| в этом номере:
Новости РАЭК — ТОР10 киберпреступлений, в которых Запад отыскал «российский след» Российская ассоциация электронных коммуникаций (РАЭК) составила рейтинг киберинцидентов, в которых западные СМИ винят россиян и которые получили наибольшую огласку за пределами нашей страны. Рейтинг был составлен по материалам [PDF 903 Кб] масштабного исследования зарубежных публикаций за последние 10 лет, которое по заказу РАЭК провела британская консалтинговая компания Powerscourt. Исследователи использовали новостные и аналитические статьи из крупнейших газет и журналов США, ведущих европейских стран, а также англоязычных изданий Канады, Австралии, Новой Зеландии, Южной Африки, Сингапура, Гонконга и ОАЭ. Поиск проводился по таким ключевым словам, как «киберпреступность», «кибербезопасность», «кибервойна», «хакинг», «фишинг», «ботнет», «вредоносное программное обеспечение», «клик-фрод». Если значительная часть текста была посвящена России, то он относился к категории публикаций, посвященных российской киберпреступности. При составлении итогового рейтинга РАЭК руководствовалась количеством первоисточников, посвященных конкретной теме, отметив, что общее число перепечаток способно увеличить показатели на несколько порядков. Вот какие события из тех, что ставят в вину нашим соотечественникам, приковали внимание западного мира: - Кибератаки на Грузию и грузинских блоггеров в LiveJournal, август 2008.
- Годовщина войны в Грузии, кибератаки на грузинских пользователей Twitter и Facebook; август 2009.
- Спам-рассылки с рекламой препаратов от «свиного» гриппа, инициатором которых оказалась партнерская сеть Главмед; ноябрь 2009.
- Взлом «российскими хакерами» почтовых ящиков ученых-климатологов, оспаривающих теорию глобального потепления; декабрь 2007.
- Активное обсуждение деятельности Russian Business Network, ее перемещений и исчезновения из Сети; ноябрь 2007.
- Кибератаки на eBay и Yahoo, повлекшие падение курса акций этих компаний. Пресса приписала этот инцидент злоумышлениям «неизвестных хакеров из России». Январь 2000.
- Арест силами ФБР Василия Горшкова и Алексея Иванова, которые взламывали защищенные сети американских компаний и путем шантажа навязывали собственные средства безопасности. По оценкам, заработки хакеров составили около 25 млн. долларов. Октябрь 2000.
- Кампания в защиту программиста «Элкомсофт» Дмитрия Склярова, который продемонстрировал уязвимость pdf-формата и был арестован ФБР по настоянию Adobe; июль 2000.
- Блитц-криг сетевого червя MyDoom, которого на Западе сочли творением российских вирусописателей; февраль 2004.
- Возрождение интереса к теме масштабного заражения червем Conficker/Kido, в написании которого, по мнению Запада, тоже поучаствовали россияне; февраль 2010.
Большинство этих киберинцидентов — события, как называет их РАЭК, геополитического характера. Конкретные виновники неизвестны, масштабы значительны, размеры ущерба весьма ощутимы. Однако сей рейтинг отчетливо демонстрирует, что за последние годы имидж нашей страны в киберпространстве — увы! — не улучшился. При появлении первых сообщений о серьезном киберпреступлении западные СМИ почти рефлекторно начинают искать «русский след» или обвинять Россию в попустительстве. Реальные киберпреступники российского подданства, что греха таить, часто остаются безнаказанными, и, если не изменить эту практику, страну и впредь будут расценивать как рассадника криминала в Сети и опасного врага. Источник: mforum.ru Источник: astera.ru Источник: mforum.ru Commtouch: исходящий спам — большая проблема Согласно результатам исследования, проведенного Commtouch и Osterman Research, две трети провайдеров ежегодно теряют до 100 тыс. долларов из-за спама, отсылаемого их абонентами. Исследование наглядно продемонстрировало, что проблема исходящего спама требует от провайдеров дополнительных усилий по защите сетей от злоупотреблений. В ходе исследования был проведен опрос, в котором приняли участие интернет-провайдеры, держатели веб-хостингов, поставщики управляемых услуг (managed services), владельцы интернет-порталов из разных стран. Все они признали, что рассылка спама и мошеннических писем с использованием их сервисов грозит сокращением клиентской базы, увеличением операционных расходов, потерей репутации, а в отдельных случаях — судебными исками. Около 40% участников опроса признались, что за последний год их IP-адреса не раз попадали в «черные списки», что причиняло неудобства добропорядочным абонентам. В связи с этим почти 70% респондентов уже начали изучать рынок, чтобы выбрать подходящее решение по защите исходящего трафика от спама. 50% опрошенных отметили, что в течение года планируют установить такие системы фильтрации на выходе из сети. Источник: commtouch.com Старый знакомый С конца мая эксперты M86 Security регистрируют спам-рассылки с ботнета Pushdo, нацеленные на распространение спам-ботов Asprox (Net-Worm.Win32.Aspxor). Вредоносные письма имитируют сообщение от интернет-магазина товаров для iTunes, адресованное держателю подарочной карты. Вложенный zip-файлом «код активации» на самом деле является даунлоудером, который при исполнении загружает новый вариант Asprox. После инсталляции спам-бот связывается с командным сервером и получает зашифрованный xml-файл с дальнейшими инструкциями и спам-шаблоном. По данным M86 Security, в начале спам-кампании Asprox генерировал поддельные сообщения UPS о недоставке посылки. Они тоже были снабжены zip-вложением — якобы копией извещения о почтовом отправлении, которую получателю предлагалось распечатать и зайти в отдел доставки. Содержимым zip-файла оказался все тот же даунлоудер. К началу июня бинарный код Asprox и спам-шаблон были обновлены, теперь он незатейливо рекламирует Виагру и Циалис. Asprox впервые появился в середине 2007 года и использовался преимущественно для рассылки фишинговых посланий. Небольшой ботнет, созданный на его основе, успешно маскировался, используя технологию fast-flux, что привлекло к ней внимание более могущественного конкурента – фишинговой группировки Rock Phish. Однако операторам Asprox не удалось в достаточной мере расширить свои владения, и зловред выпал из списка актуальных угроз на целый год. Судя по записям Virus Watch «Лаборатории Касперского», его вновь активно распространяли в начале марта и в конце мая текущего года. Что касается вышеупомянутой спам-кампании, в M86 Security подметили некий симбиоз вовлеченных в нее инструментов. Все C&C домены, которые они вызывают, оформлены на частное лицо одним и тем же регистратором в зоне .ru — «Наунет СП», причем недавно, в марте и мае. При регистрации этих доменов в качестве контакта были указаны схожие номера телефонов. Для каждого домена указаны четыре одноименных DNS-сервера, а соответствующие им IP-адреса являются частью fast-flux сети. Источник: m86security.com Кодекс безопасного поведения австралийских провайдеров Австралийская Ассоциация интернет-индустрии (Internet Industry Association, IIA) опубликовала финальную редакцию Code of Practice — свода рекомендаций для интернет-провайдеров по обеспечению чистоты вверенных им ресурсов. По словам его авторов, в Кодексе отражены далеко не все аспекты сетевой безопасности. Его положения призваны дополнить существующие законы и нормативы и основаны на принципе совместной ответственности поставщиков и потребителей интернет-услуг за соблюдение правил общежития в Сети. Закрепленные в Кодексе добровольные обязательства должны помочь австралийским провайдерам выработать единый подход к борьбе с заражениями и уменьшению рисков, связанных с работой в интернете. В соответствии с Кодексом безопасного поведения интернет-провайдер организует оповещение пользователей об интернет-угрозах и превентивных мерах, осуществляет прием жалоб и мониторинг подозрительной активности в своих сетях, принимает оперативные меры по нейтрализации очага заражения, обменивается актуальной информацией с коллегами, ведет гласную отчетность. Интернет-провайдеры, неукоснительно соблюдающие минимальный набор этих требований, удостаиваются права разместить на своем сайте копию сертификата доверия от IIA. При обнаружении источника противозаконной активности провайдер может напрямую связаться с владельцем соответствующего ресурса, замедлить трафик, временно изолировать ресурс, ограничить объем smtp-рассылок (если речь идет о спаме). Информация о возможных санкциях и порядке их применения должна быть доступна для пользователей. Если владелец зараженного ресурса не может самостоятельно справиться с проблемой, ему следует предложить посильную помощь, пусть даже не бесплатную. В особых случаях провайдеру не возбраняется обращаться в правоохранительные органы, которым он обязан оказывать содействие — в разумных пределах. Кодекс австралийского провайдера будет введен в силу 1 декабря текущего года и по истечении полутора лет должен подвергнуться пересмотру. Источник: computerworld.com.au Источник: iia.net.au
Спам в мае 2010 года Мария Наместникова, "Лаборатория Касперского" Особенности месяца - Доля спама в почтовом трафике по сравнению с апрелем увеличилась на 2,1% и составила в среднем 85,1%.
- Ссылки на фишинговые сайты, как и в предыдущем месяце, содержались в 0,02% всех электронных писем.
- Вредоносные файлы содержались в 1,69% электронных сообщений, что на 0,45% больше, чем в прошлом месяце.
- В мае количество англоязычного спама в Рунете заметно возросло, в то время, как спам на русском языке стал встречаться реже.
- Самые хитроумные трюки спамеры используют в саморекламе.
Доля спама в почтовом трафике Доля спама в почтовом трафике в мае 2010 года в среднем составила 85,1%. Самый низкий показатель месяца был зафиксирован 31 мая — 79,8%; больше всего спама было получено пользователями 9 мая, в День Победы, — 89,8%. Страны — источники спама В апреле Индия и Вьетнам наступали на пятки Соединенным Штатам Америки, однако в мае из этих стран спама было разослано меньше: из Индии — на 4,1%, а из Вьетнама — почти на 7%. В то же время количество спама, распространенного из США, увеличилось на 8,5% и вернулось к обычному уровню — 20,7%. Количество спама, распространенного из России, увеличилось на 1,2%. Хотя это увеличение незначительно, Россия вновь вошла в тройку лидеров. В мае значительные изменения в нашем рейтинге коснулись позиций Китая и Бразилии — обе эти страны медленно начинают отвоевывать свои позиции. Пока они не попали в пятерку лидеров, однако количество спама, распространенного из Китая, увеличилось на 2% по сравнению с апрелем, что позволило ему подняться на 6-ю строчку рейтинга. Количество бразильского спама увеличилось практически в половину (+1,2%), и в этом месяце он следует за Китаем, занимая 7-ю строчку. Резко изменили свои позиции Германия и Италия, выпавшие из первой десятки рейтинга. Количество спама, распространенного из каждой из этих стран уменьшилось на 2%. Кроме того, интересно отметить появление в нашей двадцатке Аргентины. С территории этого государства было распространено 2,1% всего мирового спама. Фишинг Количество электронных писем, содержащих ссылки на фишинговые сайты, не изменилось по сравнению с апрелем и составило 0,02%. Первая четверка организаций, наиболее часто подвергавшихся фишинговым атакам, также осталась неизменной: PayPal (50,4%, -4,2%), eBay (13,4%, +1,9%), HSBC (8,5%, -1,1%) и Facebook (6,9%, -1,8%). Да и в остальном десятка не претерпела серьезных изменений, за исключением «вылетевших» из нее социальной сети Habbo и американской службы по налогам и сборам IRS. Их место заняли банковская система NatWest и Bank Of America. Одна из довольно крупных спам-рассылок была нацелена как раз на Bank Of America. Ничего оригинального, впрочем, фишеры придумывать не стали: пользователю предлагали перейти на сайт, где он должен «активировать» свой аккаунт онлайн-банкинга в связи с тем, что была введена новая система безопасности. Разумеется, данные, введенные на фишинговом сайте, отправлялись прямо к мошенникам. Клиенты банка HSBC, как уже было упомянуто, остаются одной из самых популярных мишеней для фишеров. В мае нами была зафиксирована рассылка сообщений, в которых клиентам этого банка вообще без объяснения причины предлагалось открыть вложенный файл. При этом тема письма звучала коротко: «ВАЖНО». Открывший вложение пользователь попадал на фишинговую страничку в интернете, где его просили ввести логин и пароль для входа в систему онлайн-банкинга. В мае одна из фишинг-атак была нацелена на пользователей российской платежной системы Яндекс.Деньги. Сообщение представляло собой стандартный фишинговый текст, в котором мошенники пытались запугать получателя: на вас была подана жалоба, возможна блокировка исходящих операций… Ссылка в письме, разумеется, вела не на сайт Яндекс.Деньги, а на его копию, специально созданную для кражи паролей. Вредоносные программы в почте Вредоносные файлы содержались в 1,69% электронных сообщений, что на 0,45% больше, чем в прошлом месяце. Рейтинг стран, в которых электронные письма чаще всего содержат вредоносный код, по сравнению с апрелем практически не изменился. Для злоумышленников развитые страны по-прежнему являются более интересными целями для распространения вредоносных программ. 1 Германия 9,23% 2 Великобритания 8,62% 3 США 8,09% 4 Япония 7,33% 5 Испания 7,27% 6 Тайвань 6,82% 7 Франция 4,49% 8 Индия 4,26% 9 Италия 3,65% 10 Австралия 3,00% Наиболее заметным изменением в данном рейтинге является перемещение Испании с девятой на пятую строчку. Количество зловредов, задетектированных нашим почтовым антивирусом в этой стране, возросло по сравнению с апрелем почти вдвое. Социальные сети остаются предметом живого интереса злоумышленников. Так, в мае нами были зафиксированы рассылки, использующие Facebook и Youtube как приманку для распространения вредоносного кода. При этом рассылка, эксплуатирующая Facebook, была создана по «общепринятым стандартам» фишеров и спамеров, распространяющих вредоносные программы. Пользователю предлагалось прочитать некую важную информацию, якобы полученную им от администрации соцсети, для чего было необходимо пройти по ссылке. После перехода по ссылке на компьютер пользователя загружался вредоносный код. Хочется отметить, что спамеры научились очень ловко подделывать рассылки от Facebook – фишинговое письмо по своему виду вполне может сойти за настоящее сообщение от соцсети. Рассылка, эксплуатирующая Youtube, была сделана куда более топорно. В ней пользователю предлагалось скачать некий инструмент, позволяющий оптимизировать поиск видео на известном портале. «Инструмент на самом деле был троянской программой. Самой изобретательной в мае была рассылка, нацеленная на российских пользователей, в которой им предлагалось скачать различное ПО. Среди предложенных программ были, например, 1С, Консультант, а также специальная программа для пользователей ТезТур. Вредоносные ссылки, по которым можно было «скачать программу», быстро менялись. Тематический состав спама Пятерка лидирующих спам-тематик мая: - Образование — 20% (+0,4%)
- Медикаменты; товары/услуги для здоровья — 16,9% (+3,2%)
- Отдых и путешествия — 13,9% (-7,2%)
- Компьютерное мошенничество — 9% (+1,2%)
- Личные финансы — 8,3% (+4,6%)
В мае расстановка сил в пятерке лидирующих спам-тематик изменилась. Интересно отметить, что в трех из пяти тематик-лидеров — «Медикаменты», «Компьютерное мошенничество» и «Личные финансы» — большую часть составляют англоязычные письма. Количество писем всех этих тематик по сравнению с прошлым месяцем увеличилось. В то же время писем, относящихся к традиционно русскоязычным тематикам, стало меньше. Особенно хорошо это заметно на примере лидера прошлых месяцев, тематики «Отдых и путешествия», доля которой уменьшилась на 7%. Первую строчку в рейтинге заняла тематика «Образование», к которой относится, в основном, спам-реклама различных семинаров. Количество писем, рассылаемых мошенниками, возросло по сравнению с апрелем на 1,2%. В основном это нигерийские письма, письма, сообщающие о выигрышах в лотерею, и письма, предлагающие разнообразные сомнительные сделки. К последним относится и письмо, в котором пользователю предлагалось купить у добывающей компании золото по бросовой цене. Схема действий мошенников в данном случае аналогична схеме, реализуемой в нигерийском спаме. У заинтересованного пользователя потребуют денег за банковские переводы, таможенную очистку несуществующего, но якобы отправляемого ему золота, за погрузочные работы и транспортировку груза. Разумеется, никакого золота покупатель никогда не получит, даже если переведет деньги. В русскоязычном спаме также встречаются мошеннические письма, однако здесь мы наблюдаем уже совершенно иную схему: это все те же платежи при помощи дорогостоящих SMS-сообщений на короткие номера за сомнительный товар или услугу. Радует, однако, что с недавнего времени один из участников большой тройки операторов, борясь против мошенничества, ограничивает своим пользователям возможность отправки SMS на короткие номера, используемые в сомнительных целях. Продолжая говорить о нечестных рассылках, можно упомянуть еще одну, задетектированую нами и отнесенную к рубрике «Другие товары и услуги». Это рассылка, предлагающая пользователю купить кредитные карточки, а также подозрительно дешевые (с высокой вероятностью краденые) ноутбуки и мобильные телефоны. Эта рассылка — лишнее напоминание честным предпринимателям о том, в какой компании они могут оказаться, если решат рекламировать свою фирму при помощи спама. Говоря же о рубрике «Другие товары и услуги», можно заметить, что количество писем в ней практически не изменилось по сравнению с апрелем и составило 10,9%. Спамерские методы и трюки Уже становится традицией в разделе, посвященном спамерским трюкам, писать о саморекламе спамеров. Даже по окончании кризиса самые интересные трюки спамеры оставляют для своих рассылок. В мае по почтовым ящикам Рунета прошла рассылка с темами «Анекдоты» или «Приколы». И действительно, в письме пользователь обнаруживал несколько невероятно «бородатых», однако забавных анекдотов. Увлекшийся чтением пользователь с удивлением обнаруживал, что письмо заканчивается рекламой электронных рассылок. Еще один трюк, использованный спамерами для распространения рекламы своих услуг, не вполне удался. Письма, в которых он был использован, могут претендовать на звание самых нечитаемых писем мая. Основная часть текста в письме была смазана, а телефон «съехал» в сторону. Однако, судя по тому, что заголовок и заключение спамерского текста были видны четко, смазанный текст — это не техническая ошибка, а часть трюка. Заключение Количество фишинга по сравнению с прошлым месяцем осталось неизменным. Если раньше в числе наиболее часто атакуемых организаций стабильно присутствовали лишь два лидера — PayPal и eBay, то последние несколько месяцев практически не меняются организации, входящие в TOP 4. Количество писем, содержащих вредоносный код, возросло незначительно, однако спамеры пытаются придумать новые приемы для распространения зловредов. Об этом, в частности, свидетельствует значительное уменьшение количества писем, подделанных под рассылки от почтовых систем DHL и UPS, что еще совсем недавно было основным трюком спамеров, распространяющих вредоносные программы. Тематический состав спама несколько изменился, русскоязычные рассылки сдали свои позиции в пользу англоязычных. Это в первую очередь говорит о снижении деловой активности среди российского малого и среднего бизнеса, использующего спам как инструмент рекламы. Спамеры по-прежнему используют самые хитроумные трюки для саморекламы. Полную версию статьи смотрите на сайте www.securelist.com/ru.
Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.
|
Комментариев нет:
Отправить комментарий