Отчеты по спаму и фишингу

Спам в мае 2008

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с апрелем понизилась на 7,1% и составила в среднем 79,1 %.
  • Вредоносные файлы и ссылки на зараженные веб-страницы содержались в 0,08% электронных сообщений.
  • Ссылки на фишинговые сайты находились в 2,56% всех электронных писем, что в два раза превышает показатели прошлого месяца.
  • Доля нелегитимных писем с графическими вложениями увеличилась более чем вдвое по сравнению с прошлым месяцем и составила 29% всех спамовых посланий.
  • Выросла доля спама «для взрослых» — в основном, за счет русскоязычных рассылок.
  • В письмах со ссылками на сайты «для взрослых» спамеры использовали фрагменты текстов порно-романов.
  • Было зафиксировано несколько рассылок с рекламой двух разных рекламодателей в одном письме.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в мае 2008 года в среднем составила 79,1%. Самый низкий показатель был отмечен 3 мая — 64,2%, больше всего спама было зафиксировано 17 числа — 90,4%. Доля графического спама после апрельского снижения практически вернулась к показателям марта и составила 29%. (Напомним, что в марте на долю графического спама пришлось 28% всех спамовых писем, а в апреле — 13%).

Тематический состав спама

Пятерка лидирующих спам-тематик:

  1. «Медикаменты; товары и услуги для здоровья» — 25,1%
  2. «Образование» — 13,2%
  3. «Реплики часов» — 12,6%
  4. «Отдых и путешествия» — 8,4%
  5. «Услуги по электронной рекламе» — 6,3%

Доля тематики «Медикаменты; товары и услуги для здоровья» — бессменного лидера многих месяцев — выросла в мае на 10%. Рубрики «Образование», «Отдых и путешествия», а также реклама реплик дорогих часов и телефонов, остались на позициях прошлого месяца. Единственное изменение в списке лидирующих спам-тематик в мае связано с рекламой спамерских услуг (тематика «Услуги по электронной рекламе»), которая вытеснила с пятого места тематику «Компьютеры и Интернет».

Экзаменационный сезон

Тематика «Образование» по-прежнему остается на втором месте, что обусловлено особенностями сезона: в конце весны – начале лета проходят выпускные экзамены в школах и вступительные – в ВУЗах

В частности, спамеры продолжили рассылки писем, связанных с Единым государственным экзаменом. Помимо многочисленной рекламы услуг по подготовке школьников к ЕГЭ, появился спам, в котором предлагались готовые ответы на тест. В одном из таких писем (видимо, для того чтобы убедить потенциальных покупателей в качестве рекламируемого «товара») сообщалось, что информацию спамерам якобы продал высокопоставленный чиновник.

Предлагаем вам возможность получить задания и ответы Единого Государственного Экзамена, которые мы купили у высокопоставленного источника в Федеральной службе по надзору в сфере образования и науки.

Спам с предложениями тем или иным способом облегчить студентам жизнь также носит сезонный характер: его появление обусловлено приближением студенческих сессий. В одной из рассылок спамовое письмо было стилизовано под дружеское послание. В нем сообщалось о появлении в Сети нового сайта с готовыми бесплатными курсовыми работами, однако в конце письма «друг» как бы невзначай упоминал, что пользование сайтом «вроде» бесплатным не является.

В интернете появилась новинка!

Хай!

В Рунете появился новый проект, который задача которого облегчить жизнь абитуриентам. В одной базе курсовых работ создатели проекта постарались собрать все имеющиеся бесплатные курсовые работы в интернете. Вроде за вход хотят 1 доллар.

Большая часть незапрошенной рекламы тематики «Образование» была представлена в виде картинок. В основном, это были предложения об изготовлении фальшивых дипломов и спам, рекламирующий различные семинары.

Фишинг в Рунете

В мае доля фишинговых писем увеличилась вдвое и составила 2,56% всех электронных писем. Большой вклад в этот поток внесли спамеры Рунета.

Большая часть фишинговых атак направлена на самые популярные ресурсы. Мишенями фишеров становятся пользователи банков, платежных систем и популярных почтовых сервисов. Мошенники, выманив у пользователей номера счетов и банковских карт, получают доступ к их счетам в банках. А контролируя почту, через системы напоминания пароля фишеры могут завладеть и регистрационными данными пользователя на других интернет-сервисах.

В мае не был обойден вниманием фишеров популярный почтовый хостинг Mail.Ru. Череда рассылок, когда в письме пользователю предлагалось просмотреть открытки, предназначалась для похищения логинов и паролей пользователей. Ничего не подозревающий получатель проходил по ссылке и оказывался на фальшивой странице, имитирующей главную страницу Mail.Ru, где ему нужно было ввести данные почтового ящика в привычные окошки. Насторожить внимательного пользователя могло только то, что новости на этой странице были двухмесячной давности.

Для достоверности фишеры сделали так, что некоторые ссылки на этой странице действительно переадресовывали пользователя на настоящую страницу Mail.Ru.

После ввода данных при нажатии кнопки «войти» информация переправлялась на другой сервер и попадала в распоряжение мошенников, а пользователь перебрасывался на пустую страницу, созданную на каком-нибудь бесплатном хостинге. Впоследствии фишеры стали прибегать к более простому варианту: при переходе по ссылке на открытку у получателя сразу запрашивалась авторизация.

Любопытные примеры спамовых писем

В середине мая неожиданно проявился спам с политической окраской. Демократически настроенный спамер предлагал всем желающим стать членом Общественного собрания России, чтобы иметь возможность участвовать в принятии судьбоносных решений. В письме, однако, умалчивалось о том, что членство в Общественном собрании требует довольно крупного взноса.

ВПЕРВЫЕ, каждому!
Членство в Общественном собрании России — это новая уникальная возможность говорить в «полный голос» о себе и своем бизнесе.
На страже Ваших прав и законных интересов портфель инструментов по эффективному взаимодействию с органами власти всех уровней.

В нашей стране выстроена жесткая вертикаль власти, и «достучаться» до её «вершины» стало невозможно.

Кто защитит Вас и Ваш бизнес от произвола чиновников, от беспредела отдельных коррумпированных личностей?
Сегодня Общественное собрание России, как одна из наиболее действенных общественных структур в нашей стране, предлагает Вам стать её частью.
Членство в Общественном собрании России – это «весомый аргумент» для решения вопросов на любом уровне.

Подробнее об условиях участия — {LINK}

Подробнее о наших возможностях — {LINK}

Интернет-мошенники не преминули воспользоваться вступлением в должность нового президента России для вымогания небольшой суммы денег у пользователей серверов Mail.Ru. Деньги, которые мошенники требовали у получателей спама, объявлялись символической платой за бессрочное использование почтового ящика, который на самом деле являлся абсолютно бесплатным. Внимательных пользователей должно было насторожить хотя бы то, что в письме, рассылаемом якобы администрацией Mail.Ru, ссылка ведет на другой почтовый хостинг.

Уважаемый Пользователь Интернет — сервиса Mail.ru.
В связи с поправкой Избранного президента РФ Дмитрия Медведева от 7.04.08г. к закону “О хранении и передачи информации по глобальной сети” от 24.06.01г. Все пользователи Интернет – ресурсов систем: @mail.ru, @inbox.ru, @bk.ru, @list.ru должны оплатить использование почтового ящика вышеперечисленных почтовых серверов. Оплата производится по средствам мобильного телефона и составляет 0.33$, вносится один раз на неограниченный срок эксплуатации почтового ящика. В противном случае, в течении 3-х дней с момента получения данного письма, Ваш почтовый ящик будет заблокирован и удалён с соответствующего сервера. В повторной регистрации на серверах Mail.ru Вам будет отказано. Для внесения оплаты, проследуйте по ссылке http://www.listbox.hut2.ru/
Данное письмо является автоматическим.
С Уважением Администрация.

Возможно, именно эта рассылка спровоцировала появление «цепочечных» писем, текст которых, судя по всему, перекочевал в электронную почту из ICQ-спама.

Mail становится платныммммм!!!!! Перешли это письмо своим контактам в знак протеста. Если ты послал сообщение 20 людям,ты получишь электроное письмо и твоя собака(@)станет синей. Ты будешь в числе тех,кто против.Если голосование выйграет, то mail останется бесплатным! Это не спам.

«ВНИМАНИЕ !!! начиная с 1.12 ICQ стаНет платным.
Ты можешь предотвратить это, пошли 20 членам из твоего контактного
списка это сообщение. Это не является никакой шуткой (источник www.icq.com) Если ты послал его 20 раз
ты получишь электронное письмо и твой цветок стаНет синим. Т.е. ты попадаешь
в число тех, кто против. Если голосование выйграет, то аська остаНется бесплатной»

Спамерские методы и трюки

В прошедшем месяце было зафиксировано несколько любопытных спамерских трюков, которые, впрочем, никак не помогали обойти спам-фильтры.

«Тематическое» зашумление текста

В мае значительную часть спама «для взрослых» составляла реклама русскоязычных порносайтов. Именно в таких рассылках спамеры продемонстрировали творческий подход к решению проблемы «зашумления» писем.

Для «зашумления» спамовых писем традиционно используются случайные отрывки текстов. Однако в рассылках, о которых идет речь, подбор текстов был тематическим: ссылки на рекламируемые порноресурсы спамеры дополнили отрывками из порнографических романов. При этом, вставляя тексты в письма, они обрывали рассказ «на самом интересном месте».

По-видимому, таким способом спамеры старались не только усложнить фильтрацию этих посланий, но и создать для получателя дополнительный стимул пройти по ссылке на рекламируемый сайт.

Вот пример такого письма с текстом невинного содержания (который, однако, было довольно трудно найти в потоке порноспама):

Однажды он заметил ей что «только с ее приездами начинаются всякие чудеса с компьютерами» и видимо он плохо ее учил в свое время с ними обращаться …Если бы она могла ему открыться тогда …Она сказала ему правду только в конце лета за 10 минут до отхода поезда, по телефону …
Тогда Она не знала того, что он уже несколько месяцев добивается перевода в тот город, где она живет — живет без него. Она
вообще многого не знала … А сегодня она рядом с ним ( в его квартире остро пахнет краской ) лежит на диване, который они покупали вместе… он попросил помощи в выборе мебели, а в магазине спросил какой диван ей нравится…

************* {LINK}

Она решила для себя что это будет первый и последний раз когда она появляется в его жилище — еще не заполненным другой жизнью, посягать на которую она не имеет никакого права, пустое пока жилище с маленьким островком их призрачного счастья в виде дивана….

С уважением, Болеслав Духовской

Двойная маскировка ссылок

Во второй половине мая спамеры средствами html стали маскировать ссылки в сообщениях, пытаясь ввести в заблуждение пользователей и «обмануть» спам-фильтры.

Открыв такое письмо, получатель видит личное сообщение с привлекательной информацией о сайте, расположенном (судя по видимой ссылке) в доменной зоне .org, .ru или .com:

Hу здравствуй., как твои дела, давно не общались..,
От Светки приветик тебе, кстати,
новый альбомчик все же скачала..,
На сайте одного DJ воть этот сайтик: http://www.infocean.ru

Однако «сюжет» письма служит для отвлечения внимания пользователя. Настоящий адрес, на который ведет ссылка, виден только при просмотре html-кода (нами выделен красным). При этом для увеличения вероятности обхода спам-фильтра спамерский линк тщательно замаскирован под поисковый запрос по рейтингам Mail.Ru:

<a href=’http://top.mail.ru/jump?to=1266901&url=www.webzona.ws‘>http://www.infocean.ru</a>

Два в одном

В мае прошло несколько рассылок, где в одном письме содержалось сразу две рекламы разных услуг/товаров.

Приведенное ниже письмо состоит из двух частей: картинки и текста. На изображении — реклама картинной галереи, которая часто встречается в нелегитимных рассылках, а текстовая часть рассказывает о преимуществах прибора… для отпугивания кротов.

Сложно сказать, какую цель преследовало такое неожиданное сочетание. Это могла быть как попытка зашумления писем, так и некий вариант вознаграждения для постоянных клиентов. А может быть, гуманные спамеры просто нашли выход для тех, кому не по карману дорогие рассылки: помещая рекламу двух заказчиков в одном письме, спамеры экономят их деньги.

Еще более оригинальный способ размещения двух рекламных текстов в одном сообщении был зафиксирован в одной рассылке: кодировка текстов была разная.

Так выглядит письмо в кодировке windows1251:

Привет!!!! {LINK1} {LINK2} {LINK3}
скачай любой их этих 3-х файлов и отправь это сообщение всем своим знакомым по icq или e-mail И через 5 дней ты получешь денежное вознаграждение,чем больше людей ты известишь тем больше денег ты получишь.А если ты не разошлешь, будет беда,ты навеке будешь беден, будешь без денег и потеряешь все что имеешь. Назад нельзя
фйрпзтбжйс
мЕФОЙЕ УЛЙДЛЙ!!! дП 25 ЙАОС!!!
вХЛМЕФЩ б4 1000 ЫФ. — 5399 ТХВ. (ВХНБЗБ 130 З/Н2, 2 ЖБМШГБ)
мЙУФПЧЛЙ б4 1000 ЫФ. — 4999 ТХВ. (ВХНБЗБ 130 З/Н2, ДЧХИУФПТПООСС ГЧЕФОБС РЕЮБФШ)
чЙЪЙФЛЙ 100 ЫФ. — 279 ТХВ. (ВХНБЗБ 300 З/Н2, ПДОПУФПТПООСС ГЧЕФОБС РЕЮБФШ)
{tel}
йЪЗПФПЧЙН МАВЩЕ ЧЙДЩ РПМЙЗТБЖЙЮЕУЛПК РТПДХЛГЙЙ: ВМБОЛЙ, РБРЛЙ, ЛПОЧЕТФЩ, ВТПЫАТЩ, ЛБФБМПЗЙ, РМБЛБФЩ,љ ЛБМЕОДБТЙ.

А вот это же письмо в кодировке KOI8-R:

оПХБЕР!!!! {LINK1} {LINK2} {LINK3}
ЯЙЮВЮИ КЧАНИ ХУ ЩРХУ 3-У ТЮИКНБ Х НРОПЮБЭ ЩРН ЯННАЫЕМХЕ БЯЕЛ ЯБНХЛ ГМЮЙНЛШЛ ОН icq ХКХ e-mail х ВЕПЕГ 5 ДМЕИ РШ ОНКСВЕЬЭ ДЕМЕФМНЕ БНГМЮЦПЮФДЕМХЕ,ВЕЛ АНКЭЬЕ КЧДЕИ РШ ХГБЕЯРХЬЭ РЕЛ АНКЭЬЕ ДЕМЕЦ РШ ОНКСВХЬЭ.ю ЕЯКХ РШ МЕ ПЮГНЬКЕЬЭ, АСДЕР АЕДЮ,РШ МЮБЕЙЕ АСДЕЬЭ АЕДЕМ, АСДЕЬЭ АЕГ ДЕМЕЦ Х ОНРЕПЪЕЬЭ БЯЕ ВРН ХЛЕЕЬЭ. мЮГЮД МЕКЭГЪ

ТИПОГРАФИЯ

Летние скидки!!! До 25 июня!!!

Буклеты А4 1000 шт. — 5399 руб. (бумага 130 г/м2,
2 фальца)

Листовки А4 1000 шт. — 4999 руб. (бумага 130 г/м2,
двухсторонняя цветная печать)

Визитки 100 шт. — 279 руб. (бумага 300 г/м2,
односторонняя цветная печать)

<p{Тел.}

Изготовим любые виды полиграфической продукции: бланки, папки, конверты,
брошюры, каталоги, плакаты, календари.

В первом случае пользователь видит текст типичного «цепочечного» письма, во втором — предложение типографских услуг. Впрочем, прочесть обе части письма сможет только очень любопытный получатель.

Заключение

В России май — это начало дачного сезона и летних отпусков. Возможно, российские спамеры тоже отдыхали, потому что май ознаменовался резкими перепадами количества спамовых писем, а среднемесячный показатель по сравнению с апрелем уменьшился на 7,1%. Процентное соотношение тематик, напротив, осталось приблизительно таким же, как и в предыдущем месяце.

Можно ли ожидать дальнейшего снижения доли спама в период летних отпусков? В последние годы мы не наблюдали сезонного уменьшения доли спама в почтовых потоках в летние месяцы. Но майские показатели позволяют надеяться на летний спад спамерской активности.

Как бы то ни было, спамеры продолжат искать технические решения для обхода спам-фильтров и в первую очередь продолжат свои эксперименты с графическим спамом.

Еще один неутешительный прогноз связан с деятельностью интернет-мошенников. В мае в Рунете резко возросло число фишинг-атак, что привело к увеличению доли писем со ссылками на фишинговые сайты в два раза. И фишеры вряд ли остановятся на достигнутом.

В заключение хочется еще раз напомнить о том, что рекламе, размещаемой в спамерских сообщениях, доверять нельзя. Поверив заманчивым обещаниям, погнавшись за огромными скидками или польстившись на пресловутый бесплатный сыр, можно лишиться денег, не получив желаемого. Или попасть в неприятную ситуацию.

Спам в мае 2008

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике