Электронный журнал "Спамтест" No. 486 В этом номере: Новости Записки спам-аналитиков Новости Дамы, остерегайтесь сетевых Ромео! Онлайн-проект Hoax-Slayer опубликовал узнаваемую историю виртуального знакомства, чуть не окончившегося крахом. К счастью, у героини рассказа, назвавшейся Джил, хватило трезвости ума и интуиции вовремя обнаружить обман, но кто вернет ей веру в возможность чистых взаимоотношений? Минувшей весной американка Джил получила в Facebook сообщение от некоего мужчины по имени Джованни. Сразу ответить она не решилась, так как взяла за правило не знакомиться с сильным полом в Сети, хотя считает себя весьма привлекательной и в реальной жизни проблем с этим не испытывает. Тем не менее, ловкие признания, видимо, нашли благодатную почву: Джил начала переписываться со своим новоявленным поклонником, хотя, по ее словам, больше из любопытства. Они общались ежедневно; история, которую виртуальный знакомый поведал своей избраннице, оказалась вполне предсказуемой. Его жена якобы умерла от рака, и единственной отрадой в жизни «Джованни» была 13-летняя дочь – до того момента, когда он нашел на Facebook фото женщины своей мечты. Джил признается, что ответные снимки ее тоже покорили (впоследствии обнаружилось, что они украдены с какого-то сайта и используются без ведома законного владельца). «Джованни» жаловался, что ему трудно растить девочку без матери. Эти признания тоже попали в цель: Джил не могла иметь детей. Через два месяца бурной переписки в доме жертвы раздался звонок, открывший новую страницу «романа в письмах». «Джованни» сообщал, что они с дочерью якобы застряли в Китае, где их избили и ограбили, и просил выслать деньги на оплату больничных счетов. Джил ему отказала, однако это не остановило пылкого корреспондента. Он продолжал ей писать, не скупясь на признания и воздушные замки. Прошло еще четыре месяца. В своих вымышленных скитаниях «Джованни», который к тому же оказался художником, добрался до Малайзии и сообщил своей «невесте», что попросил знакомых передать ей деньги, которые надо будет отослать ему для возвращения в Штаты. Вскоре кто-то, действительно, прислал Джил чек на 5,89 тыс. долларов и инструкцию. Ей надо было предъявить чек в своем банке для зачисления денег на счет, затем снять их и перевести Western Union в Малайзию. Вместо этого осторожная американка отнесла чек в тот банк, который был указан на бланке. Там сразу определили, что чек фальшивый, и с согласия Джил передали его в местную службу безопасности. Так бесславно и окончилась эта печальная история, коим несть числа на просторах интернета. Источник: Hoax-Slayer APWG об активности фишеров в первом полугодии В январе-июне 2013 года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зарегистрировала немногим более 72,7 тыс. фишинговых сайтов, тогда как в предыдущем полугодии было найдено 123,5 тысячи подобных ресурсов. Поддельные сайты были обнаружены в 53,7 тыс. уникальных доменов ― против 89,7 тыс. во второй половине 2012 года. Эксперты объясняют этот спад снижением популярности виртуального хостинга в фишерском сообществе. В отчетный период фишеры предпочитали размещать свои ловушки на легальных площадках, скомпрометированных путем массового взлома (27% фишинговых сайтов). Не утратили своей популярности и целевые регистрации: из 53,7 тыс. связанных с фишингом доменов свыше 12 тысяч фишеры зарегистрировали на законных основаниях. Это вдвое больше, чем в июле-декабре 2012 года. Такой прирост был вызван активизацией фишинга в Китае: по данным APWG, 68% зарегистрированных фишерами доменов использовались для атак на китайские мишени. В этой стране наблюдается интенсивный рост численности среднеобеспеченных слоев населения, которые охотно пользуются e-commerce сервисами. При этом китайские фишеры, по словам экспертов, предпочитают размещать свои ловушки, покупая домены ― в основном, у местных или американских регистраторов. Число абьюзов на сервисе поддоменов тоже снизилось: в первом полугодии на долю фишинговых сайтов, размещенных на поддоменах, пришлось лишь 10% ловушек. В большинстве своем эти площадки были зарегистрированы через новые, еще не запятнавшие себя злоупотреблениями службы. Наибольшее число абьюзов в отчетный период было обнаружено в ведомстве немецкой компании UNONIC, предлагающей свободную регистрацию в TLD-зоне .tf (Южные Французские Территории, включая Антарктику). Фишинговые сайты были обнаружены в 194 TLD-доменах, причем около половины таких ловушек (48%) пришлось на зону .COM. Всего 82% сайтов, зарегистрированных фишерами, были размещены в доменах .COM, .TK (Токелау) и .INFO. Медианный показатель концентрации фишерских подделок (в пересчете на 10 тыс. зарегистрированных доменов) в минувшем полугодии составил 3,1. Рейтинг APWG по этому показателю возглавили .pw (Палау, ныне в открытой регистрации), .np (Непал), .th (Таиланд) и .si (Словения) с показателями 19,8; 19,7; 19,1 и 18,1 соответственно. Для сравнения: у .COM он составил лишь 2,5. Количество атакуемых брэндов увеличилось почти на 18% ― до 720. За отчетный период половину мишеней фишеры атаковали 1-3 раза; 80 наиболее популярных брэндов ― не менее 100 раз. При этом, согласно статистике APWG, на банки пришлось 40,4% уникальных атак (фишерских имитаций), на платежные сервисы ― 19,6%, на e-commerce 16,6%, на соцсети и почтовые службы 12,4%. Наиболее популярной мишенью фишеров по-прежнему являются PayPal (18,3% атак) и крупнейшая китайская торговая площадка Taobao.com (9%). APWG с удовлетворением отметила, что объемы коротких ссылок в массе фишинговых URL резко уменьшились. По всей видимости, это результат усиления борьбы владельцев соответствующих сервисов с абьюзами. Среднее время жизни фишинговых сайтов, к сожалению, продолжает расти: по итогам января-июня оно составило 44 часа 39 минут, тогда как во второй половине 2012 года ― 26 часов 13 минут. Медианное время жизни ныне равно 12 часов 52 минуты, что почти в два раза выше прежнего, рекордно низкого показателя. Источник: APWG LinkedIn обвиняют в краже почтовых адресов и рассылке спама Четыре американца-участника LinkedIn подали иск на эту социальную сеть, утверждая, что ее операторы «взломали» их почтовые ящики с целью рассылки рекламных приглашений по спискам личных контактов. Согласно исковому заявлению, поданному в штате Калифорния, действия LinkedIn противоречат федеральному закону о несанкционированном подключении к линиям связи и местному законодательству о неприкосновенности частной жизни. По словам истцов, LinkedIn запрашивает у участников адрес электронной почты, однако нигде не поясняет, что собирается бомбардировать их друзей приглашениями. Такие маркетинговые ходы тем более возмутительны, что производятся без согласия владельцев почтовых ящиков и создают впечатление, будто их авторы – сами участники сети. Истцы – бывший агент по рекламе The New York Times, профессор нью-йоркского колледжа, кинопродюсер и юрист – надеются создать прецедент и положить конец этой широко распространенной практике, истребовав компенсацию за моральный ущерб. Они также просят переквалифицировать иск в групповой, так как под ним может подписаться любой аналогично пострадавший участник LinkedIn, зарегистрированный до 15 мая 2013 года. В совместном заявлении указано, что подобных жалоб – сотни, и в подтверждение приведены несколько цитат. LinkedIn, со своей стороны, с негодованием опровергает нарушение закона, которое истцы усмотрели в ее действиях. «LinkedIn всегда ставила во главу угла интересы пользователей, – заявил представитель соцсети Дуг Мэйди (Doug Madey). – Мы уверены, что все претензии, перечисленные в исковом заявлении, необоснованы, и будем решительно отстаивать свою правоту». Источник: The Huffington Post «Нигерийцы» используют штатный механизм рассылки CNN По свидетельству Webroot, «нигерийские» мошенники начали распространять свои сообщения через функцию Email This, предусмотренную на многих новостных порталах. Эта опция может быть полезна для обмена актуальной информацией, однако нередко подвергается абьюзу. Обнаруженное экспертами «нигерийское» письмо апеллирует к кризису в Сирии и от имени министра финансов этой страны просит получателя помочь вызволить 7,8 млн. долларов. На самом деле его основная цель ― вовлечь адресата в переписку, в ходе которой ему пообещают баснословное вознаграждение, а затем начнут выманивать деньги под предлогом оплаты неких расходов, якобы связанных с выводом крупной суммы за рубеж. Webroot предупреждает, что очередное «заманчивое» предложение ― фикция, и, выжав кошелек жертвы досуха, мошенники навсегда исчезнут с ее горизонта. Используя Email This, авторы «нигерийского» письма явно надеются на то, что использование имени CNN и легитимной ссылки на опубликованный в Сети материал поможет им обойти защитные фильтры. Кроме того, избранный ими механизм рассылки не требует никаких финансовых затрат ― лишь времени на поочередный ввод адресов получателя и отправителя, копипаст текста-приманки, а также на расшифровку CAPTCHA. Впрочем, при наличии у мошенника соответствующих инструментов этот процесс можно автоматизировать. Источник: Webroot SMS-скамер заплатит за обман Владельцы Rentbro Inc., обвиняемые Федеральной торговой комиссией США (ФТК) в рассылке SMS-спама с посулами «бесплатных» призов, пошли на мировую и вернут более 377 тыс. долларов, нажитых неправедным путем. Согласно исковому заявлению ФТК, эта компания, специализирующаяся на партнерском маркетинге, разослала на абонентские номера свыше 42,5 млн. незапрошенных текстовых сообщений. Получателя уведомляли о том, что он якобы победил в неком розыгрыше и ему вручат подарочную карту достоинством в $1 тыс., которую можно использовать в сетях крупнейших ритейлеров, таких как Best Buy, Target и Walmart. Для получения «приза» ему предлагалось ввести кодовый номер 312 на указанном веб-сайте. По свидетельству ФТК, данный сайт был создан ответчиками в рамках мошеннической схемы. С него посетителя отправляли на ряд сторонних ресурсов, где нужно было заполнять анкеты и подписываться на участие в сомнительных рекламных акциях, к тому же, как выяснилось, весьма накладных. Согласно условиям мирового соглашения, правонарушителю впредь запрещается проводить нелегитимные рассылки и вводить в заблуждение потребителей. У Rentbro конфискуют все активы, а также денежные средства, полученные от реализации мошеннической схемы. Это уже второй случай мирного урегулирования в рамках масштабной акции, предпринятой ФТК для ограничения SMS-мошенничества. В минувшем марте в разных штатах было подано 8 исков против 29 компаний и физических лиц. По данным ФТК, ответчики разослали на абонентские номера более 180 млн. непрошеных SMS. Все они сулили получателю «бесплатный» приз или подарочную карту, но ни слова не говорили об условиях их получения, в частности, связанных с финансовыми расходами. Источник: FTC Записки спам-аналитиков Худеем со спамерами Татьяна Щербакова, эксперт «Лаборатории Касперского» Проблема лишнего веса волнует людей и порождает огромный спрос на различные средства и способы похудения, особенно на те из них, которые якобы могут обеспечить быстрый результат при минимуме усилий. Сложившейся ситуацией активно пользуются разнообразные нечистоплотные фармацевты и просто мошенники, рекламирующие свои лекарственные чудо-препараты и «новые эффективные» диеты при помощи спама. Популярность так называемого «фармацевтического спама» в интернете традиционно высока, практически каждый пользователь хотя бы раз получал одну из многочисленных рекламных рассылок, посвященных снижению веса. Хитрости спамеров Для рекламы фармацевтического спама часто используются графические изображения, ведь большой объем информации человек лучше воспринимает визуально. Как правило, это  изображения или фотографии подтянутых девушек и мускулистых мужчин, которые якобы добились идеальной фигуры с помощью рекламируемого товара. Для детектирования графического спама нами используются специальные технологии анализа изображений, позволяющие выделить на картинке текстовую информацию. Например, контактные данные спамеров, ссылки и другую информацию, которая позволит идентифицировать письмо как нежелательное. Кроме того, спамеры могут привязать к графическому файлу нужную ссылку, и в результате нажатие на картинку приведет к открытию рекламируемой веб-страницы в браузере пользователя. К слову о ссылках — редкое спамерское сообщение обходится без них. В письмах она может дополняться описанием того, что увидит получатель увидит после клика по ней, или же пользователь может получить письмо  с одной лишь ссылкой. Но и в том, и другом случае спамеры могут использовать не только прямые ссылки на рекламируемый сайт, но и редиректы на другие странички, которые помогают скрыть от получателя письма реальный адрес сайта, на который его хотят отправить. Довольно часто встречается и более простой способ скрыть от пользователя реальную ссылку: спамеры просто пишут в теле письма нейтральный или вызывающий доверие адрес, а затем привязывают к нему ссылку на рекламируемый сайт. Разоблачить подобный обман также очень просто — нужно навести курсор на текст, и реальная ссылка появится рядом во всплывающем окошке или внизу страницу. Еще одним интересным методом представления фармацевтического спама является подделка под сообщения новостной рассылки. Оформление письма и общий стиль похожи на легитимные рассылки от новостных агентств. Спамеры используются стандартные для официальных рассылок элементы, например, управление подпиской или возможность просмотра в браузере, а кроме того в адресе отправителя могут присутствовать слова «newsletter», «media» или аналогичные. Также для придания рассылке вид новостного сообщения спамеры могут поставить актуальную дату, написать подходящий заголовок, например, «News and Events» («Новости и события»), а также привести список последних новостей выпуска. Традиционно спамеры используют интригующие и громкие заголовки для привлечения внимания получателя к незапрошенному письму. Темы писем, рекламирующих тот или иной способ похудения, как правило, обещают получателю быстрый результат при минимальных усилиях. Кроме того, спамеры могут использовать имена известных актрис и певиц, которые якобы сбросили лишние килограммы благодаря рекламируемому средству. Для обхода контентных спам-фильтров злоумышленники используют два метода «зашумления» письма: «белый» и «мусорный» текст. Как правило, такой текст добавляется в конец письма, чтобы не нарушать его структуру. В качестве текста часто используют случайные фрагменты литературных произведений, новостей, в том числе про известных людей и последние громкие события, а также бессмысленный набор слов, букв и цифр. Использование этих методов затрудняет детектирование спам-писем, так как фрагменты постоянно меняются, что делает каждое письмо уникальным и соответственно меняет характеристики, которые используются для детектирования спам-сообщений. Главное различие между двумя методами в том, что «белый текст» не виден для пользователя при просмотре письма, то есть цвет самого текста совпадает с цветом фона (как правило, белый, но может быть любой другой). Увидеть скрытый таким образом текст можно, только выделив область, где он находится. Наглядные примеры Интересная рассылка, посвященная теме похудения, была нами зафиксирована в июле 2013 года. Главной ее особенностью было то, что ее создатели использовали сразу нескольких популярных приемов. Адреса отправителей были сгенерированы автоматически с использованием имен и случайной последовательности букв и цифр, при этом общим элементом являлось слово «jackson». Тема письма содержала весьма эмоциональное поздравление с днем рождения, что, очевидно, должно было привлечь внимание получателя. Ссылка на спамерскую веб-страницу была в одном случае привязана к графическому файлу в теле письма, в другом — к тексту. Но в обоих случаях ссылки были изменены при помощи сервиса коротких ссылок, таким образом, получатель не мог узнать, куда его уведет ссылка, не кликнув по ней. Также обратим внимание на сопровождающий ссылки рекламный текст — в письмах одной рассылки используется один и тот же текст, измененный при помощи словаря синонимов. Например, «нужно» заменялось на «надобно», «изматывать» — на «изнурять». Варианты замены слов могут исчисляться тысячами, но смысл текста не меняется. В другой рассылке с рекламой медикаментов для похудения спамеры в качестве «мусорного текста» использовали рецепты приготовления полезных и здоровых блюд. Как и ожидалось, используемые фрагменты текста менялись от письма к письму, по всей видимости их генерация происходила автоматически и не требовала каких-либо усилий со стороны спамеров. Кроме того, создатели рассылки использовали разные цвета и размеры шрифта для оформления основного текста и привлечения внимания пользователя. А вот в одной из «новостных» рассылок, обнаруженной нами в июле этого года, ни одна новость из списка не относилась к теме сброса лишнего веса. Однако, по всем размещенным в письме ссылкам открывалась одна и та же веб-страница с рекламой чудо-средств для похудения. Ниже в теле письма спамеры разместили «главную новость», которая имеет прямое отношение к похудению, и ссылка из этого текста ведет на всю ту же рекламную веб-страницу. Интернациональное похудание Чаще всего в наши ловушки попадается фармакологический спам на английском и русском языках, но периодически мы обнаруживаем сообщения и на других языках, в том числе азиатских и романских. Их составители используют все те же традиционные приемы, о которых мы написали выше: начиная от обещаний быстрой потери веса и заканчивая использованием редиректов для перенаправления получателя на рекламируемую веб-страницу. Различные чудо-таблетки и уникальные эффективные супер-диеты спамеры пытаются продавать по всему миру, невзирая на границы государств и языковые барьеры. В попытках обойти спам-фильтры создатели незапрошенных рассылок используют различные приемы и технологии, а также их комбинации. Если же нужно привлечь внимание получателя, обмануть его и убедить приобрести сомнительный товар, в дело вступают обещания избавить от лишнего веса за считанные дни, причем без каких-либо физических нагрузок. Мы рекомендуем не поддаваться на сладкие речи злоумышленников и не гнаться за «легкой» стройностью. Рекламируемые спамерами товары редко имеют медицинские сертификаты, а потому никогда нельзя с уверенностью сказать, что скрывается за очередной чудо-таблеткой. В лучшем случае это будет безобидный препарат с эффектом плацебо, в худшем — нелицензированный препарат, способный нанести серьезный ущерб вашему здоровью. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Осенний призыв или иск, которого не было Татьяна Куликова, эксперт «Лаборатории Касперского» В последнее время мы встречаем все больше сообщений-подделок под уведомления от различных государственных органов. Недавно нами была зафиксирована рассылка подобных писем, на этот раз от имени Высшего Арбитражного Суда РФ. Текст сообщения был выдержан в официальном стиле, а для оформления использовалась эмблема государственного учреждения. Кроме того, мошенники подделали поле “From”, чтобы убедить потенциальную жертву в легитимности отправителя. В письме сообщалось о том, что в отношении получателя было подано некое исковое заявление от физического лица, и ознакомиться с ним можно, перейдя по ссылке. На самом деле ссылка вела на ZIP-архив с вредоносным файлом, на поверку оказавшимся трояном-шифровальщиком. Обнаруженный зловред шифрует документы и картинки на компьютере пользователя, а затем помещает на Рабочий стол картинку-послание от своих хозяев. В нашем случае преступник жалуется на скорый призыв в армию, людскую жадность и невозможность собрать деньги на «откос» иначе как вымогательством. Тема военной службы, несомненно, актуальна, так как приближается срок осеннего призыва (1 октября). Для восстановления зашифрованных файлов «призывник» предлагает связаться с ним по электронной почте. При этом в письме обязательно должно содержаться слово BDB. Судя по тексту письма, злоумышленник собирается потребовать деньги за восстановление работоспособности файлов. Однако не факт, что, получив их, он поможет расшифровать поврежденные документы. Поэтому, чтобы избежать неприятных инцидентов, мы рекомендуем внимательно изучать присланные ссылки, даже если письмо приходит от серьезной инстанции. В данном случае о том, что ссылка является подозрительной, говорил домен в доменной зоне us - крайне маловероятно, что российское государственное учреждение будет использовать подобные домены. Кроме того, в подобных случаях мы настоятельно рекомендуем связаться с государственным органом по официальным каналам, указанным на его сайте, и уточнить содержащуюся в полученном письме информацию. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Спасите-помогите: мошенники давят на жалость Мария Рубинштейн, эксперт «Лаборатории Касперского» В последнее время мы получили несколько писем, составленных по одному и тому же шаблону: автор жалуется, что где-то за границей с ним или с ней приключилась беда, и теперь он(а) срочно нуждается в деньгах. "Жертвы обстоятельств" пишут письма по-английски и обращаются к своим читателям по имени. Вот сокращенный перевод одного из таких писем, не сохраняющий все ошибки оригинала: "Простите, что беспокою вас. Я внезапно поехала во Францию, чтобы повидаться со своей больной сестрой. Она страдает от болезни почек, ей нужна операция по пересадке почки. Для этого я должна перевезти ее домой. Но здесь не работает моя кредитная карточка. У меня с собой мало денег, так как я не ожидала такого поворота событий. Мне нужна от вас ссуда в 2,200 евро, я отдам, когда вернусь. Если вы не можете одолжить мне столько, я с благодарностью приму любую сумму. Напишите мне, я объясню, как отправить деньги. Заранее большое спасибо! Роз." Возможно, такие воззвания - результат взлома почты реальной Розмари и других пользователей почтовых серверов. Чем-то они напоминают частую "разводку" по телефону: "Мама, у меня проблемы, положи мне денег на этот номер": мошенник оглушает жертву рассказом о страшных обстоятельствах и добивается, чтобы жертва в испуге или в приступе жалости добровольно рассталась с деньгами. Если вы получили такое письма от имени человека, которого знаете, в первую очередь свяжитесь с ним по телефону, посредством мессенджера, через общих друзей или как-нибудь еще. Выясните, правда ли ваш родственник или знакомый в беде; вздохните с облегчением, узнав, что с ним все в порядке, а письмо - всего лишь уловка мошенников. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013