Спам сегодня - Ежемесячный отчет от Symantec, апрель 2008
Отчет предоставлен компанией Symantec Messaging и Web Security
Ежемесячный обзор спама
Несмотря на действие антиспамового законодательства, включая признание своей вины «Королем спама» Роббертом Солоуэйем (Robert Soloway) и обвинительный приговор Джереми Джейнса (Jeremy Jaynes), вынесенный Верховным судом штата Виржиния, поток спама в марте 2008 г. не прекратился и составил в среднем 81% от всего почтового трафика, достигнув рекордной отметки практически в 88%. Как и прежде лидером в происхождении спама остаются Соединенные Штаты Америки, доля спама, идущего из этой страны, составляет около четверти всего потока.
Основные темы месяца
- Спамеры возвращаются. Что должно насторожить администраторов почтовых агентов, так это то, что спамер пользуясь щедростью почтовых программ, извлекают выгоду из системы отправки сообщений о недоставленной электронной почте. Они придумывают электронные адреса и рассылают подобные сообщения по всему миру, пока те не найдут своего адресата и не окажутся в почтовом ящике.
- Спамеры из ЕМЕА желают пообщаться. В некоторых регионах ЕМЕА (Европа, Ближний Восток и Африка) спамеры усиленно рекламируют социальные сети – один пример привлек более двух миллионов клиентов Symantec.
- Сегодня не день возврата налогов, это опять вирус. В то время как ход часов постепенно приближает нас к 15 апреля, компания Symantec заметил увеличение вредоносного спама с упоминанием Внутренней налоговой службы США или популярных программ, как, например, TurboTax.
- Слабая попытка вернуть спам с вложениями. В то время как спам на тему фармацевтики всегда остается популярным и рассылается во всех формах и размерах, спамеры вернулись к использованию вложений – в нашем случае к Zip-файлам. Не смотря на то, что Zip-файлы не обрабатываются антиспамовыми фильтрами, в марте эта слабая попытка составила лишь 5% от всех спаммерских атак.
- «Спамеры 419» взяли на заметку Южноафриканский кубок мира 2010. Самая последняя версия нигерийского скама 419, теперь спамеры сообщают получателям о своем выигрыше в 2 миллиона долларов, полученном в ходе организации Южноафриканского кубка мира 2010. Все, что нужно сделать, предоставить свои личные данные для обработки денежных средств.
- Доска позора. Секс по телефону. Два месяца подряд китайские спамеры вставляли в сообщение фразу “sex sells” в этот раз для рекламы сексуальных услуг, предоставляемых по телефону.
Процент спама в почтовом трафике
Определение:
Процентное содержание спама в мировом почтовом шлюзе (Worldwide Internet Mail Gateway Spam Percentage) представляет количество сообщений, которые были обработаны и классифицированы как спам относительно общего количества писем, обработанных при сканировании почтового шлюза. На диаграмме изображен поток, проходящий через SMTP-фильтр, здесь не учитывается объем почты, определенный на сетевом уровне.
Линия тренда показывает среднюю тенденцию изменений показателей за 7 дней
Общие категории спама
Определение:
Данные по категориям спама получены в результате классификации сообщений, проходящих через систему Symantec Probe Network.
Процентное распределение категорий спама за последние 30 дней
Определения категорий
Продукты
Спам с предложением или рекламой основных товаров и услуг. Например, различные устройства, исследовательские услуги, одежда, косметика
Adult
Спам, содержащий описания или ссылки на продукты, предназначенные для лиц старше 18 лет, зачастую оскорбительного и неадекватного характера. Например, порнография, личные объявления, советы по взаимоотношениям
Финансовый спам
Спам, содержащий ссылки или предложения денежного характера, игр на фондовых биржах или других финансовых “возможностей”. Например, инвестиции, отчеты о кредитных операциях, недвижимость, ссуды
Мошенничество
Спам, считающийся жульничеством, преднамеренной дезинформацией, или являющийся мошенничеством со стороны отправителей. Например, инвестиции в Нигерии, финансовые пирамиды, chain letter
Здоровье
Спам, содержащий предложения или рекламу медицинской продукции или услуг. Например, фармацевтические средства, медицинские препараты, растительные лекарственные средства
Аферы
Спам в виде писем от крупных компаний, известный также как бренд-спуфинг или фишинг. Такие сообщения зачастую используются для получения личной информации пользователя, как, например, e-mail адреса, финансовая информация и пароли. Например, уведомление о состоянии счета, подтверждение кредитной карты, обновление счетов
Досуг
Спам с предложениями или рекламой призов, наград или скидок на проведение досуга. Например, предложения по проведению отпуска, он-лайн казино, игры
Интернет
Спам с предложениями или рекламой товаров и услуг, имеющих отношение к Интернету или компьютеру. Например, веб хостинг, веб дизайн, spamware – программы для массовых рассылок сообщений
Политика
Сообщения, содержащие рекламу кампаний политических кандидатов, предложения пожертвовать деньги политическим партиям или на политические цели, предложения продуктов, имеющих отношение к политическим деятелям/кампаниям и т.д. Например, политическая партия, выборы, благотворительные вклады
Страны
Определение:
На диаграмме показано процентное соотношение спама, идущего из разных стран, за последние 30 дней.
Топ 10 стран
Регионы
Определение:
На диаграмме показано процентное соотношение спама, идущего из разных регионов, за последние 30 дней.
Спамеры возвращаются
Отмечено увеличение количества сообщений о невозможности доставить электронную почту по указанному адресу. Это связано с недавними спамерскими атаками. Пользователям рассылаются сообщения, извещающие о том, что якобы отправленное письмо не достигло своего адресата, указанного в строке «Кому». Не смотря на то, что многие IP адреса разбросаны по всему миру, содержание сообщений в основном на русском языке. Каждая волна спама содержит как изображения, так и текст, который регулярно меняется, обычно один-два раза в день. Такое сообщение рассылается через Интернет с помощью давно проверенного метода бэкскеттер-сообщений (backscatter).
Бэкскеттер имеет место быть тогда, когда спамеры подделывают адреса электронной почты и вставляют их в строку «От кого». Например, вы когда-нибудь видели спам, пришедший вам же от вас же? Здесь тот же самый принцип. Довольно часто спамеры подделывают получателя или строку «Кому», или просто проверяют списки e-mail адресов на существование. В любом случае, отсылаемое письмо кому-нибудь, куда-нибудь все равно придет, но не вернется к спамеру. Наличие почтовых программ, которые отсылают сообщения предполагаемому отправителю письма, создают вектор спамерских атак, которым снова и снова пользуются спамеры.
Спамеры пользуются почтовыми программами, которые можно настроить так, что они будут отсылать назад не только список неработающих адресов получателей и объяснения, почему адрес не работает, но также и копию оригинального сообщения. Затем спамеры могут пересылать эти сообщения по всему интернету до тех пор, пока они не окажутся в чьей-нибудь папке для спама, или хуже, во входящих сообщениях. Поскольку многие пользователи хотят знать, если неправильно написали адрес друга, и получить сообщение о том, что письмо не может быть доставлено, то такие письма часто не блокируются антиспамовыми фильтрами.
Это посылает спамер:
Это получаете вы:
Спамеры желают общаться
С появлением социальных сетей пользователи Интернет регистрируются в них в надежде пообщаться с друзьями и знакомыми. В марте в регионе ЕМЕА было отмечено две спамерских атаки, связанных с социальными сетями.
В первом примере сообщение написано на французском языке и выглядит как сообщение от друга, приглашающего посетить его персональную страничку.
Во втором примере написано проще. При этом не предусмотрено опции отказа от получения дальнейших сообщений. За март месяц клиентам Symantec было разослано более двух миллионов подобных сообщений.
Некоторые социальные сети подтверждают, что они подвергаются спамерским атакам, нацеленным на попытки внести их IP-пространство в черный список. Пользователям рекомендуется не принимать приглашения из социальных сетей от незнакомых отправителей.
Сегодня не день возврата налогов, это опять вирус
Как уже отмечалось в февральском отчете Symantec о состоянии спама, спамеры продолжают выдавать себя за Налоговое управление, заманивая ничего неподозревающих пользователей предложением вернуть налоги. В письме говорится, что для возврата денег необходимо ввести данные кредитной карты на сайте, не имеющем никакого отношения к налоговому управлению. Этот сайт фиктивный и представляет собой ни что иное, как инструмент для сбора данных кредитных карт и другой личной информации. По мере приближения 15 апреля дня выплаты налогов в США компания Symantec отметила дополнительные потоки спама, содержащие вредоносные сообщения и направляющие получателей на загрузку вируса.
Например, спамеры сообщают, что согласно новому закону требуется загрузить специальную налоговую программу. На самом деле ни один закон не требует использования компьютера для оформления возврата налогов. Если это не насторожило, то знайте, что сайт, с которого вы якобы скачиваете программу, не является государственным. Это лишь обычный IP-адрес.
В теле письма указанный URL представляет собой правительственный сайт типа “irs.gov/softwareupdate”. Однако, при нажатии на ссылку пользователь перенаправляется на IP-адрес, содержащий вирус. Если зайти на официальный сайт Налогового управления США (irs.gov) и вручную набрать ire.gov/softwareupdate,появится сообщение об ошибке, информирующее о том, что запрашиваемая страница не существует, и предлагающая проверить правильность написания адреса.
На первый взгляд сообщение выглядит вполне законным, по крайней мере, внешне, содержит строки «От кого» и «Кому», а также вполне заслуживающую доверия ссылку на сайт Налогового управления:
Другой пример, это использование популярной налоговой программы TurboTax. Здесь спамеры также рекомендуют получателю скачать обновления к программе, чтобы она соответствовала требованиям Налогового управления. Первое, что должно насторожить, это строка «От кого», так как она содержит домен “.cn”.
Второе, дается ссылка turbotax.com/update, которая ведет не на официальный сайт TurboTax, а на URL из букв и цифр, расположенных в случайном порядке, содержащий пустую страницу, на которой всплывает окошко с предложением загрузить подозрительный файл.
Мы призываем пользователей электронной почты соблюдать осторожность во время налогового сезона, поскольку в этот период спамеры собирают персональную информацию или распространяют вирусы. В вышеприведенных примерах пользователи должны понимать, что письма незаконны, внимательно их проанализировав и воспользовавшись несколькими умными советами. Ничего не скачивайте из электронных писем на свой компьютер, пока не убедитесь, что письму можно доверять, и что оно пришло от известного вам человека или компании. Также, убедитесь, что на вашем компьютере используется технология защиты почты, которая может защитить от всех угроз. Вы можете в любое время позвонить в службу поддержки компании по номеру телефона, указанному на официальном сайте, сообщить о содержании сообщения и попросить подтвердить его достоверность.
Слабая попытка вернуть спам с вложениями
Спам на тему фармацевтики рассылался уже во многих формах и разных размеров, а в этом месяце появился в Zip файлах. Сообщение содержит единственную строчку, как, например: «Прекрасен в постели» и «Она хочет тебя еще». Zip-файл содержит страницу HTML с информацией о поставке фармацевтических продуктов.
Несмотря на то, что Zip-файлы используются спамерами для обхода спам-фильтров, такой вид сообщений составляет менее 0,5% от всех мартовских атак.
«Спамеры 419» взяли на заметку Южноафриканский кубок мира 2010
Мошеннические письма или скам (scam) насчитывают 10% всего спама. Традиционно спамеры 419 привлекают свои жертв, прикидываясь богачами, но теперь в их поле зрения попал Южноафриканский мировой кубок, который пройдет в 2010 году. Это событие стало неплохой приманкой. Спамеры просят получателя сообщения скачать файл в формате RTF, утверждая, что в приложенном файле содержится информация о выигрышном лотерейном билете.
Образец вложения:
Доска позора. Секс по телефону!
И, наконец, среди самых нелепых спам-сообщений, замеченных в этом месяце, стали письма, рекламирующие секс по телефону.
Источник:
http://vocuspr.vocus.com/vocuspr30/ViewAttachment.aspx?EID=
muAbYLMgLbUKC0kzg%2bb3J4oNpRhL5Nh3xQrYZu2uPYs%3d
admin @ April 15, 2008