Отчеты по спаму и фишингу

Спам в ноябре 2008 года

Особенности месяца

  • В связи с отключением провайдера McColo, на серверах которого размещались центры управления ряда ботнетов, доля спама в почтовом трафике по сравнению с октябрем снизилась на 7,2% и составила в среднем 73,7%.
  • Вредоносные файлы содержались в 2,28% электронных сообщений, что на 0,2% больше, чем в октябре.
  • Ссылки на фишинговые сайты находились в 0,76% всех электронных писем.
  • Доля спама с графическими вложениями составила 9%.
  • Спам с предложениями дешевых копий элитных товаров снова оказался в числе лидирующих тематик.
  • Доля мошеннических писем увеличилась на 0,8% — с 2,2 до 3%.
  • Спамеры по-новому использовали html-форматирование для обхода фильтров.

Доля спама в почтовом трафике


Доля спама в Рунете в ноябре 2008 года

Последний месяц осени ознаменовался закрытием американского хостинг-провайдера McColo, на ресурсах которого работали командные центры нескольких крупнейших ботнетов. Это повлекло за собой резкое сокращение объемов спама в мировом трафике, в том числе в Рунете. Спад не был долгосрочным, — уже через несколько дней спамерам удалось восстановить часть своих ботнетов. О быстром восстановлении ботнетов говорит тот факт, что уже 16 ноября процент спама достиг 83,4%, что близко к максимальному уровню месяца. В целом, это событие оказало влияние на уровень спама в ноябре — его доля в почтовом трафике Рунета составила 73,7% (в октябре – 79,9%). Самый низкий показатель — 50,5% — отмечен 13 ноября, на следующий день после закрытия хостинга.

Процент писем, содержащих вредоносные вложения, несколько увеличился и составил 2,28% всех электронных cообщений. Доля фишинговых писем в ноябре уменьшилась до 0, 76% (в октябре – 0,83%). Доля графического спама осталась неизменной в сравнении с прошлыми месяцами — 9%.

Тематический состав спама


 

Пятерка лидирующих спам-тематик ноября:

  1. Спам «для взрослых» — 24%
  2. «Медикаменты; товары и услуги для здоровья» — 21%
  3. «Образование» — 10%
  4. «Отдых и путешествия» — 9%
  5. «Реплики элитных товаров» — 5%

Если в октябре рубрика «Реплики элитных товаров» не попала в пятерку лидеров, то в ноябре, в преддверии приближающихся праздников, она вернулась на пятую позицию, вытеснив с нее рубрику «Реклама спамерских услуг».

Остальные рубрики первой пятерки остались на своих местах: «Образование» продолжает занимать третью строчку, а «Отдых и путешествия» — четвертую (за счет предложений новогодних туров и вечеринок). Следует отметить рост доли спама, рекламирующего «Медикаменты; товары и услуги для здоровья» — с 12,5% в октябре до 21% в ноябре.

Чтобы прорекламировать новогодние мероприятия, спамеры прибегали к различным приемам. Самым оригинальным было письмо, содержащее картинку, имитирующую скриншот поисковой системы Яндекса. Чтобы пользователь ненароком не пропустил нужные ссылки, их выделили красным. В поисковой строке стояла фраза «финансовый кризис в россии», — так лишний раз подчеркивался эконом-класс предлагаемой вечеринки.

Спамеры о политике и экономике

В ноябре спамеры не отличались изобретательностью при выборе тем: предложение самых разных товаров и услуг спамеры обосновывали желанием помочь пользователям пережить крушение мировой экономики. В одном из случаев спамеры прибегли к сложению стихов в честь чудесного спасения от лишних затрат во время кризиса:

Ссылки в письмах одной из рассылок вели на сайт, контент которого состоял из огромной статьи о мировом финансовом кризисе и о «способах спасения денег». Однако читателю, заглянувшему в конец статьи, становилась ясна основная цель «спасителей»: в качестве самого выгодного вложения средств в период кризиса предлагалась инвестиция в некий архитектурный комплекс на берегу Черного моря.

Истинные причины возникновения мирового экономического кризиса.

Что на самом деле происходит и что будет дальше?

  1. Настоящие причины мирового финансового кризиса.

    Основной и единственной причиной обвального кризиса мировой экономики является перепроизводство основной мировой валюты — доллара США.
    Федеральная Резервная система США (иными словами Центральный Банк США) — это частная организация, принадлежащая 20-ти частным банкам США..

  2. Что на самом деле происходит?
  3. «Контролируемое обрушение» мировой экономики.
  4. «Контролируемое обрушение» Российской экономики.
  5. Что будет дальше?
  6. Причины, по которым нельзя хранить и сохранить свои сбережения в долларах или евро, а также в рублях, юанях и гривнах.
  7. Способы спасения своих денег.

По всем вопросам звоните:
Москва:
ТЕЛЕФОН
Украина:
ТЕЛЕФОН

Хотя президентские выборы в США меньше обыгрывались спамерами, чем события в экономической сфере, в ряде случаев они все-таки постарались связать рекламируемые услуги с именем победителя. Так, реклама украинского семинара сообщала: «Барак Обама доверяет профессионалам». Не стоило думать, что Барак Обама доверяет именно тем профессионалам, которые составили и ведут семинар, — информация о предпочтениях американского лидера была дополнением к учебному материалу.

Англоязычный спам оказался проще и конкретнее. В письмах ряда рассылок пользователю предлагалось приобрести доллар, выпущенный в честь нового президента, и тем самым выгодно вложить свои капиталы.

Осторожно, подделка!

По сравнению с прошлым месяцем доля спама рубрики «Компьютерное мошенничество» заметно увеличилась — в ноябре она составила 3% вместо октябрьских 2,2%.

Чаще всего в этом месяце встречались письма-подделки от имени администрации Mail.Ru. Мошенники рассылали поздравительную открытку, в тексте которой сообщалось, что получатель якобы выиграл небольшую сумму и может ее получить, если отправит SMS-сообщение на четырехзначный номер. Спамеры не указали, что оплата SMS превысит сумму «выигрыша», который победителю увидеть так и не придется.

Ближе к концу месяца рассылка претерпела изменения. Видимо, спамеры спохватились, что день рождения у компании, чьим именем они прикрываются, прошел, и пользователь может это заметить. Поэтому праздничный дизайн сменился серым фоном, и письма стали напоминать обычные подделки под выигрыши в лотерею.

В другой подделке под сообщение от администрации известного ресурса фактически предлагалось оплатить несколько «руководящих указаний». Под предлогом того, что почтовый ящик пользователя попытались взломать, получателю настойчиво советовали отправить SMS-сообщение на платный номер. Каким образом SMS поможет избежать взлома аккаунта, не объяснялось, — никаких программ для защиты, либо новых логинов и паролей спамеры не предлагали. Зато они советовали поменять пароль, изменить контрольный вопрос и придумать сложный ответ на него, установить антивирусы и следить за их обновлениями. Советы правильные, но для того, чтобы придерживаться безопасной политики при работе в Сети, не обязательно посылать SMS-сообщение на дорогой премиум-номер.

ВНИМАНИЕ ваш аккаунт пытались взломать, был введен неверный пароль в течении 17 раз.
Вам необходимо отправить смс на номер {NUMBER} с текстом: «NW+pochtaMail» (без кавычек) Стоимость СМС равна стоимости смс вашего оператора.
Это необходио для того что бы обезопасить ваш ящик от дальнейших взломов и для вычесления злоумышленника.
После отправки СМС выполните следующие пункты:

Для начала поменяйте пароль на что-то более сложное, чем например сейчас.
1)В корне измените контрольный вопрос и поставь сложный ответ на него, и следи, чтобы в повседневной жизни у тебя ни кто не мог узнать на него ответ, кстати, если его сделаешь бросским и оригинальным, то ты сможешь за одно и выяснить того, кто тебе угрожает.
2)Поставь антивирусы, очень нужная штука. и следи за их обновлениями.
3) Никогда больше не запоминайте пароль(установка галочки «запомнить пароль»), вводите его его вручную, а на чужих компьютерах по возможности не заходи на свой ящик… Ни кого не пускайте к своему компьютеру и не запускайте сомнительные программы, которые вам не нужны, особенно приколы, на которые ругаются антивирусы.

С уважением администрация Mail.ru

Письма, рассылавшиеся якобы от имени платежной системы SMSexpress, были нацелены на более крупную добычу. От пользователя требовали компенсацию за то, что он, как было сказано в письме, «неоднократно нарушал условия договора» (сумма «добровольного взноса» варьировала от 10 до 100 долларов).

Стремясь защитить своих клиентов от мошенников, администрация сайта платежной системы SMSexpress поместила на главной странице сообщение об атаке и заблокировала счет вымогателей.

Уважаемый пользователь платежной ситемы SMSexpress!!!

Мы обнаружили, что вы неоднократно нарушали условия договора. Мы вынуждены будем заблокировать вам доступ, если вы не отправите SMS руководствуясь данной ссылкой http://www.smsexpress.ru/sendsms.html?acc=4817&value=200

Чтобы избежать нарушения НЕМЕДЛЕННО переведите сумму от $10 до $100 на счет http://www.smsexpress.ru/sendsms.html?acc=4817&value=200 как только получите это письмо!!! Ваши деньги пойдут в развитие системы http://www.smsexpress.ru Иначе мы будем вынуждены заблокировать Вам доступ навсегда.

Напоминаем что:

  • Текст сообщения действителен только для одного сообщения! Если вы хотите отправить более 1 СМС, обновите страницу;
  • Максимальное количество отправляемых с одного номера СМС в течении дня не должно превышать по стоимости $60, не более $10 в час.
  • При неверном наборе текста смс сообщения, средства за смс со счета снимаются, необработанные смс не восстанавливаются.

С уважением — Администрация SMSexpress.

——
http://wwwsmsexpress.ru

Еще раз напомним: чтобы разобраться в ситуации и не отдать деньги в «нехорошие руки», получателям подобных писем следует связываться непосредственно с администрацией компании. Делать это следует с помощью координат, указанных на сайте компании, а не через ссылки или контактную информацию в спам-письме.

Спамерские методы и трюки

Чтобы удержаться на плаву в условиях кризиса, спамеры стараются увеличить эффективность своих рассылок. Это требует совершенствования старых приемов.

Руководствуясь принципом «все гениальное — просто», спамеры нашли новый прием для маскировки контактной информации в своих письмах. Рекламный текст находится в одной колонке таблицы, адрес сайта – в другой и при этом он написан в столбик. Системы фильтрации спама не видят оформленной ссылки, что, по мнению спамеров, должно было бы осложнить борьбу с их сообщениями, но и пользователь, получив такое послание, вынужден приложить усилия, чтобы посетить страницу с предлагаемым товаром. Для этого он должен либо выучить название сайта наизусть, либо вбивать его в адресную строку браузера постепенно, сверяясь со спамерским письмом.

Здравствуйте,
Кого Вы считаете эталоном стиля? Вы можете также:
Вы будете выглядеть на 100%, потратив денег меньше, чем все остальные

Удачного дня!

В ноябре спамеры прибегли к маскировке ключевых слов в рекламном письме с помощью HTML-тэгов. Названия медикаментов и копий элитных товаров были записаны в таблицу вместе с произвольными символами, которые были набраны блеклым шрифтом. Пользователь, не обращая внимания на почти незаметные буквы, мог видеть предлагаемый в письме ассортимент, а для фильтров рандомные знаки смешивались с буквами, образующими слова.

Заключение

Конец осени оказался непростым временем для спамеров. Негативные явления в экономике уменьшили клиентуру и аудиторию незапрошенных рассылок. В середине месяца спамерской индустрии нанесен еще один удар, — закрылся провайдер McColo, являвшийся плацдармом, с которого осуществлялось управление несколькими ботнетами. Можно предполагать, что в следующем месяце произойдет изменение в тематической структуры спама. Навязчивые рассылки с контентом «для взрослых» в декабре, скорее всего, отойдут на второй план. С приближением новогодних праздников, очевидно, увеличится число предложений, связанных с проведением досуга, а также количество рассылок с рекламой копий элитных товаров. В связи с этим хочется еще раз напомнить о необходимости осторожного отношения к информации в непрошеной корреспонденции. Внимательность поможет сохранить хорошее настроение и материальные средства, необходимые для удачной встречи Нового Года и Рождества.

Спам в ноябре 2008 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике