Спамеры берут на вооружение технологию DomainKeys

Репутация технологии DomainKeys, на которую возлагались такие большие надежды в борьбе с фишингом, под угрозой. На прошлой неделе пользователи стали получать спам-письма, содержащие сигнатуры DomainKeys. Некоторые из них были отправлены с аккаунтов почтовой службы Yahoo.

В настоящее время систему DomainKeys приняли или тестируют такие почтовые провайдеры и ISP как Yahoo Mails, Gmail, British Telecommunications и Earthlink. Технология, разработанная Yahoo год назад, оценивается многими экспертами как одна из самых многообещающих для борьбы с использованием спамерами и фишерами поддельных адресов отправителей.

Технология DomainKeys позволяет подтвердить, что письмо прислано именно с того домена, который указан в адресе отправителя. Каждый ISP или почтовый провайдер, использующий DomainKeys, имеет свой собственный ключ, который он применяет при простановке в исходящих письмах специальной цифровой подписи. Ключи публикуются в DNS, и принимающий почтовый сервер сверяет цифровую подпись в письме и ключ, опубликованный в DNS. Задача DomainKeys состоит не в том, чтобы заменить антиспамовые фильтры. Технология разработана как дополнение к фильтрам, усиливающее защиту и блокирующее письма, в которых использован поддельный адрес, — прием, столь любимый спамерами.

Между тем, согласно сообщениям экспертов по безопасности, спам-умельцы начинают сами использовать DomainKeys, чтобы их письма выглядели более легитимными.

Еще одна схема, которую начали использовать фишеры, — внедрение контролируемых ими страниц на легитимные сайты. Пользователь получает обычное фишинг-письмо со ссылкой на такую страницу и по ссылке попадает не на поддельный сайт, а на мошенническую страницу, притаившуюся на настоящем сайте.

Результаты октябрьского исследования компании CipherTrust показали, что при фишнг-атаках используются ботнеты, состоящие всего из 1000 машин. Это маленькие сети, но ‘фишка’ в том, что фишеры используют каждый день разные ботнеты, т.е. происходит ротация используемых сетей. По мнению специалистов CipherTrust, ботнеты, выявленные в исследовании, контролируют всего пять операторов.

По результатам того же исследования, треть зомби-мишин, рассылающих мошеннические письма, находятся в США. Однако это не означает, что атаками управляют именно из этой страны. Многие специалисты полагают, что большинство фишеров объединены в преступные группировки в России или Восточной Европе, и львиная доля фишинг-атак инициируется в нашей стране и/или в соседних государствах.

Источник: eWeek
Источник: eWeek