Эксперты по сетевой безопасности сообщают о появлении в сети писем якобы от второй жены полковника Муаммара Каддафи — Сафии Фаркаш аль-Бараази.

Письма распространяются с адреса mrs.safiagadaffi2 AT gmail.com. К мейлу приаттачен документ Word, в котором пользователю в лучших традициях «нигерийских» писем предлагается поучаствовать в хранении 20 тонн золота. Чтобы помочь безутешной даме, чей супруг «сталкивается с некоторыми проблемами в Ливии», следует сообщить г-же Каддафи свои имя, возраст, адрес, род занятий и номер мобильного телефона.

Эксперты еще раз предупреждают об опасности запуска вложений от неизвестных отправителей и отмечают, что никто не будет предлагать деньги по электронной почте только потому, что их слишком много.

На прошлой неделе мой коллега Хорхе Мьерес обнаружил сервер управления ботнетом, построенном на базе вредоносной программы Ice IX. Как анонсировалось на нескольких форумах, Ice IX — это бот, созданный на основе появившихся в мае этого года в публичном доступе исходников ZeuS 2.0.8.9. Как утверждает автор нового бота, в программу внесены значительные изменения, которые должны заинтересовать киберпреступников, занимающихся хищением денежных средств пользователей с помощью банковских троянцев.

рис. 1. Описание бота

рис. 1a. Описание бота

В попытках обойти системы фильтрации почты и доставить свою информацию пользователям спамеры сплошь и рядом пользуются различными приемами. Хотя по-настоящему новые трюки (например, рассылка начитанных роботом mp3) попадаются сравнительно редко, однако бывают и они.

Так, недавно аналитиками Лаборатории Касперского были замечены несколько любопытных примеров. Маскировка текста зашумлением вполне банальна, а вот ссылки организованы весьма нетипичным для спама образом.

Сама хитрость оказалась достаточно проста и пока относительно безвредна: в url письма используется запрос на вебсайт, уязвимый к SQL injection. На выходе кода получается всего одна строка - спамерский линк (в данном случае рекламирующий очередную типовую «фарму»). Именно туда и перенаправляют браузер пользователя – если, конечно, исходный сайт позволяет выполнение такого кода.

Небольшое количество встреченных нами за неделю наблюдения примеров показывает, что после масштабной SQL-атаки LizaMoon многие владельцы сайтов приняли соответствующие меры безопасности и массово найти подходящих «доноров» оказалось не так уж легко.

После всех слухов о слиянии SpyEye и ZeuS и публикации исходного кода последнего у начинающих вирусописателей появилось больше возможностей влиться в ряды создателей вредоносного ПО.

Появление новых программных пакетов, основанных на ZeuS, было лишь вопросом времени. И они уже появились. Ice IX Botnet – первое поколение web-приложений, разработанных для управления через http-протокол централизованными ботнетами, построенными на основе опубликованного исходного кода ZeuS.

Порой обнаружение ботнета становится нелегкой задачей, особенно если запутаться в различных компонентах, таких как дропперы, инфекторы и прочие неприятные вещи. Около двух недель назад Хосе Назарио из Arbor Networks обратил мое внимание на новый зловред, оказавшийся еще одним P2P-ботом. После исполнения программа устанавливает большое количество всякой всячины, в том числе

• Исполняемый файл, скрытый в альтернативном потоке данных,
• Три генератора («майнера») Bitcoin: Ufasoft miner, RCP miner и Phoenix miner,
• Файл с информацией о географическом расположении IP-адресов.

Однако, пока оставим этот вопрос в стороне и поговорим об архитектуре ботнета, который на самом деле является всего лишь каналом для доставки других вредоносных программ на зараженные машины. Покопавшись в установленных программах, мы, наконец, нашли сам бот, который мы детектируем как Trojan.Win32.Miner.h. Файл защищен от анализа с помощью нескольких слоев обфускации, но в конце концов записывает исполняемый файл, сжатый упаковщиком UPX, в секцию памяти, откуда может быть восстановлен оригинальный код.

Помимо прочего, сразу же привлекает внимание список из 1953 строк IP-адресов, прописанных непосредственно в коде зловреда. Бот обращается к этим адресам на стадии загрузки для присоединения к пиринговой сети.

Сейчас в аэропортах часто встречаются информационные сенсорные киоски, предоставляющие доступ к разнообразной информации, связанной с путешествиями, IP-телефонии и интернету. И это здорово!

Но недавно, когда я возвращался с конференции BlackHat and DefCon 19 и проходил регистрацию в аэропорту Маккаран в Лас-Вегасе, мне на глаза попался один такой аппарат. На мониторе светилась страничка очень хорошо знакомого мне сайта – Facebook! Но не страничка регистрации, как можно было ожидать, а открытая страничка с профилем пользователя. Кто-то просто забыл ее закрыть, и теперь любой желающий мог запросто получить полный доступ ко всем данным рассеянного пользователя и его друзей, поменять статус или информацию в его профиле, писать от его имени сообщения и таким образом испортить репутацию хозяина аккаунта. А вот это уже плохо.

Но еще хуже то, что вы никогда не можете быть уверены в безопасности этих устройств: за вашими персональными данными, логинами, паролями и другой конфиденциальной информацией могут шпионить вредоносные программы. Возможно, не совсем правильно сравнивать такой аппарат с автомобилем, но я все же попробую. Информационные сенсорные киоски в аэропортах (и в других местах) – это своего рода автомобиль на прокат: некоторые позволяют себе лихачить за его рулем, потому что это не их собственность. В применении к компьютерам такое «агрессивное вождение» – это игнорирование вопросов информационной безопасности, ведь неизвестно, установлено ли на такой машине хоть какое-то защитное решение.

Эти системы хороши, если использовать их по прямому назначению, т.е. проверять информацию о рейсах, читать новости и т.д. Но ни в коем случае не следует использовать их для доступа к тем сайтам, где требуется вводить конфиденциальные данные. Если вам нужно проверить почту, зайти на Facebook и т.п., делайте это со своего компьютера. Обычно в аэропортах есть точки интернет-доступа (в Маккаран это вообще бесплатная услуга). Хотите узнать больше о том, как безопасно пользоваться интернетом в дороге? Прочитайте нашу статью «Лето – время беспроводной связи».

Желаем вам приятных и безопасных путешествий!

Беспечность интернет-пользователей при общении в социальных сетях значительно облегчает мошенникам процесс добывания конфиденциальных данных.

Согласно результатам опроса 2 тысяч британских пользователей, проведенного датской компанией BullGuard, примерно 42% обнародовали в интернете свою дату рождения, а 18% — и номер телефон. 35% пользователей Facebook и Twitter разместили в блогах имена своих домашних питомцев, 24% — имена детей, а 7% даже указали свой адрес.

"Хотя информация такого рода может показаться довольно безобидной для передачи ее другим людям, зачастую она используется для обеспечения безопасности доступа к платежам, требующим удостоверения личности по телефону", — отмечает эксперт BullGuard Клаус Вилламсен (Claus Villumsen). Он рекомендует пользователям подчистить свои профили в социальных сетях, оставив там только необходимые данные. "Информация о домашних животных, девичьей фамилии матери или дата рождения не должны фигурировать в интернете", — считает Вилламсен.

Еще один аспект создания "интернет-образа" пользователя — его хобби. Эксперты подчеркивают: не следует создавать пароли, так или иначе связанные с хобби и личными интересами. Мошенники могут использовать полученную из соцсетей информацию, чтобы попытаться угадать пароль.

В ходе общения в интернете 28% пользователей пользуется интерактивной услугой запоминания логинов и паролей, а 14% "запоминает" также данные доступа к платежным системам или интернет-банкингу. "Это удобно, но может обернуться катастрофой, если подобная информация попадет в чужие руки", — комментируют представители BullGuard.

11% опрошенных не боится хвастаться дорогостоящими товарами, которые они приобрели. При этом более трети пользователей Facebook и Twitter сообщают в профиле об отъезде в отпуск или путешествие. Полученных данных достаточно, чтобы организоваться старомодную, но эффективную кражу со взломом.

15 августа, в День независимости Индии очередная группа хакеров — борцов за свободу, называющая себя ZCompany Hacking Crew, взломала сразу 78 тысяч блогов, размещенных на портале Blog.co.in.

Предварительно хакеры оставили сообщение, из которого следует, что атака проводилась в поддержку Анна Хазаре (Anna Hazare), который требует ужесточения антикоррупционного законодательства. "Единственное преступление Анна Хазаре в том, что он патриот и имеет достаточно мужества, чтобы выступать против правительства. Мы говорим от имени людей, защищающих истину и правосудие", — говорится в послании.

Заодно хакеры опубликовали лозунги в поддержку сторонников независимости Кашмира и Палестины. На официальных сайтах были размещены изображения вооруженной катапультами молодежи и патриотические песни о свободе Кашмира.

Хакерские группировки Anonymous и LulzSec атаковали одного из крупнейших производителей оружия, подрядчика правительства США компанию Vanguard Defense Industries. Результатом атаки стал 1 гигабайт конфиденциальной информации, размещенный в свободном доступе в интернете.

Согласно сообщениям Anonymous в социальных сетях, информация принадлежала старшему вице-президенту Vanguard Ричарди Гарсии (Richard Garcia), помощнику руководителя в отделении ФБР в Лос-Анджелесе. Гарсия также входит в исполнительный совет InfraGard, который Anonymous описывают, как "зловещее объединение правоохранительных, военных и частных охранных структур, занимающееся защитой инфраструктуры, которую мы хотим уничтожить".

Судя по текстам обращения, хактивисты не намерены останавливаться на достигнутом. Свои действия Anonymous и LulzSec объясняют войной против коррупции и лицемерия, царящих в правительственных органах.

Обнаруживать и блокировать сайты с вредоносным ПО с каждым годом становится все сложнее, сообщается в новом отчете Google "Trends in Circumventing Web-Malware Detection report".

В ходе исследования было обработано около 160 миллионов страниц, размещенных на 8 миллионах сайтов. Ежедневно Google рассылает около 3 миллионов предупреждений о возможном наличии вредоносного ПО среди 400 миллионов пользователей.

Согласно данным экспертов, выросли масштабы использования методов социального инжиниринга, когда вредоносные программы маскируются под антивирусы или плагины для браузера. Однако пока количество сайтов, распространяющих их, по-прежнему не превышает 2% от общей массы источников вредоносного ПО. Чаще встречаются клоакинг по IP-адресу и drive-by загрузки, в ходе которых атакующая сторона часто меняет эксплойты, чтобы избежать обнаружения.

В отчете Google делается вывод о том, что ни один из инструментов для обнаружения вредоносных программ — ловушки на виртуальных компьютерах, эмуляторы браузеров, классификация, основанная на репутации доменов и антивирусные движки — сам по себе не является эффективным. Социальный инжиниринг ограничивает действия виртуальных компьютеров-жертв. Запутанный JavaScript, взаимодействующий с Document Object Model, позволяет избежать ловушек в эмуляторах браузеров и антивирусных движках. Легальные антивирусы и настройки компьютеров страдают от ложных срабатываний и т.д.

Вопрос о способностях Google отслеживать и блокировать вредоносное ПО был поднят после заявления Imperva о запуске хакерами более 80 тысяч поисковых запросов в день с целью выявления наименее защищенных объектов.

В конце прошлой недели Armorize сообщила о забавной ошибке хакеров, готовящихся к массированной атаке. Они забыли включить теги перед встроенным вредоносным кодом. В результате Google смог проиндексировать и обнаружить зараженные участки. В общей сложности, количество инфицированный доменов составило около 22400 — это более 536 тысяч зараженных страниц.

Правда, хакеры быстро спохватились и устранили свой недочет, так что Google снова не может обнаружить инфицированные страницы. Известно лишь, что скрипт перенаправляет их через несколько сайтов в точку, откуда на компьютер пользователя устанавливается эксплойт-пак BlackHole.

Программа использует уязвимости в Windows, Java, Adobe Reader и Flash Player, чтобы установить на машину жертвы фальшивый антивирус. В зависимости от операционной системе на компьютере пользователя, он может называться "XP Security 2012" для Windows XP, "Vista Antivirus 2012" для Windows Vista, и "Win 7 Antivirus 2012" для Windows 7.

Известно также, что источник атак расположен в США, а промежуточные домены — в Молдове.

39% приложений на базе платформ iOS и Android не обеспечивают необходимый уровень безопасности, сообщают эксперты из компании viaForensics.

Для исследования было отобрано более сотни приложений. Исследователи из viaForensics совместно с компанией appWatchdog разбили их на несколько основных категорий: финансовые утилиты, приложения для социальных сетей, органайзеры, приложения для работы с онлайн магазинами, приложения для работы с почтой и др.

Анализ показал, что 76% приложений сохраняет введенный логин, а 10% — еще и пароль в виде обычного текста. Причем в эти 10% вошли такие популярные сайты, как LinkedIn, Skype, и Hushmail. «Многие системы требуют только логин и пароль. Наличие даже лишь имени пользователя означает, что головоломка уже решена наполовину», — считают эксперты. Наименее защищенными оказались утилиты для социальных сетей: из 74% программ удалось получить пароль, логин или другие конфиденциальные данные. Органайзеры не столь доступны. Их результат — 43% программ, из которых можно получить персональные данные. Среди финансовых утилит таких оказалось три четверти. И, наконец, приложения для работы с онлайн-магазинами показали 14%-ю степень небезопасности. Правда, из последней категории ни одно из приложений полностью не прошло экспертный тест, то есть было очевидно, что данные на устройстве есть, но не зашифрованы. Не шифруют личные данные и многие другие популярные приложения, в том числе программное обеспечение от Amazon.com, Best Buy, Facebook и Twitter.

В целом, высокую степень защищенности показали только 17% приложений. 44% утилит сохраняет от чужих взоров логин, пароль и банковские реквизиты, однако история сообщений, контакты и прочие атрибуты могут быть украдены.

Инфицированные компьютеры, входящие в состав ботнетов, распространяют вредоносную информацию с разной скоростью — в зависимости от того, где они сами находятся. Американские эксперты из Калифорнийского университета в Беркли сообщают о существовании целого рынка зомби-машин, получившего название «pay-per-install» (PPI). На этом рынке существуют свои продавцы и покупатели и свои, уже установившиеся расценки.

Так, машины для ботнетов из США стоят дороже зараженных компьютеров из Азии. Известно, что тысяча зомби-компьютеров из США или Великобритании обойдутся покупателю от 110 до 180 долларов; «начинка» для ботнетов из Европы — от 20 до 60 долларов и менее 10 долларов за тысячу машин из любой другой страны.

Нередко готовые к продаже ботнеты уже подготовлены для работы с конкретными регионами. Например, программы Ertfor, SecuritySuite и SmartAdsSolutions предназначены для работы на США и Европу, Gleishug «заточена» только под США, а руткит Rustock работает по всему миру. Эксперты объясняют это специализацией самих программ. Так, Rustock для рассылки спама требует только ввод IP-адресов. А для SecuritySuite, занимающейся распространением фальшивых антивирусов, необходимы разноязычные версии для разных стран. Кроме того, для поддержки региональных платежных систем может потребоваться специальное программное обеспечение.

Представители Британской комиссии по правам человека и вопросам равенства (Equality and Human Rights Commission, EHRC) обвинили правительство в том, что существующие законы не в состоянии защитить конфиденциальную информацию.

Сотрудники государственных учреждений сами не в курсе своих обязательств и не знают, когда они нарушают законы о защите информации, заявили правозащитники. При этом гражданам сложно привлечь их к ответственности или даже просто выяснить, соблюдаются ли установленные законом правила обработки и хранения персональных данных.

EHRC настоятельно призывает изменить закон о конфиденциальной информации для ограничения утечки данных. По мнению экспертов, со временем ситуация будет ухудшаться, поскольку компании стремятся получить как можно больше персональной информации о гражданах. Параллельно идет процесс разработки новых технологий, позволяющих обойти действующее законодательство.

EHRC призвала правительство упростить существующие законы о конфиденциальности, но при этом повысить уровень ответственности за сохранность конфиденциальных данных. Кроме того, считают эксперты, необходимо добиться строгого соблюдения законов о защите информации, о правах человека и закона о регулировании следственных полномочий.

«Необходимость сбора организацией каких-либо личных данных должна быть оправдана. Закон и нормативно-правовую базу следует упростить, и в то же время государственные органы должны привести имеющиеся у них базы данных в соответствие с действующим законодательством», — уточнил представитель EHRC Джеральдин Ван Бюрен (Geraldine Van Bueren).

С июня 2008 по июнь 2010 года житель Великобритании Ян Вуд украл 35 тысяч фунтов со счетов своих соседей. Всю необходимую информацию для снятия денег он получил с их страничек на Facebook.

По признанию самого Вуда, он проводил по 18 часов в интернете, чтобы выудить нужные ему данные на сайтах Facebook и Friends Reunited. Далее он связывался с банком и сообщал службе безопасности, что забыл пароль, но может предоставить любую необходимую информацию о себе — от даты рождения до девичей фамилии матери, а также ответить на любые вопросы.

Мошенник был арестован, когда, будучи абсолютно уверенным в собственной неуязвимости, стал переводить деньги напрямую на свой счет. Суд приговорил Вуда к 15 месяцам тюремного заключения. Вынося приговор, судья отметил, что «афера была очень хорошо спланирована, а преступник имел значительное влияние на своих жертв. Он использовал свое знание соседей, злоупотребив их доверием. Люди были шокированы, обнаружив пропажу денег со счета».

В конце прошлой недели хакеры из группы Anonymous взломали сайт железнодорожной компании BART (Bay Area Rapid Transit system). Полученные в результате взлома личные данные о 2 тысячах пассажирах пригородных электричек Сан-Франциско были выложены в сеть.

В своем очередном заявлении Anonymous сообщили, что BART и ее пассажиры пострадали за трехчасовое отключение сотовой связи на четырех станциях компании. В середине июля руководство BART таким образом помешала провести полномасштабную акцию протеста граждан. Тогда Anonymous пообещали в знак защиты свободы слова и борьбы с цензурой временно вывести из строя сайт компании.

Обнародовав имена, телефоны, адреса и другие личные данные ни в чем не повинных пользователей сайта MyBart.org, хакеры принесли им свои извинения. При этом Anonymous предложили пострадавшим предъявить претензии к руководству компании и поинтересоваться, почему конфиденциальность их личных данных не была обеспечена должным образом. «Любой ребенок 8 лет мог сделать то же самое, — сообщается в заявлении «хактивистов», — информация была вообще не зашифрована, даже пароли».

Представители компании BART заявили, что безопасность сайта MyBart.org при необходимости будет проверена внешними аудиторами. «Но мы не нарушали безопасность наших клиентов и их право на конфиденциальность, — уточнил сотрудник BART Линтон Джонсон, — поэтому виновной в обнародовании личных данных людей надо считать именно Anonymous».

Хакерская группировка, называющая себя Anonymous, совершила очередную атаку. На сей раз были взломаны 70 сайтов правоохранительных органов и выложены в сеть 10 гигабайт электронных адресов и конфиденциальных данных сотрудников полиции и их информаторов.

Представители Anonymous заявили, что взлом сайтов, в основном расположенных в южных и центральных американских штатах, осуществлен в отместку за аресты членов группы. Задержания хакеров прошли в прошлом месяце на территории США и Европы.

В своем заявлении Anonymous пишут: «Мы распространяем массу конфиденциальной информации, которая должна дискредитировать полицию США. Мы надеемся, что утечка данных продемонстрирует коррумпированность правоохранительных органов, как они сами выражаются».

Anonymous и сотрудничающие с ними хакерские группировки за последние несколько месяцев уже успели «прославиться» успешными взломами таких сайтов, как PayPal, ЦРУ, сайт Сената США, Sony's PlayStation Network и газеты Руперта Мердока Sun.

Эксперты по сетевой безопасности сообщают о появлении крупной вредоносной сети Shnakule. Ее особенность в том, что сеть использует для заражения компьютеров пользователей одновременно поддельные рекламные баннеры и фальшивые оповещения систем безопасности.

По словам специалистов из компании Blue Coat, вредоносный код внедрен в рекламные баннеры. Они перенаправляют пользователя на сторонний сайт, с которого запускаются атаки поддельного антивирусного ПО. Всплывающие при этом окна схожи с оповещениями системы безопасности Microsoft. Жертва получает предупреждение о заражении системы и предложение немедленно установить программу для «исправления», которая на самом деле является вредоносным ПО.

Представитель Blue Coat Крис Ларсен (Chris Larsen) отмечает, что такое сочетание фальшивых баннеров и поддельных оповещений систем безопасности «в одном флаконе» встречается крайне редко. Однако «идея давно витает в воздухе, потому что это работает, — считает он. — Малвертайзинг (malvertising от malware + advertising) — отличный способ для плохих парней добраться до большого количества людей».

Борьбу с очередной сетевой заразой осложняет полиморфный характер вредоносных программ. Вирус постоянно меняет свой код, что затрудняет его обнаружение обычными средствами безопасности. По мнению Ларсена, мошенники создают серию специализированных серверов и внедряют их под видом легальных точек распространения рекламы.

Эксперты рекомендуют пользователям с осторожностью относиться к любым всплывающим окнам с оповещениями системы безопасности во время работы в интернете. «Все, что находится в окне браузера, является подозрительным», — уточняет Ларсен.

За 3 недели было заражено более 8 миллионов веб-страниц интернет-магазинов, работающих на базе osCommerce, сообщает компания по сетевой безопасности Armorize.

Первые сообщения о вредоносном ПО Willysy появились 24 июля, когда от экспертов Armorize поступила информация о 90 тысячах зараженных веб-страниц. В настоящее время этот показатель продолжает расти.

Хакеры используют уязвимости в версии OsCommerce 2.2. Вредоносный код JavaScript прописывается на страницу интернет-магазина, откуда распространяется на компьютеры посетителей. На зараженных компьютерах он использует уже известные уязвимости в Adobe Reader, Java, Internet Explorer и Справочном центре Windows, которые не были исправлены должным образом.

Эксперты Armorize пока не могут указать источник вредоносного ПО. Известно только, что оно рассылается с 8 IP-адресов в Украине.

Джером Рэдклифф (Jerome Radcliffe) на конференции в Лас-Вегасе затронул вопрос, который может стать больным во всех смыслах этого слова уже в ближайшие годы. Речь идет о безопасности медицинских устройств с программным обеспечением, напрямую связанных с телом человека. Зачастую от таких гаджетов зависит не только здоровье, но и жизнь их носителя.

В список медицинских устройств, уязвимых для атаки извне, входят имплантированные кардиоустройства, внутривенные инсулиновые помпы и др. Любой агрегат, использующий беспроводную связь, может быть атакован удаленно — так же, как смартфоны, ноутбуки и т.п. Сам Рэдклифф, которому 11 лет назад был поставлен диагноз "диабет I типа", пользуется инсулиновой помпой. Это устройство поддерживает на безопасном уровне концентрацию сахара в его крови. В случае сбоя устройства Рэдклиффу грозит инсулиновая кома. Выступая на конференции, он заявил, что смог перехватить управление своим гаджетом и регулировать дозу инсулина вплоть до смертельно опасного уровня. Устройство при этом никак не сообщало о внешнем вмешательстве.

«Оказывается, эта модель небезопасна. Все, что вам нужно, чтобы управлять ей, это серийный номер, — объясняет Рэдклифф. — Мы говорим не о номере кредитки, с которой можно украсть 200 долларов. Речь идет о чьей-то жизни». В подобных устройствах даже не предусмотрена возможность сообщить хозяину, что настройки были изменены вторжением извне. Гаджеты не поддаются «перепрошивке», оставаясь уязвимыми на весь срок своей жизни (5-10 лет).

Уязвимость медицинских устройств является вопросом безопасности человека, резюмируют эксперты. Остается надеяться на то, что производители медицинской аппаратуры в ближайшем будущем начнут относиться к этому серьезнее.

Компания Sophos сообщила о новой уловке кибер-мошенников, нацеленной на пользователей браузера Mozilla Firefox.

На днях многие из них получили спам в виде сообщений о выходе нового обновления Firefox. В письме шла речь о некоторых изменениях кода, нацеленных на совершенствование безопасности программы и компьютера пользователя. Однако вместе с инсталлируемым подлинным файлом обновления для Firefox 5.0.1 происходила загрузка троянской программы, предназначенной для хищения паролей с зараженного компьютера.

Эксперты Sophos напоминают, что обновление Firefox устанавливается автоматически. Mozilla не занимается рассылкой писем пользователям с сообщением о выходе новой версии. Это значит, что любые электронные письма с предложением об установке Firefox являются подделкой. Информацию об обновлениях браузера пользователи обычно получают при очередном запуске самого приложения. Наконец, все последние обновления Firefox можно найти на сайте Mozilla.

Спамеру Сэнфорду Уоллесу предъявлено обвинение во взломе 500 тысяч аккаунтов в социальной сети Facebook, краже личных данных пользователей и организации масштабной рассылки 27 миллионов спам-сообщений.

43-летний Уоллес первым смог обойти спам-фильтры Facebook. Он использовал скрипт, который автоматически авторизовывался на украденных аккаунтах и получал доступ к списку френдов пользователя. Всем им "на стену" выкладывалось сообщение, содержащее активную ссылку. При переходе по ней пользователи попадали на сайт с вредоносным ПО, собирающим личные учетные данные, используемые в дальнейшем для рассылки спама. Эта схема работала на протяжении 5 месяцев, начиная с ноября 2008 года.

Два года назад суд обязал Уоллеса выплатить сети Facebook штраф в размере 711 миллионов долларов. Аналогичный иск в 2008 году подала социальная сеть MySpace — на сумму 230 миллионов долларов. На прошлой неделе Уоллес сдался агентам ФБР. Спамер уже появлялся в суде и был отпущен под залог 100 тысяч долларов. Кроме того, ему запрещено заходить на сайты Facebook и MySpace.

Уоллесу предъявлено обвинение в шести эпизодах мошенничества, двух случаях умышленной порчи компьютеров и двух случаях посещения запрещенных сайтов, в частности, речь идет о Facebook. Причем однажды спамер вошел в социальную сеть с борта самолета при перелете из Лас-Вегаса в Нью-Йорк.

Если Уоллеса признают виновным, то ему грозит до 3 лет тюремного заключения и штраф в размере 250 тысяч долларов за каждый из эпизодов мошенничества, а также до 10 лет тюрьмы и 250 тысяч долларов за каждый из эпизодов повреждения компьютеров. Если судья окажется строг, в целом наказание спамера может составить 48 лет тюрьмы и 1,5 миллиона долларов.

Провайдеры бесплатных облачных сервисов предоставляют гигабайты дискового пространства для хранения данных, а злоумышленники используют его для хранения и распространения вредоносного программного обеспечения. С другой стороны, многие платные легитимные сервисы также привлекательны для киберпреступников — например, Amazon Simple Storage, он же Amazon S3.

Стоимость услуг Amazon S3 не является серьезным препятствиям для успешных киберпреступников. Мой коллега Дмитрий Бестужев уже писал о распространении вредоносного ПО с облачных сервисов Amazon.

Случаи использования облачных сервисов в противозаконных целях далеко не единичны. Согласно нашим исследованиям, злоумышленники используют Amazon для распространения SpyEye уже не первую неделю.

Sophos назвал Тор3 самых востребованных мошенниками социальных сетей: Facebook, Twitter и MySpace.

Одним из основных вопросов этого года стала безопасность социальных сетей, сообщается в отчете Sophos Security Threat Report Mid-Year 2011.

Эксперты Sophos провели соцопрос, в котором приняло участие 2 тысячи пользователей. Итоги опроса показали, что со спамом в соцсетях сталкивались 71% пользователей или их коллег; с фишингом — 46%, и 45% были атакованы вредоносными программами, попавшими к ним через социальные сети.

Сами пользователи считают наименее защищенной от мошенников сеть Facebook (81%) — в прошлом году так думало только 60% опрошенных. Twitter и MySpace получили по 8% голосов и LinkedIn только 3%. Как показывает реальность, хакеры с интересом поглядывают в сторону Google+.

В сети Facebook процветает межсайтовый скриптинг, ClickJacking, скам и кража личных данных пользователей.

В Twitter мошенники активно используют идею о сборе средств. В этом году уже были попытки распространения фальшивых просьб о сборе денег от имени Британского Красного Креста для пострадавших от цунами. Катастрофа в Японии привела также к распространению ссылок, замаскированных под видео о цунами: при переходе по ссылке вредоносная программа атаковала компьютер пользователя. Эксперты напоминают, что хакеры также могут создавать укороченные URL. Поэтому если после перехода по ссылке вам будет предложено ввести пароль в Twitter или на Facebook, лучше немедленно покинуть данную страницу.

Вот наши августовские антивирусные обои для рабочего стола. Как обычно, на них отмечены заметные события прошлого в сфере борьбы с вредоносными программами.

1280x800 | 1680x1050 | 1920x1200 | 2560x1600

Создатели вредоносного ПО запустили в сеть новую, особенно хитроумную троянскую программу, заставляющую своих жертв самостоятельно переводить деньги мошенникам со своего банковского счета.

При попытке жертвы войти на свой банковский аккаунт, троянец создает ложное сообщение об ошибочном перечислении на него средств и замораживании счета. Вредоносная программа фальсифицирует цифру остатков средств на счету на зараженной машине, чтобы процесс выглядел более убедительным. Жертве предлагается заполнить фальшивую онлайн-форму перевода средств обратно отправителю.

Об этой новой версии трояна URL Zone Trojan сообщил эксперт в области компьютерной безопасности Брайан Кребс (Brian Krebs). Пока неизвестно, сколько пользователей уже стали жертвами мошенников. Впервые троянец был замечен в Германии. Федеральная криминальная полиция страны (Bundeskriminalamt) распространила предупреждение, в котором просит пользователей сообщать обо всех подобных случаях с указанием названия банка.

Эксперты отмечают, что времена изменились. Вместо того чтобы красть личные данные пользователей, мошенники изобретают новые уловки, чтобы заставить их самостоятельно расстаться с деньгами — например, под угрозой заморозки счета.

Социальная сеть Facebook последовала примеру поисковиков Google и Mozilla и объявила о выплате денежного вознаграждения пользователям, которые смогут отыскать XSS-уязвимости в защите личных данных участников сети. Премия за обнаружение других проблем, не указанных в заявлении Facebook, может быть и больше. Чтобы получить награду, пользователь должен быть первым, кто сообщил о найденной ошибке, и проживать в стране, не попадающей под юрисдикцию США.

Чтобы получить награду от Facebook, пользователь, обнаруживший уязвимость, должен сначала сообщить о ней в компанию в частном порядке. Кроме того, он должен дать сотрудникам Facebook время для исправления проблемы, а не торопиться обнародовать найденные недостатки.

Это хорошая новость для добровольных исследователей, проводящих немало времени в поисках серьезных уязвимостей в защите веб-сайтов и программного обеспечения. Немногие производители ПО готовы оплачивать их усилия. Microsoft, Oracle и большинство других крупных компаний не платят за сообщения частных пользователей о найденных ошибках, даже если это идет на пользу их продукции. Microsoft хотя бы пообещала не подавать в суд и не выдвигать обвинения против хакеров, сумевших отыскать изъяны в системе защиты. Правда, недавно Microsoft предложила вознаграждение в 250 тысяч долларов за информацию, которая позволит посадить за решетку создателей Rustock. Этот недавно расформированный ботнет в свое время был крупнейшим источником спама.

Одним из первых производителей ПО, предложившим 500 долларов в награду за найденные ошибки, стал поисковик Mozilla. Позднее его примеру последовал Google. Сейчас Mozilla готов платить 3 тысячи долларов, а Google — уже 3133,7 за особо серьезные ошибки. На сегодняшний день Google уже выплатил примерно 300 тысяч долларов в рамках программы поиска ошибок. И это не считая выплат за найденные пользователями уязвимости в браузере Chrome Google. "Мы очень довольны результатами работы нашей программы вознаграждений", заявил представитель Google.

На прошлой неделе власти Южной Кореи предупредили о взломе баз данных двух крупнейших сайтов страны.

Используя интернет-адрес, зарегистрированный в Китае, мошенники получили доступ к личным данным большинства жителей Южной Кореи. А также подверглись поисковик Nate (www.nate.com) с 25 миллионами зарегистрированных пользователей и социальная сеть Cyworld, куда входит 33 миллиона человек. Уточним, что общая численность населения страны — 48,6 миллионов граждан. В обоих случаях провайдером является SK Communications.

В целом, речь идет о данных примерно 35 миллионах пользователей: имена, веб-идентификаторы, номера телефонов, адреса электронной почты и регистрационные данные. Уже есть информация об их использовании, сообщается в официальном заявлении.

Представители SK Communications обратились в полицию с просьбой о расследовании инцидента. Официальный представитель компании сообщает, что информации о хакерах, совершивших «крупнейший взлом в истории Южной Кореи», пока у следствия нет.

Южная Корея по праву считается одной из самых "интернетизированных" стран в мире: интернет подключен в более чем 90% домов. Власти Южной Кореи высказали предположение, что атака могла быть проведена хакерами Китая и Северной Кореи.

Во время предыдущей атаки сходных масштабов в феврале 2008 года, когда была взломана база данных дочерней компании американского интернет-аукциона eBay, хакерам стали доступны личные данные более чем 10 миллионов пользователей.