Отчеты по спаму и фишингу

Спам в первом квартале 2008 года

Основные тенденции

  • Доля спама в почтовом трафике растет и в среднем составила 88%.
  • Спамеры активно используют «графический» спам.
  • Резко возросло количество спама, рекламирующего копии элитных товаров.
  • Спамеры продолжают придумывать новые трюки для обхода фильтров.
  • Криминализированный спам отличается большим разнообразием.

Долевое распределение спама

Доля спама в почтовом трафике продолжает неуклонно расти и в первом квартале 2008 года составила в среднем 88%.

Наибольшие колебания долевых показателей спама наблюдались в январе (от 73,1% до 97,3%), но уже с середины февраля доля спама не падала ниже 80%. Самый низкий долевой показатель спама наблюдался 28 января и составил 73,1%; самая высокая доля спама была зафиксирована 1 марта — 97,8% почтового трафика.

С начала 2008 года в общем потоке мусорной почты растет доля «графического» спама: к концу первого квартала 2008 года она составила 28%.

В конце 2007 года «спам в картинках» составлял всего 14% спамовых писем, и мы ожидали более активного использования этой спамерской технологии в 2008 году. «Графический» спам является одним из излюбленных спамерских методов. Особенно широко он используется крупными спамерскими компаниями (например, при рекламе виагры), обладающими мощными серверами и большими ботнетами. Постоянно изменяющиеся картинки со спамерской информацией для некоторых спам-фильтров действительно могут быть проблемой при анализе.

Тематические особенности спама

Лидирующие тематики спама:

  1. «Медикаменты; товары/услуги для здоровья» — 32,5%
  2. «Образование» — 13,3%
  3. «Отдых и путешествия» — 7,2%
  4. «Компьютеры и Интернет» — 4,5%
  5. «Спам «для взрослых»» — 4,3%

В первом квартале 2008 года список лидирующих тематик спама, возглавляемый тематикой «Медикаменты; товары/услуги для здоровья», оказался вполне традиционным для Рунета. За одним исключением — пятое место в рейтинге заняла тематика «Спам «для взрослых»» (реклама различных порноресурсов и сайтов знакомств). Спам этой категории в 2006-2007 годах занимал последние места в рейтинге тематик с долевыми показателями около 2%. Однако в конце 2007 – начале 2008 года его доля неожиданно превысила 5%, а по итогам первого квартала 2008 года составила 4,3%.

Спам «для взрослых» вытеснил из пятерки лидеров тематику «Услуги по электронной рекламе» (самореклама спамеров). Доля такого спама, к концу прошлого года достигавшая 6%, по итогам первого квартала 2008 года снизилась до 3,7%. Почему же спамеры стали меньше рекламировать свои услуги? И означает ли это, что нам следует ожидать снижения уровня спама? Увы – нет. Долевые показатели спамерской тематики снизились отнюдь не потому, что спамеры задумались о противозаконности своей деятельности.

Всплески рассылок рекламы спамерских услуг, как правило, связаны с уменьшением у спамеров числа заказов и обусловлены поиском новых клиентов. Регулярно себя рекламируют только крупные спамерские структуры, которые занимаются маркетингом постоянно. Именно такая «плановая» реклама формирует базовый поток спама категории «Услуги по электронной рекламе», и ее доля колеблется на уровне 3-4%. К сожалению, итоговые долевые показатели данной тематики в 3,7% свидетельствуют о том, что у спамеров заказов достаточно, и отсутствием клиентов они не озабочены.

В первом квартале 2008 года активно рассылался спам, рекламирующий различные реплики (копии элитных товаров). Таких писем стало настолько много, что в марте нам пришлось выделить их в отдельную рубрику, доля которой составила 9,1% всего мартовского спама! Видимо, такой большой процент рекламы копий элитных товаров связан с тем, что подобный товар становится все более популярным в России.

Этот вид спама распространен в США, но теперь мы можем наблюдать большое количество аналогичного спама и на русском языке. Основное отличие заключается в том, что в англоязычных рассылках подавляющее большинство рекламируемых реплик – это часы (Rolex, Omega и др.), русскоязычные предложения реплик более разнообразны. Характерно, что в некоторых рассылках можно наблюдать рекламу реплик сразу нескольких товаров.

Говоря о тематиках спама в Рунете в первом квартале 2008 года, хотелось бы отметить одну интересную особенность, а именно отсутствие политического спама, который, как правило, активно рассылается в предвыборный период. Всплеск рассылок такого спама в Рунете мы наблюдали, например, в прошлом году перед выборами в Государственную Думу РФ. Мы ожидали такого же всплеска и перед президентскими выборами, прошедшими в России 2 марта 2008 года. Однако наши ожидания не оправдались. Политического спама в этом квартале практически не было (за исключением призывов саботировать выборы с лозунгами вида:

«ОТКАЖИСЬ ОТ ВЫБОРА ЧИНОВНИКОВ, ВЫБЕРИ СЕБЯ!!!

— ПУСТЬ САМИ ГОЛОСУЮТ ДРУГ ПРОТИВ ДРУГА!!!»).

Однако тему выборов не обошли своим вниманием мошенники. Под предлогом проведения социологического опроса, спамеры предлагали пользователям сообщить, за кого они собираются голосовать на выборах, послав SMS на короткий номер. О том, что отправка сообщения на короткий номер стоила пользователю нескольких долларов, мошенники, получающие часть этих денег, умалчивали (подробнее о способах мошенничества с использованием коротких номеров см. в главе «Криминализация спама»).

Спамерские трюки: зашумление текста писем html-тэгами

Зашумление текста – прием, используемый спамерами фактически с момента появления автоматического спама. Спамеры добавляют к каждому письму рассылки «лишний» постоянно изменяющийся текст, который либо совсем не виден пользователю, либо оформлен так, что не привлекает внимания пользователя. Этот прием используется для того, чтобы фильтр рассматривал каждое письмо в рассылке как уникальное.

Чаще всего для зашумления текста спамеры добавляют случайную последовательность букв или слов в конце письма, либо добавляют в разные части письма «белый текст» — текст цвета фона письма.

Еще в начале года спамеры стали добавлять «мусорный» текст с помощью html-тэгов. Для этого используются тэги-комментарии, тэги, определяющие цвет текста и т.п., которые большинство почтовых клиентов считают вспомогательными и не показывают пользователям. В результате получатель видит только рекламный текст, который для фильтра является лишь небольшой частью текста сообщения.

Письмо, которое для пользователя выглядит следующим образом…

Вам пришла виртуальная открытка.

Для ее получения зайдите на сайт www.postcard.ru/card.php?2897238793 и нажмите на ссылку ‘получить открытку’

Служба рассылки открыток POSTCARD.RU

————————————————

You recieved an postcard.

To get it follow to web-site www.postcard.ru/card.php?2897238793 switch to english and click on ‘get my postcard’

Postcard service POSTCARD.RU

…для фильтра может выглядеть так (зашумляющие тэги мы выделили красным цветом; в этом письме отличается ссылки, как их видит пользователь, и адреса страниц, на которые они на самом деле ведут, — мы выделили эти адреса синим цветом):

<html>

<!— этнический тюльпан высказываться грызун —><!— первобытный одновременный негодный —>

<body> Вам пришла виртуальная открытка.

<!— irretrievable wei —>

<bR> Для ее получения зайдите на сайт <a href=»http://www.postcard.ru/card.php?2897238793″><table><tr><td><a href=»http://usadba.e-brest.net/card.php?fr=BishopThomas&n=a-log@mail.ru«>www.postcard.ru/card.php?2897238793</td></tr></table></a>
и нажмите на ссылку ‘получить открытку’

<!— shitepoke bordeaux afghanistan —>

<br><!— narcosis thrash numismatist craven —>

<br> Служба рассылки открыток POSTCARD.RU<!— nevada clang convention bestial —>

<bR>————————————————

<!— east bedim bracken ellipse —>

<p><!— ridgway copywriter compellable cahill —>

<BR><!— denounce firebug embroil —>

<bR>You recieved an postcard.

<!— gregory anabaptist consultant unidirectional —>

<p> To get it follow to web-site <a href=»http://www.postcard.ru/card.php?2897238793″><table><tr><td><a href=»http://www.vniibt-bi.ru/card.php?fr=BishopThomas&n=a-log@mail.ru«>www.postcard.ru/card.php?2897238793</td></tr></table></a>

switch to english and click on ‘get my postcard’<!— inflame copeland venerate —>

<p><!— handwrite —>

<p>Postcard service POSTCARD.RU<!— watkins —>

<bR></body> <!— базис сливать фрак —>

</html>

Такое сильное замусоривание, с одной стороны, создает проблему для фильтров без контентной фильтрации, с другой — позволяет письму выглядеть адекватно для пользователя, не раздражая его бессмысленными дополнениями. Скорее всего, спамеры и дальше будут продолжать пользоваться этим трюком наряду с другими методами зашумления текста.

Криминализация спама

Несмотря на то, что по итогам первого квартала 2008 года доля собственно мошеннических писем в спаме относительно невелика (2,5%), криминализированного спама в почте гораздо больше. Отметим, что в рубрику «Компьютерное мошенничество» попадают не все спамовые письма криминального характера: реклама поддельных и контрафактных товаров и медикаментов, нелицензионного софта и т.п. относится к другим тематическим категориям спама.

Впрочем, в течение первых трех месяцев года криминализированный спам поражал не количеством, а разнообразием. Весь такой спам условно можно поделить на три категории:

  1. мошеннический спам, с помощью которого спамеры пытаются разнообразными способами украсть у пользователя деньги;
  2. спам, который используется злоумышленниками для распространения вредоносных программ;
  3. спам с предложениями криминального характера.

К первой категории относится фишинг, «нигерийские» письма, поддельные уведомления о выигрыше в лотерею и другие спамовые письма, используемые в мошеннических схемах вымогания денег.

Ко второй – спам с зараженными вложениями, со ссылками и предложениями скачать зараженный файл (как правило, с расширением .exe) либо со ссылками на зараженные веб-страницы.

К третьей категории относятся любые письма с рекламой криминальных товаров и услуг. Как правило, предлагается осуществление противозаконных действий в Сети либо необходимое для этого ПО, базы данных и т.п. (организация DDoS-атак, продажа спам-софта и баз с конфиденциальными данными, предложения разослать вредоносные программы).

Особняком стоят случаи черного PR, которые тоже наблюдались в этом квартале. Это были атаки на газету «Коммерсант» и на страховую компанию «SB-GARANT».

Рассмотрим примеры различных категорий криминализированного спама.

Выманивание денег у пользователей

Хочется отметить, что способы вымогания денег с помощью спама становятся жестче. Наряду с уже ставшими привычными предложениями спасти прекрасную нигерийскую невесту или инвестировать деньги в какой-нибудь безумный проект, встречаются и случаи прямого шантажа. Так, например, в первом квартале 2008 года были зафиксированы рассылки, в которых автор представляелся как киллер, нанятый для убийства адресата, который якобы готов отказаться от выполнения задания, если адресат выплатит ему $4000.

Подобные письма уже встречались ранее в западных почтовых потоках. Пользователям Рунета они, скорее всего, были разосланы просто потому, что их адреса оказались в спамерской базе. Вряд ли обычный русскоязычный получатель всерьез воспримет информацию о том, что его «заказали» англоязычному киллеру.

Российские мошенники быстро перенимают опыт своих западных «коллег». Хорошо знакомые англоязычным пользователям Интернета поддельные уведомления о выигрыше в лотерею активно завоевывает просторы Рунета. Например, типичные «лотерейные» письма переводятся с английского на русский язык с помощью автоматического переводчика.

Русскоязычная версия поддельного уведомления о выигрыше в лотерею:

Сравните с классическим англоязычным письмом:

Хотелось бы еще раз предупредить пользователей Интернета: будьте внимательны! Если вы не участвовали ни в какой лотерее, то вы не можете оказаться победителем. Никакие лотереи случайных E-Mail адресов, номеров телефонов и т.д. никогда не проводятся. Подобные письма рассылают только мошенники.

Однако в последнее время в Рунете используются не только ставшие уже классическими для западного сегмента Интернета схемы мошенничества. Злоумышленники вполне успешно разрабатывают новые способы выманивания денег у русскоязычных пользователей. Например, в настоящие время в Рунете очень популярно мошенничество с использованием отправки SMS на короткие номера.

Короткие номера сдаются в аренду операторами мобильной связи, и отправка SMS на них является платной услугой. Большую часть денег, которые снимаются со счета пользователя, отправившего SMS на короткий номер, получает арендатор этого номера.

Многие не знают о том, что при отправке SMS на короткий номер со счета отправителя автоматически снимается определенная сумма денег. Этим и пользуются мошенники: они арендуют короткие номера и рассылают спамовые письма, в которых под тем или иным предлогом провоцируют получателя послать «бесплатное» SMS на арендованный номер. Предложения, которым спамеры заманивают наивных пользователей, поражают разнообразием: это и обещание бесплатного доступа в Интернет, и обещание выигрыша, и угрозы заблокировать почтовый ящик, если пользователь не пошлет SMS. Используются и более сложные схемы, когда в письме дается только ссылка на спамерский сайт, а уже на сайте (например, в процессе якобы получения выигрыша) от пользователя требуется послать SMS.

Один из любопытных примеров подобных писем, в котором спамеры использовали предвыборную тематику и предлагали провести SMS-голосование в пользу того или иного кандидата, мы приводили выше. А вот еще один образец творчества русскоязычных мошенников — в фальшивом уведомлении о выигрыше в лотерею счастливчику предлагается отослать SMS на короткий номер, чтобы узнать, какой именно приз он получит.

Распространение вредоносных программ с помощью спама

Спамовые письма, с помощью которых злоумышленники пытались распространять ссылки на вредоносные программы, в основном имитировали уведомления известных почтовых систем. Так, например, в поддельных уведомлениях от имени администрации Mail.ru пользователям предлагалось скачать бесплатную версию Mail.ru Агента с дополнительными бонусами.

Много вирусных атак наблюдалось на праздники. В частности, в день Святого Валентина многие ничего не подозревающие пользователи думали, что скачивают пришедшие им открытки, а загружали вредоносную программу. Хотя вредоносные валентинки – это изобретение западных спамеров, злоумышленники Рунета использовали чужие наработки. Ниже приведена одна из русскоязычных «валентинок», по ссылке в которой на компьютеры пользователей пыталась загрузиться троянская программа Trojan.Win32.Agent.fkn.

Напоминаем, что в случае наличия ссылки в письме надо быть внимательными и следить за тем, чтобы ссылка, которая видна, совпадала с адресом веб-страницы, на которую она ведет на самом деле. И, конечно же, никогда нельзя скачивать exe-приложения.

Спам-предложения криминального характера

Что касается третьей категории криминализированного спама – рекламы криминальных товаров и услуг, — то здесь встречались самые разнообразные предложения: осуществить DDoS-атаки, заблокировать телефон жертвы с помощью флуда, продать спам-базы адресов, обещания обучить пользователя писать вирусы и др.

Помимо криминальной деятельности в виртуальной Сети спамеры предлагали и услуги по вполне конкретным действия в реальном мире:

Заключение

Итоги первого квартала 2008 года в целом неутешительны: доля спама в почте неуклонно растет, спам по-прежнему разнообразен и все больше криминализируется.

В настоящее время спам значительно отличается от своего изначального варианта — дешевой рекламы, которую могут себе позволить небольшие и небогатые фирмы, а пишут и рассылают бедные студенты. Рассылкой спама сейчас занимаются крупные спам-сообщества, обладающие колоссальными мощностями и ресурсами. Практически во всех развитых странах уже приняты законы против спама, и спамеры прекрасно сознают, что их деятельность противозаконна. И все чаще услугами спамеров пользуются с откровенно криминальными целями.

Несмотря на это, в Рунете все еще рассылается достаточно много спама, заказчиками которого являются «нормальные» компании, занимающиеся легитимной коммерческой деятельностью. Очень хотелось бы, чтобы они нашли другие, законные способы рассказывать о себе и рекламировать свои товары и услуги, и отдавали себе отчет в том, что использование спам-рекламы не способствует созданию достойной репутации компании.

Спам в первом квартале 2008 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике