в этом номере: Новости IBM: глобализация и спамеры Согласно статистике IBM, в первой половине текущего года более четверти спамовых потоков исходило с почтовых серверов США, Бразилии и Индии. Наибольшее число URL, указанных в нелегитимных сообщениях, было привязано к доменной зоне .ru, однако размещать свои страницы спамеры предпочитают на китайских серверах. Список стран-лидеров по рассылке спама за первое полугодие возглавляют США, вклад которых в спам-трафик, по оценке IBM, составил 9,8%. Россия потеснила Вьетнам и заняла четвертое место (6,4%) — после Бразилии (8,5%) и Индии (8,2%). Присутствие последней на спам-арене становится все более ощутимым: во втором квартале эта страна впервые обогнала Бразилию и вплотную приблизилась к США. Китай совсем исчез из ведущей десятки, в которой появилось четверо новичков: Германия, Великобритания, Украина и Румыния. Эксперты отмечают, что большинство современных спам-рассылок проводится с помощью ботнетов, поэтому географическая привязка IP-адреса почтового сервера-отправителя далеко не всегда отражает местоположение авторов массированной атаки. Более 90% нежелательной корреспонденции составил так называемый URL-спам — сообщения в текстовом формате, снабженные ссылками. Большинство URL, обнаруженных в письмах спамеров, были привязаны к недавно зарегистрированным доменам в зоне .ru, которая по этому показателю обогнала все прочие домены высшего уровня. В мае-июне на третье место по популярности у спамеров вышел еще один региональный домен, .de. Китайская национальная зона за полгода спустилась со 2-й на 75-ю позицию. По-видимому, ужесточение правил регистрации в этой стране весьма эффективно отпугнуло спамеров, а аналогичная акция в России пока не дала видимых результатов. Примечательно, что более трети (37,5%) страниц с рекламой, открываемых по указанным в спаме адресам, размещены на территории Китая. Российский веб-хостинг занимает по популярности у спамеров лишь пятое место (3,4%) — после США, Южной Кореи и Молдовы. Тем не менее, более 60% страниц, размещенных спамерами на китайских серверах, прописаны в зоне .ru, и менее 30% — в родной зоне .cn. Таким образом, заключают эксперты, на спам-арене явно наблюдается разделение труда: спам-сообщения отсылаются из США, Индии или Бразилии, URL в них российские, а зазывают получателей в Китай. Источник: scribd.com Источник: astera.ru Источник: iksmedia.ru Pushdo возвращается Потоки спама с ботнета Pushdo остаются минимальными, однако его хозяевам удалось перенести управляющие функции с утерянных хостов на другие серверы. В конце августа около двух десятков из 30 обнаруженных центров управления этого ботнета, специализирующегося на распространении спама и зловредов, были отключены от Сети объединенными усилиями специалистов по интернет-безопасности и соответствующих провайдеров. К сожалению, осуществление этой акции практически не отразилось на общих объемах почтового мусора: в последнее время вклад Pushdo в мировой спам-трафик не превышает 10%. Однако победа, как и следовало ожидать, была кратковременной. Владельцы ботнета, наученные горьким опытом, на сей раз предусмотрели отходные пути. За 4 дня они смогли восстановить управление большинством спамботов, введя в строй новые C&C. В начале сентября с Pushdo была зафиксирована вредоносная рассылка фальшивых уведомлений от имени DHL. Спустя неделю появилась короткая спам-рассылка, продвигающая услуги Canadian Pharmacy. Тем не менее, пока одиозный ботнет не набрал былую силу, эксперты активно работают с интернет-провайдерами, в сетях которых они успели выявить очаги инфекции. Как оказалось, около 40% спамботов Pushdo находятся на территории Индии. Источник: labs.m86security.com Источник: blog.trendmicro.com Источник: blog.tllod.com Symantec об августовском спаме По оценке Symantec, в минувшем месяце почтовые каналы были замусорены [PDF 3,52 Мб] на 92,51%. Потоки несанкционированной корреспонденции из стран EMEA уменьшились и составили 43,17% от общего объема. Более четверти августовского спама было отослано с территории Северной Америки, по большей части — из США. В тематическом разделении спам-рассылок, как и прежде, преобладала категория интернет-услуг. Ее вклад в мусорный трафик увеличился почти в полтора раза и составил 33%. На долю рекламы промтоваров приходилось, по данным Symantec, 14%, медицинских препаратов и услуг — 12%, предложений финансового характера 9%, мошеннических и фишинговых посланий 16%. Две трети URL-ссылок, обнаруженных в спам-письмах, были привязаны к доменной зоне .com. Присутствие российского национального домена сократилось на 9%; в августе на его долю приходилось лишь 13% спамовых URL. Региональный домен .cn, похоже, начисто утратил популярность у спамеров и в августовской четверке TLD-лидеров отсутствует. Согласно статистике Symantec, количество вредоносного спама в прошлом месяце увеличилось втрое, а нелегитимных писем с zip-вложениями — вчетверо. Последние, в основном, были нацелены на распространение Zbot, Sasfis или рекламы интернет-аптек. Эксперты зафиксировали также волну спам-рассылок, использовавших вложения в формате html. Файл в аттаче содержал JavaScript, ориентированный на выполнение тех или иных зловредных действий. Что касается фишинговых посланий, они, по данным Symantec, по-прежнему в большинстве своем (на 87%) ориентированы на сбор информации о клиентах финансовых институтов. Количество страниц-ловушек, созданных с помощью готовых комплектов для проведения фишинговых атак, в августе увеличилось почти вдвое. Больше половины фишинговых страниц было обнаружено на территории США. Источник: symantec.com [PDF 3,52 Мб] Spam Ratings даст отпор нелегальному маркетингу Участники нового онлайн-проекта Spam Ratings обнаружили, что три четверти электронных сообщений, которые британские коммерсанты отсылают зарегистрированным пользователям, воспринимаются как нежелательные и неуместные. Исследователи зарегистрировались на 10 тыс. веб-сайтов, принадлежащих разным бизнес-структурам, и в течение года изучали почту, поступающую по этим каналам. В итоге было проанализировано 150 тыс. писем. В числе прочих откровений обнаружилось, что 40% веб-сайтов распространяют не только раздражающую рекламу, но и опасные послания. Авторами 30% непрошеной корреспонденции оказались вообще посторонние лица, что свидетельствует о процветании торговли персональными данными в среде легального бизнеса. Большинство нарушителей правил честной торговли, установленных британской Ассоциацией по маркетингу (Direct Marketing Association) и независимым Комиссариатом по защите частной информации (Information Commissioner’s Office, ICO), — это представители среднего бизнеса. Однако есть среди них и большие, известные компании, которые не гнушаются проводить коммерческие рассылки без предварительного согласия пользователей либо предоставляют ему выбор по схеме opt-in, по умолчанию маркируя ответ в свою пользу. Активисты Spam Ratings намерены вести непримиримую борьбу с источниками коммерческого спама в британском секторе интернета. Чтобы повысить ответственность рекламодателей перед интернет-сообществом, они разработали сертификат доверия Spam Free («без спама»), который будет по итогам проверки официально присуждаться веб-сайтам, соблюдающим правила. Списки держателей сертификата и спам-рейтинг сетевых ресурсов будут представлены на сайте Spam Ratings в открытом доступе и снабжены простейшим поисковым механизмом. Пользователям также предоставляется бесплатный доступ к спам-фильтру. Источник: spamratings.com/press Источник: spamratings.com/news Спам в августе 2010 года Мария Наместникова, "Лаборатория Касперского" Особенности месяца - Доля спама в почтовом трафике по сравнению с июлем уменьшилась на 2,4% и составила в среднем 82,6%.
- Ссылки на фишинговые сайты находились в 0,04% всех электронных писем, что на 0,01% больше, чем в июле.
- Вредоносные файлы содержались в 6,29% электронных сообщений, что на 3,1% больше, чем в прошлом месяце.
- Спад активности заказчиков спама в августе продолжился, что привело к росту количества вредоносных рассылок, а также рассылок, содержащих рекламу спамерских услуг.
Доля спама в почтовом трафике Доля спама в почтовом трафике в августе 2010 года в среднем составила 82,6%. Самый низкий показатель месяца был зафиксирован 2 августа — 79,4%; больше всего спама было получено пользователями 7 числа — 89,7%. Страны — источники спама Гонконг, дебютировавший в июле на 17 месте, в августе неожиданно оказался на второй строчке в списке стран — источников спама. С территории этой страны было распространено 7,7% всего спама. Немногим меньше (7,2%) спама было распространено с территории Индии, которая заняла третье место. Лидером по-прежнему остаются США, с территории которых было распространено 15,5% спама. После недолгого отсутствия в двадцатку вернулись Нидерланды и Канада. С территории этих стран было распространено по полтора процента спама. Индонезия и Тайвань, ненадолго появившиеся в ТОР 20, в августе снова покинули список лидеров. С территории России было распространено на 1,3% больше спама, чем в июле, что обусловило ее переход с шестой строчки на четвертую. Фишинг Самое неожиданное изменение в рейтинге наиболее часто атакованных фишерами организаций — переход социальной сети Facebook со второго места на девятое. Доля атак на этот ресурс снизилась более чем в десять (!) раз за последний месяц. С чем связано такое резкое падение интереса злоумышленников к известной социальной сети пока сказать трудно. Мы предполагаем, что это лишь временное затишье, и интерес фишеров к популярной социальной сети восстановится. Вместе с тем вдвое увеличилась доля атак на банк HSBC, который стабильно входит в пятерку лидеров, и на игровой сервис WoW, переместившийся с восьмой на четвертую строчку нашего рейтинга. Процент атак на интернет-аукцион e-Bay практически не изменился. Google фишеры атаковали несколько чаще, чем в июле. Доля атак на эту организацию увеличилась на 0,75%, и Google оказался на 6-й строчке нашего рейтинга. Схема, используемая злоумышленниками для получения пользовательских данных, изменений по сравнению с июлем не претерпела. Уже упомянутый банк HSBC в августе занял третью сточку. Нами были зафиксированы многочисленные разнообразные фишинговые рассылки, нацеленные на получение логина и пароля к системе интернет-банкинга HSBC. Вредоносные программы в почте Список наиболее распространенных в почте вредоносных программ в этом месяце куда более неоднороден, нежели в июле. В него вошли десять зловредов, принадлежащих к девяти различным семействам. Лидирует (уже не впервые) семейство Trojan-Downloader.Win32.Agent. В ТОР 10 вошли две модификации этой вредоносной программы: Trojan-Downloader.Win32.Agent.eesv, занявший первую строчку (12,87%), и Trojan-Downloader.Win32.Agent.ejkj (4,23%). Эти программы после установки подключаются к сетевым ресурсам, чтобы получить список URL для закачки других вредоносных программ. Более 10% всех зловредов, распространенных в почте, составила программа Trojan-Downloader.Win32.FraudLoad.xexa. Троянцы этого семейства инсталлируют на компьютер жертвы поддельный антивирус, призванный вымогать деньги. Вредоносная программа, занявшая третью строчку рейтинга, — Trojan.Win32.Pakes.Katusha.o — это модификация популярного около полугода назад упаковщика, таящая в себе с равной степенью вероятности как поддельные антивирусы, так и тот же Zbot. Рейтинг стран с самым высоким уровнем распространения зловредов через почту претерпел не слишком заметные изменения в сравнении с июлем. Первое и второе место по-прежнему занимают США и Япония. Доля вредоносных программ, отправленных в эти страны, почти не изменилась. Несколько уменьшилась доля Германии, что привело к снижению позиций этой страны в нашем рейтинге. Почти в два раза уменьшился процент опасных писем, отправленных в Тайвань. Китай, находившийся ранее на девятой строчке, в августе не попал в список лидеров. Однако эта страна остается интересной для злоумышленников: доля полученных там писем с вредоносными вложениями уменьшилась лишь на 0,5%. Тематический состав спама Пятерка лидирующих спам-тематик августа: - Медикаменты; товары/услуги для здоровья — 30,6% (+11,5%)
- Реплики элитных товаров — 12,7% (+6,1%)
- Образование — 12,3% (-5,7%)
- Компьютерное мошенничество — 9,3% (-1,5%)
- Реклама спамерских услуг — 7,3% (+0,5%)
В августе пятерка лидирующих спам-тематик практически не изменилась по составу, однако изменение количественных показателей более чем заметно. Доля писем, содержащих рекламу различных медикаментов, увеличилась по сравнению с июлем на треть и составила 30,6%. Вдвое увеличилась доля писем, рекламирующих реплики элитных товаров. Количество писем, содержащих рекламу образования, уменьшилось почти на 6%. В целом, в августе количество спама, распространенного участниками партнерских программ Рунета, осталось на довольно высоком уровне, в то время как количество спама, заказанного клиентами спамеров, все еще держится на довольно низком уровне. Именно отсутствие клиентов объясняет то, что в последний летний месяц увеличился объем рекламы спамерских услуг. На приведенном ниже графике можно видеть, что в начале августа ситуация стала приближаться к обычной — объемы партнерского стали сокращаться, а заказной спам начал было наращивать обороты. Однако во второй половине августа эта тенденция пошла на спад, что и привело к увеличению доли писем, предлагающих спамерские услуги. Спамеры по-прежнему часто прибегают к использованию различных интересных рисунков для саморекламы. Интересно отметить зафиксированную в августе англоязычную рассылку, предлагавшую спамерские услуги. Такие рассылки нетипичны для англоязычного спама. Заметим, что среди предложенных средств связи со спамерами есть московский номер телефона, а также почтовый ящик на yandex.ru. Тема первого сентября уже второй год подряд остается практически незамеченной спамерами. В основном ее эксплуатируют не в письмах с предложениями каких-либо товаров, необходимых для школы, а в совершенно неожиданных рассылках, например, в письме, рекламирующем магазин кофе, и тому подобных. Спамерские методы и трюки Как отмечалось выше, количество рассылок, содержащих рекламу спамерских услуг, снова увеличилось. В связи с этим спамеры снова придумывают различные трюки, при помощи которых их самореклама могла бы «пробить» спам-фильтры. В представленном ниже письме пользователь видит вот такую цельную картинку: На самом деле, это не одна картинка, а несколько. Для обхода спам-фильтров злоумышленники нарезали представленную картинку на несколько частей, которые варьировались от письма к письму. Это интересный трюк, которым спамеры не пользовались уже довольно давно. Отметим, что приберегли они его именно для рекламы собственных услуг. Заключение В августе мы ожидали увеличения количества заказного спама и уменьшения количества партнерского. Судя по всему, того же ожидали и спамеры: об этом говорит возросшее количество их саморекламы, с помощью которой они пытаются привлечь своих клиентов, которые никак не желают возвращаться с каникул. Количество вредоносных рассылок увеличилось в августе вдвое. Это довольно неприятная тенденция, которая сохраняется вопреки нашим ожиданиям. Во многом такое количество вредоносного спама связано все с тем же затянувшимся сезоном летних отпусков: в периоды, когда становится ощутимо меньше клиентов, заказывающих спам, спамерам становится очень выгодно участвовать в партнерских программах по распространению вредоносного кода. Полную версию статьи смотрите на сайте www.securelist.com/ru. Спам-статистика за период 6-12 сентября 2010 г. "Лаборатория Касперского" Доля спама в русскоязычном секторе интернета за прошедшую неделю составила 82,5%. На прошедшей неделе стало заметно меньше предложений «Реплик элитных товаров» (-6,1%). Продолжила расти доля рубрики «Другие товары и услуги» (+3,1%), также стало больше «Спам "для взрослых"» (+2,5%). Колебания долей остальных тематик остались в пределах 2%. Популярные тематики № | Тематика | Описание | Доля тематики | Изменения за неделю | 1 | Медикаменты; товары/услуги для здоровья | Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. | 28,1% | 1,4% | 2 | Другие товары и услуги | Предложения других товаров и услуг. | 18,7% | +3,1% | 3 | Реплики элитных товаров | Копии часов, аксессуаров, обуви и других товаров известных марок. | 15,4% | -6,1% | 4 | Образование | Реклама семинаров, тренингов, курсов. | 11,7% | +0,2% | 5 | Реклама спамерских услуг | Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. | 5,6% | -0,7% | 6 | Спам "для взрослых" | Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. | 4,2% | +2,5% | 7 | Компьютеры и Интернет | Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.). | 3,7% | +0,7% | 8 | Компьютерное мошенничество | Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества. | 3,3% | -0,4% | 9 | Отдых и путешествия | Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. | 2,5% | -0,6% | 10 | Личные финансы | Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. | 2,1% | +0,6% | 11 | Юридические услуги и аудит | Предложения юридических услуг. | 2,1% | +0,1% | 12 | Полиграфия | Визитки, календари, печать, услуги типографии и пр. | Менее 2% | -0,3% | 13 | Недвижимость | Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. | Менее 2% | -0,3% | 14 | Остальной спам | | Менее 2% | -0,2% | Примеры спамовых писем смотрите на сайте Securelist.com/ru.
Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются.
|
Комментариев нет:
Отправить комментарий