Отчеты по спаму и фишингу

Спам в марте 2006 года

Особенности месяца

  1. Высокие показатели количества спама тематики «Компьютерное мошенничество» (16,1% от общего объема спамерского трафика), что свидетельствует о продолжающейся криминализации спама.
  2. Количественная доля спама в марте 2006 года остается практически такой же, как и год назад, в марте 2005 года (74 — 77%). По сравнению с мартом 2004 года доля спама почти на 10% выше (доля спама в марте 2004 года колебалась в районе 65%).
  3. Спамеры пытаются вернуть к жизни оригинальный текстовый прием оформления спам-рассылок (подробнее см. ниже).

Количество спама

В марте 2006 года доля спама колебалась в пределах средних значений — 74 — 77%. Это чуть выше, чем аналогичный показатель в феврале. В конце каждой недели (в пятницу — субботу) были отмечены незначительные всплески количества спама, в середине месяца достигавшие 81-84%.

Если добавить к зафиксированным показателям спама еще и количество сообщений, содержащих вредоносный код (вирусы, трояны и т.п.), то на долю легитимной почты останется всего 10-15%.

Тематическое распределение спама

Приведенная ниже диаграмма демонстрирует распределение спама по тематическим группам:

Март окончательно закрепил наметившуюся тенденцию криминализации спама. Уже третий месяц подряд объемы спам-тематики «Компьютерное мошенничество» остаются исключительно высокими, хотя и не достигают четверти от всего потока спама, как это было в самом начале года. В марте доля спама тематики «Компьютерное мошенничество» в общем потоке спама составила 16,1%, это всего на 0,5% ниже, чем февральский показатель.

К уже традиционным образчикам этого спамерского «жанра» (нигерийские письма, фишинг и т.д.) добавился новый вид компьютерного мошенничества, представляющий собой нечто среднее между нигерийскими письмами и фишингом. Речь идет о спаме, в котором, судя по всему, содержатся предложения войти в состав цепочки, занимающейся «отмыванием» денег. Вознаграждение, предлагаемое спамерами, составляет около десяти тысяч долларов США в месяц. С нигерийским спамом эти предложения роднит необходимость предоставить заказчикам спама свои банковские данные, а с фишингом — наглый обман. Пользователь, который попадется на эту удочку, рискует не только расстаться с энной суммой своих наличных, но и оказаться втянутым в деятельность преступной группировки, за что практически в любом законодательстве полагается уголовная ответственность.

Нельзя сказать, что эта разновидность компьютерного мошенничества — совсем свежая новинка. Такой спам циркулировал в Интернете и раньше, но в марте подобного спама оказалось существенно больше, чем в предыдущие месяцы. Вот образец текста такого сообщения:

Good day, Sir/Madam!

Let me introduce myself: my name is Sergey Rubinshtein and I am a financial analyst in Moscow. My specialization is analysis of Russian economics and financial markets. I frequently perform consulting projects for US financial firms. My American client’s Human Resources Dept manager advised me to find an American resident to serve as an intermediary because it is easier to receive payment this way than filling out all the required paperwork to become a 1099 employee.

That’s why I ask you for help in transferring consulting payments received from the US firms and will gladly compensate you with a percentage of my wages which I expect to be about $2,000 — $4,000 per week. This will become a small but recurring source of income for you for very little effort. Please contact me via e-mail if you are interested and would like to know the details.

Yours truly,

Sergey Rubinshtein

Sr. Consultant,

Russian Economic Advisory Consul

В остальном тематическое распределение спама полностью соответствует ожиданиям аналитиков:

  • увеличилась доля тематики «Отдых и путешествия» (турфирмы готовятся к весеннему сезону после нескольких месяцев затишья на этом рынке);
  • за счет типичных Рунетовских предложений также подросла доля тематики «Образование» (организаторы курсов и тренингов стремятся получить максимальную прибыль, т.к. у них в запасе всего три месяца — потом начнется сезонный спад интереса к подобным предложениям);
  • остальные тематики сохраняют стабильные показатели, сравнимые с прошлым годом.

Спамерские приемы и методы

С точки зрения технической организации рассылок и оформления спамовых писем март практически не принес ничего нового. Все тот же «спам в картинках» (т.е. в виде графических файлов), изобилие случайных текстов в начале и/или конце спамерского сообщения для обхода «байесовских» фильтров и т.п. Единственная оригинальная черта в мартовском спаме — это текстовый прием, который спамеры использовали в рекламе «взрослого» контента и препаратов для усиления потенции.

Это использование случайных последовательностей, набранных в plain text мелким шрифтом, как своеобразных «кирпичиков» для графического изображения текста спамерской рекламы. Например, вот так записывается слово «HIGH»:

Примерно 1,5-2 года назад спамеры уже пытались внедрять этот прием для составления текстов своих сообщений. Но широкого распространения он не получил. Скорее всего, сейчас ситуация сложится точно так же. Такой метод записи текста — всего лишь оригинальная игрушка, которая лишь отчасти помогает преодолеть простые спам-фильтры. А вот пользователи могут и не проявить желания разбирать шарады, составленные спамерами. В конечном итоге, спамерам придется выбирать между хорошей читаемостью рекламного предложения и потенциальными возможностями «пробить» некоторое количество фильтров. Поскольку приток денег в спамерском бизнесе обеспечивает именно пользователь, то нетрудно догадаться, каким будет выбор: спам не должен вызывать затруднения при чтении, иначе падает его эффективность.

К тому же для мощных систем фильтрации — таких, например, как Kaspersky Anti-Spam, — подобный прием не является проблемой. Спамерское сообщение все равно будет однозначно классифицировано как нежелательная почта.

Спам в марте 2006 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике