Электронный журнал "Спамтест" No. 484 В этом номере: Новости Записки спам-аналитиков Новости Летняя диета от спамеров Согласно статистике Commtouch, минувшим летом спамеры, против обыкновения, решили обойтись без отпуска и работали не покладая рук, постепенно увеличивая свою активность. По данным компании, в мае уровень спама в почтовом трафике составил 78%, в июне – 79%, в июле 82%, а в августе повысился до 84%. По мнению экспертов, основной причиной увеличения этого показателя является учащение спам-рассылок, продвигающих новые диеты – в частности, на основе зеленого кофе. Согласно данным поисковика Google, в прошлом году не прошедшие термическую обработку кофейные зерна составляли один из наиболее популярных предметов поиска. Пик интереса к новомодному сжигателю жира в Google пришелся на сентябрь, а потом пошел на спад. Спамеры, против ожидания, далеко не сразу отреагировали на новинку и взяли ее на вооружение лишь в минувшем июне. Предложения трудоустройства, столь популярные у спамеров в начале текущего года, в августе были представлены лишь двумя спам-рассылками. По данным Commtouch, большинство этих нелегитимных писем распространялись с белорусских IP-адресов. В Германии в августе был зафиксирован всплеск вредоносного спама, имитирующего извещения от местных компаний. Как правило, распространители зловредов прилежно копировали текст легального письма и добавляли к нему вредоносное вложение – обычно в формате PDF. Такие спам-сообщения нередко маскировались под подтверждение брони в отеле или заказа на авиарейс. Августовский рейтинг Commtouch по исходящему спаму в разделении по странам возглавила Индия с показателем 6,8% глобального потока. Второе место с небольшим отрывом заняла Беларусь (6,7%). Основная масса вредоносных сообщений распространялась с итальянских IP-адресов. Источник: Commtouch Фармаспамеры пошли в наступление В начале сентября участники антиспамерского проекта Hoax Slayer обнаружили несколько спам-рассылок, использующих имена легальных сервисов для продвижения нелицензированных интернет-аптек. Одна из новейших спам-рассылок на эту тему проводилась от имени службы Google Support. Спамеры пытались убедить получателя, что одно из якобы отосланных им сообщений заблокировано на спам-фильтре названной компании. Приведенные в тексте поддельного письма ссылки предлагали ознакомиться с более подробной информацией или прочесть «заблокированное» сообщение. Как оказалось, все они вели на одну и ту же страницу интернет-аптеки, отпускающей контролируемые препараты без рецепта. Схожая спам-рассылка была замечена несколькими днями ранее. Эти поддельные письма распространялись от имени некоего пользователя социальной сети LinkedIn, якобы направившего приглашение получателю спам-письма. По свидетельству борцов со спамом, все приведенные в фальшивом приглашении ссылки, включая стандартную для этой формы кнопку Accept («Принять»), вели на один из сайтов Canadian Pharmacy – хорошо известной сети интернет-аптек, издавна продвигаемой в спаме. Активисты не рекомендуют получателям подобных нелегитимных писем оформлять заказы на рекламируемых аптечных веб-сервисах. Предлагаемые на этих сайтах фармацевтические препараты могут в лучшем случае оказаться бесполезными подделками, а в худшем случае – нанести серьезный вред здоровью. Кроме того, нелицензированные аптеки, как правило, не имеют защищенных каналов для приема оплаты, и данные платежной карты покупателя могут случайно или по злому умыслу попасть к мошенникам. В заключение Hoax Slayer отмечает, что в последние годы имя LinkedIn и других социальных сетей (Facebook, Twitter) с завидной регулярностью появляется в партнерском спаме, рассылаемом в пользу представителей теневой фарминдустрии. Источник: Hoax Slayer «Нигерийские» мошенники шпионят за конкурентами По свидетельству известного журналиста и исследователя Брайана Кребса, недавний взлом веб-сервиса BestRecovery (ныне PrivateRecovery), снабжающего клиентов Windows-кейлоггерами, открыл миру любопытные, но вполне ожидаемые факты. Как оказалось, этой платной службой пользуются несколько тысяч «нигерийских» мошенников. Еще более удивителен тот факт, что «нигерийцы» часто фигурируют и в списках жертв прокатных кейлоггеров, отчеты о работе которых были также найдены в архивах BestRecovery. По словам Кребса, названный теневой веб-сервис за месячную абонентскую плату предоставляет клиентам доступ к соответствующему инструментарию, а также инструкциям по кастомизации зловреда и маскировке его под невинный скринсейвер. Многие подписчики используют эту службу, чтобы шпионить за многочисленными пользователями из разных стран. Защита BestRecovery на поверку оказалась весьма слабой, посему неудивительно, что любой желающий может без особого труда завладеть его логами и клиентскими данными. Просмотрев предоставленный ему список из 3 тыс. клиентов BestRecovery, Кребс сразу обратил внимание на то, что большинство из них имеют явно африканские имена и являются ярыми поклонниками почтового сервиса Yahoo. Около 10% этих адресов оказались привязанными к активным Facebook-аккаунтам. Пробивка некоторых почтовых адресов в поисковике обнаружила множество жалоб на лотерейное мошенничество, разорительные знакомства, недоставку оплаченных товаров и прочий сетевой обман. Большое количество IP-адресов пользователей BestRecovery, зафиксированных в логах на взломанном сервере, имеют нигерийскую прописку. В списках жертв клиентских кейлоггеров тоже оказалось много нигерийцев, а также ливийцев, турок и египтян. Многие зараженные ПК были при этом помечены как «Yahoo Boys». По словам Кребса, эту кличку часто присваивают молодым гражданам Нигерии, которые, будучи студентами, «подрабатывают» разными видами кибермошенничества. Справедливости ради стоит отметить, что компьютеры американцев представляют для клиентов BestRecovery не меньший интерес, чем ресурсы африканских коллег по цеху. Как показывает практика, «нигерийцы» довольно легко выуживают деньги у жителей США, обещая в обмен мифическое наследство или долю при выводе чужих капиталов из-за рубежа. Еще легче американцы «клюют» на заманчивые предложения встретиться с давним виртуальным знакомым, пробудившим в них нежные чувства. В списках американских жертв клиентов BestRecovery Кребс нередко встречал пометку «picture» («фото»). Похоже, что наживающиеся на виртуальных знакомствах мошенники заражают компьютеры своих «ромео» и «джульетт» с помощью подставных фотографий, высылаемых по просьбе увлеченного новым знакомством корреспондента. Источник: Krebs on Security Спамеры распространяют панику и зловредов Пока в Вашингтоне ведутся дебаты о возможном начале военных действий в Сирии, спамеры уже решили этот вопрос в свою пользу. С середины августа «Лаборатория Касперского» и другие специалисты по интернет-безопасности наблюдают масштабную рассылку поддельных сообщений от имени CNN, утверждающих, что США начали бомбардировать столицу Сирии. Единственное назначение этой «утки» от спамеров – засеять как можно больше вредоносных программ, ворующих информацию с зараженных компьютеров. По свидетельству экспертов, текст опасных писем местами грешит против правописания и снабжен короткой ссылкой под кнопкой Full story («читать далее»). Последняя привязана к взломанному сайту с редиректом, перенаправляющим посетителя на площадку с эксплойтами к Adobe Reader и Java устаревших версий. Целью данной атаки является установка на машину жертвы трояна-загрузчика, который, в свою очередь, скачивает других троянцев, таких как Medfos, Fareit и ZeuS. В начале сентября ThreatTrack Security обнаружила также аналогичные вредоносные письма, распространяемые от имени ВВС. Обновив свой шаблон, спамеры, однако, допустили одну небрежность: на подписи к фотографии, включенной в тело письма, по-прежнему красуется имя CNN, хотя отправителем и автором выходных данных указана новостная служба ВВС. Эксперты настоятельно рекомендуют удалять «горячие новости» от спамеров не читая. Источник: ThreatTrack Security В Южной Африке раскрыт преступный синдикат В ЮАР перед судом предстанут 54 предполагаемых участника крупнейшей криминальной группировки, ответственной за кражу не менее 15 млн. рэндов (свыше 1,5 млн. долларов) со счетов южноафриканцев. Подозреваемым предъявят обвинения в фишинге, мошенничестве, краже личности (identity theft), рэкете и отмывании денег. Расследование по данному делу было начато в прошлом году. По словам силовиков, привлекшая их внимание преступная организация по сути представляет собой мафиозный клан, очень многочисленна и, возможно, имеет зарубежные связи. Насколько известно, ее главари используют несколько имен и паспорта разного подданства: Ганы, ЮАР, Нигерии, Конго. Список преступлений, вменяемых участникам данной группировки, весьма внушителен и напоминает сценарий голливудского блокбастера. Согласно данным следствия, в рамках фишинговой схемы злоумышленники распространяли тысячи поддельных писем и от имени банка просили адресатов обновить пароль, PIN-код и адрес проживания. Многие получатели таких писем попались в расставленные сети, так как фальшивые сообщения, по свидетельству полиции, выглядели весьма достоверно. Завладев финансовой информацией своей жертвы, фишеры отправлялись в салон сотовой связи и от ее имени получали новую SIM-карту, чтобы самим получать запросы банка на подтверждение транзакций. После этого они спокойно выкачивали деньги жертвы на подставные счета, открытые соучастниками в других городах по поддельным документам, а потом распоряжались ими по своему усмотрению. По свидетельству полиции, за один день участникам фишинговой схемы удалось украсть 6,6 млн. рэндов (около $663 тысяч) с 21 взломанного счета. В другой раз за день они опустошили 30 счетов, выкачав с них 3,1 млн. рэндов. Чтобы уверенней действовать от имени своих жертв, мошенники пытались выведать их данные у семейных врачей, дантистов и адвокатов. Они также обращались в бюро кредитных историй и, убедившись в состоятельности намеченной жертвы, клонировали ее удостоверение личности, создавали фальшивые платежные ордера и начинали от ее имени покупать одежду, мебель, автомобили и драгоценности. Источник: City Press Записки спам-аналитиков Миллион от маленькой больной девочки Татьяна Щербакова, эксперт «Лаборатории Касперского» Рассказы о смертельных болезнях и желании пожертвовать деньги, просьбы о помощи в лечении больных родственников встречаются в «нигерийском» спаме довольно часто. Но в рассылке, обнаруженной нами в сентябре, подобная история использовалась в довольно оригинальном ключе. На этот раз мошенник, представившийся гражданином США, поведал грустный рассказ о своей болеющей лейкемией 6-летней дочери, которой якобы нужна пересадка костного мозга. Но в отличие от своих коллег по ремеслу, мошенник не стал просить денег на лечение, вместо этого он предложил получателю гарантию победы в Национальной лотерее Великобритании в обмен на половину будущего выигрыша. Как оказалось, «американский гражданин» работает личным секретарем наблюдателя лотереи и знает заветные выигрышные цифры. К сожалению, он сам не может принять участие в лотерее и помочь своей больной дочери, а потому просит потенциальную жертву прислать личные данные, чтобы сыграть от его имени. Предполагается, что призовые 2 миллиона фунтов будут зачислены на кредитную карту мошенника, с которой он затем переведет половину выигрыша доброму помощнику. И все бы хорошо, но в конце письма «американский гражданин» как бы невзначай сообщает, что нужно заплатить взнос за участие в лотерее - всего лишь 25-350 фунтов. Сущий пустях на фоне гарантированной возможности выиграть 2 миллиона! Расчет мошенника прост: кто сможет отказаться от такого заманчивого предложения, тем более, когда речь идет не только о собственном обогащении, но и о спасении жизни ребенка? А чтобы дополнительно убедить будущую жертву в чистоте своих намерений, мошенник готов выслать ей свои данные. Вот только хорошей гарантией они не станут, и потому, заплатив за участие в лотерее, жертва, как это обычно бывает, останется не только без обещанных миллионов, но и без своих собственных денег. Умри и стань миллионером Татьяна Куликова, эксперт «Лаборатории Касперского» В один прекрасный день вы открываете свою электронную почту и вдруг видите уведомление о собственной смерти. Интригует, не правда ли? Более того, далее выясняется, что некий банк уже получил свидетельство о вашей смерти и теперь готовится распоряжаться огромным наследством. Что делать в этом случае? Авторы письма наверняка предложили бы порадоваться банковской ошибке и возможности при жизни стать обладателем внушительной денежной суммы, но мы, в свою очередь, настоятельно рекомендуем их не слушать. Сначала попробуйте вчитаться в полученное письмо - как минимум, вас сразу же должно насторожить упоминание банка Нигерии. А когда речь идет о крупной сумме денег и этой африканской стране, на ум сразу же приходят «нигерийские» мошенники. И, вы не поверите, это действительно они. Только в этом письме схема оказывается более сложной, чем в привычных извещениях о западноафриканских миллионах. Как только получатель подтвердит, что он жив, «банковский служащий» тут же поймет свою прискорбную ошибку и в следующем письме принесет многочисленные извинения. А далее объяснит, что деньги принадлежат вашему однофамильцу, который действительно умер, и предложит получить миллиарды покойного, предварительно отдав «банковскому работнику» небольшую часть своих денег в качестве платы за посредничество. При получении таких писем важно помнить, что риск остаться без денег мгновенно возрастает, стоит вам только пойти на поводу и попытаться засвидетельствовать факт своего существования. Поэтому мы рекомендуем посмеяться на уловкой мошенников (ведь смех продлевает жизнь!), а затем удалить письмо в корзину. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013