Спам в сентябре 2008 года

Особенности месяца

• Доля спама в почтовом трафике по сравнению с августом повысилась на 1,9% и составила в среднем 82,2%.
• Вредоносные файлы содержались в 1,09% электронных сообщений.
  Ссылки на фишинговые сайты находились в 0,62% всех электронных писем.

• Участились случаи рассылок писем, имитирующих системные сообщения от администраций популярных ресурсов.
• Впервые с апреля 2007 года в рейтинге спам-тематик сменился лидер: первое место занял спам «для взрослых», доля которого составила 28%.
• Спамеры подделывали спамерские письма под автоответы.
• Для обхода спам-фильтров использовались html-теги.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в сентябре 2008 года в среднем составила 82,2%. Самый низкий показатель отмечен 15 сентября – 71,6%, больше всего спама зафиксировано 13 числа – 95%. Доля графического спама осталась неизменной в сравнении с прошлыми месяцами — 9%.

 

Доля спама в Рунете в сентябре 2008 года

Вредоносные письма

Письма, содержащие вредоносные вложения, составили 1,09% от всех почтовых сообщений — это на 0,3% больше, чем в прошлом месяце.

Помимо распространения вредоносных программ во вложениях и рассылок писем, содержащих ссылки на зараженные страницы, спамеры пытались инфицировать компьютеры пользователей, предлагая им самим скачать вредоносные файлы. Как обычно, для этого использовался благовидный предлог – спамеры уверяли пользователей, что они скачают новый антивирус. При этом новое средство борьбы с вредоносными объектами рассылалось для тестирования «счастливчикам» якобы на 100 случайно выбранных адресов (внимательному пользователю это напомнит фальшивые сообщения о выигрышах в лотерее).

Получатели таких предложений должны были бы насторожиться, обнаружив в письме рекомендацию отключить антивирусную защиту компьютера. Такая рекомендация объясняется просто: при попытке скачать «Antivirus Raptor» на компьютер начинала загружаться вредоносная программа Trojan-PSW.Win32.LdPinch, которую злоумышленники выложили на взломанном сайте.

С наступлением осени и началом учебного года у многих людей возникает чувство ностальгии по безвозвратно ушедшим временам детства и юности. Этим решили воспользоваться злоумышленники. По Рунету распространялись письма якобы от соскучившегося по однокашникам бывшего студента. Автор послания горячо настаивал на встрече и предлагал посмотреть самый полный список выпускников, который находился в приложении и имел формат doc. Однако вместо перечня экс-студентов вложение содержало вредоносную программу Trojan-Dropper.MSWord.1Table.gm.

Фишинг

В начале осени доля писем, содержащих фишинговые ссылки, незначительно понизилась по сравнению с предыдущим месяцем (на 0,02%) и составила 0,62%. Самыми атакуемыми со стороны фишеров организациями в сентябре стали платежная система PayPal, на которую было нацелено 36% всех фишинговых атак, и интернет-аукцион eBay (18%).

 

Организации, подвергшиеся фишинговым атакам

Было отмечено несколько небольших атак, осуществленных группой Rock-Phish. В большинстве случаев использовалось около 100 – 300 поддельных URL.

Российские фишеры в сентябре продолжали атаковать пользователей популярных почтовых сервисов. Больше всего фишинговых писем было разослано от имени администрации Mail.ru. В одной из таких рассылок настоятельно рекомендовалось пройти повторную авторизацию. В действительности, чтобы стать пользователем портала, достаточно зарегистрироваться. Повторная авторизация запрашивается только при неправильном вводе логина или пароля при входе в личный кабинет.

Еще одно письмо фишеры разослали от имени администрации почтовой системы Rambler. Проблема с получением логинов и паролей пользователей в данном случае решалась даже без поддельной страницы авторизации. Мошенники просто попросили получателей сообщить их персональные данные, необходимые для доступа к почтовому ящику, в ответном письме.

В фишинговом письме, разосланном от имени администрации платежной системы «Яндекс.Деньги», получателю предлагалось пройти по ссылке, чтобы ознакомиться с предъявляемыми ему претензиями. Важно отметить, что указанная в письме ссылка находилась в доменной зоне cn, и это должно было насторожить внимательного пользователя.

Тематический состав спама

 

Распределение тематик спама в Рунете в сентябре 2008 г.

Пятерка лидирующих спам-тематик сентября:

1. Спам «для взрослых» — 28%
2. «Медикаменты; товары и услуги для здоровья» — 19%
3. «Образование» — 12%
4. «Реплики элитных товаров» — 6%
5. «Отдых и путешествия» — 6%

Сентябрь ознаменовался сменой лидера в рейтинге тематик спамовых писем. Тематика «Медикаменты; товары и услуги для здоровья», которая возглавляла рейтинг с апреля 2007 года, уступила место рубрике «Спам «для взрослых», вырвавшейся вперед со значительным отрывом в 9%. Успех «взрослой» рубрики, в которой подавляющее большинство писем представляет собой рекламу порносайтов, обеспечили русскоязычные спамеры.

В этом месяце письма «для взрослых» часто маскировались под приглашения с сайтов или личные сообщения — для того чтобы увеличить вероятность обхода ими спам-фильтров.

Незначительно снизился процент рубрик «Реплики элитных товаров» и «Отдых и путешествия», но можно прогнозировать увеличение рассылок этих тематик ближе к зимним праздникам, когда они станут более актуальными. Пока же «Образование» является более востребованной темой, ее рейтинг вырос почти на 3,5%, что также можно объяснить сезонным спросом.

Компрометирующий спам

Спам продолжают использовать как инструмент черного PR. Если раньше случаи черного PR c помощью спама фиксировались, в основном, во время активных предвыборных баталий, то сейчас инициаторы подобных рассылок пытаются распространить информацию о не угодивших им чем-либо бизнесменах или компаниях. Такие письма все чаще встречаются в почтовых потоках. Обычно их авторы прикрываются благими намерениями и якобы желают предупредить мир о ненадежности компрометируемого объекта.

Так, в сентябре было разослано спамовое письмо, автор которого не без сарказма рассказывал о деятельности одного из российских провайдеров. Для пущей достоверности письмо было снабжено рядом ссылок.

Еще одно спамовое письмо предупреждало широкую общественность об отвратительном качестве изготавливаемой некой компанией смолы для производства пеноизола.

Начавшись в середине лета, поток подобных посланий не иссякает, что вынуждает еще раз напомнить о том, что к информации в незапрошенных письмах нужно относиться очень осторожно. Доверяя такой информации, человек позволяет совершенно неизвестным людям влиять на собственное мнение.

Спамерские методы и трюки

Реклама, спрятанная от спам-фильтров

В сентябре спамеры не придумали никаких принципиально новых технических приемов. Основная идея технических поисков спамеров состоит в том, чтобы «спрятать» рекламные тексты при контекстной фильтрации.

Фальшивые комментарии

Большой популярностью у спамеров по-прежнему пользовались возможности HTML. Одним из приемов, которые помогают спамерским посланиям обойти спам-фильтры, стало употребление фальшивых комментариев. Средства HTML позволяют включать в тексты комментарии — для этого используются специальные теги. Чтобы «обмануть» спам-фильтры, спамеры стали помещать в комментарии рекламные сообщения.

Отметим, что тексты комментариев при просмотре письма можно увидеть только с помощью нескольких почтовых клиентов – в частности, Microsoft Outlook. Большинству же почтовых программ тексты, заключенные в теги комментария, не видны.

Текст письма вместе с комментариями:

То же письмо, в котором тексты комментариев не видны:

«Невидимый» текст

Старый прием, который спамеры стали использовать по-новому, – «невидимый» текст (белые буквы на белом фоне). Традиционно спамеры окрашивают в цвета фона так называемые мусорные тексты, которые используются для зашумления письма. В сентябре «невидимым» стало собственно рекламное сообщение.

В таких письмах в теме или в поле «From» находится точное руководство к действию – например, «Здравствуйте!выдели чтоб прочитать». При выделении пустой, казалось бы, страницы письма перед получателем появляется текст спамерской рекламы.

Спамерская «мозайка»

Для маскировки от спам-фильтров рекламируемых адресов сайтов российские спамеры использовали прием, позаимствованный у зарубежных «коллег». В рассылках с рекламой сайтов для взрослых различные символы, написанные через определенное количество пробелов и абзацев, в совокупности складывались в адрес сайта:

Представленный в столь замысловатой форме адрес видели получатели, но не различали спам-фильтры. Этот прием не слишком эффективен, так как требует от пользователя вручную набирать адрес рекламируемого сайта в отдельном окне.

Письма-подделки

Даже когда спамерским письмам удается проскользнуть в почтовые ящики пользователей, получатели в большинстве случаев предпочитают удалять ненужную рекламу. Поэтому кроме технических ухищрений спамеры активно используют методы социальной инженерии с тем, чтобы привлечь внимание получателей к своим сообщениям и добиться доверия к содержанию письма со стороны пользователей.

В сентябре одним из характерных спамерских приемов стала рассылка писем-подделок, имитирующих легитимные сообщения с популярных сетевых ресурсов.

Подделки под уведомления администраций популярных ресурсов

Первый месяц осени охарактеризовался большим количеством рассылок сообщений, которые подделывались под системные уведомления администраций различных веб-ресурсов. Большая часть писем-имитаций рассылалась в ходе фишинг-атак, нацеленных на пользователей популярных российских онлайн-сервисов (см. выше), однако использовали такой прием не только фишеры.

Мошенники, которые в очередной раз пытались выманить у пользователей деньги с помощью платных SMS, отправленных на короткие номера, разработали довольно оригинальный способ одурачивания пользователей. В спамовом письме получателю сообщали, что его ящик пытались взломать и предлагали приобрести систему анти-взлом, отправив SMS на четырехзначный номер.

Рассчитывали злоумышленники на то, что для сохранения конфиденциальной информации пользователи будут готовы пожертвовать небольшой суммой денег. Важно отметить, что мошенники явно стремились спровоцировать получателей сообщения принимать решения быстро, практически не раздумывая. Именно для этого был придуман код для SMS-сообщения, который «будет действовать в течение 15 минут с момента открытия письма».

Рассылкой писем, имитирующих сообщения с социальных сетей, уже занимались российские спамеры, распространяющие вредоносные программы. В сентябре стали рассылаться письма, имитирующие сообщения с зарубежных ресурсов аналогичной направленности: под предлогом посетить страницу пользователей сайта одноклассников получателей таких писем заманивали на спамерскую страницу.

Подделки под сообщения почтовых роботов

В некоторых случаях спамеры прибегают к маскировке своих посланий под автоответы почтовых роботов. Ниже приведен пример одного из таких писем, где мастерски чередуются предложения из стандартного автоответа с фразами рекламного характера.

Этот прием пока не носит массовый характер, но, видимо, считается перспективным у «нигерийских» мошенников, которые активно стали использовать тему «У меня новый почтовый адрес», очень напоминающую темы писем-автоответов. Впрочем, изменение темы не привело к изменению содержания «нигерийских» писем – это все те же уже ставшие привычными послания мошенников, которые пытаются присвоить чужие деньги.

Заключение

Итоги прошедшего месяца неутешительны. С наступлением осени процент спама начал расти. При этом спамеры умело используют методы социальной инженерии при рассылках писем различной тематики. Поэтому прежде, чем откликнуться на предложение спамера, стоит «семь раз отмерить» последствия такого отклика.