Электронный журнал "Спамтест" No. 488 В этом номере: Новости Записки спам-аналитиков Новости Важные письма Adobe попали в спам-карантин Независимый блогер и ИБ-эксперт Грэм Клули (Graham Cluley) обнаружил, что Gmail по ошибке блокирует сообщения Adobe о недавнем взломе. Дело в том, что, помимо исходников ряда продуктов, злоумышленникам удалось украсть данные 2,9 млн. клиентов компании. Служба безопасности Adobe сбросила клиентские пароли и в срочном порядке рассылает письма, оповещая пострадавших и проводя инструктаж. Пока непонятно, что смутило защитный фильтр Gmail в сообщениях из доверенного источника, однако они массово блокируются как спам. Возможно, тема «Important Password Reset Information» («важная информация о смене пароля») слишком часто встречается в фишинговых рассылках. Позаимствовать броский логотип и подделать адрес отправителя для фишеров, как известно, не проблема. Вполне возможно, что первые получатели писем Adobe встретили эти послания с недоверием и дружно давили кнопку «Спам». По мнению Клули, не последнюю роль здесь сыграло также отсутствие какого-либо обращения. Понятно, что рассылка проводится в спешке, но если предварить текст письма именем адресата, эффект мог бы быть совсем иным. «Конечно, такое письмо *должно* вызывать подозрения, ― комментирует Клули. ― Равно как и *все* другие письма с приглашением перейти на страницу для обновления пароля. Фишинговых сообщений с таким трюком, *действительно*, полно. Только это оказался не тот случай». Как бы то ни было, важные инструкции исправно помечаются Gmail как потенциально опасные и оседают в спам-карантине. Пользователям этого почтового сервиса придется искать их в куче личного мусора или обратиться на сайт adobe.com/go/passwordreset. Источник: Graham Cluley Психологический портрет жертвы фишинга Согласно результатам исследования, проведенного в Политехническом институте Нью-Йоркского университета (NYU-Poly), фишеры имеют большие шансы на успех, если их мишень ― женщина или невротик. Для участия в эксперименте были отобраны 100 слушателей спецкурса по психологии ― в основном, старшекурсники с инженерного и физического факультетов. На подготовительном этапе им предложили заполнить анкету о правилах и привычках поведения в Сети, включая характер и объем публикуемой на Facebook информации. Испытуемых также попросили оценить вероятность негативных последствий их оплошности в Сети, таких, например, как кражи пароля. В заключение был проведен стандартный опрос на выявление личностных особенностей в контрольной группе. Обработав анкеты, исследователи разослали на почтовые адреса испытуемых фишинговое письмо, в котором адресату предлагалось пройти по ссылке и ввести в форму персональные данные, чтобы принять участие в неком розыгрыше призов. Это было типовое фишинговое сообщение, с несовпадением строки From и указанного в конце письма отправителя, а также с кучей орфографических и грамматических ошибок. К удивлению авторов исследования, на крючок попались 17% участников эксперимента, хотя в контрольную группу были отобраны студенты с высоким уровнем компьютерной грамотности. Большинство «жертв фишинга» составили женщины; почти всех их, согласно личностному опроснику, можно было характеризовать как «невротический тип». Такие люди, поясняют исследователи, обладают иррациональным мышлением и склонны к проявлению негативных эмоций: чувства вины, уныния, гнева, страха. У мужчин корреляции между структурой личности и уязвимостью к фишингу замечено не было. Оказалось также, что жертвой фишинга может оказаться даже технически подкованный пользователь. Решающую роль здесь скорее играют его индивидуальные особенности, которые могут взять верх над благоприобретенной осторожностью. Так, наибольшее количество информации на Facebook публикуют участники эксперимента с «открытым» характером. Они же обычно устанавливают в своих профилях самый низкий уровень приватности. Как показали результаты теста, открытость и экстраверсия могут заставить пользователя гнаться за мифическим призом, забыв о бдительности. И наоборот: из 12 студентов мужского пола, не имеющих аккаунта на Facebook, ни один не «клюнул» на приманку. Согласно личностному опроснику, ни одного из них нельзя было характеризовать как «открытый тип» или «экстраверт». Авторы исследования подчеркивают, что их выборка мала, и для подтверждения результатов контрольную группу следует увеличить. Тем не менее, аналогичные оценки влияния личностных особенностей на принятие решений во время работы в Сети могли бы быть полезными для разработчиков компьютерных интерфейсов, а также для организаторов security-тренингов и образовательно-просветительских мероприятий. Источник: Help Net Security Перемудрили «Ловушки» Barracuda Networks зафиксировали новую волну писем с предложением знакомства, распространяемых, по всей видимости, с ботнета. Для обхода сигнатурных анализаторов изменения в спам-шаблон вносятся в реальном времени, однако этот механизм, похоже, дал сбой, что уже привело к курьезным ошибкам. Эксперты опубликовали в блоге три образца спам-сообщений от некой дамы, именующей себя Lena (как вариант – Ellena). Англоязычный текст, приведенный в теле письма, несколько различается, но пестрит ошибками. Логин на Yahoo-почте у «Лены-Эллены» тоже не всегда одинаков, но интересно не это. Во всех трех случаях тема письма (тоже по-разному сформулированная) не соответствует его содержимому: получателя уверяют, что данное сообщение на самом деле – намек на изменение курса акций! Очевидно, что скрипт, отвечающий за генерацию произвольных сочетаний заголовков и контента, получил список тем, предназначенный для другой рассылки. Спамеры, скорее всего, уже обнаружили эту ошибку: по данным Barracuda, интенсивность рассылки от «Лены-Эллены» быстро снижается. Однако не исключено, что, сделав технический перерыв, эти ловцы одиноких душ вновь заявят о себе. Источник: Barracuda Labs Жалуйтесь на здоровье! Э-э-э.. на спам! Российский оператор «Мегафон» завершил установку унифицированной платформы VOCORD SRS (SpamReportingSystem), предназначенной для сбора и обработки информации об SMS-спаме. Подозрительные сообщения, перенаправленные на бесплатный номер 1911, отныне будут обрабатываться в автоматическом режиме. Целевой короткий номер 1911 «Мегафон» запустил в тестовом режиме больше года назад, однако обработка получаемой через него информации до сих пор производилась вручную. Новая система фиксирует все обращения и формирует развернутые отчеты с указанием источника спама, объема спам-рассылки и других данных. По словам «Мегафона», автоматизация этого процесса особенно актуальна в случаях мошенничества с «короткими» номерами. Аналогичные системы обработки претензий есть и у других участников «большой тройки». Абоненты МТС жалуются оператору через такой же номер, 1911. Этот сервис является частью комплексной автоматизированной системы «Антиспам», внедрение которой, по словам МТС, позволило повысить эффективность блокировки нежелательных сообщений в 10 раз. В конце первой половины текущего года этот фильтр отсеивал до 1,2 млн. SMS в сутки. Специализированный короткий номер «Билайн» – 007 – работает с начала 2013 года. В рамках борьбы со спамом компания внедрила ряд дополнительных технических решений, которые, по ее словам, помогли сократить объемы нелегитимных рассылок в 40 раз. Если в январе-июне 2012 года «Билайн» фиксировала 80 млн. мусорных SMS, то в минувшем полугодии этот поток составил лишь 1,9 миллиона. Источник: Digit Записки спам-аналитиков Фармацевтический «фишинг» Татьяна Щербакова, эксперт «Лаборатории Касперского» Реклама всевозможных средств для повышения мужской силы - традиционный промысел спамеров. Как и любые другие незапрошенные сообщения, письма подобной тематики со временем эволюционировали, и потому их современные версии могут содержать не только обещания повышения потенции и ссылку на сайт, продающий сомнительные препараты. Так, в период с августа по сентябрь мы зафиксировали ряд рассылок от имени известных компаний, причем полученные нами письма были очень похожи на обычные фишинговые подделки. Однако при переходе по присланной ссылке открывался не фишинговый сайт, а страничка с рекламой «мужских таблеток». Все письма обнаруженных нами рассылок были написаны от лица представителей FedEx, Google, Twitter, Yahoo и других компаний и сервисов. Название одной из перечисленных компаний, как правило, было указано в качестве имени отправителя писем. Непосредственно в теле сообщения злоумышленники имитировали официальное оформление писем той же компании, включая подобие ее логотипа и автоподпись вымышленного сотрудника. Все это должно было убедить потенциальную жертву в легитимности полученного письма. Однако внимательный пользователь, посмотрев на электронный адрес отправителя, без труда замечал, что тот совсем не похож на легитимный и, скорее всего, был сгенерирован автоматически. Отметим, что письма внутри одной рассылки имели несколько вариантов оформления. Для того чтобы заставить пользователя перейти по ссылке, спамеры использовали различные предлоги. Например, некоторые письма имитировали легитимные сообщения о недоставке письма, регистрации профиля, удалении непрочитанных писем. Сообщение было максимально кратким, а для получения более подробной информации получателя приглашали пройти по ссылке, которая на самом деле вела на рекламную страницу с фармацевтическим спамом. Другим вариантом «приманки» было упоминание о получении пользователем нового сообщения или уведомления. В теле письма стояла дата получения, и присутствовала скрытая ссылка на рекламу мужских препаратов, привязанная к текстовому полю «View messages». В некоторых рассылках спамеры также использовали различное цветовое оформление – в яркие цвета раскрашивались поля ссылки и названия компаний. В качестве тем для таких подделок выбирались стандартные фразы о получении сообщения, необходимости активации аккаунта и т.д. В начале августа нами была зафиксирована еще одна рассылка, похожая на вышеперечисленные, но выполненная на более высоком уровне. Письмо было написано от имени компании Google, точнее, замаскировано под автоматическое уведомление от некоего сервиса Google Message Center. Адрес отправителя письма якобы находился в домене google.com и в целом был очень похож на легитимный, что могло ввести получателя в заблуждение. В письме злоумышленники уведомляли получателя о новом сообщении, якобы пришедшем на его адрес, и приводили ссылку на это сообщение. Интересно, что для обмана спам-фильтров и пользователя спамеры заменили некоторые буквы ссылки на аналогичные, но в кодировке ASCII. Например, буква «s» стала числом 73. Кроме того, спамеры использовали популярный сервис Google Translate для маскировки реальной ссылки - прием достаточно известный и, в сочетании с темой письма и зашумлением, эффективный. Однако стоит лишь навести курсор на эту присланную абракадабру, и перед нами предстанет реальная ссылка без зашумления. Распространяемый в рамках этой рассылки URL также ведет на рекламную страничку с фармацевтическим спамом. Интересно, что благодаря использованию зашумления спамеры могут сделать одну и ту же ссылку уникальной для каждого письма, так как каждый раз с помощью ASCII кодируются разные буквы. Похоже, большинство пользователей уже не открывают сообщения с традиционными для фармацевтического спама темами, и поэтому спамеры переключились на уловки, свойственные их криминальным коллегам-фишерам. Но если зашумленные ссылки от спамеров можно с натяжкой назвать безобидными, то подобные подделки от фишеров могут вести на мошеннические веб-страницы или вредоносные файлы, способные нанести серьезный вред вам и вашему компьютеру. Поэтому советуем внимательно относиться к любым официальным письмам и не переходить по подозрительным ссылкам. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013