Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 487

В этом номере:


Новости

США поднялись на пьедестал рейтинга «плохих» хостов

Некоммерческая организация HostExploit опубликовала отчет о вредоносной активности в AS-сетях по состоянию на сентябрь 2013 года. Все «призовые» места в новом непочетном списке Тор 50 впервые заняли хосты, зарегистрированные в одной и той же стране ― США.

Активисты отслеживают подозрительную активность в публичных автономных системах с 2009 года, собирая данные о зараженных сайтах, C&C ботнетов, фишинговых ловушках, источниках спама и т.п. В ходе исследований была создана и отточена методика индексации «успехов» AS провайдеров в разных категориях, которая позволяет сравнивать их по совокупному уровню загрязнения с учетом размеров выделенного адресного пространства. Результаты своего анализа HostExploit публикует в виде квартальных отчетов с обновляемым рейтингом «Тор 50 «плохих» хостов и сетей». При этом участники проекта каждый раз подчеркивают: сами владельцы AS сетей чаще всего не причастны к криминальной активности. Составление списков Тор 50 преследует единственную цель: обратить внимание на проблемы, о существовании которых провайдер может даже не подозревать, и побудить его к исправлению ситуации.

На настоящий момент в базе HostExploit числятся свыше 44,5 тыс. публичных AS систем. Новый рейтинг опасных хостов Тор 50 возглавляют три американских провайдера: HostDime.com (AS3318), New Dream Networks (AS26347) и Landis Holdings (AS11042). Вся троица показала плачевные результаты в категориях «Badware» (шпионское ПО, программы показа рекламы, лжеантивирусы, PUP и т.п.) и «Зараженные сайты». В целом на долю США в Тор 50, как и в начале года, пришлось 13 позиций. Прежний фаворит непочетного списка, голландец Ecatel (AS29073), опустился на 5 место. Две позиции в ведущей десятке заняли немецкие провайдеры Intergenia (AS8972, 6 место) и 1&1 Internet (AS8560, 9 место), в сетях которого было найдено много эксплойт-площадок (3 место в этой категории).

Россия тоже сохранила объемы своего присутствия в Тор 50 (8 мест). В ведущую десятку вошел лишь один провайдер из этой страны ― Agava (AS 43146, 8 место), особо отличившийся в категориях «Badware», «ZeuS C&C», «Зараженные сайты». В целом на территории России, по данным HostExploit, много C&C разных ботнетов, хотя за истекший период активисты зафиксировали по всему миру лишь 124 таких инцидента. Два первых места в этой категории удерживают российские компании IQ Host (AS50465), возглавляющая непочетный список уже больше года, и SOTAL Interactive (AS61322). Последняя предоставляет услуги по IP-телевещанию и доставке контента, насчитывает в своей сети лишь 256 IP-адресов, зарегистрирована на Украине и хостится за пределами РФ. Четвертое место по C&C занимает еще одна небольшая российская AS-сеть ISPsystem (AS29182), зарегистрированная в Люксембурге и использующая украинский веб-хостинг.

В категории «ZeuS» Россия заняла лишь одну, шестую позицию в ведущей десятке. Виновник, как и прежде, ― Ideal Solution (AS58001), зарегистрированная на Сейшелах. Тем не менее, в общем зачете эта компания значительно улучшила свои результаты, опустившись в Тор 50 со второй сразу на 35-ю позицию. HostExploit отмечает, что общее количество обнаруженных C&C ZeuS осталось практически неизменным: по всей видимости, этот банкер по-прежнему популярен в криминальной среде.

В ведущей десятке по эксплойтам на долю РФ пришлось три позиции, включая две первых (Masterhost и Best-Hoster Group). В категории «Спам» российские компании на сей раз оказались за пределами списка лидеров ― даже «МегаФон», которая в прошлом году занимала в нем четыре места. За истекший период активисты проанализировали свыше 100 тыс. источников спама и обнаружили, что наибольшее их количество размещается в странах со слабым правовым регулированием: в Перу, Индии, Мексике, Боливии, Иране, Судане. Тем не менее, в Тор 10 по этому показателю попали также Ирландия (1, 3, 9 места), Германия (AS57879, 5 место) и США (зарегистрированная в Индонезии AS45727).

Современный список лидеров по фишингу был составлен по результатам анализа 799 уникальных атак. В нем преобладают страны с надежным хостингом и быстрым интернетом, в первую очередь США. Американские компании, включая трех лидеров в общем зачете, а также Google, заняли в Тор 10 сразу семь позиций. На втором месте оказалась немецкая AS, на седьмом ― британская.

Рейтинг стран-источников вредоносной активности возглавили Виргинские острова, которые лидируют по концентрации зараженных сайтов, C&C и инцидентов, которые активисты именуют «Current events» ― атаки с быстро меняющимся вектором, вроде XSS и накрутки кликов. Вторую позицию заняла Польша (2 место по фишингу), на третье с первого опустилась Россия. Далее следуют Венгрия (1 место по фишингу), Германия, Киргизия, Турция, Сейшелы (1 место по эксплойтам, 2-е ― по зараженным сайтам). США в страновом зачете спустились с пятой на девятую ступень, в большой степени благодаря успехам AS21740 eNom и AS33626 Oversee, выбывшим из Тор 50. Замыкает этот непочетный список Украина, которая в начале года занимала 3 место.

Источник: HostExploit

Nexgate об активизации спамеров в социальных сетях

По оценке калифорнийской компании Nexgate, специалиста по защите брэндов в социальных медиа, с начала 2013 года объем спам в этом сегменте интернета увеличился на 355%. В настоящее время нелегитимным является каждое двухсотое сообщение из тех, что циркулируют на социальных веб-сервисах. 15% спам-сообщений содержат ссылки на потенциально опасные ресурсы.

Приведенная в новом отчете Nexgate статистика основана на результатах анализа 60+ тыс. уникальных сообщений и комментариев, опубликованных владельцами 25 млн. аккаунтов. Исследование также показало, что концентрация спам-сообщений с противозаконным контентом (пропаганда порно, экстремистские высказывания, приватные или закрытые данные, спам) особенно высока на Facebook, YouTube, Google+ и Twitter, где она в среднем составляет 1 сообщение на 21. При этом на Facebook и Twitter спам рассылается в 100 раз чаще, чем на других аналогичных веб-сервисах; участники Facebook также в 4 раза чаще подвергаются фишинговых атакам.

По данным Nexgate, основными средствами распространения спама в социальной среде являются специализированные приложения, «угон лайков» (like-jacking), боты и подставные профили. Согласно статистике компании, «социальные» спамеры задействуют под свои рассылки не менее 23 аккаунтов; 5% приложений, используемых в социальных сетях, можно с уверенностью определить как спамерские.

Социальный веб-сервис ― благодатная среда для маркетинговой деятельности, и многие компании охотно вкладываются в рекламу на таких сайтах, отбивая свои деньги с лихвой. Спамеры тоже не прочь получить свой кусок пирога: как подсчитали итальянские эксперты Андреа Строппа (Andrea Stroppa) и Карло де Мичели (Carlo de Micheli), современные Facebook-спамеры зарабатывают более $200 миллионов в год.

Источник: Nexgate

Facebook отсудила у спамера $3 миллиона

Решением окружного суда Калифорнии с компании Power Ventures будет взыскано более 3 млн. долларов в пользу Facebook. В декабре 2008 года владельцы Facebook подали иск против Power Ventures и ее основателя, обвинив их в противозаконном сборе и публикации данных участников соцсети, а также в рассылке спама. Положительное решение по иску было принято около двух лет назад, однако размер компенсации за причиненный ущерб был определен лишь в минувшем месяце.

Согласно материалам дела, зарегистрированная на Каймановых островах компания позиционировала свой веб-сайт как агрегатор социальных аккаунтов и в целях саморекламы поощряла зарегистрированных пользователей рассылать приглашения, используя возможности этого сайта. В обеспечение рекламной акции ее участникам предлагались списки контактов «фейсбукеров» и 100 долларов в качестве приза. По свидетельству Facebook, эти списки были без разрешения позаимствованы из профилей пользователей, зарегистрированных на портале Power Ventures. Более того, распространяемые с этого портала спам-сообщения в строке «From:» содержали поддельный адрес @facebookmail.com, а в теле письма отправителем значилась The Facebook Team. По данным Facebook, участникам ее сети было совокупно разослано свыше 60,6 тыс. нелегитимных сообщений.

Суд усмотрел в действиях Power Ventures нарушение федерального закона CAN-SPAM и калифорнийского законодательства о компьютерном мошенничестве. В ходе затянувшегося судебного разбирательства ответчик многократно нарушал процессуальные нормы и временные постановления, подал несколько апелляций и, как последний аргумент, объявил себя банкротом. Поскольку информация о банкротстве не подтвердилась, делопроизводство было возобновлено, и ответчику теперь придется платить. Домен, на котором размещался одиозный портал, пущен с молотка, а его владельцу впредь запрещено заниматься сбором данных на Facebook и рассылкой спама.

Источник: AllFacebook

Commtouch посчитала время реакции спамеров

По оценке Commtouch, за последний квартал средний интервал между анонсом важного события и первой вредоносной рассылкой на эту тему сократился до 22 часов.

Давно подмечено, что горячие новости каждый раз вызывают нездоровое оживление в стане спамеров. Сетевой криминал торопится использовать актуальную тему в своих интересах и разбросать приманки, пока новость еще не остыла. Чтобы повысить шансы на успех, злоумышленники обычно апеллируют к тому или иному новостному агентству и внедряют в спам-письма ссылки на опубликованные в Сети материалы.

Последнее время Commtouch наблюдает значительное сокращение сроков «ввода в эксплуатацию» горячих тем с целью привлечения пользователей на опасные площадки. Согласно статистике компании, в марте, в период выборов нового Папы Римского, первые вредоносные и фишинговые сообщения появились спустя 55 часов после старта выборной кампании. В апреле, когда на весь мир прогремела весть о теракте на марафоне в Бостоне, этот период составил 27 часов. Такие же сроки были зафиксированы во время рождения первенца герцога Кембриджского и скандала с участием Эдварда Сноудена.

Новейшая вредоносная рассылка, проведенная во время обсуждения вероятности военных действий в Сирии, появилась, по данным Commtouch, через 22 часа. При этом, как отмечают эксперты, ее авторы даже опередили события: в своих письмах-ловушках они утверждали, что США якобы уже начали бомбардировку Дамаска.

Источник: Commtouch

Полмиллиона «нигерийскому» гей-френду

Пожилой житель Ванкувера, который предпочел назваться «Тони», поведал CBC News свою историю виртуального знакомства, которая обошлась ему в $500 тыс. долларов. Один из участников мошеннической схемы уже арестован.

Тони не любит ходить по барам и, отчаявшись найти себе партнера, зарегистрировался на одном из сайтов знакомств. Там он встретился с англичанином, который сразу предложил перенести диалог в Yahoo Messenger. Через полтора месяца оживленной переписки заокеанский корреспондент сообщил, что его командируют в Азию. Как и следовало ожидать, вскоре последовала просьба о займе ― якобы для подкупа «продажных малазийских чиновников», которые заморозили банковский счет и требуют взятку.

После нескольких аналогичных просьб Тони подвел баланс и обнаружил, что совокупно перевел своему избраннику полмиллиона. Он даже успел обналичить часть своих пенсионных сбережений, прежде чем понял, что его попросту надули.

Опомнившись, канадец нанял в Лондоне частных детективов для розыска получателей денежных переводов и тех, кто стоит за мошеннической схемой. Сыщикам удалось идентифицировать двух подозреваемых и связать их с маленькой фирмой, приютившейся на окраине столицы. По всей видимости, эти люди являются лишь низовыми исполнителями в сложной мошеннической схеме, охватывающей несколько континентов.

Журналисты CBC News посоветовали Тони обратиться также в местную полицию. Силовики связались с британскими коллегами, которые начали расследование. В прошлом месяце на территории Великобритании был произведен арест, подозреваемый вскоре предстанет перед судом.

С января по август текущего года Канадский анти-фрод центр получил около 1,2 тыс. жалоб на мошенничество с организацией подставного знакомства. Больше половины заявителей указали, что понесли финансовые убытки, общая сумма которых превысила 9,5 млн. долларов.

Источник: CBC News




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное