Отчеты по спаму и фишингу

Спам в феврале 2008

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с январем незначительно увеличилась и составила 86,7%.
  • Вредоносные файлы и ссылки на зараженные веб-страницы содержались в 0,61% всех электронных писем.
  • Доля фишинговых посланий в почтовых потоках по сравнению с январем значительно возросла — до 1,6%.
  • Увеличилось количество спамовых писем, рекламирующих различные товары и услуги в качестве праздничных подарков.
  • Зафиксированы поддельные извещения о выигрыше в лотерею на русском языке.
  • Спамеры совершенствуют метод «зашумления» писем невидимыми получателю html-тэгами.

Доля спама в почтовом трафике

Средняя доля спама в почтовом трафике в феврале 2008 года составила 86,7%. Самый низкий показатель был зафиксирован 11 февраля и составил всего 74%, самый высокий — 95,9% — наблюдался 2 числа.

Как видно из диаграммы, максимальные долевые показатели спама приходятся на выходные дни, когда деловая электронная переписка замирает (2-3, 9-10, 16-17, 23-24 февраля).

Тематический состав спама

Лидирующие спам-тематики в феврале 2008 года:

  1. «Медикаменты; товары и услуги для здоровья» — 24,5%.
  2. «Образование» — 15,8%.
  3. «Отдых и путешествия» — 10,4%.
  4. «Компьютеры и Интернет» — 4,4%.
  5. «Юридические услуги и аудит» — 4,3%.

Доля рубрики «Медикаменты; товары и услуги для здоровья» значительно понизилась по сравнению с январем. В первой половине января (особенно в праздничные дни) количество русскоязычного спама было небольшим. В англоязычном спам-трафике наиболее распространены нелегитимные рассылки «медицинской» тематики, которые и заняли первое место в списке лидирующих тематик с рекордным показателем 48,1%. В феврале соотношение англоязычного и русскоязычного спама вернулось на прежний уровень. Несмотря на уменьшение доли спама тематики «Медикаменты; товары и услуги для здоровья» почти в 2 раза, данная рубрика продолжает оставаться на первом месте.

В связи с праздниками (День святого Валентина, 23 февраля, 8 Марта) увеличилась доля спамовых писем с предложениями подарков и поздравлений. Спамеры, как и в любой предпраздничный период, творчески подошли к решению проблемы подарков. К примеру, в качестве презентов к «мужскому» и «женскому» праздникам рекомендовались… ансамбль барабанщиц и духовой оркестр соответственно:

 

Лучший подарок для мужчин на 23 февраля Ансамбль барабанщиц «Виват, Россия!» станет прекрасным украшением мужского праздника встретит, поздравит в офисе, примет участие в праздничном мероприятии.
Лучший подарок для женщин на 8 марта Духовой оркестр «Визави» создаст праздничное настроение станет ярким музыкальным подарком для самых прекрасных женщин.
+{tel}

Благодаря большому количеству подобных рассылок доля рубрики «Другие товары и услуги» в феврале превысила показатели за декабрь 2007, когда спам-трафик был наводнен предложениями всевозможных новогодних подарков, и ее показатели сравнялись с показателями тематики-лидера — 24,5%.

Тематика «Образование» сохранила за собой второе место с увеличившимся на 6,5% показателем — 15,8%. Лето — пора вступительных экзаменов — не за горами, и рассылки с предложениями подготовки к поступлению в высшие учебные заведения становятся все более актуальными.

Рубрика «Отдых и путешествия» поднялась на одну позицию; ее доля также увеличилась — более чем вдвое. В связи с праздниками спамеры обеспечили пользователей предложениями экскурсионных поездок и отдыха за рубежом.

Тематики «Компьютеры и Интернет» и «Юридические услуги и аудит» в феврале вытеснили из пятерки лидирующих спам-тематик входившие в нее в январе рубрики «Услуги по электронной рекламе» и спам категории «Для взрослых».

Второй день марта в России ознаменовался выборами президента Российской Федерации. Несмотря на масштабность, это событие нашло весьма слабый отклик в февральских спам-рассылках.

Вредоносные письма в февральском спам-трафике

Как и ожидали эксперты, в целях инфицирования пользовательских ПК злоумышленники активно эксплуатировали праздничную тематику. Так, перед наступлением Дня святого Валентина Интернет захлестнула волна спам-рассылок на английском языке со ссылкой на сайт, где пользователям предлагалось скачать открытку — исполняемый файл с расширением «.exe». Разумеется, после загрузки такого файла любители забавных картинок получали на свой компьютер вредоносную программу.

Не избежали спамерских «подарков» и завсегдатаи сайтов с «клубничкой»:

 

Cekc c moдeляmи в peжиme oнлaйн — {site}

Под таким «невинным» предложением скрывалась веб-страница, зараженная троянской программой.

Любопытно, что страх заражения червями, троянцами и вирусами породил новую тему для «цепочечных» писем. Послание, изначально распространявшееся на небезызвестном социальном ресурсе Odnoklassniki.ru, теперь пересылается и по электронной почте:

 

«Одноклассники» запустили вирус. Перешли это сообщение всем людям из твоего контактного списка, даже тем, кто сейчас оффлайн, чтобы они НЕ ДОБАВЛЯЛИ КОНТАКТЫ:

1. «Тропох (292-222-***)», потому что это вирус. Его имя Денис ****. Он разрушает весь жесткий диск. Если его кто-то схватит из твоего списка, то ты тоже. Знакомые уже пострадали.

2. kuzen4ik@***.ru, потому что ЭТО тоже ВИРУС.

3. sateite@***.ru с ником «Satellite» не принимать! ЭТО ВИРУС! Windows летит при первом выключении компьютера. А если кто-то из твоих контактов его словит, то он у тебя тоже будет автоматически. Так что скопируй это и перешли всем своим контактам

Мошеннические письма в спаме

Помимо фишинговых писем, еще одним распространенным видом мошеннического спама в феврале стали фальшивые извещения о выигрыше в лотерею и предложения получить «бесплатные» подарки.

Письма, подделанные под извещение о выигрыше в лотерею, давно заняли свою нишу в англоязычном спаме, были зафиксированы и на русском языке. Интернет-мошенники не скупятся на различные приемы, позволяющие заманить в ловушки и обобрать незадачливых пользователей, в том числе создают специальные веб-страницы — чтобы даже самый недоверчивый получатель перестал сомневаться в «подлинности» письма и сообщаемой в нем информации.

Первый признак того, что уведомление фальшивое — упоминание о произвольном розыгрыше призов, подразумевающее отсутствие согласия получателя на участие в лотерее. При сравнении нескольких писем этой рассылки видно, что все получатели занимают одно и то же место — 18, и должны ввести на указанном сайте идентичный регистрационный код. При попытке зарегистрироваться «участнику лотереи» демонстрируется сумма выигрыша, а также предлагается отправить «бесплатное» sms-сообщение на короткий номер с целью подтверждения своего местонахождения (принимать участие в розыгрыше могут только те получатели, которые находятся на территории России или Украины). Средства за отправку sms переходят к мошенникам, а «произвольно выбранному участнику» остаются лишь несбывшиеся мечты о желанном призе.

К использованию средств мобильных коммуникаций в целях незаконного обогащения спамеры прибегают все чаще. Очередной прецедент был связан с президентскими выборами в России.

Мошенники, действовавшие от имени «ЦНСИ», не предупредили о том, что каждый sms-голос, отданный в ходе этого социологического опроса, является платным. «Исследователи общественного мнения» также не указали, где именно будут опубликованы результаты «предварительного голосования».

Спамерские методы и трюки

В феврале спамеры продолжили работу по совершенствованию уже существующих приемов, применяемых ими при осуществлении рассылок. В январе текст спамового письма при помощи html-тэгов разбивался произвольным набором символов, которые получатель видеть не мог. Они воспринимались только спам-фильтрами при анализе исходного кода сообщения и призваны были «запутать» их. Теперь случайные символы сменились наборами сомнительно связанных между собой слов из разных языков.

Письмо в html-представлении Письмо как его видит получатель
<html>
<!— этнический тюльпан высказываться грызун —>
<!— первобытный одновременный негодный —>

<body>
Вам пришла виртуальная открытка.
<!— irretrievable wei —><bR>
Для ее получения зайдите на сайт <a href=»http://www.postcard.ru/card.php?289723****»><table><tr><td><a href=«http://usadba.e-brest.net/card.php?fr=Bishop****&n=a-log@mail.ru»&gt;www.postcard.ru/card.php?2897238793</td></tr></table></a>
и нажмите на ссылку ‘получить открытку’
<!— shitepoke bordeaux afghanistan —><br>
<!— narcosis thrash numismatist craven —><br>
Служба рассылки открыток POSTCARD.RU
<!— nevada clang convention bestial —>
<bR>————————————————
<!— east bedim bracken ellipse —>
<p>
<!— ridgway copywriter compellable cahill —><BR>
<!— denounce firebug embroil —><bR>
You recieved an postcard.
<!— gregory anabaptist consultant unidirectional —>
<p>To get it follow to web-site <a href=»http://www.postcard.ru/card.php?289723****»><table><tr><td><a href=«http://www.vniibt-bi.ru/card.php?fr=Bishop****&n=a-log@mail.ru»>www.postcard.ru/card.php?2897238793</td></tr></table></a>
switch to english and click on ‘get my postcard’
<!— inflame copeland venerate —>
<p><!— handwrite —>
<p>Postcard service POSTCARD.RU
<!— watkins —><bR>
</body>
<!— базис сливать фрак —>
</html>
Вам пришла виртуальная открытка.
Для ее получения зайдите на сайт
www.postcard.ru/card.php?289723****и нажмите на ссылку ‘получить открытку’

Служба рассылки открыток POSTCARD.RU
————————————————

You recieved an postcard.
To get it follow to web-site

www.postcard.ru/card.php?289723****

switch to english and click on ‘get my postcard’
Postcard service POSTCARD.RU

Из html-кода письма явствует, что указанная ссылка ведет вовсе не на страницу легального сервиса поздравительных открыток postcard.ru, а на другой сайт — вероятнее всего, содержащий вредоносную программу.

Мы хотим еще раз напомнить пользователям Интернета о том, что для их привлечения на свои сайты злоумышленники готовы пуститься на любые хитрости, а также об опасности, таящейся в незапрошенных письмах от неизвестных отправителей. Результатом необдуманных действий пользователя может стать не только заражение его компьютера, но и финансовый ущерб.

Спам в феврале 2008

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике