Отчеты по спаму и фишингу

Спам в августе 2008 года

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с
    июлем
    повысилась на 1,4% и составила в среднем 80,3%.

  • Вредоносные файлы содержались в 0,7% электронных сообщений.
  • Ссылки на фишинговые сайты находились в 0,64 % всех электронных писем.
  • Доля графического спама составила 9%.
  • Зафиксированы рассылки, использовавшие Олимпиаду в Пекине и конфликт в Южной Осетии в мошеннических целях.
  • Для маскировки ссылок широко использовались html-теги.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в августе 2008 года в среднем составила 80,3%. Самый низкий показатель отмечен 12 августа – 69,8%, больше всего спама зафиксировано 20-го числа –90,5%. Доля графического спама осталась неизменной в сравнении с прошлым месяцем — 9%.

новое окно<!— 

Доля спама в Рунете в августе 2008

Фишинг

В последнем летнем месяце доля писем, содержащих фишинговые ссылки, возросла по сравнению с предыдущим месяцем на 0,06% и составила 0,64%. Самыми атакуемыми со стороны фишеров организациями в августе стали:

новое окно 

Организации, подвергшиеся фишинговым атакам

Примечательно, что в этом месяце были зафиксированы две атаки на AssociatedBank, осуществленные Rock Phish
с применением технологии fast-flux (динамическая перерегистрация IP-адресов). В ходе первой атаки 16-17 августа были использованы 524 уникальные фишинговые ссылки. Во время второй атаки, начавшейся 30 августа, была зафиксирована 541 уникальная ссылка.

Вредоносные рассылки

В летнее время — период снижения спроса на товары и услуги — основная деятельность спамеров заключалась в рассылке вредоносных писем. При этом, если в прошлом месяце рассылались письма преимущественно со ссылками на зараженные страницы, то август был отмечен резким всплеском числа писем с вредоносными вложениями. Их доля возросла с 0,27% в июле до 0,7% в августе.

Как и в июле, для маскировки своих писем спамеры использовали хорошо известные бренды новостных сайтов. Ссылки в таких письмах якобы вели на страницы с видео-файлами с сенсационной новостью. Перешедшему по ссылке пользователю предлагалось установить новую версию флэш-плейера. Файл в формате exe, закачивавшийся под видом обновленной программы для просмотра, содержал Trojan downloader. Exe-файлы размещались на взломанных хакерами легитимных сайтах, расположенных в различных доменных зонах.


msnbc.com: BREAKING NEWS: London named top literary destination

Find out more at http://breakingnews.msnbc.com
======================================================
See the top news of the day at MSNBC.com, and the latest from Today Show and NBC Nightly News.

=========================================
This e-mail is never sent unsolicited. You have received this MSNBC Breaking News Newsletter
newsletter because you subscribed to it or, someone forwarded it to you.

To remove yourself from the list (or to add yourself to the list if this
message was forwarded to you) simply go to

http://www.msnbc.msn.com/id/61402101, select unsubscribe, enter the
email address receiving this message, and click the Go button.

Microsoft Corporation — One Microsoft Way — Redmond, WA 98052
MSN PRIVACY STATEMENT
http://privacy.msn.com (http://privacy.msn.com/>)

Русскоязычные спамеры осуществили рассылку с интригующей темой «Ну и что это за документ у Вас на сайте?». В левой части ссылки было проставлено доменное имя известного легитимного сайта. Однако на самом деле загадочный «документ» находился на сайте в доменной зоне tk, как можно было установить, присмотревшись к ссылке более внимательно. При попытке скачать «документ» на компьютер пользователя начинал загружаться Trojan downloader под видом doc-файла.

Ну и что это за документ у Вас на сайте?

да еще с Вашим именем
http://motoman.ru.documents.{site}.tk/hr.doc
C Уважением Семен. Prian.ru

Жестокий способ распространения зараженных файлов был избран в англоязычной рассылке. Из спамерского письма получатель узнавал, что его ребенок похищен, и для его выкупа требуется крупная сумма денег. К письму прилагалась «фотография жертвы» киднеппинга. Расчет был на то, что впавший в панику получатель поспешит открыть файл с «фото», который на самом деле содержал Trojan-Downloader.Win32.Delf.bfc.

We have hijacked your baby
Hey We have hijacked your baby but you must pay once to us $50 000. The details we will send later…
We has attached photo of your fume

Перевод письма:

Мы похитили вашего ребенка
Эй Мы похитили вашего ребенка но вы можете заплатить нам всего $50 000. Подробности мы вышлем позже…
Мы приложили волнующее вас фото

Тематический состав спама

новое окно 

Распределение тематик спама в Рунете в августе 2008 г.

Пятерка лидирующих спам-тематик августа:

  1. «Медикаменты; товары и услуги для здоровья» — 22,4 %
  2. Спам «для взрослых» — 17,6 %
  3. «Образование» — 8,6%
  4. «Реплики элитных товаров» — 7,2%
  5. «Отдых и путешествия» — 6,6%

В пятерке лидеров на первом месте по-прежнему остается рубрика «Медикаменты; товары и услуги для здоровья». Для того чтобы реклама поддельной фармацевтической продукции бесперебойно поступала в почтовые ящики интернет-пользователей, спамеры готовы придумывать новые приемы или использовать хорошо испытанные старые. О технических новинках будет сказано ниже, но вот пример того, как погоня за обходом фильтров делает письмо совершенно нечитаемым: текст приведенного ниже письма создан за счет серого цвета шрифта и цифр, из которых составлены названия рекламируемой продукции и адрес сайта.

Спам «для взрослых» продолжил стремительный рост, начавшийся еще в мае, и в последний месяц лета поднялся до второго места среди лидирующих тематик (17,6%) – прежде всего, за счет русскоязычных рассылок. Рубрика «Отдых и путешествия», лидировавшая в июне-июле, в рейтинге оказалась на пятом месте (6,6%), что связано с завершением сезона отпусков и снижением спроса на услуги в этой сфере. Зато с приближением нового учебного года активизировались рассылки, связанные с образованием, и в рейтинге спам-тематик рубрика «Образование» заняла третье место (8,6). В целом, состав лидирующей пятерки в течение лета оставался постоянным.

Тематические особенности спама

«Олимпийский» спам

Как и следовало ожидать, тема Олимпиады в Пекине была использована в спам-рассылках для привлечения внимания получателей писем. Рекламируемая таким образом продукция подчас не имела ничего общего ни с Олимпиадой, ни со спортом как таковым.

Одна из фирм информировала о распродаже товаров, которые, как указывалось в письме, могут понадобиться для наблюдения за соревнованиями на Олимпиаде в Пекине. Ассортимент «необходимых» для наблюдения за играми товаров варьировал от солнечных очков до… зимних шапок и шарфов.

Dear Sirs,
We are great supplier who makes wholesale business {SITE}, in order to welcome the Olympic Games,our company holding a series of favourable activities.

One pair of nike shoes only need 28 EUR,for handbags(1:1) it is 100 EUR,brand name T-shirt 9.5 EUR, sunglasses 10 EUR…super orders are appreciated and VIP price for you ,whatever you ordering will have a gift!

Our company have good reputation accept paypal,all the goods here are top quality with original packing,adequate stocks can meet the demands of your order.

There are many hot sell brand name products at different season,such as handbags ,shoes,clothing ,jeans,hair straightener and vogue Jewelry……..we’ll add new products every week,the detail items you can check on our website {SITE}

If you want to have top quality goods with favourable price ,please click: {SITE},here you will enjoy your shopping.
We look forward to your favourable and prompt reply.

Yours faithfully,

В другой рассылке предложение понаблюдать за ходом Олимпийских игр в режиме реального времени содержало ссылки на страницы, размещенные на бесплатном хостинге. А ссылка на спамерскую страницу, на которой получатель якобы мог отписаться от дальнейшей корреспонденции, отличалась от адреса новостного сайта dailynews.com всего несколькими буквами. На поддельной странице пользователь должен был внести в форму адрес своей электронной почты, который таким образом попадал в спамерские базы.

В русскоязычном спаме тема Олимпиады использовалась в мошеннической рассылке, предлагавшей подключиться к тарифу МТС «Безлимитная Олимпиада». Для «подключения» пользователь должен был отправить SMS с кодовым словом на четырехзначный номер. Контактный телефон, указанный в письме, как и короткий номер для отправки сообщения, не соответствуют телефону службы поддержки компании МТС, что свидетельствует о мошенническом характере письма. Эта рассылка рассчитана на то, что пользователь, слышавший о возможности подключиться к недорогому тарифу с помощью SMS, воспользуется информацией, попавшей к нему в почтовый ящик, не обратив внимания на подозрительное поле «from» («Венедикт Нургаян» ) и несоответствие контактов.

Эхо конфликта в Южной Осетии

Мошенники поспешили воспользоваться акцией по сбору средств в пользу пострадавших детей Южной Осетии, которую проводил Российский детский фонд. В письмах, разосланных ими от имени фонда, предлагалось вносить пожертвования через интернет-кошельки — возможно, в расчете на то, что многим желающим помочь легче сделать вклад, не выходя из дома. Между тем, на официальном сайте детского фонда появилось предупреждение о спаме и заявление, что сам фонд принимает пожертвования только через счет в Сбербанке. В ответ спамеры разместили на бесплатном хостинге поддельную страницу фонда, где это предупреждение отсутствовало.

Спамерские методы и трюки

В прошлом месяце спамеры придумали оригинальный трюк для «обмана» спам-фильтров. Чтобы фильтры не могли блокировать письма, содержащие конкретный номер телефона, номер был «нарисован» в таблице. Часть ячеек таблицы была закрашена в таком порядке, чтобы закрашенные ячейки складывались в изображение цифр телефонного номера.

В августе этот прием был использован спамерами вновь, но уже в более простом исполнении: в хорошо знакомой пользователям рекламе виагры название препарата было записано в одном ряду таблицы, каждая буква — в отдельной ячейке. Также была оформлена ссылка. Предполагалось, что пользователь, желающий пройти по ссылке, должен вручную набрать адрес заветного сайта, ориентируясь на данные в письме.

Aloha,

V I A G R=/strong> A

W WW  .  SITE.  C  OM

=

Заключение

Последний месяц лета охарактеризовался некоторым ростом числа незапрошенных рассылок. Прогнозировавшийся ранее и действительно наблюдавшийся сезонный спад подходит к концу. Осенью доля спама в почтовом трафике скорее всего снова достигнет весенних показателей и, вероятно, продолжит свой рост.

В течение всего месяца наблюдался всплеск криминального спама, выросла доля писем, содержащих фишинговые сылки и вредоносные программы. Увеличение процента криминального спама в общем потоке спам-корреспонденции можно объяснить, во-первых, сезонным снижением потребительской способности пользователей интернета и, во-вторых, ослаблением интереса рекламодателей к нелегитимным рассылкам. Волна мошеннических и вредоносных писем заставляет еще раз вспомнить о правиле «доверяй, но проверяй».

Спам в августе 2008 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике