Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 485

В этом номере:


Новости

Российский Do not Сall: плюсы и минусы

Как сообщают «Известия» и «Вести FM», депутат Госдумы РФ Илья Костунов подготовил законопроект о создании национального реестра «Не беспокоить». Аналогичные стоп-листы Do not call и Do not Disturb, помогающие ограничить объемы непрошеной рекламы в сетях сотовой связи, с разной долей успеха уже работают в США, Канаде, Австралии, Новой Зеландии, Индии, Сингапуре, а также в отдельных американских штатах и в сетях некоторых крупных зарубежных телеоператоров.

По замыслу автора законопроекта, абонентам, не желающим получать текстовую и речевую рекламу, будет предоставлена возможность вносить свои номера в общероссийскую базу. Список «отказников» должен обновляться еженедельно. Рекламодателей обяжут регулярно производить корректировку списков рассылки, сверяясь этой базой. За нарушение покоя владельца номера, внесенного в национальный реестр «Не беспокоить», Костунов предлагает взимать штрафы в размере до 500 тыс. рублей. «Если на номер, внесенный в базу, придет рекламное SMS, это будет однозначным правонарушением. Контролирующим органам легко будет привлечь к ответственности спамеров по ст. 14.3 КоАП РФ», – заявил он. В соответствии с данной статьей, как отмечают «Известия», нарушителям российского законодательства о рекламе может быть назначен штраф: гражданам – в размере от 2 тыс. до 2,5 тыс. рублей, должностным лицам – от 4 тыс. до 20 тыс. рублей, юридическим лицам от 100 тыс. до 500 тыс. рублей.

Внести номер в российский стоп-лист можно будет через сайт gosuslugi.ru или подав заявление в один из в центров предоставления госуслуг. Согласно новому законопроекту, включение номера в этот список аннулирует заявленное ранее согласие его владельца на получение рекламы. Такое согласие клиенты часто дают автоматически при покупке товара или подключении какой-либо услуги. «Спамеры штрафов не боятся, – поясняет автор законопроекта, – Они прячутся, но даже если их поймают, выясняется, что абонент пару лет назад покупал обувь и расписался в анкете, разрешив обрабатывать персональные данные и получать сообщения в течение пяти лет. Как отписаться, совершенно непонятно, SMS в ответ не дойдет. Если звонить – попадешь к продавцам, которые ничем не помогут».

Порядок создания, финансирования и эксплуатации базы «Не беспокоить», по мнению Костунова, должно установить правительство РФ. Список будет состоять из общедоступной части (номер телефона, дата внесения в базу) и закрытой. Содержание закрытой части реестра будет определять уполномоченный правительством орган. Дата вступления законопроекта в силу – 1 сентября 2014 года. Его автор разработал также соответствующие поправки к ФЗ «О связи», «О персональных данных» и «О рекламе». Пакет новых предложений Костунова был внесен в Думу 17 сентября.

По мнению гендиректора исследовательской компании TelecomDaily Дениса Кускова, создание системы, которую предлагает депутат, обойдется в 15–20 млн. рублей. «Все зависит от конкретной конфигурации, – отмечает Кусков. – К примеру, можно добавить функцию SMS-уведомления о внесении в базу. Это как тюнинг автомобиля. Любая новая функция – дополнительные расходы».

По данным Кускова, в настоящее время на долю нелегитимных сообщений приходится 90% российских SMS-рассылок. При этом рынок легальной рассылки SMS составляет сотни млн. рублей в год. Напомним: согласно оценке AC&M-Consulting, уровень спама в сетях «большой тройки» («Билайн», МТС, «Мегафон»), активно борющейся с текстовым мусором, в настоящее время составляет порядка 8-10%.

В пресс-службе «Вымпелкома» корреспонденту «Известий» заявили, что все ведущие операторы связи при содействии органов власти работают над созданием единого механизма, который позволит на законодательном уровне обеспечить качественную защиту российских абонентов от спам-рассылок. «Что касается создания базы номеров «Не беспокоить», то проект требует явной доработки, – считают представители «Вымпелком», – Не до конца ясна схема защиты абонентов от спама, а доступность базы будет на руку недобросовестным рекламодателям. Операторы должны пропускать весь трафик. Поэтому необходимо обеспечить систему, которая бы дала операторам на законодательном уровне возможность не допускать спам до абонентов».

Возможно, этот пробел в российском законодательстве исчезнет к тому времени, когда заработает «Не беспокоить» – если, конечно, Россия в итоге получит такой в принципе полезный реестр. Как известно, Минкомсвязи ранее предложило ряд поправок к ФЗ «О связи», согласно которым операторы сотовой связи обретут право фильтровать SMS мусор на законных основаниях.

Что касается перспектив предложений Костунова, их успех, как справедливо отметил репортер из «Вести FM», будет во многом зависеть от активности самих абонентов. Как и любое другое отдельно взятое средство, внесение телефонного номера в национальный список не обеспечит его владельцу 100%-ной защиты от непрошеной рекламы. Кроме того, предложенный способ внесения номера в базу «отказников» потребует от его владельца дополнительных усилий. Следует также учитывать, что правонарушителей штрафуют лишь при обращении потерпевшего в полномочную инстанцию.

В мировой практике существуют и другие, более простые альтернативы. Председатель комиссии РАЭК хостинг-провайдеров и регистраторов Матвей Алексеев предлагает, например, прописать в законах опцию отказа от рассылки для SMS-сервиса. «Прежде всего, надо задуматься о том, как уведомить пользователя о том, что он сам может отказаться от этой рассылки, – поясняет он свою точку зрения на страницах «Вести FM». – В подвале каждого письма стоит: «Если вы не хотите читать эту рассылку (как в е-мейле делается), то вы можете отказаться от нее». То же самое можно сделать и в SMS. Если вы не хотите получать рассылку, отправьте цифру 1 или NO на такой короткий номер, чтобы это все было бесплатно, и вы перестанете получать эту рассылку. Не надо всё взваливать на плечи контент-провайдеров».

Источник: «Известия»

Почтовый «ящик Пандоры»

Эксперты Trend Micro предупреждают о новой спам-кампании, нацеленной на засев вредоносных программ для платформ J2ME, Android и iOS. Поддельные email-уведомления о «новом речевом сообщении» распространяются от имени и с логотипом WhatsApp – кросс-платформенного сервиса обмена мгновенными сообщениями для мобильных устройств.

Чтобы сделать свою наживку более убедительной, авторы вредоносного письма указывают некое время мифического звонка и его продолжительность. Если получатель кликнет по предложенной кнопке «Play», он попадет на вредоносный веб-сайт. Здесь его предупредят (на русском языке!) о том, что его браузер устарел, и предложат его обновить, нажав на кнопку «Загрузить сейчас». При ее активации происходит загрузка вредоносного файла с именем browser_update_installer. Формат этого файла зависит от агента, используемого посетителем.

Если вход на сайт загрузки выполнен с ПК, работающего под Windows, загрузится JAR-файл или, в некоторых случаях, ZIP-архив, содержащий вредоносный EXE-файл. Trend Micro детектирует browser_update_installer.jar как SMS-троянца.

Если пользователь просматривает почту на Android-устройстве, он получит .apk, который по-русски запросит разрешение на установку некоего Browser 6.5. Фальшивый браузер эксперты опознали как Opfake – известного мобильного зловреда, способного отправлять премиум-SMS на заданный хозяином номер. Более того, после установки «браузер» начинает настойчиво просить разрешение на загрузку другой вредоносной программы.

Пользователю iOS отображается заставка с полосой загрузки, однако инсталляции при этом не произойдет: эта операционная система по умолчанию разрешает установку лишь тех программ, которые скачаны из App Store. Эксперты предупреждают, что при джейлбрейке риск для iOS-устройств вполне вероятен.

Активисты security-проекта TechHelpList также проанализировали мультиплатформенную рассылку и обнаружили, что проверяющие юзер-агент и, возможно, IP-адрес страницы умеют блокировать слишком настойчивых посетителей. Если такого пытливого визитера занесут в черные списки, ему будет отображать фейковое сообщение «HTTP 404 – не найдено». Борцы с почтовыми угрозами полагают, что данная рассылка является продолжением спам-атаки с ботнета Asprox, который недавно рассылал аналогичные письма-ловушки с приглашением на свадьбу, а в августе – в виде традиционных извещений от имени Почтовой службы США и FedEx.

Источник: Trend Micro

Android-зловреды в почтовом спаме

На первый взгляд может показаться, что обнаруженные FireEye вредоносные сообщения используют старые трюки, однако проведенный экспертами анализ показал, что они нацелены вовсе не на drive-by загрузки или засев обычных вредоносных программ для ПК. Вместо этого авторы спам-рассылки подрядились распространять по почте мобильных зловредов, в данном случае FakeDefender.

Новая спам-кампания запущена в начале сентября и использует имя Почтовой службы США. Текст поддельного письма гласит: «USPS Notification: Courier couldn’t make the delivery of your parcel. Reason: Postal code contains an error» («Уведомление от USPS: курьер не смог доставить вам почтовое отправление. Причина: неверно указан почтовый индекс»). Получателю зловредной фальшивки предлагается «распечатать ярлык», нажав одноименную кнопку.

По свидетельству экспертов, при активации этой ссылки на мобильное устройство пользователя загружается вредоносный файл в формате АРК. Анализ производимых при этом HTTP-запросов обнаружил около двух десятков URL, с которых осуществляется загрузка apk-файлов. Некоторым из них для маскировки присвоено имя LabelReader.apk.

FireEye отмечает, что данный зловред не нов – первые образцы появились в начале текущего года. Тогда FakeDefender требовал от пользователей «платы за очистку несуществующих угроз на их устройстве». Если жертва оплатит лицензию, ее мобильное устройство якобы будет защищено от инсталляции любых вредоносных программ.

Попав на зараженное устройство, FakeDefender может перехватывать входящие и исходящие звонки и текстовые сообщения. В некоторых случаях зловред использует в целях маскировки разные пользовательские агенты: на одном устройстве он может выглядеть как загадочный .apk, на другом – как zip-архив с безобидным именем вроде Wedding_Invitation_Chicago («приглашение на свадьбу в Чикаго»).

ОС Android способна предотвратить установку подобных лже-антивирусов, однако избранный злоумышленниками канал распространения зловреда для этой платформы достаточно необычен и скорее характерен для Windows-угроз. Во избежание загрузки подозрительных программ пользователи Android могут отключить в настройках безопасности опцию «Allow installation of apps from unknown sources» («разрешить установку приложений из неизвестных источников»). В том же разделе можно активировать функцию проверки приложений, которая тоже предотвратит установку зловредов или предупредит пользователя о нежелательной инсталляции.

Источник: FireEye

Symantec отчиталась за август

По данным нового отчета Symantec в августе доля мусора в почтовой корреспонденции снизилась на 2,4% и составила 65,2%. Больше всех от спама страдали жители Саудовской Аравии, где нелегитимные сообщения составили 78,6% почтового трафика, а также учебные заведения (68,9%) – как и в предыдущие летние месяцы.

На долю Тор 10 стран-источников почтового мусора пришлось немногим более половины глобальных объемов, при этом их индивидуальный вклад был небольшим и распределялся достаточно равномерно. Непочетный пьедестал заняли Индия (6,98%), США (6,66%) и Испания (5,72%).

В тематическом составе спама в августе преобладала с большим перевесом категория «Порно/Знакомства» (70,4% мусорной почты). Второе место заняли предложения разных диет (12,3%), третье – реклама фармацевтических препаратов (9,4%).

Данные по размеру нелегитимных сообщений и TLD-доменам, найденным в спамерских URL, Symantec представила с отставанием в один месяц. Больше половины (50,7%) июльских спам-писем по объему превышали 10 КБ, тогда как в предыдущем месяце преобладала категория 5-10 КБ (47,5%). На долю коротких, до 5КБ сообщений в обоих случаях пришлось немногим более 20% спама.

Рейтинг присутствия TLD-доменов в URL-спаме в июне и июле уверенно возглавлял .pl (58,9 и 47,8% соответственно). За ним с большим отрывом следовали .com (18,4 и 15,9%) и .ru, вклад которого в июле составил 14,3% (данных за июнь эксперты не привели).

Доля фишинговых сообщений в почтовой корреспонденции в минувшем месяце возросла: таких писем Symantec регистрировала одно на 625,6, тогда как в июле – на 736,5. Резкое повышение фишерской активности наблюдалось в Японии (1 письмо на 443,2), занявшей в августе третье место в рейтинге стран-мишеней. В этом списке ее опередили Великобритания (на 246,1) и ЮАР (1 на 339,3). Как всегда в последнее время, большинство посланий фишеров были адресованы представителям правительственных ведомств (1 письмо на 76,7).

Список стран-источников фишинговых рассылок на сей раз возглавила Япония с долей 54,74%. За ней следуют Гонконг (16,94%) и США (10,16%). Около половины веб-сайтов, задействованных в этих рассылках, были созданы автоматизированными средствами, 41% ловушек размещались на взломанных ресурсах. При этом на долю имитаций финансовых сервисов пришлось 66,8% фишинговых сайтов, поддельных информационных порталов – 27,0%.

Вредоносная составляющая электронной почты в конце лета тоже увеличилась: в июле зараженным было каждое 465-е письмо, в августе – каждое 340-е. Основными источниками зловредных сообщений являлись американские (43,14% общего объема) и британские (21,99%) компьютеры. Наиболее высокие уровни вредоносных рассылок наблюдались в Великобритании (1 письмо на 174,9) и в госсекторе (1 на 53,2).

Особый раздел августовского отчета Symantec посвятила атакам на социальные сервисы. Согласно статистике компании, в текущем году наибольшую угрозу в этой среде составляют фальшивые предложения, на долю которых пока приходится 82% спам-рассылок – против 56% в 2012 году. Обычно такие послания имитируют приглашение присоединиться к обсуждению мифического события или к обособленной группе участников. В качестве приманки пользователю сулят «бесплатную» подарочную карту. Такое навязанное членство, по свидетельству экспертов, чревато потерей персональных данных или денег – на оплату премиумных SMS.

Рассылка сообщений с призывом загрузить вредоносный плагин для браузера под видом легитимного расширения тоже превратилась в социальных сообществах в серьезную угрозу. В прошлом году на долю таких опасных сообщений приходилось 5% атак, в 2013 – уже 8,2%. Возрос также объем аналогичных предложений установить вредоносную программу, выдаваемую за легальное приложение. В прошлогоднем рейтинге от Symantec эти предложения заняли лишь шестое место, в текущем году – четвертое (2,1% атак). Злоумышленники нередко пакуют зловреда вместе с пиратской копией безобидной программы и выдают весь комплект за ее бесплатную версию. Третье место среди атак в социальных сетях по итогам первого полугодия занял угон «лайков» (5,2%).

Источник: Symantec

Тройной штраф за непрошеную SMS-рекламу

В Кузбассе на 300 тыс. рублей оштрафовано ООО «Билдинг», распространявшая рекламные SMS-сообщения без согласия получателей. Суммарное административное взыскание было назначено Кемеровским УФАС по итогам рассмотрения жалоб, поданных тремя гражданами.

Как показало следствие, строительная компания действительно была причастна к рассылке текстовой рекламы услуг такси. Поскольку заявители на такие рассылки не подписывались, распространяемая «Билдинг» SMS-реклама была признана ненадлежащей. По каждому из трех дел спамеру назначили штраф в размере 100 тыс. рублей.

Напомним: согласно ч.1 ст. 18 российского закона «О рекламе», коммерческие рассылки по сетям электросвязи допускаются лишь при наличии предварительно заявленного согласия адресатов.

В пресс-релизе антимонопольщиков также отмечено, что с конца 2012 года Кемеровское УФАС уже рассмотрело около 30 заявлений о незаконных рекламных рассылках. По SMS-рекламе услуг такси возбуждено 12 дел, семь из них находятся в стадии рассмотрения.

Источник: УФАС по Кемеровской области


Спам в август 2013 года

Татьяна Щербакова,
эксперт «Лаборатории Касперского»

Мария Вергелис,
эксперт «Лаборатории Касперского»

Август в цифрах

  • В августе доля спама в почтовом трафике уменьшилась на 3,6% и составила 67,6%.
  • Доля фишинговых писем в почтовом потоке по сравнению с июлем увеличилась более чем в 10 раз и составила 0,013%.
  • Вредоносные вложения содержались в 5,6% всех электронных сообщений, что на 3,4% выше показателя прошлого месяца.

Главные события месяца

В августе 2013 года спам сильно криминализировался, значительно выросло количество мошеннических и вредоносных писем на фоне уменьшения общей доли спама.

В преддверии нового учебного года одной из самых эксплуатируемых спамерами тем стал День знаний (что было вполне предсказуемо): в августе нам часто встречалась реклама всевозможных школьных товаров. Также злоумышленники рассылали немало спама, эксплуатирующего тему здоровья и спортивного образа жизни. Наконец, услугами спамеров пользовались продавцы автомобилей, различных аксессуаров для них, а также сопутствующих услуг.

Спам для автолюбителей

Для многих современных людей автомобиль - это не просто средство передвижения, а смысл жизни, на который они тратят свободное время и приличные суммы денег. Спамеры охотно используют интерес пользователей к автомобилям: в августе нами было зарегистрировано несколько рекламных рассылок, среди которых были не только стандартные предложения продажи и ремонта машин, но и более оригинальные. Например, авторы одной из рассылок предлагали пройти мастер-класс по изготовлению тортов в форме автомобилей.

Ужесточение штрафов за нарушения правил дорожного движения и наличие на дорогах камер слежения спамеры использовали для рекламы чудо-пленок, наклеиваемых поверх номера машины, и услуг по изготовлению дубликатов номеров. Предполагается, что эти ухищрения сделают номерной знак невидимым для инфракрасных камер автоматической фиксации. Для привлечения внимания получателей подобных рассылок использовались и весьма нехитрые заголовки вроде «Изготовление номеров», и интригующие, с упоминанием нанотехнологий. В письмах спамеры использовали и традиционное текстовое описание, и графические файлы.

Жизнь без долгов

В июле мы уже писали в блоге о мошеннических сайтах, на которых автовладельцы могут якобы проверить наличие штрафов за нарушение ПДД и тут же оплатить их. В августе нами была зафиксирована похожая мошенническая рассылка с рекламой сайта проверки государственных задолженностей. Письмо было оформлено как официальное, только вот адрес отправителя был совсем не похож на легитимный. Он был сгенерирован автоматически и менялся от письма к письму, как, впрочем, и темы сообщений.

В письме содержались три одинаковые ссылки, которые перенаправляли пользователя на один и тот же мошеннический сайт. Там под предлогом проверки задолженности жертве предлагали зарегистрироваться и ввести не только свои контактные данные и ФИО, но и номер паспорта, ИНН, а также номер автомобиля и свидетельства о его регистрации. От юридических лиц требовали данные об организации. Таким образом, мошенники собирали информацию о гражданах РФ, которая в дальнейшем могла бы быть использована для различных махинаций. Кроме того, регистрация на подобных сайтах может повлечь за собой и финансовые потери. Например, для подтверждения введенного мобильного телефона пользователя могут попросить прислать ответное SMS, за которое со счета мобильного телефона будет без предупреждения списана значительная сумма. Также злоумышленники могут просто потребовать некоторую сумму денег (как правило, очень скромную) за информацию о задолженностях.

Снова в школу!

Как и следовало ожидать, для спамеров всего мира август прошел под девизом «Снова в школу!». В преддверии нового учебного года самой эксплуатируемой среди злоумышленников темой стал День знаний, а основной задачей спамеров было продвижение всевозможных школьных товаров.

В Рунете чаще других нам встречались сообщения с рекламой школьной формы и канцелярских товаров. Первые в большом количестве приходили с анонимных почтовых ящиков и содержали короткие ссылки, перенаправляющие пользователя на сайт интернет-магазина, где он при желании мог сформировать и оформить заказ. Некоторые сообщения содержали номера телефонов, сильно зашумленные буквенными символами, - классический способ обхода спам-фильтров. Для привлечения внимания пользователей использовались крупные короткие заголовки, например «ШКОЛЬНАЯ ФОРМА по ДОСТУПНЫМ ЦЕНАМ» или «КАЧЕСТВЕННАЯ ФОРМЕННАЯ ОДЕЖДА ДЛЯ ШКОЛЫ». Также в обнаруженных рассылках попадалось упоминание законопроекта о школьной форме, внесенного на рассмотрение Государственной Думы РФ этим летом. Такая информация, вероятно, должна была создать у получателя впечатление, что в новом учебном году его ребенку никак не обойтись без рекламируемой спамерами школьной одежды.

Сообщения с рекламой канцелярской продукции также рассылались с почтовых ящиков, адреса которых были сгенерированы автоматически и менялись от письма к письму; в качестве имени отправителя каждый раз указывались разные имена и фамилии. Единственное, что было общим для всех писем, это ссылка на JPEG-файл – картинку, содержащую небольшой перечень товаров с ценами, и сообщение о распродаже и снижении цен. Адреса сайтов или контактные данные в письме отсутствовали, поэтому получить какую-либо дополнительную информацию о товарах можно было, лишь ответив на такое письмо. Таким образом заказчики спам-рассылки получали потенциального клиента, а спамеры – сигнал о том, что почтовый ящик получателя существует и активно используется. В перспективе это может привести к увеличению количества отправляемого на адрес пользователя спама.

Лечебный спам

Значительную часть августовского спама составили сообщения, связанные с темой здоровья и здорового образа жизни. Спамеры уделили внимание сторонникам и традиционной, и народной медицины.

Одной из самых популярных спамерских тем была и остается реклама препаратов для снижения веса без изнуряющих диет. В прошлом месяце мы фиксировали подобные рассылки как в Рунете, так и в англоязычном интернете.

Русскоязычные сообщения, как правило, содержали короткую ссылку, направляющую пользователя на рекламный сайт. Нередко к ней добавлялись контактные данные для связи и заказа товара.

В августе мы фиксировали множество рассылок с приглашениями на онлайн-семинары, предлагающие пользователям различные программы оздоровления организма, чаще всего суставов или позвоночника.

Также с помощью массовых рассылок рекламировались стоматологические услуги по сниженным ценам. Такие сообщения приходили с безличных почтовых ящиков и помимо информации рекламного характера содержали телефон для заказа предлагаемых спамерами услуг.

Стоит упомянуть, что нередко для привлечения внимания к продаваемым товарам спамеры использовали слово «фитнес». Так, например, нами была зафиксирована рассылка с рекламой фитнес-самокатов. Для получения подробной информации о новинке пользователь должен был пройти по ссылке на только что созданный в рекламных целях сайт.

Географическое распределение источников спама

По итогам августа 2013 года первая тройка стран — источников спама, распространяемого по всему миру, выглядит следующим образом. На первом месте находится Китай (21%), по сравнению с прошлым месяцем его показатель сократился на 2,4%. Второе место занимают США - доля спама, рассылаемого из этой страны, увеличилась на 1% и составила 19%. Третье место по-прежнему остается за Южной Кореей (15,4%), ее доля увеличилась на 0,5%. В целом из этих трех стран в августе было разослано 55% мирового спама.

На 4-м месте, как и в прошлом месяце, расположился Тайвань (5,5%), продемонстрировав совсем небольшое увеличение доли спама (0,1%). Почти на 2% выросла доля спама, рассылаемого из России: страна переместилась на 5-ю позицию нашего списка с показателем 4,3%. В прошлом месяце, напомним, Россия замыкала первую десятку стран.

Также на пять позиций вверх в списке поднялась еще одна страна – Япония (1,8%), чей показатель увеличился на 0,9%. В результате в августе страна находилась на 11-й позиции. Однако если тенденция сохранится, в следующем месяце Япония может оказаться уже в первой десятке.

Остальные входящие в ТОП-10 страны не изменили своего местоположения, а их показатели претерпели лишь незначительные колебания.

Ситуация со спам-потоками в Рунете по итогам августа выглядит следующим образом. В первой тройке по итогам месяца произошли значительные изменения. Лидером среди стран – источников спама в Рунете остался Тайвань (13%), чей показатель в августе увеличился на 1,6%. Сразу на 2-е место с 7-го перешла Россия (10%), прибавив за прошедший месяц 4,5%. На 3-м месте находится Вьетнам (8,7%), его показатель увеличился на 1,4%.

Украина (6,7%), занимавшая по итогам июля 2-ю строчку, потеряла 1,5% и переместилась на 6-ю позицию. Из первой тройки также вышла Индия (7,7%), перейдя с 3-й строки на 4-ю.

Доля спама из США (7%) в Рунете увеличилась на 1,7%, и в результате чего страна заняла 5-е место в нашем рейтинге. Белоруссия (5%) и Казахстан (4,4%) расположились на 7-й и 8-й строчках соответственно. Доля рассылаемого из этих стран спама уменьшилась в среднем на 1,5%.

В этом месяце в наш список вошел Китай, причем сразу в первую десятку, - он занял 9-ю строку с результатом 2,8%. Также наблюдалось увеличение доли спама, рассылаемого из Японии (2,7%).

Среди регионов лидером по распространению спама остается Азия (55,2%). В первую тройку, как и в июле, вошли Северная Америка (21%) и Восточная Европа (14%). Показатели по регионам не претерпели существенных изменений, лишь в Северной Америке доля спама увеличилась примерно на 1%. Замыкают список регионов Западная Европа (4,6%) и Латинская Америка (3%).

Вредоносные вложения в почте

Доля вредоносных вложений в почте в августе увеличилась на 3,4% и составила 5,6% почтового трафика.

1-е место в рейтинге вредоносных программ, распространяемых по почте, по-прежнему занимает Trojan-Spy.HTML.Fraud.gen (8,1%). Программа представляет собой поддельную страничку для ввода данных, которые отправляются напрямую злоумышленникам. Рассылается обычно под видом важного сообщения от крупных коммерческих организаций.

Сразу четыре модификации зловредов семейства Trojan-Ransom.Win32.Blocker попали в наш список в этом месяце. Три из них оказались в первой десятке: Trojan-Ransom.Win32.Blocker.byxx (3%), Trojan-Ransom.Win32.Blocker.bzbh (1,8%) и Trojan-Ransom.Win32.Blocker.bysg (1,4%) – 2-я, 5-я и 7-я позиции соответственно. Такие вредоносные программы предназначены для шантажа и вымогательства. Они блокируют работу операционной системы и размещают на рабочем столе баннер с условиями разблокировки, например, с требованием отправить платную SMS с определенным текстом на указанный короткий номер.

3-е место занимает вредонос Email-Worm.Win32.Bagle.gt (2,3%). Этот вирус-червь распространяется в виде вложений в электронные письма, рассылая себя по всем найденным на зараженном компьютере адресам электронной почты. Также вирус обладает функцией загрузки файлов из Сети без ведома пользователя.

На 4-й позиции расположился червь Trojan-Spy.Win32.Zbot.nyis (2,2%) – модификация одной из самых популярных шпионских программ семейства Zbot (ZeuS). Эти программы используются злоумышленниками для кражи с компьютеров пользователей различной банковской информации.

Восьмую строчку по-прежнему занимает Worm.Win32.Mydoom.m (1,4%). Помимо стандартного функционала рассылки своих копий по адресной книге пользователя червь может отправлять скрытые запросы определенным поисковым системам, накручивая посещаемость и рейтинг сайтов из списка, подгружаемого злоумышленниками.

Замыкает десятку еще одна разновидность червей семейства Mydoom – Email-Worm.Win32.Mydoom.l (1,4%). Этот червь распространяется через интернет в виде вложений в электронные письма. Основная его задача – сбор на зараженном компьютере почтовых адресов для рассылки. Также содержит функцию бэкдора.

Среди стран по количеству срабатываний почтового антивируса на 1-е место в августе вышла Германия (12,3%), передвинув на вторую строчку прошлого лидера – США (10,1%). Замыкает тройку Великобритания, на её долю пришлось 8,7% срабатываний.

Индия, покинув 3-е место, переместилась на 5-ю строчку (6,08%). Чуть больше 1% прибавила Россия (3,48%) – в августе страна заняла 9-ю позицию. Доля срабатываний в Австралии, напротив, сократилась и составила 4%. Замыкает первую десятку Канада (2,2%).

Доля срабатываний других стран из списка не претерпела существенных изменений.

Особенности вредоносного спама

Несмотря на то что сезон отпусков подходит к концу, мошенники продолжают активно рассылать письма-подделки, сообщающие о бронировании авиабилетов и отелей. Наиболее известные компании, например booking.com и DeltaAirlines, постоянно находятся под прицелом спамеров, и в августе мы вновь зафиксировали мошеннические рассылки, имитировавшие сообщения от этих компаний. Отметим, что адреса отправителей на первый взгляд кажутся вполне легитимными, что и заставляет пользователя открыть письмо.

В письме от имени booking.com мошенники сообщали, что бронирование отеля подтверждено и приводили подробную информацию о заказе, в том числе дату заселения и выезда, а также полную стоимость номера. Мошенническое письмо было оформлено в стиле официального сайта - этим вредоносная рассылка отличается от аналогичной, маскирующейся под уведомления от авиакомпании Delta. В той получателю сообщали, что платеж по кредитной карте принят и также приводили подробную информацию о номере, дате и стоимости полета. Авторы письма просили получателя пройти по ссылке, чтобы распечатать билет, но если пользователь клевал на их приманку, на его компьютер загружался вредоносный файл. В сообщении якобы от booking.com вредоносный файл был прикреплен к письму. Однако в обоих случаях вредоносные файлы принадлежали к семейству Trojan-PSW.Win32.Tepfer, и использовались для кражи логинов и паролей пользователей.

В августе после продолжительного затишья мошенники вновь рассылали вредоносные подделки под уведомления от круизной компании Royal Caribbean International. В письме злоумышленники сообщали пользователю, что электронные документы по якобы заказанному им круизу готовы. В упомянутых документах содержалась «важная информация», которую пассажиру необходимо знать перед посадкой на лайнер, а кроме того их следовало сохранить и взять с собой на борт вместе с паспортом и свидетельством о гражданстве. На самом деле под видом документов в письме скрывался вредоносный файл Backdoor.Win32.Androm.qt, который является одной из модификаций бэкдора Backdoor.Win32.Androm и используется для скрытого управления компьютером пользователя и присоединения его к ботнету.

Также в спамерских подделках часто используются названия популярных международных служб доставки, такие как FedEx, UPS и DHL. В письмах, написанных от лица этих компаний, спамеры сообщают потенциальной жертве о невозможности доставить ей посылку, например, из-за ошибки в адресе. Для получения посылки необходимо распечатать приложенный к письму файл и обратиться в офис компании или подтвердить определенные данные, например адрес доставки. Также вредоносный файл может скрываться под видом документов с более подробной информацией о посылке (которой на самом деле не существует). Спамеры стараются придать подделке легитимный вид и традиционно используют не только на первый взгляд кажущийся настоящим адрес отправителя, но и приводят детальную информацию по заказу, настоящие контактные данные с официальных сайтов и копируют уведомления о конфиденциальности письма.

В прикрепленных к подобным письмам архивах находятся вредоносные файлы различных семейств. Так, в поддельном сообщении от FedEx в архиве FedEx Invoice copy.zip находится исполняемый файл FedEx Invoice copy.exe, содержащий троянец семейства ZeuS/Zbot. Этот зловред используется для кражи персональной информации пользователей и паролей от платежных и банковских систем. В подделках от имени компании UPS мошенники рассылали троянец Trojan-PSW.Win32.Tepfer.pnfu, предназначенный для кражи логинов и паролей пользователей. Еще одна вредоносная программа семейства Backdoor.Win32.Androm была обнаружена нами в рассылке якобы от имени DHL. С ее помощью злоумышленники пытались получить полный доступ к компьютеру жертвы.

Фишинг

В августе деловая активность упала, заказов на рекламу стало меньше и спамеры активно взялись за мошеннические сообщения. В результате доля фишинговых писем в глобальном почтовом потоке увеличилась более чем в 10 раз и составила 0,013%.

По итогам августа рейтинг атакованных фишерами организаций не претерпел заметных изменений. Лидирующую строчку продолжают удерживать социальные сети с таким же показателем, как и в июле - 29,6%.

Вторую строчку по-прежнему занимают почтовые сервисы (17,2%), доля атак на организации этой категории снизилась всего на 0,4%. Показатель поисковых систем (16,1%), наоборот, незначительно увеличился, что позволило им остаться на третьей строчке.

Места с 4-е по 8-е заняли финансовые и платежные организации (13,8%), ИТ-вендоры (8,4%), телефонные и интернет-провайдеры (7,8%), онлайн-магазины (5,4%) и онлайн-игры (0,7%). Отметим, что изменения показателей всех организаций колеблются в рамках 1%.

В августе одной из главных мишеней фишеров среди ИТ-вендоров стала всемирно известная компания Apple. Нам часто попадались письма, пришедшие якобы с официального адреса этой компании, но на деле являющиеся фишинговой подделкой, предназначенной для обмана пользователя и кражи его логинов и паролей. Например, в подобных письмах мошенники сообщали пользователю, что ему в течение 48 часов необходимо подтвердить данные своего аккаунта iTunes, доступ к которому был заблокирован в целях защиты. Для разблокировки аккаунта получатель должен был пройти по присланной в письме ссылке и следовать дальнейшим инструкциям на сайте. В письме спамеры, стараясь усыпить бдительность получателя, подчеркивали, что сообщение было создано автоматически. Насторожить получателя должна была не только просьба подтвердить данные аккаунта на постороннем сайте, но и отсутствие личного обращения в письме.

Заключение

По итогам августа доля мирового спама снизилась до 67%, это связано с ежегодным снижением деловой активности в летний период и уменьшением количества рекламного спама. Тем не менее, мы фиксировали большое количество рассылок, посвященных аренде или продаже автомобилей, медицине и здоровому образу жизни. Помимо этого спамеры эксплуатировали начало учебного года для рекламы распродаж самых разнообразных товаров.

В летний период спам значительно криминализируется, растет количество не только мошеннических сообщений, но и писем, содержащих вредоносные файлы. В августе среди распространяемых по почте вредоносных программ преобладали троянцы-шпионы, ворующие финансовую информацию пользователей. Огромной популярностью среди мошенников также пользовались черви семейства Trojan-Ransom.Win32.Blocker, сразу несколько модификаций занимают высокие места в списке наиболее часто детектируемых зловредов.

В период отпусков спамеры продолжали активно рассылать поддельные сообщения от имени компаний, занимающихся бронированием отелей и авиабилетов. Мошенники не оставили без внимания и известные компании, специализирующиеся на доставке товаров, - их доброе имя также было использовано для фишинга и распространения вредоносных программ.

Фишеры использовали популярность продуктов и сервисов компании Apple для обмана пользователей и кражи их логинов и паролей. В Рунете с помощью спама мошенники создавали и продвигали онлайн-сервисы, маскирующиеся под официальные сервисы государственных служб, - с целью выудить у пользователя личную информацию и деньги.

По итогам августа рейтинг атакованных фишерами организаций не претерпел изменений. Как и прогнозировалось, социальные сети и почтовые сервисы сохранили свои лидирующие позиции. В последний месяц лета активность школьников и студентов в соцсетях и почтовых сервисах остается достаточно высокой и как следствие сохраняется интерес фишеров к этому сектору. Однако в сентябре, когда деловая активность начнет восстанавливаться, интерес фишеров плавно переключится с социальных сетей на финансовые организации и, следовательно, вырастет количество атак на банковский сектор. В то же время, скорее всего, уменьшится число мошеннических и вредоносных рассылок.

Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное