Отчеты по спаму и фишингу

Спам в сентябре 2008 года

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с августом повысилась на 1,9% и составила в среднем 82,2%.
  • Вредоносные файлы содержались в 1,09% электронных сообщений.
    Ссылки на фишинговые сайты находились в 0,62% всех электронных писем.

  • Участились случаи рассылок писем, имитирующих системные сообщения от администраций популярных ресурсов.
  • Впервые с апреля 2007 года в рейтинге спам-тематик сменился лидер: первое место занял спам «для взрослых», доля которого составила 28%.
  • Спамеры подделывали спамерские письма под автоответы.
  • Для обхода спам-фильтров использовались html-теги.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в сентябре 2008 года в среднем составила 82,2%. Самый низкий показатель отмечен 15 сентября – 71,6%, больше всего спама зафиксировано 13 числа – 95%. Доля графического спама осталась неизменной в сравнении с прошлыми месяцами — 9%.

 

Доля спама в Рунете в сентябре 2008 года

Вредоносные письма

Письма, содержащие вредоносные вложения, составили 1,09% от всех почтовых сообщений — это на 0,3% больше, чем в прошлом месяце.

Помимо распространения вредоносных программ во вложениях и рассылок писем, содержащих ссылки на зараженные страницы, спамеры пытались инфицировать компьютеры пользователей, предлагая им самим скачать вредоносные файлы. Как обычно, для этого использовался благовидный предлог – спамеры уверяли пользователей, что они скачают новый антивирус. При этом новое средство борьбы с вредоносными объектами рассылалось для тестирования «счастливчикам» якобы на 100 случайно выбранных адресов (внимательному пользователю это напомнит фальшивые сообщения о выигрышах в лотерее).

новое окно 

Получатели таких предложений должны были бы насторожиться, обнаружив в письме рекомендацию отключить антивирусную защиту компьютера. Такая рекомендация объясняется просто: при попытке скачать «Antivirus Raptor» на компьютер начинала загружаться вредоносная программа Trojan-PSW.Win32.LdPinch, которую злоумышленники выложили на взломанном сайте.

С наступлением осени и началом учебного года у многих людей возникает чувство ностальгии по безвозвратно ушедшим временам детства и юности. Этим решили воспользоваться злоумышленники. По Рунету распространялись письма якобы от соскучившегося по однокашникам бывшего студента. Автор послания горячо настаивал на встрече и предлагал посмотреть самый полный список выпускников, который находился в приложении и имел формат doc. Однако вместо перечня экс-студентов вложение содержало вредоносную программу Trojan-Dropper.MSWord.1Table.gm.


Привет!
Сколько лет сколько зим! После окочания нашего института даже не встретились! По тебе и сокурсникам скучаю! Предлагаю организовать встречу!
Место и время определим вместе!С нетерпением жду твоего ответа! ?В придложении (vipusknik.doc)самый последний перечень наших выпускников. Связывайтесь!
С уважением!

Фишинг

В начале осени доля писем, содержащих фишинговые ссылки, незначительно понизилась по сравнению с предыдущим месяцем (на 0,02%) и составила 0,62%. Самыми атакуемыми со стороны фишеров организациями в сентябре стали платежная система PayPal, на которую было нацелено 36% всех фишинговых атак, и интернет-аукцион eBay (18%).

 

Организации, подвергшиеся фишинговым атакам

Было отмечено несколько небольших атак, осуществленных группой Rock-Phish. В большинстве случаев использовалось около 100 – 300 поддельных URL.

Российские фишеры в сентябре продолжали атаковать пользователей популярных почтовых сервисов. Больше всего фишинговых писем было разослано от имени администрации Mail.ru. В одной из таких рассылок настоятельно рекомендовалось пройти повторную авторизацию. В действительности, чтобы стать пользователем портала, достаточно зарегистрироваться. Повторная авторизация запрашивается только при неправильном вводе логина или пароля при входе в личный кабинет.

новое окно 

Еще одно письмо фишеры разослали от имени администрации почтовой системы Rambler. Проблема с получением логинов и паролей пользователей в данном случае решалась даже без поддельной страницы авторизации. Мошенники просто попросили получателей сообщить их персональные данные, необходимые для доступа к почтовому ящику, в ответном письме.

новое окно 

В фишинговом письме, разосланном от имени администрации платежной системы «Яндекс.Деньги», получателю предлагалось пройти по ссылке, чтобы ознакомиться с предъявляемыми ему претензиями. Важно отметить, что указанная в письме ссылка находилась в доменной зоне cn, и это должно было насторожить внимательного пользователя.

новое окно 

Тематический состав спама

 

Распределение тематик спама в Рунете в сентябре 2008 г.

Пятерка лидирующих спам-тематик сентября:

  1. Спам «для взрослых» — 28%
  2. «Медикаменты; товары и услуги для здоровья» — 19%
  3. «Образование» — 12%
  4. «Реплики элитных товаров» — 6%
  5. «Отдых и путешествия» — 6%

Сентябрь ознаменовался сменой лидера в рейтинге тематик спамовых писем. Тематика «Медикаменты; товары и услуги для здоровья», которая возглавляла рейтинг с апреля 2007 года, уступила место рубрике «Спам «для взрослых», вырвавшейся вперед со значительным отрывом в 9%. Успех «взрослой» рубрики, в которой подавляющее большинство писем представляет собой рекламу порносайтов, обеспечили русскоязычные спамеры.

В этом месяце письма «для взрослых» часто маскировались под приглашения с сайтов или личные сообщения — для того чтобы увеличить вероятность обхода ими спам-фильтров.


Приветствуем Вас!

Мы с радостью сообщаем Вам, что после месяца вынужденного бездействия в результате большого скандала наш клуб «Любители чужих жён» с новыми силами возобновил свою работу.
Мы приглашаем в наше приватное сообщество как новых участников и участниц, так и старых членов клуба. Более того, бывшим активным участникам, зарегистрированным до 1 мая 2008 и на счету которых имеется не менее 20 подтвержденных сношений, мы предоставляем бонус — анонимную встречу с чужой невестой.
Официальный сайт нашего клуба {SITE}

С уважением,
администрация клуба «Любители чужих жён».

Незначительно снизился процент рубрик «Реплики элитных товаров» и «Отдых и путешествия», но можно прогнозировать увеличение рассылок этих тематик ближе к зимним праздникам, когда они станут более актуальными. Пока же «Образование» является более востребованной темой, ее рейтинг вырос почти на 3,5%, что также можно объяснить сезонным спросом.

Компрометирующий спам

Спам продолжают использовать как инструмент черного PR. Если раньше случаи черного PR c помощью спама фиксировались, в основном, во время активных предвыборных баталий, то сейчас инициаторы подобных рассылок пытаются распространить информацию о не угодивших им чем-либо бизнесменах или компаниях. Такие письма все чаще встречаются в почтовых потоках. Обычно их авторы прикрываются благими намерениями и якобы желают предупредить мир о ненадежности компрометируемого объекта.

Так, в сентябре было разослано спамовое письмо, автор которого не без сарказма рассказывал о деятельности одного из российских провайдеров. Для пущей достоверности письмо было снабжено рядом ссылок.


Компания — это экстрим — Интернет, работающий раз в неделю ( что даст Вам возможность развить в себе способности провидца, ведь чтобы угадать график включения Интернета, без таких способностей не обойтись),
— телевидение для слепых (без картинки)

Минздрав предупреждает — компания заботится о сохранности Вашего зрения
— гибко меняющиеся в сторону увеличения═ задним числом тарифные планы.═
— идеально владеющая русским — матерным, служба поддержки

— биллинг, виртуозно обнуляющий счета клиентов

— специально для «крутых пацанов» возможность заплатить за услуги, предоставляемые другими компаниями бесплатно (музыка, фильмы) И главное ноу-хау компании — необходимость оплаты отказа от услуг.

{Company} ждет вас с радостно открытыми кошельками.

{LINKS}

Еще одно спамовое письмо предупреждало широкую общественность об отвратительном качестве изготавливаемой некой компанией смолы для производства пеноизола.


ВНИМАНИЕ, МОШЕННИКИ ООО НПП {Company}!!!

ООО НПП {Company} — это новая фирма, которая продает НЕКАЧЕСТВЕННУЮ СМОЛУ ДЛЯ ПРОИЗВОДСТВА ПЕНОИЗОЛА, которую выпускает {Company}.

Наша строительная фирма обратилась к ним по поводу приобретения смолы для производства пеноизола. Та смола, которую они нам продали, оказалась такого НИЗКОГО КАЧЕСТВА, что изготовить из нее пеноизол даже на нашем дорогом оборудовании оказалось НЕВОЗМОЖНЫМ! Мы позвонили на завод, там нас отправили обратно в ООО НПП {Company} со словами ⌠Вы смолу покупали у {Company} к ним и обращайтесь!.
А в {Company} нам ответили, что они только перепродают эту ⌠смолу и не несут ответственности за качество материала. В общем, концов найти невозможно!

Кроме того, ООО НПП {Company} пыталось продать нам своё оборудование за 100 000 рублей, хотя его реальная стоимость составляет не более 10 000 рублей, объясняя при этом, что пеноизол не получился, потому что мы работаем не на их оборудование.

Чтобы удостовериться, мы обзвонили ещё несколько строительных фирм, которые имели неосторожность, также как и мы купить смолу у ООО НПП {Company}, и выяснилось, что ни у кого не получилось ни одного куба пеноизола.


ВСЕМ, ВСЕМ, ВСЕМ, у кого есть лишние деньги, и есть желание их выбросить обращайтесь в {Company}!

И самое главное. Подумайте о том, как Вы будете выглядеть перед Заказчиками и как будете оправдываться, когда Вам будут говорить, что вы не строительная фирма, а фуфлыжники с мыльного завода.

Начавшись в середине лета, поток подобных посланий не иссякает, что вынуждает еще раз напомнить о том, что к информации в незапрошенных письмах нужно относиться очень осторожно. Доверяя такой информации, человек позволяет совершенно неизвестным людям влиять на собственное мнение.

Спамерские методы и трюки

Реклама, спрятанная от спам-фильтров

В сентябре спамеры не придумали никаких принципиально новых технических приемов. Основная идея технических поисков спамеров состоит в том, чтобы «спрятать» рекламные тексты при контекстной фильтрации.

Фальшивые комментарии

Большой популярностью у спамеров по-прежнему пользовались возможности HTML. Одним из приемов, которые помогают спамерским посланиям обойти спам-фильтры, стало употребление фальшивых комментариев. Средства HTML позволяют включать в тексты комментарии — для этого используются специальные теги. Чтобы «обмануть» спам-фильтры, спамеры стали помещать в комментарии рекламные сообщения.

Отметим, что тексты комментариев при просмотре письма можно увидеть только с помощью нескольких почтовых клиентов – в частности, Microsoft Outlook. Большинству же почтовых программ тексты, заключенные в теги комментария, не видны.

Текст письма вместе с комментариями:


OnTuMu3upoBaTb Ha/oru

Курс для финансовых директоров, главных бухгалтеров, специалистов по налоговому планированию, юристов и руководителей организаций.
*****************************************************************************

НАЛОГОВАЯ ОПТИМИЗАЦИЯ:
ПРАВОВЫЕ РИСКИ НАЛОГОВЫХ СХЕМ

В программе:
Законность налоговых схем.
Выбор правовых средств ведения бизнеса. Признаки необоснованной налоговой выгоды и налоговых преступлений. Постановления ВАС РФ и ВС РФ, правовая позиция Конституционного Суда РФ, точки зрения специалистов. Принципы подготовки и реализации схем налоговой оптимизации.

Снижение налоговой нагрузки по НДС. Риски отказа в вычете, доначисления налога и переквалификации сделок. Логика юридической защиты налогоплательщика. Наиболее часто применяемые схемы «налоговой экономии» по НДС. Работа через фирмы-сателлиты. Возможное использование векселей для снижения налоговой нагрузки по НДС. Схемы для устранения НДС с авансов (предварительной оплаты). Комиссионные и иные схемы перераспределения вычетов и начислений. Корректировка суммы подлежащей уплате в бюджет. Схемы возмещения налога.

Приемы перераспределения налоговой нагрузки по налогу на прибыль и возможные претензии к налогоплательщику. Трансфертное ценообразование в вопросах перераспределения облагаемой прибыли. Уменьшение прибыли за счет расходов. Наиболее популярные сегодня виды договоров, используемых для увеличения расходной составляющей. Технологии аутсорсинга управленческих затрат и основных средств. Приемы легального снижения налоговой нагрузки в центре прибыли. Риски переквалификации действий налогоплательщика. Применение налоговых льгот. Метод оффшорных отношений. Реорганизация юридического лица. Банкротство.

Поиск путей оптимизации ЕСН. Схемы налоговой экономии без замены формальных оснований выплат. Схемы снижения ЕСН с заменой формальных оснований выплаты. Дисконтные и процентные (вексельные) схемы. Дивидендные схемы. Выплаты за счет чистой прибыли. Технологии аутсорсинга в «зарплатных» налогах. Выплаты через специальные налоговые режимы. Оплата за физическое лицо или в пользу физического лица – подходы МФ в налогообложении.

Прочие схемы. Схемы вывода ликвидного имущества с баланса предприятия. Применение неликвидных векселей в схемах вывода имущества. Схемы взаимного участия: «встречное» и «кольцевое» взаимное участие. Безналоговое прекращение деятельности фирмы.

**************************************************************

16 сентября | Москва
Стоимость участия: 9500 рублей.
****************************************************************

Получите подробную программу и информацию по этому мероприятию
по тел. +7 (495) 229-04-33
—>
Существует два вида кофеварок. Сами они ни о чем не догадываются.

То же письмо, в котором тексты комментариев не видны:


OnTuMu3upoBaTb Ha/oru

Существует два вида кофеварок. Сами они ни о чем не догадываются.

«Невидимый» текст

Старый прием, который спамеры стали использовать по-новому, – «невидимый» текст (белые буквы на белом фоне). Традиционно спамеры окрашивают в цвета фона так называемые мусорные тексты, которые используются для зашумления письма. В сентябре «невидимым» стало собственно рекламное сообщение.

В таких письмах в теме или в поле «From» находится точное руководство к действию – например, «Здравствуйте!выдели чтоб прочитать». При выделении пустой, казалось бы, страницы письма перед получателем появляется текст спамерской рекламы.

новое окно 

Спамерская «мозайка»

Для маскировки от спам-фильтров рекламируемых адресов сайтов российские спамеры использовали прием, позаимствованный у зарубежных «коллег». В рассылках с рекламой сайтов для взрослых различные символы, написанные через определенное количество пробелов и абзацев, в совокупности складывались в адрес сайта:

новое окно

Представленный в столь замысловатой форме адрес видели получатели, но не различали спам-фильтры. Этот прием не слишком эффективен, так как требует от пользователя вручную набирать адрес рекламируемого сайта в отдельном окне.

Письма-подделки

Даже когда спамерским письмам удается проскользнуть в почтовые ящики пользователей, получатели в большинстве случаев предпочитают удалять ненужную рекламу. Поэтому кроме технических ухищрений спамеры активно используют методы социальной инженерии с тем, чтобы привлечь внимание получателей к своим сообщениям и добиться доверия к содержанию письма со стороны пользователей.

В сентябре одним из характерных спамерских приемов стала рассылка писем-подделок, имитирующих легитимные сообщения с популярных сетевых ресурсов.

Подделки под уведомления администраций популярных ресурсов

Первый месяц осени охарактеризовался большим количеством рассылок сообщений, которые подделывались под системные уведомления администраций различных веб-ресурсов. Большая часть писем-имитаций рассылалась в ходе фишинг-атак, нацеленных на пользователей популярных российских онлайн-сервисов (см. выше), однако использовали такой прием не только фишеры.

Мошенники, которые в очередной раз пытались выманить у пользователей деньги с помощью платных SMS, отправленных на короткие номера, разработали довольно оригинальный способ одурачивания пользователей. В спамовом письме получателю сообщали, что его ящик пытались взломать и предлагали приобрести систему анти-взлом, отправив SMS на четырехзначный номер.

новое окно 

Рассчитывали злоумышленники на то, что для сохранения конфиденциальной информации пользователи будут готовы пожертвовать небольшой суммой денег. Важно отметить, что мошенники явно стремились спровоцировать получателей сообщения принимать решения быстро, практически не раздумывая. Именно для этого был придуман код для SMS-сообщения, который «будет действовать в течение 15 минут с момента открытия письма».

Рассылкой писем, имитирующих сообщения с социальных сетей, уже занимались российские спамеры, распространяющие вредоносные программы. В сентябре стали рассылаться письма, имитирующие сообщения с зарубежных ресурсов аналогичной направленности: под предлогом посетить страницу пользователей сайта одноклассников получателей таких писем заманивали на спамерскую страницу.


You’re Invited to Classmates’ Day!

Join us for the Classmates’ Day Luncheon in honor of this special happening.

Meet classmates and friends. We hope you can come to our party this day!
Please, take a tour to see the video invitation we provide.

For more information please follow to our Members Area> >

We look forward to seeing you there!

With Best Regards, Irving Greene.

Copyright ¿ 1995-2008 Classmates Online, Inc. All Rights Reserved.

Подделки под сообщения почтовых роботов

В некоторых случаях спамеры прибегают к маскировке своих посланий под автоответы почтовых роботов. Ниже приведен пример одного из таких писем, где мастерски чередуются предложения из стандартного автоответа с фразами рекламного характера.


I shall reply to you shortly

This is an automatic reply. I am unable to read my email at present. In the meantime please go to {SITE} and discover how I m@ke monthly residual income. I will read your message when I return.

Thank you.

Richard

Этот прием пока не носит массовый характер, но, видимо, считается перспективным у «нигерийских» мошенников, которые активно стали использовать тему «У меня новый почтовый адрес», очень напоминающую темы писем-автоответов. Впрочем, изменение темы не привело к изменению содержания «нигерийских» писем – это все те же уже ставшие привычными послания мошенников, которые пытаются присвоить чужие деньги.

Заключение

Итоги прошедшего месяца неутешительны. С наступлением осени процент спама начал расти. При этом спамеры умело используют методы социальной инженерии при рассылках писем различной тематики. Поэтому прежде, чем откликнуться на предложение спамера, стоит «семь раз отмерить» последствия такого отклика.

Спам в сентябре 2008 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике