Thread-topic: Электронный журнал "Спамтест". Все о бор ьбе со спамом
>
>
> Новости
>
>
> IronPort: обновление спамерских технологий представляет
> серьезную угрозу
>
> 27.12.2006
>
> По оценке компании IronPort, 2006 год прошел под флагом
> активизации спаминга, изменение характера которого может в
> ближайшем будущем составить серьезную угрозу интернет-сообществу.
>
> По мнению экспертов IronPort, в настоящее время спамерская
> деятельность осуществляется группами спамеров, создавшими
> свою инфраструктуру в глобальном масштабе. Эти криминальные
> группировки способны рассылать миллиарды нелегитимных
> сообщений со 100000 различных серверов, расположенных на
> территории 120 стран.
>
> Типовая спам-атака представляет собой миллиардную рассылку
> нелегитимных сообщений, снабженных хитроумными средствами
> обхода традиционных способов антиспам-защиты; как правило,
> она проводится с ботнетов криминальными группами, связанными
> с миром организованной преступности.
>
> По данным аналитического годового отчета IronPort, объемы
> спама в глобальном трафике за год удвоились. В ноябре
> количество спамовых сообщений увеличилось еще на 35,
> специалисты компании дважды регистрировали резкий скачок
> суточного уровня спама до 85 миллиардов сообщений.
> Декабрьский уровень спама не превысил данные за ноябрь, но
> прогноз экспертов IronPort на 2007 год неутешителен.
>
> Причиной роста мировых объемов спама аналитики IronPort
> считают совершенствование криминальных технологий и рост
> организованности и сплоченности рядов киберпреступников.
>
> Использование спамерами ботнетов позволяет проводить
> многомиллионную рассылку за несколько часов и быстро менять
> источник рассылки - в обход черных списков и традиционных
> методик безопасности на основе правил. По оценке IronPort, в
> настоящее время более 80% спама рассылается с ботнетов, а
> средняя продолжительность использования бота составляет менее
> 30 суток. В середине ноября специалисты IronPort
> зафиксировали массированную спам-рассылку, в результате
> которой эффективность антиспам-фильтров снизилась на 10% и
> миллионы нелегитимных сообщений попали в ящики пользователей.
>
> Исследователи IronPort отмечают также резкое увеличение
> количества зарегистрированных спамерами доменных имен, что
> позволяет им оперативно менять источник рассылки, избегая его
> фиксации в черных списках. По мнению специалистов IronPort,
> увеличение числа инфицированных корпоративных ПК в 2006 году
> в полтора раза объясняется использованием спамерами
> специализированного вредоносного ПО для зомбирования
> пользовательских компьютеров. Поменялась и тактика ведения
> спам-рассылок: теперь перед проведением крупномасштабной
> акции спамеры, как правило, осуществляют пробный прогон новой
> версии нелегитимных сообщений с ограниченным тиражом, чтобы
> проверить эффективность ее маскировки от антиспам-фильтров и
> отсортировать активные адреса на основе результатов отбивки.
>
> Расширилось использование графического спама, позволяющего
> злоумышленникам обходить традиционные средства защиты. Размер
> графических сообщений в 10 раз превышает текстовые, поэтому,
> по данным IronPort, в 2006 году нагрузка на пропускную
> способность трафика утроилась.
>
> Источник: IronPort
> <
> 111100659/n/m4696343/-/www.spamtest.ru/click?_URL=
> ronport.com/company/ironport_pr_2006-12-19.html>
>
> Trend Micro: анализ криминогенных тенденций в 2006 году и
> прогноз на 2007 год
>
> 27.12.2006
>
> Подводя итоги уходящего года, компания Trend Micro в своем
> аналитическом отчете выделяет несколько характерных
> особенностей современной криминальной деятельности в Интернете.
>
> По данным Trend Micro, на протяжении 2006 года объемы спама
> неуклонно увеличивались. Ежедневно фильтры компании,
> обслуживающей 3000 бизнес-организаций, регистрировали 1,5
> миллиарда спам-сообщений. Каждый месяц 2006 года Trend Micro
> фиксировала более 2 миллионов разновидностей спам-рассылок на
> разных языках с преобладанием английского (61%).
>
> Основную часть перехваченных спам-рассылок составлял спам
> коммерческого характера (продажа товаров и услуг, 13% от
> общего объема спама). На долю финансового спама (ипотечные
> кредиты, конверсия задолженности) приходилось 8%, рекламы
> контрафактных медикаментов и медицинских услуг - 6% от общего
> количества спамовых сообщений.
>
> Широкое распространение получил графический спам.
> Использование спамерами ботнетов позволяет сменять источник
> рассылки по цепочке, что сводит на нет эффективность работы
> черных списков. Проведение спам-атак с ботнетов, зараженных
> специализированными червями-спамерами, такими как Stration
> (Warezov) и Nuwar, повышает эффективность криминальных
> кампаний, а развитие этой технологии, по оценке Trend Micro,
> может привести к резкому возрастанию угрозы сетевой безопасности.
>
> Эксперты отмечают, что в последнее время спам-рассылки все
> чаще стали приобретать криминальный характер. В 2006 году
> аналитики Trend Micro зафиксировали возобновление фишерских
> атак с использованием вредоносного ПО, в особенности
> троянских программ. По данным Trend Micro, объем этих атак за
> год вырос на 163% и в условиях расширения популярности
> электронного почтового сервиса приобрел катастрофические
> размеры - в среднем 1.4 миллионов атак за месяц.
>
> Главной мишенью этих атак остается финансовый сектор.
> Благодаря своевременному принятию решений в области
> безопасности финансовых сервисов и кампаниям по повышению
> осведомленности интернет-пользователей единственным
> действенным фишерским трюком осталась подделка URL. Основными
> логотипами, используемыми в фишинг-атаках, по-прежнему
> являются eBay (54,66%) и PayPal (21,53%).
>
> На основании анализа состояния криминогенной обстановки в
> Интернете в 2006 году исследователи Trend Micro сделали
> следующие прогнозы:
>
> - в 2007 году продолжится смещение вектора криминальной
> активности в сторону интернет-пространства, с проведением
> целевых и региональных атак в пределах одной базы данных с
> адресами отдельных компаний, организаций и групп
> пользователей; инструментарий криминальных атак будет
> включать комбинированное ПО, снабженное средствами маскировки
> и защиты от систем сетевой безопасности;
>
> - дальнейшее развитие получит тенденция к использованию
> криминальными группировками ботнетов, средств социального
> инжиниринга для зомбирования пользовательских компьютеров,
> шпионского ПО и агрессивных вредоносных программ для рассылки
> рекламного спама; укрепится альянс сетевых криминальных
> бизнес-структур и создателей вредоносных программ.
>
> Источник: Trend Micro
> <
> 111100659/n/m4696343/-/www.spamtest.ru/click?_URL=
> rendmicro.com/>
>
> Проект ORDB оправдал себя, но исчерпал свой ресурс
>
> 09.01.2007
>
> Некоммерческий проект Open Relay Database (ORDB) - база
> данных по открытым релеям - долго служил источником данных в
> борьбе со спамерами. Изменение тактики киберкриминала снизило
> эффективность черных списков ORDB и вынудило участников
> проекта переключиться на более перспективные методики.
>
> Пять с половиной лет назад, когда был создан проект ORDB,
> спамеры активно использовали почтовые прокси-серверы для
> проведения нелегитимных рассылок - с таких посреднических
> SMTP-серверов рассылалось 90% спама. Теперь этот показатель
> составляет менее 1%.
>
> О снижении эффективности проекта ORDB говорит и тот факт, что
> его списки за прошлый год практически не пополнились, в базе
> данных числилось около 225 тысяч устаревших адресов. Кроме
> того, блокирование открытых релеев создавало определенные
> неудобства для пользователей электронной почты, которые с их
> помощью могли подключаться к почтовым серверам с различных URL.
>
> Современные спамеры используют другую тактику. Большая часть
> спам-рассылок теперь ведется с зомби-компьютеров -
> инфицированных троянцами пользовательских машин, объединенных
> в ботнеты и засылающих нелегитимные сообщения непосредственно
> в Интернет.
>
> Добровольные участники проекта ORDB приняли решение
> прекратить рассылку черных списков и закрыть веб-сайт
> ORDB.org. Системные администраторы уже предупреждены о
> необходимости переключения на другие методы фильтрации спама,
> например, "серые списки" и контент-анализ в рамках проектов
> dspam, bmf или Spam Assassin.
>
> Источник: Techworld
> <
> 111100659/n/m4696343/-/www.spamtest.ru/click?_URL=
> echworld.com/networking/news/index.cfm?newsID=7653&pagtype=all>
>
> Спамеры используют университетские серверы
>
> 09.01.2007
>
> Стремясь действовать скрытно и с минимумом затрат, спамеры за
> символическую плату нанимают интернет-поденщиков и используют
> серверы американских университетов для размещения
> нелегитимной рекламы.
>
> Для маскировки своей деятельности и обхода антиспам-защиты
> спамеры стали использовать невостребованные ресурсы высших
> учебных заведений. Устаревшие прикладные программные средства
> времен относительного благополучия в Интернете, "зависшие" в
> недрах университетских компьютерных лабиринтов и лишенные
> современных средств защиты от злонамеренного вторжения,
> являются в наши дни идеальным инструментом для анонимного
> распространения спама, порнографии, вредоносных программ.
>
> На заброшенных университетских электронных досках объявлений
> и дискуссионных сайтах теперь красуется реклама контрафактной
> виагры и прочая информация сомнительного содержания. Сотни
> низкооплачиваемых поденщиков во всех уголках Интернета
> распространяют ссылки на "славные сайты" и "заслуживающие
> внимания материалы" через активные доски объявлений, сетевые
> форумы, новостные подписки и комментарии к блогам, не говоря
> уже о ссылках в традиционных спамовых электронных посланиях.
> Создание многостраничных нелегитимных рекламных веб-сайтов на
> базе заброшенных университетских ресурсов позволяет
> мошенникам варьировать ссылки в обход антиспам-фильтров, а
> использование в ссылках университетских URL способно ввести в
> заблуждение и средства защиты, и пользователей.
>
> Находкой для спамеров и фишеров стали устаревшие версии
> указателя ресурсов PURL, позволяющие создавать произвольные
> редиректы на другие ресурсы. Более современные версии PURL
> снабжены надлежащими средствами безопасности и используют
> списки управления доступом (ACL), ограничивающие авторизацию
> подобных модификаций.
>
> В список спамерских инструментариев попали ресурсы таких
> уважаемых американских университетов, как Пердью,
> Корнелльский, университеты штатов Канзас, Айова, Техас, Мичиган.
>
> Источник: NIST.org
> <
> 111100659/n/m4696343/-/www.spamtest.ru/click?_URL=
> ist.org/news.php?extend.195>
>
> Commtouch: 2006 - год зомби
>
> 10.01.2007
>
> Исследователи Commtouch назвали в годовом отчете 2006 год
> годом зомби. Основанием для этого послужили итоговые
> результаты еженедельного анализа 2 миллиардов спамовых
> сообщений, рассылаемых по всему миру в течение 2006 года.
>
> По данным Commtouch, уровень спама в 2006 году в среднем
> составил 87% от общего количества электронных сообщений,
> превысив показатели предыдущего года на 30%. Уровень спама на
> предприятиях малого бизнеса составил 45%, тогда как в крупных
> корпорациях этот показатель был вдвое больше. В целом деловая
> почта страдала от спама меньше, чем индивидуальные пользователи.
>
> Атаки спамеров в 2006 году были массированными, оперативными
> и технически подготовленными. Специалисты Commtouch
> приписывают возросшую агрессивность спамеров использованию
> ими разветвленных ботнетов. По статистике Commtouch, в 2006
> году 85% спама в Интернете рассылалось с зомби-компьютеров. В
> сутки исследователи Commtouch фиксировали активность 6-8
> миллионов зомбированных IP-адресов. Каждый день армия
> ботнетов пополнялась на 500000 новых источников спама. По
> статистике Commtouch, стандартный ботнет способен разослать
> 160 миллионов спам-писем всего за два часа.
>
> По данным отчета Commtouch, в 2006 году на долю
> "графического" спама приходилось 70% пропускной способности
> каналов электронной почты. Множественные спам-рассылки с
> использованием графики, позволяющей обойти такие традиционные
> способы защиты, как анализ контента, эвристика и черные
> списки, иногда увеличивали ежедневную нагрузку на почтовый
> трафик на 1,7 миллиардов МВ.
>
> Главными мишенями фишеров, по данным Commtouch, были еBay и
> PayPal, на долю которых приходилась половина всех фишерских
> атак в 2006 году.
>
> Источник: SPAMfighter
> <
> 111100659/n/m4696343/-/www.spamtest.ru/click?_URL=
> pamfighter.com/News-7344-Commtouch-Names-2006-Year-of-the-Zomb
> ies.htm>
>
> ________________________________
>
>
> Энциклопедия спама. Фишинг
>
>
> Дарья Гудкова, "Лаборатория Касперского"
>
> Фишинг (англ. phishing, от fishing - рыбная ловля, выуживание
> и password - пароль) - вид интернет-мошенничества, цель
> которого - получить идентификационные данные пользователей.
> Сюда относятся кражи паролей, номеров кредитных карт,
> банковских счетов и другой конфиденциальной информации.
>
> Фишинг представляет собой пришедшие на почту поддельные
> уведомления от банков, провайдеров, платежных систем и других
> организаций о том, что по какой-либо причине получателю
> срочно нужно передать/обновить личные данные. Причины могут
> называться различные. Это может быть утеря данных, поломка в
> системе и прочее.
>
> Атаки фишеров становятся все более продуманными, применяются
> методы социальной инженерии. Но в любом случае клиента
> пытаются напугать, придумать критичную причину для того,
> чтобы он выдал свою личную информацию. Как правило, сообщения
> содержат угрозы, например, заблокировать счет в случае
> невыполнения получателем требований, изложенных в сообщении
> ("если вы не сообщите ваши данные в течение недели, ваш счет
> будет заблокирован"). Забавно, но часто в качестве причины,
> по которой пользователь якобы должен выдать конфиденциальную
> информацию, фишеры называют необходимость улучшить
> антифишинговые системы ("если хотите обезопасить себя от
> фишинга, пройдите по этой ссылке и введите свой логин и пароль").
>
> Фишинговые сайты, как правило, живут недолго (в среднем - 5
> дней). Так как анти-фишинговые фильтры довольно быстро
> получают информацию о новых угрозах, фишерам приходится
> регистрировать все новые и новые сайты. Внешний же вид их
> остается неизменен - он в точности совпадает с официальным
> сайтом, под который пытаются подделать свой сайт мошенники.
>
> Зайдя на поддельный сайт, пользователь вводит в
> соответствующие строки свой логин и пароль, а далее аферисты
> получают доступ в лучшем случае к его почтовому ящику, в
> худшем - к электронному счету. Но не все фишеры сами
> обналичивают счета жертв. Дело в том, что обналичивание
> счетов сложно осуществить практически, к тому же человека,
> который занимается обналичиванием, легче засечь и привлечь
> мошенников к ответственности. Поэтому, добыв персональные
> данные, некоторые фишеры продают их другим мошенникам, у
> которых, в свою очередь, есть отработанные схемы снятиея
> денег со счетов.
>
> Наиболее частые жертвы фишинга - банки, электронные платежные
> системы, аукционы. То есть мошенников интересуют те
> персональные данные, которые дают доступ к деньгам. Но не
> только. Также популярна кража личных данных от электронной
> почты - эти данные могут пригодиться тем, кто рассылает
> вирусы или создает зомби-сети.
>
> Характерной особенностью фишинговых писем является очень
> высокое качество подделки. Адресат получает письмо с
> логотипами банка/сайта/провайдера, выглядящее в точности так
> же, как настоящее. Ничего не подозревающий пользователь
> переходит по ссыке "Прейти на сайт и залогиниться", но
> попадает на самом деле не на официальный сайт, а на фишерский
> его аналог, выполненный с высочайшей точностью.
>
> Еще одной хитростью фишеров являются ссылки, очень похожие на
> URL оригинальных сайтов. Ведь достаточно наблюдательный
> пользователь может обратить внимание на то, что в коммандной
> строке браузера высвечивается ссылка, совершенно отличная от
> легитимного сайта. Такие "левые" ссылки тоже встречаются, но
> рассчитаны они на менее искушенного пользователя. Часто они
> начинаются с IP-адреса, хотя известно, что настоящие солидные
> компании давно не используют подобные ссылки.
>
> Поэтому фишинговые URL часто похожи на настоящие. Они могут
> включать в себя название настоящего URL, дополненное другими
> словами (например, вмето www.examplebank.com стоит
> www.login-examplebank.com). Также в последнее время
> популярный фишинговый прием - ссылка с точками вместо слешей,
> внешне очень похожая на настоящую (вместо
> www.examplebank.com/personal/login стоит
> www.examplebank.com.personal.login). Можно привести еще такой
> фишерский вариант: www.examplebank.com-personal.login.
>
> Также в самом теле письма может высвечиваться ссылка на
> легитимный сайт, но реальный URL, на который она ссылается,
> будет другим. Бдительность пользователя притупляется еще тем,
> что в письме может быть несколько второстепенных ссылок,
> ведущих на официальный сайт, но основная ссылка, по которой
> пользователю надо пройти и залогиниться, ведет на сайт мошенников.
>
> Иногда личные данные предлагается ввести прямо в письме. Надо
> помнить, что никакой банк (либо другая организация,
> запрашивающая конфиденциальную информацию) не будет этого
> делать подобным образом.
>
> Технологии фишеров совершенствуются. Так, появилось
> сопряженное с фишингом понятие - фарминг. Это тоже
> мошенничество, ставящее целью получить персональные данные
> пользователей, но не через почту, а прямо через официальные
> веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса
> легитимных веб-сайтов на адреса поддельных, в результате чего
> пользователи перенаправляются на сайты мошенников. Этот вид
> мошенничества еще опасней, так как заметить подделку
> практически невозможно.
>
> Одни из наиболее популярных фишерских мишеней - аукцион Ebay
> и платежная система PayPal. Также страдают различные банки по
> всему миру. Атаки фишеров бывают случайными и целевыми. В
> первом случае атака производится "наобум". Атакуются наиболее
> крупные и популярные объекты - такие как аукцион Ebay - так
> как вероятность того, что случайный получатель имеет там
> учетную запись, довольно высока. Во втором случае мошенники
> узнают, каким именно банком, платежной системой, провайдером,
> сайтом пользуется адресат. Этот способ более сложен и
> затратен для фишеров, зато больше шансов, что жертва купится
> на провокацию.
>
> Воровство конфиденциальных данных - не единственная
> опасность, поджидающая пользователя при нажатии на фишерскую
> ссылку. Зачастую, следуя по ней, можно получить
> программу-шпиона, кейлоггер или троян. Так что если даже у
> вас нет счета, которым мошенники могли бы воспользоваться,
> нельзя чувствовать себя в полной безопасности.
>
> Согласно данным Gartner, в США в 2006 году ущерб, нанесенный
> одной жертвы фишинга, в среднем составил 1244 долларов США. В
> 2005 году эта сумма не превышала 257 долларов, что
> свидетельствует о невероятном успехе фишеров. В России
> ситуация несколько иная. Из-за того, что у нас электронные
> платежные системы пока не столь распространены, как на
> Западе, ущерб от фишинга не столь велик. Но с
> распростронением в России электронных платежных систем доля
> фишинга в общем почтовом потоке возрастет, и, соответственно,
> возрастет и ущерб от него. Так что, хотя данная проблема в
> России не стоит еще столь остро, готовиться к ней надо уже сейчас.
>
> Успеху фишинг-афер способствует низкий уровень
> осведомленности пользователей о правилах работы компаний, от
> имени которых действуют преступники. И хотя на многих сайтах,
> требующих конфиденциальной информации, опубликованы
> специальные предупреждения о том, что они никогда не просят
> сообщать свои конфиденциальные данные в письмах, пользователи
> продолжают слать свои пароли мошенникам. Поэтому несколько
> лет назад была создана Anti-Phishing Working Group (APWG) -
> группа по борьбе с фишингом, в которую входят как
> компании-"мишени" фишеров, так и компании, разрабатывающие
> анти-фишинговый/анти-спамерский софт. В рамках деятельности
> APWG проводятся ознакомительные мероприятия для
> пользователей, также члены APWG информируют друг друга о
> новых фишерских сайтах и угрозах. Сейчас APWG насчитывает
> более 2500 участников, среди которых есть крупнейшие мировые
> банки и ведущие IT-компании. Так что, по оптимистическим
> прогнозам, через некоторое время пользователи научатся
> остерегаться фишерских сайтов, как в свое время научились с
> опаской относиться к письмам с вложениями от неизвестных
> адресатов. Пока же основной защитой от фишинга остаются спам-фильтры.
>
> Примеры фишинговых писем смотрите на сайте Спамтест
> <
> 111100659/n/m4696343/-/www.spamtest.ru/document.html?pubid=208
> 050328&context=9562> .
>
> ________________________________
>
> (C) "Лаборатория Касперского"
> <
> 111100659/n/m4696343/-/www.kaspersky.ru> , 1997 - 2005
>
