Спам сегодня - Ежемесячный отчет от Symantec, май 2008
admin @ May 12, 2008 # 4 Comments
Отчет предоставлен компанией Symantec Messaging и Web Security
Ежемесячный обзор спама
Мало кто в нашем бизнесе празднует в начале мая этого года 30 годовщину спама, однако, угроза идущая от электронной почты дала нам возможность показать, насколько опасным он стал за время своего существования. В апреле общий объем спама составил 80% от всего почтового трафика, временами эта цифра достигала 87%.
Основные темы отчета
- NDR-атаки утихли… пока
- Спамеры «гуглят» бренд Google
- Спамерская сеть Who’s Who
- Spear Phishing с повесткой в суд
- Не принимайте приглашений спамеров
- Спамеры проводят кастинг для нового фильма
- Не заглотните наживку, получив phishing-сообщение от Налогового управления
Процент спама в почтовом трафике
Определение:
Процентное содержание спама в мировом почтовом шлюзе (Worldwide Internet Mail Gateway Spam Percentage) представляет количество сообщений, которые были обработаны и классифицированы как спам относительно общего количества писем, обработанных при сканировании почтового шлюза. На диаграмме изображен поток, проходящий через SMTP-фильтр, здесь не учитывается объем почты, определенный на сетевом уровне.
Линия тренда показывает среднюю тенденцию изменений показателей за 7 дней
Общие категории спама
Определение:
Данные по категориям спама получены в результате классификации сообщений, проходящих через систему Symantec Probe Network.
Процентное распределение категорий спама
Определения категорий
Продукты
Спам с предложением или рекламой основных товаров и услуг. Например, различные устройства, исследовательские услуги, одежда, косметика
Adult
Спам, содержащий описания или ссылки на продукты, предназначенные для лиц старше 18 лет, зачастую оскорбительного и неадекватного характера. Например, порнография, личные объявления, советы по взаимоотношениям
Финансовый спам
Спам, содержащий ссылки или предложения денежного характера, игр на фондовых биржах или других финансовых “возможностей”. Например, инвестиции, отчеты о кредитных операциях, недвижимость, ссуды
Мошенничество
Спам, считающийся жульничеством, преднамеренной дезинформацией, или являющийся мошенничеством со стороны отправителей. Например, инвестиции в Нигерии, финансовые пирамиды, chain letter
Здоровье
Спам, содержащий предложения или рекламу медицинской продукции или услуг. Например, фармацевтические средства, медицинские препараты, растительные лекарственные средства
Аферы
Спам в виде писем от крупных компаний, известный также как бренд-спуфинг или фишинг. Такие сообщения зачастую используются для получения личной информации пользователя, как, например, e-mail адреса, финансовая информация и пароли. Например, уведомление о состоянии счета, подтверждение кредитной карты, обновление счетов
Досуг
Спам с предложениями или рекламой призов, наград или скидок на проведение досуга. Например, предложения по проведению отпуска, он-лайн казино, игры
Интернет
Спам с предложениями или рекламой товаров и услуг, имеющих отношение к Интернету или компьютеру. Например, веб хостинг, веб дизайн, spamware – программы для массовых рассылок сообщений
Политика
Сообщения, содержащие рекламу кампаний политических кандидатов, предложения пожертвовать деньги политическим партиям или на политические цели, предложения продуктов, имеющих отношение к политическим деятелям/кампаниям и т.д. Например, политическая партия, выборы, благотворительные вклады
Регионы
Определение:
На диаграмме показано процентное соотношение спама, идущего из разных регионов, за последние 30 дней.
NDR-атаки утихли… пока
В апрельском отчете о спаме эксперты Symantec отметили увеличение количества NDR-отчетов (Non Delivery Report — «отчет о недоставке почты»), высылаемых в ответ на спам с поддельными заголовками. Спамеры пользуются системами, которые возвращают копии сообщений с отчетами о недоставке, сообщения Out-ofoffice
(«Нет в офисе») и сообщения Mailbox quota («Превышение размера почтового ящика»). Формат таких сообщений постоянно меняется, что указывает на то, что это преднамеренная попытка использовать известные системы, чтобы возвращать спам вместо полезной информации. В марте NDR-спам составил в среднем 2,7%, а в апреле 3,7%. Однако, ближе к концу апреля NDR-атаки насчитывали уже менее 2% от всего спама.
Процент NDR-спама
Спамеры «гуглят» бренд Google
В течение некоторого времени для рассылки спама и phishing-сообщений спамеры пользовались всем известными брендами. В прошлом году любимой мишенью некоторых спамеров стал Google. В ноябре 2007 года компания Symantec сообщила о появлении новой технологии спама, когда спамеры, обрабатывая систему расширенного поиска Google и опцию «Мне повезет!», направляют пользователей на сайт, содержащий спам. В феврале 2008 года специалисты Symantec сообщили о том, что спамеры подделывают параметры в URL Google, используемые для AdSense, и перенаправляют ничего неподозревающих пользователей на сайты со спамом. В Апреле 2008 года появились phishing-сообщения, приходящие якобы от службы Google AdWords. Служба Google AdWords позволяет рекламодателям легко связаться с пользователями, использующими поиск Google. В phishing-сообщениях от Google AdWords пользователя просят перейти по ссылке и обновить платежную информацию и/или свой аккаунт. Такая ссылка ведет на мошеннический сайт, где запрашивается и собирается личная информация.
Поскольку компании, обеспечивающие безопасность, и Интернет-сообщества уделяют все больше внимания репутации веб-сайтов и отправителей электронной почты, спамеры делают все возможное, чтобы спрятаться за широко известными и уважаемыми брендами, такими как Google.
Спамерская сеть Who’s Who
Одним из побочных эффектов роста персональных и профессиональных сетевых сайтов является увеличение незапрашиваемых сообщений, которые действуют под маской связи между профессионалами в какой-либо сфере. В нижеследующем примере получателя приглашают вступить в организацию, которая рада видеть в своих рядах «мужчин и женщин, достигших успеха в соответствующих областях». Получателя просят вступить во «внутренний круг» и поведать историю своего бизнеса, нажав на URL, который приведет пользователя на страницу регистрации. На этой странице запрашивается личная информация, которая может использоваться для кражи идентификационной информации, а также дать почву для будущих спамерских атак.
Spear Phishing с повесткой в суд
Не смотря на то, что spear phishing («ловля на гарпун») давно не новое направление, в последнее время оно стало встречаться все чаще. Spear phishing отличается от других phishing-атак тем, что направлены такие сообщения на конкретных людей и организации. В последнем примере, с которым в апреле 2008 года пришлось столкнуться специалистам Symantec, определенные компании получили spear phishing сообщения, в которых требовалось явиться в Федеральный суд США. В письме значилось, что получателю «НАСТОЯЩИМ ПРИКАЗЫВАЕТСЯ явиться и дать показания большому жюри Федерального суда США по адресу, в день и время, обозначенные ниже». По ложной ссылке получателя просят: «Загрузите весь документ по этому делу (пройдите по ссылке) и распечатайте». Однако, если получатель попытается загрузить документ, то на его компьютер установиться Троян, регистрирующий нажатие клавиш.
Не принимайте приглашений спамеров
В апреле 2008 года компанией Symantec было замечено появление спама в виде писем-приглашений (calendar spam). В письме шла речь о встрече или приглашении (calendar invitation). В апреле был отмечен лишь небольшой поток подобного спама, а примеры, обнаруженные компанией Symantec относились в основном к 419 или нигерийскому спаму. Спам 419 был так назван после появления в Уголовном кодексе Нигерии статьи по мошенничеству. “Календарные” спам-сообщения, существующие пока еще в небольших количествах, говорят о том, что спамеры будут не прочь использовать их в своих целях.
Спамеры проводят кастинг для нового фильма
Хотите сыграть в массовке? Взгляните на нижеследующий пример: спамеры ищут своего американского идола, пользователя просят оставить свой почтовый адрес, чтобы он мог получить информацию о том, как стать актером массовки.
Если получатель переедет по URL-ссылке, указанной в сообщении, то попадет на сайт спамера. Главная цель таких сообщений – собрать контактную информацию.
Не заглотните наживку, получив Phishing-сообщение от Налогового управления
Помните phishing-сообщения, приходящие в последние месяцы якобы от Налогового управления? О некоторых вы уже знаете – пользователям вернут налоги, если на ложных сайтах Налогового управления они оставят данные свой кредитной карточки.
Составляя майский отчет, мы увидели интересный поворот этой темы. В этот раз вместо возврата налогов и ссылки на сайт, где воруют ваши личные данные, ссылка уведет вас на популярную он-лайновую игру, в которой вы превращаетесь в вампира. Сил у вампира прибавляется с каждым переходом пользователя по ссылке. Там царит жестокость, это мир темных сил…будьте на чеку.
Пример:
Несмотря на то, что на этот раз ваших банковских данных никто не крадет, это все же не возврат налогов, которого вы так ждали, но не беспокойтесь, команда Symantec уже испробовала этот спам «на вкус»…
Бойтесь спамера, дары приносящего
В этом месяце был выявлен новый и интересный вид спамерских атак. Получателю якобы «дарится» возможность просмотреть список своих корреспондентов и отметить тех, кто удалил из своего списка системы мгновенных сообщений.
Сервисы моментальных сообщений очень часто используются для общения. Растущее сегодня число потребителей и компаний предпочитают общаться он-лайн, а не по телефону или лично. Поэтому, если человек обнаруживает, что он был удален из списка друзей своего знакомого, то это может многое сказать ему о нем же самом и о его «знакомом».
Получателю предлагается пройти по ссылке, где он узнает о том, кто заблокировал его имя в системе моментальных сообщений. Пользователя просят ввести логин и пароль. Самое интересное в таком спаме - это кража логина и пароля, поскольку многие используют в Интернете одни и те же данные.
Источник:
http://eval.symantec.com/mktginfo/enterprise/other_resources/
b-state_of_spam_report_05-2008.en-us.pdf
More on page 118
Спам сегодня - Ежемесячный отчет от Symantec, апрель 2008
admin @ April 15, 2008 # No Comment Yet
Отчет предоставлен компанией Symantec Messaging и Web Security
Ежемесячный обзор спама
Несмотря на действие антиспамового законодательства, включая признание своей вины «Королем спама» Роббертом Солоуэйем (Robert Soloway) и обвинительный приговор Джереми Джейнса (Jeremy Jaynes), вынесенный Верховным судом штата Виржиния, поток спама в марте 2008 г. не прекратился и составил в среднем 81% от всего почтового трафика, достигнув рекордной отметки практически в 88%. Как и прежде лидером в происхождении спама остаются Соединенные Штаты Америки, доля спама, идущего из этой страны, составляет около четверти всего потока.
Основные темы месяца
- Спамеры возвращаются. Что должно насторожить администраторов почтовых агентов, так это то, что спамер пользуясь щедростью почтовых программ, извлекают выгоду из системы отправки сообщений о недоставленной электронной почте. Они придумывают электронные адреса и рассылают подобные сообщения по всему миру, пока те не найдут своего адресата и не окажутся в почтовом ящике.
- Спамеры из ЕМЕА желают пообщаться. В некоторых регионах ЕМЕА (Европа, Ближний Восток и Африка) спамеры усиленно рекламируют социальные сети – один пример привлек более двух миллионов клиентов Symantec.
- Сегодня не день возврата налогов, это опять вирус. В то время как ход часов постепенно приближает нас к 15 апреля, компания Symantec заметил увеличение вредоносного спама с упоминанием Внутренней налоговой службы США или популярных программ, как, например, TurboTax.
- Слабая попытка вернуть спам с вложениями. В то время как спам на тему фармацевтики всегда остается популярным и рассылается во всех формах и размерах, спамеры вернулись к использованию вложений – в нашем случае к Zip-файлам. Не смотря на то, что Zip-файлы не обрабатываются антиспамовыми фильтрами, в марте эта слабая попытка составила лишь 5% от всех спаммерских атак.
- «Спамеры 419» взяли на заметку Южноафриканский кубок мира 2010. Самая последняя версия нигерийского скама 419, теперь спамеры сообщают получателям о своем выигрыше в 2 миллиона долларов, полученном в ходе организации Южноафриканского кубка мира 2010. Все, что нужно сделать, предоставить свои личные данные для обработки денежных средств.
- Доска позора. Секс по телефону. Два месяца подряд китайские спамеры вставляли в сообщение фразу “sex sells” в этот раз для рекламы сексуальных услуг, предоставляемых по телефону.
Процент спама в почтовом трафике
Определение:
Процентное содержание спама в мировом почтовом шлюзе (Worldwide Internet Mail Gateway Spam Percentage) представляет количество сообщений, которые были обработаны и классифицированы как спам относительно общего количества писем, обработанных при сканировании почтового шлюза. На диаграмме изображен поток, проходящий через SMTP-фильтр, здесь не учитывается объем почты, определенный на сетевом уровне.
Линия тренда показывает среднюю тенденцию изменений показателей за 7 дней
Общие категории спама
Определение:
Данные по категориям спама получены в результате классификации сообщений, проходящих через систему Symantec Probe Network.
Процентное распределение категорий спама за последние 30 дней
Определения категорий
Продукты
Спам с предложением или рекламой основных товаров и услуг. Например, различные устройства, исследовательские услуги, одежда, косметика
Adult
Спам, содержащий описания или ссылки на продукты, предназначенные для лиц старше 18 лет, зачастую оскорбительного и неадекватного характера. Например, порнография, личные объявления, советы по взаимоотношениям
Финансовый спам
Спам, содержащий ссылки или предложения денежного характера, игр на фондовых биржах или других финансовых “возможностей”. Например, инвестиции, отчеты о кредитных операциях, недвижимость, ссуды
Мошенничество
Спам, считающийся жульничеством, преднамеренной дезинформацией, или являющийся мошенничеством со стороны отправителей. Например, инвестиции в Нигерии, финансовые пирамиды, chain letter
Здоровье
Спам, содержащий предложения или рекламу медицинской продукции или услуг. Например, фармацевтические средства, медицинские препараты, растительные лекарственные средства
Аферы
Спам в виде писем от крупных компаний, известный также как бренд-спуфинг или фишинг. Такие сообщения зачастую используются для получения личной информации пользователя, как, например, e-mail адреса, финансовая информация и пароли. Например, уведомление о состоянии счета, подтверждение кредитной карты, обновление счетов
Досуг
Спам с предложениями или рекламой призов, наград или скидок на проведение досуга. Например, предложения по проведению отпуска, он-лайн казино, игры
Интернет
Спам с предложениями или рекламой товаров и услуг, имеющих отношение к Интернету или компьютеру. Например, веб хостинг, веб дизайн, spamware – программы для массовых рассылок сообщений
Политика
Сообщения, содержащие рекламу кампаний политических кандидатов, предложения пожертвовать деньги политическим партиям или на политические цели, предложения продуктов, имеющих отношение к политическим деятелям/кампаниям и т.д. Например, политическая партия, выборы, благотворительные вклады
Страны
Определение:
На диаграмме показано процентное соотношение спама, идущего из разных стран, за последние 30 дней.
Топ 10 стран
Регионы
Определение:
На диаграмме показано процентное соотношение спама, идущего из разных регионов, за последние 30 дней.
Спамеры возвращаются
Отмечено увеличение количества сообщений о невозможности доставить электронную почту по указанному адресу. Это связано с недавними спамерскими атаками. Пользователям рассылаются сообщения, извещающие о том, что якобы отправленное письмо не достигло своего адресата, указанного в строке «Кому». Не смотря на то, что многие IP адреса разбросаны по всему миру, содержание сообщений в основном на русском языке. Каждая волна спама содержит как изображения, так и текст, который регулярно меняется, обычно один-два раза в день. Такое сообщение рассылается через Интернет с помощью давно проверенного метода бэкскеттер-сообщений (backscatter).
Бэкскеттер имеет место быть тогда, когда спамеры подделывают адреса электронной почты и вставляют их в строку «От кого». Например, вы когда-нибудь видели спам, пришедший вам же от вас же? Здесь тот же самый принцип. Довольно часто спамеры подделывают получателя или строку «Кому», или просто проверяют списки e-mail адресов на существование. В любом случае, отсылаемое письмо кому-нибудь, куда-нибудь все равно придет, но не вернется к спамеру. Наличие почтовых программ, которые отсылают сообщения предполагаемому отправителю письма, создают вектор спамерских атак, которым снова и снова пользуются спамеры.
Спамеры пользуются почтовыми программами, которые можно настроить так, что они будут отсылать назад не только список неработающих адресов получателей и объяснения, почему адрес не работает, но также и копию оригинального сообщения. Затем спамеры могут пересылать эти сообщения по всему интернету до тех пор, пока они не окажутся в чьей-нибудь папке для спама, или хуже, во входящих сообщениях. Поскольку многие пользователи хотят знать, если неправильно написали адрес друга, и получить сообщение о том, что письмо не может быть доставлено, то такие письма часто не блокируются антиспамовыми фильтрами.
Это посылает спамер:
Это получаете вы:
Спамеры желают общаться
С появлением социальных сетей пользователи Интернет регистрируются в них в надежде пообщаться с друзьями и знакомыми. В марте в регионе ЕМЕА было отмечено две спамерских атаки, связанных с социальными сетями.
В первом примере сообщение написано на французском языке и выглядит как сообщение от друга, приглашающего посетить его персональную страничку.
Во втором примере написано проще. При этом не предусмотрено опции отказа от получения дальнейших сообщений. За март месяц клиентам Symantec было разослано более двух миллионов подобных сообщений.
Некоторые социальные сети подтверждают, что они подвергаются спамерским атакам, нацеленным на попытки внести их IP-пространство в черный список. Пользователям рекомендуется не принимать приглашения из социальных сетей от незнакомых отправителей.
Сегодня не день возврата налогов, это опять вирус
Как уже отмечалось в февральском отчете Symantec о состоянии спама, спамеры продолжают выдавать себя за Налоговое управление, заманивая ничего неподозревающих пользователей предложением вернуть налоги. В письме говорится, что для возврата денег необходимо ввести данные кредитной карты на сайте, не имеющем никакого отношения к налоговому управлению. Этот сайт фиктивный и представляет собой ни что иное, как инструмент для сбора данных кредитных карт и другой личной информации. По мере приближения 15 апреля дня выплаты налогов в США компания Symantec отметила дополнительные потоки спама, содержащие вредоносные сообщения и направляющие получателей на загрузку вируса.
Например, спамеры сообщают, что согласно новому закону требуется загрузить специальную налоговую программу. На самом деле ни один закон не требует использования компьютера для оформления возврата налогов. Если это не насторожило, то знайте, что сайт, с которого вы якобы скачиваете программу, не является государственным. Это лишь обычный IP-адрес.
В теле письма указанный URL представляет собой правительственный сайт типа “irs.gov/softwareupdate”. Однако, при нажатии на ссылку пользователь перенаправляется на IP-адрес, содержащий вирус. Если зайти на официальный сайт Налогового управления США (irs.gov) и вручную набрать ire.gov/softwareupdate,появится сообщение об ошибке, информирующее о том, что запрашиваемая страница не существует, и предлагающая проверить правильность написания адреса.
На первый взгляд сообщение выглядит вполне законным, по крайней мере, внешне, содержит строки «От кого» и «Кому», а также вполне заслуживающую доверия ссылку на сайт Налогового управления:
Другой пример, это использование популярной налоговой программы TurboTax. Здесь спамеры также рекомендуют получателю скачать обновления к программе, чтобы она соответствовала требованиям Налогового управления. Первое, что должно насторожить, это строка «От кого», так как она содержит домен “.cn”.
Второе, дается ссылка turbotax.com/update, которая ведет не на официальный сайт TurboTax, а на URL из букв и цифр, расположенных в случайном порядке, содержащий пустую страницу, на которой всплывает окошко с предложением загрузить подозрительный файл.
Мы призываем пользователей электронной почты соблюдать осторожность во время налогового сезона, поскольку в этот период спамеры собирают персональную информацию или распространяют вирусы. В вышеприведенных примерах пользователи должны понимать, что письма незаконны, внимательно их проанализировав и воспользовавшись несколькими умными советами. Ничего не скачивайте из электронных писем на свой компьютер, пока не убедитесь, что письму можно доверять, и что оно пришло от известного вам человека или компании. Также, убедитесь, что на вашем компьютере используется технология защиты почты, которая может защитить от всех угроз. Вы можете в любое время позвонить в службу поддержки компании по номеру телефона, указанному на официальном сайте, сообщить о содержании сообщения и попросить подтвердить его достоверность.
Слабая попытка вернуть спам с вложениями
Спам на тему фармацевтики рассылался уже во многих формах и разных размеров, а в этом месяце появился в Zip файлах. Сообщение содержит единственную строчку, как, например: «Прекрасен в постели» и «Она хочет тебя еще». Zip-файл содержит страницу HTML с информацией о поставке фармацевтических продуктов.
Несмотря на то, что Zip-файлы используются спамерами для обхода спам-фильтров, такой вид сообщений составляет менее 0,5% от всех мартовских атак.
«Спамеры 419» взяли на заметку Южноафриканский кубок мира 2010
Мошеннические письма или скам (scam) насчитывают 10% всего спама. Традиционно спамеры 419 привлекают свои жертв, прикидываясь богачами, но теперь в их поле зрения попал Южноафриканский мировой кубок, который пройдет в 2010 году. Это событие стало неплохой приманкой. Спамеры просят получателя сообщения скачать файл в формате RTF, утверждая, что в приложенном файле содержится информация о выигрышном лотерейном билете.
Образец вложения:
Доска позора. Секс по телефону!
И, наконец, среди самых нелепых спам-сообщений, замеченных в этом месяце, стали письма, рекламирующие секс по телефону.
Источник:
http://vocuspr.vocus.com/vocuspr30/ViewAttachment.aspx?EID=
muAbYLMgLbUKC0kzg%2bb3J4oNpRhL5Nh3xQrYZu2uPYs%3d
More on page 59
Статистика линк-спама
admin @ April 7, 2008 # No Comment Yet
Protectwebform провел собственные исследования в области линк-спама. В течение многих месяцев мы собирали спам-сообщения, которые вводились (ботами) в формы, предоставляемые нашей компанией. Проанализировав эти спам-сообщения и IP-адреса отправителей, мы составили свои TOP 14 спам-тем и TOP 20 стран-распространителей линк-спама, а также списки самых популярных ключевых слов для TOP 5 спам-тем.
Итак, Top 20 стран-распространителей линк-спама. Первое место уверенно занимает США с 38% от общего числа спам-сообщений. Далее с большим отрывом идут Китай с 5.3%, Украина с 4.7%, Россия с 3.8%. Из стран Европы в Top попали только Испания - 3.2%, Германия - 2.8% и Италия - 1.7%.
Что касается наиболее популярных тем спам-сообщений, то на первом месте прочно укрепилась тема “Лекарства и медикаменты”, охватывающая 24.7% всех спам-фраз. Серебреный призер - “Финансы” с 16.6%. Это безоговорочные лидеры. Другие популярные темы: “Мобильные телефоны и мелодии звонков” - 6.8%, “Для взрослых” - 5.6% and “Азартные игры” - 4.2%.
Распределение сообщений по темам осуществлялась следующим образом. С помощью http://dir.yahoo.com/ мы классифицировали спам-фразы, распределяя их по директориям, а затем группировали полученные названия директорий, определяя, тем самым, более общие темы.
Drugs & Medications
viagra, cialis, phentermine, xanax, ultram, fioricet, merida, hydrocodone, ambien, levitra
Finance
payday loan, debt consolidation loan, payday loan online, home equity loan, personal loan, home improvement loan, countrywide home loan, bad credit car loan, auto insurance, payday loans
Gambling
online casino, foxwoods casino, play poker, free casino, best online casino, casino bonus, free online casino game, free online casino, casino royale, casino poker
Phones & Ringtones
verizon wireless ringtones, motorolla ringtones, free ringtones, free cingular ringtones, download free ringtones, verizon ringtones, nextel ringtones, caller ringtones, nokia ringtones, sprint ringtones
Adult
porn dvd, xxx dvd, adult dvd, russian young hardcore gymnastic, free porn, anal sex, free teen porn, anna kournikova nude, sex hypno girls xxx, blowjob
* Прим.
Рапределение по Ip адресам не дает возможности уверенно судить о стране из которой ведется спам. Линк спаммеры обычно используют прокси сервера, которые скрывают местоположение основного сервера. More on page 57
More on page 57
Спам сегодня - Ежемесячный отчет от Symantec, март 2008
admin @ April 1, 2008 # No Comment Yet
Отчет предоставлен компанией Symantec Messaging и Web Security
Ежемесячный обзор спама
В феврале, как и в предыдущем месяце, общий объем спама составил 78,5% от всего почтового трафика. В первой половине 2007 года эта цифра была 61%. В то время как за последний месяц тактические приемы не далеко ушли от сложившихся традиций, социальная инженерия определенно помогла развиться творческим началам среди спаммеров – они начали использовать общественных деятелей, знаменитостей, события и крупные бренды.
Основные темы отчета
- Президентская гонка в США: сначала в октябре 2007 года был Рон Пол (Ron Paul), потом в начале февраля появилась Хилари Клинтон (Hillary Clinton), а за последнюю пару недель спаммеры добавили в эту компании Майка Хакаби (Mike Huckabee), Барака Обаму (Barack Obama) и Джона Маккейна (John McCain), которые также борются за место в Белом Доме.
- Поддельные видео о знаменитостях — новейшая приманка спаммеров: все началось с поддельной и вредоносной ссылки на видео клип о предвыборной кампании, проводимой Хилари Клинтон, сейчас спаммеры рассылают подобные сюжеты о Майкле Джексоне (Michael Jackson), Хизер Миллс (Heather Mills) и Индиане Джонсе (Indiana Jones).
- Спаммеры отмечают международный женский день: социальная инженерия - любимая тактика спаммеров, в прошлом месяце недостатка в праздниках и событиях не было (Суперкубок, День Святого Валентина, День президентов), а последней праздничной целью стал Международный Женский День.
- Ящики пользователей звенят от билетов в юго-западном направлении: возможно, вы слышите не звон, а какой-то другой звук, когда приходит новое сообщение от авиалиний, но спаммеры захватили брэнд компании «Саутвест Эйрлайнс» (Southwest Airlaines) и предлагают пользователям бесплатные билеты.
Не менее интересные темы:
- Освещение темы спама: региональные тенденции развития технологий спама в Азиатско-Тихоокеанском регионе (АТР)
- Китай во власти снежной бури … спама
- Сексуальный скандал в Китае — мечта спаммеров
- Pump and dump, как это по-китайски
- Доска позора для спаммеров: они зарабатывают на жизнь продажей участков на кладбище
Общие категории спама
Определение:
Данные по категориям спама получены в результате классификации сообщений, проходящих через систему Symantec Probe Network.
Процентное распределение категорий спама
Определения категорий
Продукты
Спам с предложением или рекламой основных товаров и услуг. Например, различные устройства, исследовательские услуги, одежда, косметика
Adult
Спам, содержащий описания или ссылки на продукты, предназначенные для лиц старше 18 лет, зачастую оскорбительного и неадекватного характера. Например, порнография, личные объявления, советы по взаимоотношениям
Финансовый спам
Спам, содержащий ссылки или предложения денежного характера, игр на фондовых биржах или других финансовых “возможностей”. Например, инвестиции, отчеты о кредитных операциях, недвижимость, ссуды
Мошенничество
Спам, считающийся жульничеством, преднамеренной дезинформацией, или являющийся мошенничеством со стороны отправителей. Например, инвестиции в Нигерии, финансовые пирамиды, chain letter
Здоровье
Спам, содержащий предложения или рекламу медицинской продукции или услуг. Например, фармацевтические средства, медицинские препараты, растительные лекарственные средства
Аферы
Спам в виде писем от крупных компаний, известный также как бренд-спуфинг или фишинг. Такие сообщения зачастую используются для получения личной информации пользователя, как, например, e-mail адреса, финансовая информация и пароли. Например, уведомление о состоянии счета, подтверждение кредитной карты, обновление счетов
Досуг
Спам с предложениями или рекламой призов, наград или скидок на проведение досуга. Например, предложения по проведению отпуска, он-лайн казино, игры
Интернет
Спам с предложениями или рекламой товаров и услуг, имеющих отношение к Интернету или компьютеру. Например, веб хостинг, веб дизайн, spamware – программы для массовых рассылок сообщений
Политика
Сообщения, содержащие рекламу кампаний политических кандидатов, предложения пожертвовать деньги политическим партиям или на политические цели, предложения продуктов, имеющих отношение к политическим деятелям/кампаниям и т.д. Например, политическая партия, выборы, благотворительные вклады
Президентская гонка в США
В то время пока идет борьба за президентское кресло Соединенных Штатов, корпорация Symantec продолжает наблюдать за растущей волной спама, содержащего информацию о кандидатах в президенты. В октябре 2007 года спаммеры дружно ухватились за первого кандидата Рона Пола. Вслед за Полом в прошлом месяце появился следующий кандидат, спаммеры активно начали рассылать фальшивые ссылки на видео сюжеты с Хилари Клинтон, скрывающие зловредных Троянов. После этого, URL с именем Хилари Клинтон использовались также для порно спама и рекламы Виагры. Теперь спаммеры переключились на оставшихся кандидатов. Один спаммер отдал свой голос за Майка Хакаби, а имена Барака Обамы и Джона Маккейна теперь неразрывно связаны с сообщениями о “портативных противосминателях” лекарственных средств и о том, как разбогатеть в один день.
Поддельные видео о знаменитостях – новейшая приманка спаммеров
Последнее время Майкл Джексон, Хизер Миллс, Индиана Джонс и Хилари Клинтон часто мелькают в новостях. Один хочет вернуться на эстраду, другая в шаге от развода с легендой поп музыки, третий является выдуманным героем художественного сиквела, а последняя готовится к выборам в президенты США. Но только ли это их объединяет? Спаммеры пользуются их именами и рассылают фальшивые, а зачастую и вредоносные ссылки на видео клипы.
Спаммеры привлекают внимание пользователей и соблазняют их перейти по ссылке, просто написав в теме письма:
Тема: В ходе вчерашней кампании Хилари Клинтон практически удалось убедить Демократов в своих высоких шансах на победу
Тема: Хизер Миллс представила суду видео о тяжелой жизни с Маккартни
Тема: Вышел первый ролик к фильму «Индиана Джонс – 4»
Тема: Хилари Клинтон встает на защиту дочери
В теле письма содержится только ссылка на видео о той или иной знаменитости, которая выглядит следующим образом:
А если приглядеться, то ссылка на самом деле выглядит вот так:
http://canotajetrilly.com/[REMOVED]/rdown.php?PNDcx”=id=3D
По этой ссылке начинается загрузка подозрительного файла “mpg.exe”, представляющего собой программу для скачивания Трояна. Данная программа загружает файл inst241.exe, который определяется как Trojan.Srizbi. Trojan.Srizbi очень интересен некоторыми уникальным особенностями. Драйвер Trojan.Srizbi (windbg48.sys) имеет две основных функции: прячется с помощью руткита и рассылает спам, но вся уникальность заключается в том, что, возможно, это первое полноядерное вредоносное ПО, существующее в природе.
Как только Троян установлен, он начинает работать без какого-либо участия пользователя и действует из режима ядра операционной системы, включая и рассылку спама. Код Руткит давно не новшество: вредоносный драйвер присоединяется к \FileSystem\Ntfs и прячет файлы на локальном диске, а также патчит таблицу SDT и прячет ключи регистрации точно так же, как до этого делали старые руткиты. Кроме того Троян пытается удалить лог файлы %System%\Minidump, и кажется, имеет специальную функцию удаления конкурентных руткитов, таких как “wincom32.sys” и “ntio256.sys”.
Спаммеры отмечают международный женский день
Праздники уже давно стали любимой темой спаммеров для привлечения внимание пользователей электронной почты. Прошлый месяц был богат на события и праздники – Суперкубок, День Святого Валентина и День президентов — а завершил волну празднеств Международный женский день, который отмечается 8 марта.
Спаммеры продолжают использовать общие ключевые слова, имеющие отношение к праздникам, в темах писем и URL, чтобы привлечь пользователей и заставить их открыть сообщение.
- Тема: Пусть День Святого Валентина станет для вас особенным
- Тема: Поздравляем Валентинов
- Тема: Скоро Валентинов День
- Тема: Сердца для вас, Валентины
- Тема: Поцелуи для Валентинов
- Тема: Любовь, День Святого Валентина
Ящики пользователей звенят от билетов в юго-западном направлении
Использование известных брендов стало уже стандартной тактикой спаммеров. В последнее время пользователям все чаще приходят сообщения с предложением получить два бесплатных билета «Саутвест Эйрлайнс». Для этого, однако, необходимо зарегистрироваться, оставив свои данные, заполнить анкету и, возможно, что-нибудь приобрести. Цель таких сообщений очевидна — собрать личную информацию о пользователях. Схема давно известна компании Symantec, такие сообщения приходится видеть снова и снова.
Освещение темы спама: региональные тенденции развития технологий спама в Азиатско-Тихоокеанском регионе
Процентное распределение категорий спама в АТР по данным последних 3 месяцев
При более тщательном изучении спаммерских тактик в АТР за прошлый месяц можно отметить несколько интересных тенденций:
- Спам не тему здоровья, куда входят фармацевтические средства, медицинские препараты и растительные лекарственные средства, составил 38% от всего спама в АТР – удивительный скачок на 30% по сравнению с последними данными за ноябрь 2007 года. Процент подобного спама в мире составляет всего 12%.
- Доля категорий «Интернет» и «Продукты» в АТР также значительно отличается от мировых данных. Спам на тему Интернет в АТР составляет 13%, в то время как в мире этой категории уделяется 23%. Продуктам в АТР спаммеры отводят всего 15%, а в мире все 26%.
- Объем финансового спама также резко упал с 26% в ноябре 2007 и сейчас составляет лишь 7%.
Китай во власти снежной бури… спама
Снежная метель, бушевавшая в Китае весь Новый Год, многим доставила неприятности, но особенно сильно пострадала транспортная сеть страны. Спаммеры, готовые извлечь выгоду из всего, не долго думая, обернули сложившуюся ситуацию в свою пользу. Недавно компания Symantec зафиксировала спам на китайском языке, сообщения приходили якобы из компании, занимающейся доставкой. В письме сообщалось о том, что посылка не была доставлена из-за разбушевавшейся снежной бури. Чтобы получить посылку, пользователю предлагалось подтвердить доставку, перейдя по ссылке. Ссылка вела пользователя в персональный блог с рекламой продуктов общего назначения, где необходимо было оставить личную информацию. Как гласит старая китайская поговорка: «Предусмотрительность – залог безопасности».
Сексуальный скандал в Китае — мечта спаммеров
Недавно Эдисон Чен (Edison Chen), гонконгская кинозвезда и поп идол, был вовлечен в громкий сексуальный скандал. Сотни личных и интимных фотографий, изображающих актера с несколькими знаменитыми дивами, были украдены с его ноутбука и размещены в Интернете. Его затруднительное положение привлекло внимание китайских спаммеров, они поняли, что порно спам, содержащий имя актера неплохо поможет прорекламировать их продукт.
Представляем Вашему вниманию несколько примеров заголовков:
Тема: oax7y陳冠希事件(圖)yii
Перевод: oax7y фотографии Эдисона Чена yii
Тема: 6onfiiysbi陳i冠i希i最i希i迎i照ihtc
Перевод: 6onfiiysbi Эдисон i Чен i новые i сексуальные i фото ihtc
Тема: 
Перевод: новые фото Эдисона Чена полная коллекция
Спаммеры всегда ищут наиболее эффективные и действенные методы, чтобы привлечь внимание и спровоцировать пользователей воспользоваться их “продуктами”. Поймав волну сексуального скандала с участием Эдисона Чена, спаммеры нашли способ еще раз воспользоваться свой техникой.
Pump and dump, как это по-китайски
Англоязычный финансовый спам типа “pump and dump” какое то время был очень распространен. Недавно этот вид спаммерства стал процветать и в Китае, местные спаммеры поняли, каким потенциалом обладает такая тактика.
Но между английской и китайской версией есть одно значительное отличие. Если в английском варианте такой спам провоцирует отдельных людей покупать акции, то по китайскому сценарию люди объединяются в группы, собирают деньги и покупают акции вместе.
Так как совсем недавно страна праздновала Новый Год по китайскому календарю, это событие, конечно же, было отражено в темах сообщений, например:
Тема: 
(Перевод: Тема: QQ адрес: С Новым Годом! Вы тоже можете разбогатеть)
Большая часть финансового спама в Китае также содержит номера групп QQ. QQ — система мгновенных сообщений. Это одна из спаммерских техник — попытаться и убедить пользователей вступить в их группу и заработать на фондовой бирже. Новички.
好久没有联系了,股票做的好吗?
我找到了新浪答疑专家肖梦雷的博客: http://blog.sina.com.cn/u/1134319014。
他推荐的股票收益太高了,就是联系不上他。费了好多周折终于找到他的QQ群 54733152和33127064
(其他的群已满,要加就加这个吧)
Перевод:
Давно тебе не писал. Как там дела на бирже?
Я нашел классный блог…
Он рекомендует кучу отличных бирж. Вот его QQ…
Доска позора для спаммеров
В течение многих лет Symantec наблюдает за тем, какие услуги предлагают спаммеры: от самых экстремальных до, мягко говоря, странных. Вот еще одна тема, которая продолжит череду уникальных — иногда смешных, иногда просто необъяснимых — бесстыдных попыток спаммеров поживиться. Поэтому, мы называем это нашей «Доской позора для спаммеров».
Продажа участков на кладбище
Как показали в последние месяцы экономические условия, компания Symantec наблюдает лавину спам-сообщений, провоцирующих пользователей «изменить условия займа, пока не поздно», «взять ссуду по самой низкой процентной ставке» или «пришло время стать гордым владельцем Вашего дома». Еще не иссяк поток финансового спама, а спаммеры уже решили разнообразить ассортимент предлагаемых услуг и добавить ко всему прочему покупку и продажу участков на кладбище. Согласно сообщению в 1978 году в США цена одного места на кладбище составляла $200, в 2008 она возросла до $4500. «Действуйте сегодня», — гласит реклама — «а то завтра может быть поздно».
Источник:
http://eval.symantec.com/mktginfo/enterprise/
other_resources/SpamReport_March08.pdf
More on page 32
