Окружной суд Лос-Анджелеса приговорил 26-летнюю жительницу Калифорнии к 5 годам лишения свободы за соучастие в организации массовой кражи денежных средств со счетов Bank of America и Wells Fargo с помощью фишинга.

Согласно материалам дела, возбужденного в рамках трансграничной операции Phish Phry, Николь Мишель Мерци (Nichole Michelle Merzi) вместе с двумя другими главарями руководила процессом отмывания денег, украденных посредством фишинга, на территории США. Доступ к банковским счетам обеспечивали их египетские сообщники, занимавшиеся созданием поддельных веб-сайтов и рассылкой фишинговых посланий. Все финансовые операции по взломанным счетам и вербовку агентов по отмыванию денег («дропов») проводила американская сторона, координируя перекачку чужих денег на подставные счета, открытые наемниками в разных штатах. Часть «выручки» в виде комиссионных за фишинг переводилась в Египет. По оценке ФБР, от действий мошенников пострадали тысячи клиентов названных банков, потерявшие в совокупности свыше 1 млн. долларов.

Параллельные аресты в США и АРЕ были проведены осенью 2009 года. Судьба 47 египтян, задержанных в ходе Phish Phry, неизвестна, из 53 американских участников фишинговой схемы к суду привлечены и признаны виновными 47 (вместе с Мерци). Бывший бой-френд Мерци, Кеннет Джозеф Лукас 2-й (Kenneth Joseph Lucas, II), который вместе с ней руководил американскими «дропами», был осужден летом прошлого года. По совокупности правонарушений (ему также инкриминировали разведение конопли в домашних условиях) он получил 13 лет. Третий главарь, Джонатан Престон Кларк (Jonathan Preston Clark), признал свою вину и ожидает приговора.

Известная бразильская актриса Каролина Дикманн недавно стала жертвой кибератаки: преступники похитили ее собственность — фотографии актрисы в обнаженном виде, хранившиеся на ее компьютере. Многие или, возможно даже все фотографии, попали в Интернет. Этот случай послужил хорошим стимулом для того, чтобы правительство Бразилии задумалось о необходимости новых законов о противодействии киберпреступности (действующее законодательство было принято еще в 40-х годах прошлого века). Результатом стал новый закон, который был представлен для обсуждения и который предусматривает до двух лет тюремного заключения за преступления такого рода. Это движение в правильном направлении! Статью на португальском, опубликованную в СМИ, можно прочитать здесь.

Теперь я бы хотел вспомнить несколько атак, проведенных киберпреступниками, и связать их с менталитетом бразильских злоумышленников. Как правило, они хотят всё и бесплатно.

Мы обнаружили вредоносные электронные рассылки, ведущие на специально зарегистрированные домены с поддельными сертификатами и JAVA-приложениями, устанавливающими вредоносный код.

Уже c осени прошлого года разработка головного модуля SpyEye остановилась на версии 1.3.48. Эта версия и доминирует в настоящее время в потоке самплов этого семейства.

Распределение SpyEye по версиям за период с 1 января 2012 г.*
* К другим версиям (7%) относятся 1.2.50, 1.2.58, 1.2.71, 1.2.80, 1.2.82, 1.2.93, 1.3.5, 1.3.9, 1.3.25, 1.3.26, 1.3.30, 1.3.32, 1.3.37, 1.3.41, 1.3.44

То, что автор не развивает платформу, не мешает SpyEye обзаводиться новыми функциями. Все дело в возможности разрабатывать и подключать плагины (библиотеки dll), которые может создать кто угодно. Проанализировав самплы SpyEye с начала года, я насчитал 35 плагинов. Ниже в таблице приведены эти дополнительные модули с указанием количества самплов, в которых они встретились:

По данным Websense, количество фишинговых сайтов, размещенных на территории Канады, за год увеличилось на 170%, число C&C ботнетов ― на 39%, вредоносных сайтов на 239%.

Предыдущее исследование профиля этой страны в отношении рисков, связанных с вредоносной активностью, эксперты провели в мае прошлого года. Новая статистика, собранная за истекший период, показала разительное ухудшение результатов. По итогам января-мая Канада заняла 2-ю позицию в Топ 10 стран, приютивших ловушки фишеров. Непочетный рейтинг от Websense возглавляют США, третье место занимает Египет. В десятку лидеров входят также европейские страны, а замыкают ее Россия и Израиль.

По словам экспертов, в недавнем прошлом основная масса вредоносного контента размещалась, как правило, на серверах Европы. Похоже, настало время перемен, злоумышленники активно мигрируют в регионы с более «чистой» репутацией. Примечательно, что канадцы не торопятся исправлять ситуацию: за год Websense не зафиксировала ни одной кампании по массовому истреблению зловредных площадок. Вредоносные сайты, размещенные на территории Канады, сохраняют свою активность дольше, чем в других странах, что указывает на низкую эффективность взаимосвязи публичного и частного секторов интернет-индустрии.

Во 2-й половине прошлого года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зафиксировала немногим более 83 тыс. уникальных фишинговых сайтов ― на 26% меньше, чем в предыдущем полугодии. По мнению экспертов, одной из главных причин уменьшения этого показателя является сокращение использования фишерами виртуальных серверов, взлом которых позволяет им создать целую сеть сайтов-ловушек, привязанных к общей хостинг-площадке.

Количество институтов, избранных фишерами в качестве мишеней, также уменьшилось ― до 487 против 520 в I полугодии. При этом объектами 78% фишинговых атак (уникальных подделок) являлись лишь 20 организаций. Список мишеней, облюбованных фишерами, впервые возглавил китайский аналог eBay и Amazon ― коммерческий сервис Taobao.com, на долю которого в отчетный период пришлось 22,2% имитаций. Бывший лидер этого рейтинга PayPal занял второе место с большим отрывом (8,6% атак).

Особой активностью по-прежнему отличались фишеры, действующие на территории Китая. За II полугодие они использовали свыше 22,2 тыс. поддельных сайтов для проведения кибератак против китайских организаций ― на 26,7% больше, чем в январе-июне. Больше трети из них были бесплатно зарегистрированы фишерами в доменной зоне .tk (Токелау), свыше 30% ― на поддоменах .pl и .cc.

В целом за полугодие фишеры использовали около 50,3 тыс. доменных имен. 39,5% фишинговых сайтов были привязаны к TLD-зоне .com, 9,2% ― к зоне .tk, 7,4% к .pl. Самая высокая плотность абьюзов зарегистрирована в национальных зонах Токелау, Индии и Таиланда, в которых на 10 тыс. зарегистрированных доменов было обнаружено 12,0, 11,7 и 10,6 фишерских имен соответственно при медианном показателе 3,2 (в зоне .com, например, он составил 2,3). По данным APWG, более половины сайтов, созданных фишерами в зоне .in, имитировали игровой сервис Battle.net.

Четверть доменов, используемых для фишинга, были зарегистрированы со злым умыслом, остальные принадлежали владельцам взломанных ресурсов. 62% доменов, зарегистрированных фишерами, использовались для проведения атак на территории Китая. 93% злонамеренных регистраций пришлось на долю TLD-зон .tk, .com, .info и .in, причем на долю первой ― 57%. За июль-декабрь исследователи также насчитали свыше 16,66 тыс. уникальных поддоменов, используемых фишерами, на которых были размещены 17,39 тыс. уникальных сайтов-ловушек ― на 38% больше, чем в предыдущем полугодии.

Среднее время жизни фишинговых сайтов продолжает сокращаться и в минувшем полугодии составило 46 часов 3 минут при медианном значении 11 часов 43 минуты. Быстрее всего эти сайты закрывают в зонах .info, .org, .tk и .cc ― благодаря агрессивной политике операторов соответствующих реестров в отношении абьюзов. Сроки службы подделок, ориентированных на китайских пользователей, не известны, так как китайский инфоцентр CNNIC (China Internet Network Information Center), предоставляющий APWG данные о местном фишинге, их не фиксирует.

Кабинет министров Украины принял новую редакцию правил в сфере телекоммуникационных услуг. Обновленный регламент обязывает операторов и абонентов не проводить (а последних ― и не заказывать) спам-рассылки.

В предыдущей редакции было приведено лишь определение спама, однако прямого запрета на его распространение не было. В итоговой трактовке спамом являются «электронные, текстовые или мультимедийные сообщения, которые без предварительного согласия потребителя умышленно и массово рассылаются на адрес электронной почты или абонентское конечное устройство, за исключением сообщений оператора или сервис-провайдера». При этом абонент вправе потребовать от оператора прекратить предоставление услуг, которые он не заказывал, включая рассылку спама.

В правила введены также положения, регламентирующие предоставление контент-услуг. Оператор обязан предварительно сообщить потребителю о названии контент-услуги и тарифе, а также дать ему возможность подтвердить свое согласие (на это отводится 12 секунд). Предоставлять услуги без согласия абонента запрещается. При наличии технической возможности информацию о списанных суммах следует сообщать потребителю незамедлительно

С введением новых правил предыдущая редакция (2005 года) теряет силу.

По оценке Symantec, в минувшем году суточная норма спама в электронной почте уменьшилась на треть ― до 41,1 млрд. сообщений против 61,6 млрд. в 2010 году. Содержание мусора в почтовом трафике снизилось на 13,4 пункта и составило 75,1%.

Наиболее высокие уровни спама

наблюдались в Саудовской Аравии (80,9%), а также в Китае и России (по 80%). В разделении по отраслям хозяйственной деятельности больше прочих от спама страдали предприятия автомобильной промышленности (77,9%).

Вклад ботнетов в спам-трафик уменьшился на 9,4 пункта и в среднем составлял 78,8%, однако к концу года этот показатель увеличился до 81,2%. С ликвидацией Rustock флуктуации спама, генерируемого ботами, заметно возросли: на протяжении всего II полугодия мощные 2-3-дневные всплески чередовались с периодами затишья. Рейтинг ботнетов-спамеров в конце года возглавил Lethic (21,8% глобального спама), вплотную за ним следовал Grum (21,3%), с большим отрывом обогнав Cutwail (13,5%). Мировым лидером по числу ботов-спамеров являются США. Непочетный рейтинг таких заражений по региону ЕМЕА возглавляет Россия (17,6% местных ботов).

Отсутствие Rustock, специализировавшегося на рассылке фармаспама, отразилось и на тематическом составе спам-рассылок. Вклад рекламы медикаментов в спам-трафик сократился почти в 2 раза, до 39,6%. Спамеры начали усиленно продвигать подделки элитных товаров (18,6%, прирост 12,1 пункта), порно и сайты знакомств (14,7%, прирост 11,4). Доля рекламы БАДов возросла в 7 раз, вредоносных посланий ― в 6 раз, мошеннических писем в 3,6 раза.

61,0% нелегитимных сообщений, заблокированных Symantec в течение года, по размеру не превышали 2-5 КБ. URL-спам составил 86,2% мусорных сообщений. Наибольшей популярностью у спамеров пользовалась TLD-зона .com (58,5% ссылок), .ru и .info тоже не остались без внимания (11,5% и 10,5% соответственно). 88,7% непрошеных писем, заблокированных в конце года, были оформлены на английском языке.

85,2% фишинговых сайтов, обнаруженных экспертами, имитировали ресурсы финансовых организаций. 36,2% сайтов-ловушек были созданы автоматизированными средствами. Главным хостером фишерских подделок являются США. Как и в прошлом году, больше прочих от фишинга страдали жители Южной Африки (1 письмо на 96,3), а из отраслей хозяйственной деятельности ― государственный сектор (1 на 49,4).

39,1% вредоносных сообщений были снабжены ссылками ― в полтора раза больше, чем в предыдущем году. Полезной нагрузкой 7,5% писем, заблокированных за год антивирусами Symantec, являлся Bredolab, который распространялся, в основном, в виде вложений. Это эквивалентно примерно 35 млн. потенциальных кибератак.

Верховный суд Германии оставил в силе решение нижестоящих инстанций, подтвердив, что жертва фишинга, не внявшая предупреждениям банка, сама несет ответственность за свои потери.

Дело о возмещении убытков было возбуждено по иску пожилого клиента одного из местных банков, со счета которого сетевые мошенники вывели в Грецию 5 тыс. евро. Они осуществили несанкционированный перевод через 3 месяца после того, как пенсионер ввел на подставной странице 10 одноразовых TAN-кодов, выданных ему списком для проведения транзакции онлайн.

Истец решил взыскать украденную сумму с банка, заявив, что тот обязан защищать своих клиентов от подобных абьюзов. В свою защиту представители банка отметили, что требование ввести в веб-форму несколько TAN-номеров ― верный признак попытки фишинга, о возможности которого предупреждает страница регистрации в их системе онлайн-банкинга. В этом же алерте приведена ссылка на информационные материалы для тех, кто плохо знаком с данной формой сетевого мошенничества. Кроме того, подписываясь на онлайн-услуги банка, клиент обязуется не передавать TAN-коды другому лицу. Коль скоро перевод прошел, значит, идентификаторы транзакций были введены правильно, и сделать это мог либо сам пострадавший, либо лицо, которому он сообщил эти коды в нарушение условий договора.

Суд признал, что банк принимает надлежащие меры для просвещения и защиты своих клиентов, и освободил его от ответственности за последствия неосторожных действий истца. К сожалению, найти владельца мошеннического счета не удалось, хотя к поискам была подключена греческая сторона.

Согласно результатам прошлогоднего опроса, онлайн-сервис в разной мере используют 44% клиентов немецких банков, т.е. порядка 27 млн. держателей счетов. Жалобы на фишинг множатся: в 2010 году федеральная полиция получила 5,3 тыс. соответствующих заявлений ― на 82% больше, чем в предыдущем (статистики за прошлый год пока нет). Чтобы снизить риски, местные банки широко применяют различные системы двухфакторной аутентификации. Особой популярностью пользуются коды mTAN, высылаемые в виде SMS, а также ChipTAN, которые предусматривают наличие у клиента персонального TAN-генератора. От технологии iTAN (с указанием конкретного TAN из одноразового списка), которую использовал банк жертвы фишинга, почти все уже отказались ― из-за высокой вероятности фишинга.

Как уже не единожды отмечалось, нигерийские спамеры очень быстро реагируют на события, имеющие международное значение. Волнения в Сирии «нигерийцы» также считают достаточно веским поводом, чтобы там немедленно появились миллионеры, не знающие, куда бы им деть свои денежки.

Уже на протяжении нескольких недель мы получаем письма «из Сирии» с предложениями получить несколько миллионов долларов в обмен на помощь в переводе еще большей суммы за пределы этой, переживающей кризис, страны.

На днях дело, наконец, дошло и до писем «от родственников Башара Асада», а точнее, от его жены Асмы.

ОАО «Сбербанк России» уплатит 100 тыс. руб. за нарушение требований федерального закона «О рекламе».

Штраф был наложен тюменским УФАС, которое установило факт правонарушения путем расследования, запущенного по жалобе одного из местных жителей. Как оказалось, заявитель оформил в Сбербанке кредит, согласившись на обязательное условие ― подписку на новости сервиса. Когда от банка пришла первая SMS рекламного характера, адресат поспешил отказаться от дальнейших рассылок, но на следующий день вновь получил рекламный текст.

Согласно ч. 1 ст. 18 закона «О рекламе», распространитель рекламы обязан не только заручиться согласием получателя, но и немедленно прекратить рассылку по его требованию.