайдеру. Борьба с фишингом – относительно новое направление работы «Лиги», созданной при поддержке Минкомсвязи РФ для противодействия распространению противозаконного контента в интернете. Ее участниками являются ведущие российские телеоператоры, IT-компании, включая «Лабораторию Касперского», а также общественные организации. Вопросами кибербезопасности, такими как фишинг, DDoS-атаки, мошенничество средствами интернета и мобильной связи, хищение денежных средств с онлайн-счетов, данная организация начала заниматься с осени прошлого года. Источник: «Лига безопасного интернета» Собрались на отдых? Остерегайтесь поддельных писем! Компания Webroot предупреждает о масштабной спам-рассылке, ориентированной на отпускников. Письма спамеров имитируют уведомление с сервиса бронирования мест в отелях и нацелены на распространение троянского кейлоггера. Аналогичные подделки, написанные от имени Booking.com, спам-фильтры регистрируют с завидной периодичностью, особенно в период праздников и сезонных отпусков. Практически все эти письма-ловушки содержат вредоносное вложение. На сей раз спамеры пытаются убедить получателя вредоносного сообщения в том, что тот якобы забронировал семейный номер в британском отеле Westminster и его заказ принят. Вложенный в спам-письмо вредоносный файл, согласно Virus Total, содержит троянца, регистрирующего ввод данных с клавиатуры. Антивирусные решения «Лаборатории Касперского» детектируют его как Trojan-PSW.Win32.Tepfer.nprd. IP-адрес, с которым при запуске связывается зловред, закреплен за российским веб-хостером. Эксперты Webroot также обнаружили, что владельцы названного отеля не продлили регистрацию своего основного домена, и этим воспользовались предприимчивые перекупщики. Посему неудивительно, что IP-адрес, на котором ныне хостится вебсайт отеля Westminster, уже используется рядом зловредов как C&C. Источник: Webroot Почему оценки спам-трафика неодинаковы? Cloudmark назвала основные причины расхождения цифр в аналитических отчетах по спаму, публикуемых различными специалистами. По мнению экспертов компании, при чтении этих отчетов надо обращать внимание на две вещи: размеры клиентской базы автора исследования и методику, применяемую им для сбора данных. Большинство почтовых провайдеров и крупных организаций используют многоступенчатую систему фильтрации нежелательных сообщений. Количество и качество спама, фиксируемого на конкретном фильтре, напрямую зависит от того места, которое он занимает в совокупной последовательности защитных фортификаций. Наиболее простым и быстрым методом отсеивания спама являются черные списки IP-адресов. Он не дает 100%-ной гарантии, но, по мнению Cloudmark, хорош как первая линия обороны. При использовании черных списков почтовые серверы обычно сразу блокируют подключение источника с плохой репутацией, и на этом уровне замерять количество спама и его потенциальных реципиентов бессмысленно. Тем не менее, статистика Cloudmark, отражаемая в ежеквартальных отчетах, основана на данных черных списков. Степень угрозы в разделении по странам оценивается не по объему исходящего спам-трафика, а по количеству заблокированных IP-адресов и их концентрации в национальном адресном пространстве. Вторым этапом проверки входящей корреспонденции является фильтрация на основе анализа метаданных. Этот метод особенно важен в условиях освоения IPv6, так как из-за стремительного роста количества адресов обновлять черные списки становится все сложнее и сложнее. Составить статистику по спаму на основе фильтрации метаданных возможно, но из-за разницы применяемых провайдерами политик сравнивать такие результаты напрямую нет смысла. Кто-то ставит ограничения на блоки IP-адресов, уличенных в подозрительной активности, другие помечают письма специальными флагами или, напротив, применяют полную блокировку. Последнюю линию обороны в классификации Cloudmark составляют контент-фильтры. Они анализируют прошедшую два уровня проверки корреспонденцию и решают, попадет она в папку «Входящие» или в спам-карантин. Поскольку спамеры постоянно меняют шаблоны, темы и элементы социальной инженерии, контент-анализаторы должны уметь быстро реагировать на эти изменения – только так они могут сохранить свою эффективность. В security-компаниях вердикты фильтров могут корректировать дежурные спам-аналитики, ведущие непрерывный мониторинг почтового трафика. Показатели, полученные по итогам контент-анализа, обычно публикуются в отдельных сводках и используются для детализации регулярных отчетов по спаму. Источник: Cloudmark Фишеры вновь атакуют Twitter Финский блогер Янне Ахлберг (Janne Ahlberg) предупреждает о новой фишинговой рассылке, нацеленной на сбор регистрационных данных пользователей Twitter. Послания фишеров распространяются на социальном веб-сервисе в виде прямых сообщений, хотя могут прийти и по электронной почте. Они написаны от имени одного из читателей (followers), числящегося в контактах адресата, и пытаются уверить последнего, что кто-то из знакомых якобы собирается выставить его в неприглядном свете. По свидетельству Ахлберга, указанная фишерами ссылка ведет на поддельную страницу регистрации Twitter, которая размещена на схожем по написанию домене. На этой странице посетителю сообщают, что сеанс связи прерван по соображениям безопасности, и предлагают повторно ввести свои идентификаторы. Данные, введенные на этой странице-ловушке, позволяют фишерам установить контроль над аккаунтом жертвы и использовать его для продолжения своей кампании, рассылки спам-рекламы или взлома других учетных записей, использующих тот же пароль. Проведенный The Register поиск по ключевой фразе на Twitter показал, что фишеры начали свою рассылку 8 июля, и она еще актуальна. Число жалоб, впрочем, весьма невелико, что может свидетельствовать о малом тираже рассылки или же о ее низкой эффективности. Источник: The Register Автодилер заспамил конкурента Красноярская компания «Медведь Маркетинг», маркетинговое подразделение дилерской сети автосалонов «Медведь Холдинг», уплатит 300 тыс. рублей штрафа за рассылку рекламных SMS без предварительного согласия получателей. Административное наказание назначено местным УФАС по результатам проверки, проведенной по жалобе ООО ПКФ «Крепость» – прямого конкурента «Медведь Холдинг» в Красноярском крае. Как показало расследование, перед Новым годом сотрудники «Крепость» получили на свои абонентские номера ряд текстовых сообщений, рекламирующих предпраздничные распродажи автомобилей марок Volkswagen, Hyundai, Mitsubishi, Peugeot, BMW. Распространителем этой рекламы оказалась «Медведь Маркетинг», которая проводила маркетинговую кампанию в пользу «Медведь Холдинг», не удосужившись заручиться согласием адресатов. По итогам расследования Красноярское УФАС признало SMS-рекламу «Медведь Маркетинг» противоречащей требованиям ч. 1 с. 18 федерального закона «О рекламе» и возбудило дело об административном правонарушении. В соответствии с ч. 1 ст. 14.3 КоАП РФ на правонарушителя был наложен штраф в размере 300 тыс. рублей. Источник: УФАС по Красноярскому краю Инициатор спам- рассылки выплатит компенсацию Окружной суд Сан-Диего назначил дату заключительного слушания по делу Premier Brands, Inc. – установленного заказчика pump and dump рассылок. 4 октября будет определен размер штрафа, подлежащего взысканию в пользу истца. Premier Brands является одним из нескольких ответчиков по делу о pump and dump спаме, принятому в производство год назад. Групповой гражданский иск был подан жителем Калифорнии Джорджем Шарпом (George Sharp) после многочисленных и безуспешных попыток самостоятельно остановить поток нежелательных сообщений. Было установлено, что в целях сброса неликвидный акций ответчики наняли сторонних рекламных агентов для проведения спам-рассылок по известной схеме pump and dump («накачка и сброс»). Фальшивые рекламные бюллетени распространялись от имени вымышленных организаций и были снабжены недостоверной контактной информацией. После подачи иска Premier Brands попыталась договориться с Шарпом во внесудебном порядке и даже наняла адвоката, однако никаких мер в отношении спам-рассылок не приняла. Адвокат-посредник поспешил расстаться с нечистоплотным клиентом и изъявил готовность помочь суду в текущем расследовании. В минувшем апреле Premier Brands была признана виновной в организации мошеннической спам-кампании. В соответствии с калифорнийским кодексом профессиональной этики (Business and Professions Code, BPC) умышленное распространение ложных и вводящих в заблуждение сведений карается штрафом в размере до 1 тыс. долл. за каждое спам-письмо, направленное на 1 адрес, либо до 1 млн. долларов за каждый инцидент. Истец надеется через суд добиться запрета на мошеннические рассылки, разыскивает других получателей pump and dump спама и просит их выйти на связь. Источник: GlobeNewswire Записки спам-аналитиков Как кредит всем повредит Татьяна Куликова, эксперт «Лаборатории Касперского» На прошлой неделе нами была зафиксирована необычная фишинговая рассылка с предложением быстрого кредитования. Подобная тематика не характерна для онлайн-мошенников — обычно письмо из «банковской» рассылки обычно представляет собой фальшивое извещение, рассказывающее о возникших проблемах с банковским счетом и требующее от получателя принятия срочных мер для предотвращения его закрытия. Но полученное нами письмо состояло всего из одного лаконичного предложения и короткой ссылки. Такой вариант, согласитесь, выглядит не слишком привлекательно. Но даже если получатель клевал на приманку и желал немедленно получить рекламируемый кредит, он мог столкнуться с неожиданными трудностями. Ссылка в письме вела на созданный мошенниками сайт-заглушку, который перенаправлял потенциального клиента то на целевую фишинговую страницу, то на официальные сайты крупных банков (Сбербанк, Хоумкредит, Тинькофф, Банк Москвы). На самом деле ни один из банков не имеет отношения к этой афере, злоумышленники использовали перенаправление на их сайты, чтобы затруднить обнаружение фишинговой страницы провайдерами и представителями сервиса коротких ссылок. К слову, созданные мошенниками фишинговые страницы представляли собой точную копию страниц крупных банков, на которых вводятся данные для получения кредита. Отличить подделку от официального сайта можно было только по адресной строке браузера, где вместо официального адреса стоял мошеннический. В результате пользователь думал, что заполняет официальную анкету для получения кредита в банке, но на деле просто передавал мошенникам конфиденциальную информацию. Создатели анкеты запрашивали у жертвы не только Ф.И.О. и дату рождения, но также номер и серию документа, удостоверяющего личность, а также информацию о собственности, которой владеет потенциальный заемщик. О том, как они собираются воспользоваться собранными конфиденциальными данными, можно только догадываться. Нам хочется еще раз напомнить о том, что любые личные данные можно оставлять только на официальных, проверенных сайтах. И, конечно же, не стоит пользоваться услугами, которые рекламируются посредством спам-рассылок. В противном случае шанс получить сумму, необходимую для покупки машины или кухонного гарнитура, упадет до нуля, зато серьезно увеличится вероятность потерять собственные накопления. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013