Отчеты по спаму и фишингу

Спам в июне 2008

  • Доля спама в почтовом трафике по сравнению с маем увеличилась на 3% и составила в среднем 82,1%.
  • Вредоносные файлы содержались в 0,38% электронных сообщений.
  • Ссылки на фишинговые сайты находились в 1,45% всех электронных писем, что почти в два раза меньше майских показателей и приближается к апрельскому уровню фишинга в электронной почте.
  • Спамеры воспользовались популярностью европейского чемпионата по футболу.
  • Спамеры использовали страницы популярных сетевых ресурсов.
  • Появился русскоязычный MP3-спам.
  • В спамерских рассылках использовались адреса доменов с суффиксами ряда экономических групп.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в июне 2008 года в среднем составила 82,1%. Самый низкий показатель был отмечен 5 июня — 71,6%, больше всего спама было зафиксировано 25 числа — 91,5%.

Оправдался прогноз, сделанный нами в прошлом месяце: впервые за несколько лет мы наблюдаем сезонное падение долевых показателей спама. С января по апрель спам составлял более 86% почтового трафика (в среднем за месяц). В мае доля спама составила 79,1% — на 7% меньше, чем в апреле. В июне, несмотря на незначительный рост относительного количества спама, тенденция к ослаблению спамерской активности сохранилась.

Почти вдвое по сравнению с маем уменьшилась доля электронных писем, содержащих ссылки на фишинговые сайты. Июньские показатели составили 1,45%, что приближается к апрельскому уровню фишинга в электронной почте.

Доля писем, содержащих вредоносные файлы, по сравнению с майскими показателями (0,08%) значительно возросла и составила 0,38% электронных сообщений.

Тематический состав спама

Пятерка лидирующих спам-тематик июня:

  1. «Медикаменты; товары и услуги для здоровья» — 25,8%
  2. «Образование» — 14,4%
  3. «Отдых и путешествия» — 10,8%
  4. «Реплики элитных товаров» — 9,4%
  5. Спам «для взрослых» — 5,2%

Письма с рекламой лекарственных препаратов продолжают возглавлять список лидирующих спам-тематик месяца. Как обычно, спамеры идут на любые ухищрения, чтобы заманить пользователя на сайты с виагрой. В июне в Интернете появились письма, якобы разосланные MSN. Пользователям сообщалось, что они подписаны на рассылки MSN и тут же предлагалось отписаться от нежелательных писем. Картинка, прилагавшаяся к письму, красноречиво намекала на то, что ждет тех, кто решил отписаться: по какой бы ссылке не прошел получатель, он попадал на сайт, специализирующийся на продаже медикаментов.

About this mailing:

You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the «Unsubscribe» link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers’ content nor any of the goods or service advertised. Prices and item availability subject to change without notice.

©2008 Microsoft | Unsubscribe | More Newsletters | Privacy

Microsoft Corporation, One Microsoft Way, Redmond, WA 98052

Спам, связанный с образованием, традиционно занимает в пятерке лидирующих тематик Рунета второе место, и июнь не стал исключением. Сезон отпусков способствовал популярности рубрики «Отдых и путешествия», которая поднялась с четвертого на третье место, потеснив рекламу дешевых копий престижных аксессуаров.

В июне доля спама «для взрослых» достигла 5,2%, и данная рубрика заняла пятую позицию в пятерке тематик-лидеров. Такие же долевые показатели рубрики наблюдались в январе текущего года, когда число рассылок «для взрослых» увеличилось в связи с новогодними каникулами. Июньский всплеск объясняется началом летних отпусков — многочисленные приглашения на сайты знакомств и страницы с фривольным содержанием рассчитаны на тех, кто значительную часть отпускного времени проводит за компьютером. И в январе, и в июне рост долевых показателей спама «для взрослых» был обеспечен, в основном, русскоязычными рассылками.

Горячая тема июня: Евро-2008

Спамеры не преминули воспользоваться популярностью чемпионата Европы по футболу, перипетии которого на протяжении трех недель волновали большую часть пользователей Интернета. Футбольные победы и поражения в ходе Евро-2008 использовались спамерами для рекламы товаров и услуг, не имеющих никакого отношения к футболу.

Ярким примером может служить предложение спамерских услуг со слоганом: «массовые рассылки, попадающие точно в цель!». Клиентам предлагались бонусы в том случае, если рассылка будет заказана до 26 июня (день матча между сборными России и Испании), и Россия одержит победу над Испанией.

Особенности месяца

Не остались без внимания спамеров и герои Евро-2008. Приведенное ниже спамовое письмо, имитирующее личное сообщение, на первый взгляд, не содержит в себе никакой рекламной информации. Однако ссылка в письме ведет на сайт, где продаются именные сертификаты на небесные светила. Предложения приобрести такие сертификаты встречались в спаме неоднократно, но в данном случае в рассылке использовалась популярность Гуса Хиддинка, тренера российской сборной по футболу.

Привет Серега

да ты был прав они назвали звезду в честь Гуса Хиддинка!
тренера Российской сборной по футболу

re5di

{Site}

глянь я нашел это сегодня в интернетеp

А в последний день месяца пользователи могли видеть англоязычное спамовое письмо, с рекламой сайта, услугами которого якобы пользовались победители футбольного чемпионата. Ссылка вела на страницу с привычным ассортиментом дешевых медикаментов:

Save more time with our help! Euro 2008 champions were here!
{Site}

Спамерские методы и трюки

Использование популярных сетевых ресурсов для размещения рекламной информации

В начале июня прошла волна спама, в котором ссылки вели на livefilestore, сервер Miсrosoft для бессрочного хранения файлов. Взлом позволил спамерам задействовать множество страниц файлохранилища и использовать ссылки на них в письмах, что увеличивало вероятность прохождения спам-фильтров. При прохождении по указанной в письме ссылке начинал подгружаться зашифрованный JavaScript, который перенаправлял пользователя на сайт с рекламируемым товаром.

В качестве пространства для размещения информации был использован и Живой журнал. Ссылки в спамовых письмах вели на одну из его страниц, где располагалась реклама.

В обоих случаях нелегитимные рассылки рекламировали лекарственные препараты.

Quality throughout the world..

Being wise, to buy your meds from the most well-known supplier since 1938..
Come visit us online and see for your self..
{http://lvifpg.blu.livefilestore.com/y1pwiqb61mJ8PjDhD9iQvK0ndIc3HNF_uRuLGO_
Nyqc2QDjGfTSDjk3JSAJU2ky_Vi2npX629Qx2Yu0NnGEnoh3NaKmb1Y2R3BJ/ptzq}
More info..

No doctor visits required to get your medicines
http://canpharmstore.livejournal.com/

Использование доменов экономических групп

В Сети существуют специальные домены, предназначенные для регистрации на них компаний, занимающихся определенным родом деятельности. Адреса таких доменов ранее никогда не встречались в спамерских письмах. В июне русскоязычные спамеры впервые использовали такие домены для размещения на них рекламной информации.

Так фирма, приглашавшая «вернуться в прошлое», использовала для размещения рекламы домен с суффиксом travel. А в качестве домена второго уровня в адресе стояло название известного интернет-ресурса, что должно было вселять в пользователя уверенность в высоком уровне предоставляемых услуг.

вернись в прошлое

==============================

ВЫ ХОТИТЕ ВЕРНУТЬСЯ В ПРОШЛОЕ?

ТЕПЕРЬ ЭТО СТАЛО РЕАЛЬНО.

МЫ ПРЕДОСТАВИМ ВАМ ЭТУ ВОЗМОЖНОСТЬ.

ПОДРОБНАЯ ИНФОРМАЦИЯ НА HTTP://WWW.YANDEX.TRAVEL

================================================

Петушкова Анастасия
Маолиновкин Алексей
Л е Тхи Кунь Нга

MP3-спам на русском языке

Осенью 2007 года впервые была опробована спам-рассылка рекламы в MP3-формате. В июне 2008 года этот прием решили опробовать русскоязычные спамеры. Текстовая часть письма у таких писем отсутствовала, но получатель мог узнать предназначенную для него информацию, прослушав прилагающийся к письму MP3-файл. Хотя реклама звучала довольно разборчиво, большой размер письма сделал этот прием не слишком продуктивным.

Продолжение экспериментов с графическим спамом

В спамовых письмах используются все новые и новые методы искажения текста на картинках. В приведенном ниже сообщении информационный текст преподносится в виде волнообразной строки — с расчетом на то, что это затруднит работу спам-фильтров.

Cюрпризы для начинающих фишеров

В середине месяца мы в очередной раз обнаружили ряд веб-серверов, распространяющих phishing kits — наборы «сделай сам» для неопытных или ленивых фишеров, позволяющие за считанные минуты организовать фишинговую атаку. Набор содержал поддельный веб-сайт, шаблоны писем и систему обработки данных, поступающих от жертв мошенников. Примечательно, что эти наборы, в отличие от большинства других, распространялись бесплатно. Нас не удивил тот факт, что в эти бесплатные киты была встроена «шпионская» компонента – украденные у пользователей данные отправлялись не только организаторам атаки, но и авторам кита. Кроме того, сайт, с которого можно было скачать phishing kit, был заражен вредоносной программой Net-Wotm.Win32.Nimda.

Заключение

По итогам первого летнего месяца можно предположить, что дальнейший рост доли спама в почтовом трафике летом будет незначительным. Однако рост доли писем с вредоносными вложениями настораживает и заставляет еще раз предупредить о недопустимости легкомысленного отношения к спаму. Отклик на чемпионат Европы по футболу еще раз показал, что спамеры готовы пойти на любые хитрости, чтобы привлечь внимание к своим рассылкам. А эксперименты с формой и содержанием рассылок свидетельствуют о том, что спамеры будут искать новые пути для обхода спам-фильтров, зачастую не считаясь с информативной стороной заказанной им рекламы.

Спам в июне 2008

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике