С 24 февраля вступили в силу изменения, внесенные RU-CENTER в регламентирующие документы для доменов третьего уровня. Изменения касаются условий, при которых оказание услуг может быть приостановлено регистратором.

В новой редакции п. 3.3.6 регламента закрепляет за регистратором право прекратить делегирование домена, уличенного в противоправной деятельности или нанесении ущерба третьим лицам. Судя по перечню незаконных действий, приведенному RU-CENTER, речь здесь идет, в основном, о размещении агрессивного, порнографического и аморального контента. При этом регистратор вправе самостоятельно определять факт правонарушения, даже в отсутствие действующих нормативных актов.

Новые положения регламента и некая размытость формулировок породили массу неприятных опасений, посему RU-CENTER счел нужным опубликовать некоторые разъяснения. По словам регистратора, внесение изменений было вызвано, прежде всего, стремлением привести внутреннюю документацию в соответствие с общими правилами регистрации доменов в зонах .ru и .рф. Обновленная версия Правил вступила в силу в минувшем ноябре; в ней прописаны дополнительные основания для прекращения делегирования доменов второго уровня аккредитованными регистраторами.

Управление «К» МВД РФ пресекло деятельность ОПГ, выполнявшей заказы на проведение DDoS-атак, взлом онлайн-аккаунтов, а также скрытое наблюдение и прослушку. За 3 года теневым бизнесменам удалось заработать свыше 10 млн. руб., от их действий пострадали жители трети регионов России.

Как показало расследование, организаторами и идейным вдохновителями противозаконного бизнеса являются двое братьев-москвичей, один из которых имеет судимость. Взлом почтовых, социальных и прочих веб-аккаунтов осуществлял житель Альметьевска (Татарстан), ранее судимый за распространение детской порнографии, DDoS-атаками занимались наемники. Если для выполнения заказа требовалась вредоносная программа, ее заказывали на стороне и впоследствии выставляли на продажу, чтобы окупить расходы.

Сообщники рекламировали свои услуги через знакомых, через интернет, а также бросали проспекты в почтовые ящики и вручали их владельцам дорогих иномарок. В целях конспирации передача и получение денег производились через посредников. Тем не менее, оперативникам удалось выявить и задержать всех участников криминальной группы. Были также проведены параллельные обыски в Москве и Альметьевске. Помимо шпионской техники, у «предпринимателей» обнаружены исходники вредоносных программ, база взломанных адресов, списки клиентов, печати разных организаций и бухгалтерская документация. Уголовное дело возбуждено по ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»).

По данным Juniper Networks, в минувшем году количество вредоносных программ, ориентированных на мобильные платформы, увеличилось на 155%. Число вредоносных программ для Android с июня по декабрь выросло в 33 раза.

Эксперты проанализировали свыше 790 тыс. приложений из разных источников и обнаружили около 28,5 тыс. уникальных зловредов и мошеннических программ. 46,7% из них были заточены под Android, 41% ― под Java ME, 11,5% под Symbian. В предыдущем году распределение вредоносных программ по мобильным платформам выглядело иначе: 70,3% ― Java ME, 27,4% Symbian. Следует отметить, что в базе Juniper нет данных по iOS-угрозам ― из-за отсутствия официальных публикаций и закрытого характера платформы.

63,4% мобильных зловредов, обнаруженных экспертами в прошлом году, представляли собой шпионские программы, 36,4% пришлось на долю SMS-троянцев. Основным способом доставки вредоносных программ на смартфоны и планшеты являлись загрузки со специализированных веб-сайтов (интернет-магазинов приложений). Согласно статистике Juniper, 46,9% прошлогодних атак, проведенных таким образом, были нацелены на Android. Проблему усугубляет полное отсутствие какой-либо антивирусной защиты на большинстве оконечных устройств.

Зловреды, предлагаемые пользователям для скачивания, обычно имеют вид вполне безобидной программы или идут в комплекте с копией легального приложения. В IV квартале большое распространение получили так называемые Fake Installers ― фальшивые инсталляторы, которые награждают пользователя пиратской копией популярного приложения в обмен на дорогую SMS. Разумеется, автоматическая отправка текстового сообщения (одного или нескольких) на премиум-номер предусмотрительно оговорена в пользовательском соглашении. Однако его, как мы знаем, мало кто читает, особенно если важный фрагмент набран мелким шрифтом и хитро расположен. По оценке Juniper, 56% этих мошеннических приложений были ориентированы на платформу Android.

Базирующиеся в Голландии поставщики медийного контента R&D Media Europe и Unavalley BV уплатят по 100 тыс. фунтов стерлингов (158,5 тыс. долл.) штрафа за обман британских абонентов сотовой связи и мошеннический маркетинг.

Оба держателя веб-сервисов, доступных по коротким номерам, проводили розыгрыши iPad и Mac Book, размещая зазывную рекламу на сайтах-двойниках Twitter, YouTube и Wikipedia. Эти площадки тайпсквоттеров имели схожие имена и использовали логотип и дизайн оригинала, чтобы вызвать больше доверия к призовым акциям. Посетителя, попавшего на такой сайт из-за собственной опечатки, приглашали принять участие в розыгрыше, введя в форму контактные данные и ответив на ряд вопросов. У него также запрашивали номер мобильного телефона, на который можно выслать личный номер участника.

Как оказалось, обмен вопросами и ответами в рамках этих призовых акций проводится по SMS-каналам, с использованием контактного номера, указанного самим пользователем. При получении и отправке таких текстовых сообщений с абонентского счета каждый раз снимается 1,5 фунта (около 2,4 долл.). При этом претендент на выигрыш даже не подозревает, что участие в простом конкурсе обойдется ему в десятки долларов.

Организация PhonepayPlus (бывш. ICSTIS), британский регулятор сферы премиальных услуг, усмотрела в действиях R&D Media и Unavalley нарушение национального кодекса профессиональной этики. Рекламные кампании, проводимые этими провайдерами или их наемниками, вводили пользователей в заблуждение и скрывали тот факт, что конкурсантам придется раскошелиться. Помимо уплаты штрафов, недобросовестным держателям премиум-сервисов придется вернуть деньги обманутым абонентам.

Жительница Кировской области осуждена за торговлю несуществующими товарами в российской социальной сети. За полтора года обманщице удалось похитить у участников «ВКонтакте» свыше 960 тыс. руб.

Согласно материалам дела, 23-летняя Екатерина Ивонина предлагала к продаже дешевые меховые изделия, одежду и обувь через объявления в социальной сети. Плату за товар она рекомендовала вносить через Сбербанк срочным переводом (услуга БЛИЦ), а для его получения просила выслать SMS с контрольным номером. Покупку девушка обещала доставить на дом через 2 недели после оплаты, но, получив деньги, просто исчезала с горизонта.

Следствию удалось выявить 75 жертв аферистки, включая жителей Москвы, Санкт-Петербурга, Екатеринбурга и Кирова. Суммы индивидуальных потерь незадачливых покупателей составили от 1,3 до 94 тыс. руб.

Суд признал Ивонину виновной в совершении преступления, предусмотренного ч.2 ст.159 УК РФ («Мошенничество»). Ее приговорили к 2 годам и 2 месяцам лишения свободы с отбытием наказания в колонии-поселении. Осужденная должна также возместить своим жертвам ущерб, причиненный ее противоправными действиями.

Возможно, вы уже слышали о чупакабре (дословно с испанского chupa cabra – «сосущий козу»). Ходят слухи, что это мифическое существо обитает в западном полушарии. В недалеком прошлом его якобы встречали в Пуэрто-Рико (где чупакабра была замечена впервые), Мексике и Соединенных Штатах (особенно в тех районах, где живут выходцы из стран Латинской Америки). Чупакаброй Бразильские кардеры приспособились называть скиммеры, устанавливаемые на банкоматах. Это название используется потому, что чупакабра «высасывает» данные с кредитных карт жертв.

Бразильские СМИ постоянно показывают видеосюжеты о «плохих парнях», устанавливающих чупакабру в очередной банкомат. Одни мошенники делают это не достаточно умело, другим просто не везет, но в результате многие попадают в зону камер видеонаблюдения, а затем и в руки полиции.

Получается, что установка скиммеров на банкоматы – рискованное занятие, и поэтому бразильские кардеры объединили усилия с местными хакерами, чтобы разработать более легкий и безопасный способ кражи и копирования информации с кредитных карт. В таком далеко не священном союзе и родилась чупакабра.

По данным Secunia, 78% уязвимостей, обнаруженных в популярном ПО в минувшем году, касались приложений, созданных сторонними разработчиками для платформы Windows. На долю ОС приходилось 12% новых брешей, прочих продуктов Microsoft ― 10%.

В целом эксперты отметили снижение числа уязвимостей по сравнению с предыдущим годом, однако эта тенденция не коснулась Топ 50 программ, используемых конечным пользователем. За год в них было найдено свыше 800 уязвимостей, больше половины из них Secunia определила как очень опасные (highly/extremely critical). Напомним, что рейтинг популярности программных продуктов Secunia формирует на основе данных по пользовательской базе Windows. Согласно статистике компании, в настоящее время на типовом ПК, работающем под Windows, присутствуют 28 программ Microsoft (включая ОС) и 22 продукта других производителей. Однако прирост уязвимостей по списку Топ 50, который ежегодно фиксируют эксперты, происходит, в основном, за счет сторонних приложений. По оценке Secunia, за последние 5 лет их доля в общем объеме брешей увеличилась более чем в полтора раза.

С латанием дыр дела идут намного успешнее. Год назад эксперты отмечали, что выпуск патча в день публикации осуществляется для половины уязвимостей; минувшим летом этот показатель подрос до 65%, а сейчас составляет 72%. Таким образом, шансы удержать оборону растут, надо лишь умело их использовать.

По мнению Secunia, главной проблемой большинства организаций является отсутствие адекватной стратегии установки патчей. Практика показывает, что софт, который считается критичным для бизнес-процессов и латается в первую очередь, далеко не всегда привлекает внимание злоумышленников. Их главной мишенью является оконечное оборудование, на котором хранится уйма слабо защищенной информации, представляющей большую ценность для сетевого криминала. И замена популярных продуктов экзотикой здесь вряд ли поможет: сопоставление доли рынка и наличия экплойтов, проведенное Secunia, показало, что риску подвержены все программы.

Эксперты также предостерегают от статичного подхода к расстановке приоритетов. Если портфолио организации включает 600 программных продуктов, больше половины из них каждый год меняют статус в отношении рисков. Посему необходимо не только провести инвентаризацию по установленной базе, но и тщательно контролировать изменение обстановки, оперативно внося коррективы.

Определение ОС компьютера пользователя и выдача ему соответствующего контента сегодня уже не диковинка интернет-технологий. Этим механизмом давно пользуются и вирусописатели. Но платформа Apple MAC OS в этом механизме используется довольно редко. Тем интереснее был обнаруженный нами Java-даунлоадер, который загружал в систему зловредов в зависимости от ОС зараженного компьютера.

Часть кода Trojan-Downloader.Java.OpenConnection.fa, определяющего ОС компьютера жертвы

Отныне безопасный https-режим будет доступен всем пользователям Twitter по умолчанию.

Эта защитная мера появилась на сервисе микроблогов в марте прошлого года, но до сих пор существовала как опция, которую надо было выставлять в настройках пользователя. Владельцы мобильных устройств могли воспользоваться ею лишь через https://mobile.twitter.com.

Протокол HTTPS поддерживает SSL/TLS-шифрование и является общепринятым средством защиты от снифферских атак. Особенно оправданно его использование в социальных сетях, куда многие заходят с публичных точек доступа. На Google+, например, https-режим с самого начала введен как норма жизни. На Facebook он по умолчанию отключен и активируется индивидуально, LinkedIn только что анонсировала такую же опцию.

Многие из приложений, которыми мы пользуемся, бесплатные. Однако называть их бесплатными не совсем правильно – вы платите тем, что просматриваете рекламные объявления. Все мы сталкиваемся с этим на боковых панелях Facebook, Google и практически любого сервиса, который не требует платы за свое использование. Реклама позволяет многим таким сервисам собирать большую аудиторию и получать прибыль.

Однако в случае Android, а также iOS, рекламодатели стали действовать очень агрессивно. Теперь с помощью разных видов рекламы они собирают ваши данные. Давайте подробнее рассмотрим, с чем может столкнуться пользователь.

Баннерная реклама – наиболее распространенный вид рекламы, хорошо знакомый всем, кто использует мобильные приложения. Баннеры появляются поверх приложения и часто содержат целевую рекламу, использующую сервисы геолокации.

Push-уведомления – это уведомления, которые инициирует удаленный сервер, в отличие от pull-уведомлений, при которых данные запрашивает устройство. Push-уведомления часто появляются в области уведомлений.

Формы для ввода контактных данных/подписки на рассылки (Capture Forms/Signup Ads) – появляются при запуске или использовании приложения. Как правило, они занимают весь экран, предлагая пользователю оформить подписку на рекламные рассылки или получить дополнительную информацию о рекламном объявлении.

Блокировка контента (Content Locks) – дополнительный контент доступен только после ответа пользователя на рекламное объявление – например, подписки на получение уведомлений или ввода адреса электронной почты.

Стены приложений (App Walls) – списки популярных приложений, которые появляются во время игр и предлагают попробовать другие приложения, также продвигаемые рекламной сетью.

Иконки приложений – ярлыки приложений, которые появляются на основном экране. Недавний пример – иконка поиска, которая появляется при установке приложения через определенную рекламную сеть.

Как работает эта реклама?

Рекламный код вставляется в приложения с помощью SDK (software development kit – набора инструментов для разработки ПО). В данном случае это блок кода, который разработчик вставляет в уже существующее приложение.

Представляет ли она опасность?

Правильный ответ здесь – «возможно, да». На самом деле все зависит от того, какую рекламную сеть выберет разработчик приложения. Во многих случаях реклама остается просто досадной помехой, которая, тем не менее, позволяет вам играть бесплатно. В других случаях SDK создателей рекламы намного агрессивнее и позволяет им собирать большое количество пользовательской информации, включая, но не ограничиваясь, следующими данными:

IMEI – это число идентифицирует ваше устройство в мобильной сети. Оно специфично для конкретного устройства и не изменяется при смене SIM-карты.

IMSI – это число идентифицирует вашу SIM-карту.

Модель устройства Версия ОС Код страны Язык Jailbreak/Root Status GEO-локация Номер телефона

Помимо этого, некоторые SDK, позволяющие помещать на основном экране ярлыки, затем собирают информацию обо всех действиях, предпринятых пользователем после клика по иконке. К примеру, иконка поиска, используемая в Apperhand SDK, направляла пользователей на страницу поиска, где все их действия фиксировались. Компания Google отказалась изъять такие приложения под предлогом того, что они не нарушают условия пользовательского соглашения Android App Store.

Собираемая таким образом информация используется для того, чтобы оценить вас как потребителя. И даже если затем она используется ответственной компанией, это достаточно большой объем данных о человеке. Представьте, что вы сознательно установили приложение, которое имеет доступ к идентификационному номеру (ID) вашего телефона и SIM-карте, знает ваши GPS-координаты и номер телефона. Стоит запустить такое приложение, и оно запрашивает у вас адрес электронной почты, собирает список всех ваших закладок, а затем помещает на основном экране иконку поиска и фиксирует все ваши поисковые запросы.

В США полиция без ордера не имеет права собрать о вас такое количество данных. Так почему же рекламодателям это разрешено?

Ботнет HLUX уже не первый раз появляется в нашем блоге. При этом остаются открытыми вопросы, которые нам регулярно задают СМИ. Чем занимается этот ботнет? Какие команды получает от злоумышленников? Как распространяется бот? Сколько зараженных компьютеров входит в ботнет? Но прежде чем начать отвечать на данные вопросы, еще раз отметим, что речь здесь идет о новом ботнете HLUX. Старый ботнет заблокирован и до сих пор не получает команды от злоумышленников и не рассылает спам. «Лаборатория Касперского» вместе с Microsoft’s Digital Crimes Unit, SurfNET и Kyrus Tech отключила ботнет и его инфраструктуру. Результаты анализа новой версии бота ботнета HLUX (md5: 010AC0BFF69EB945108B57B40A4784BE, размер: 882176 B) приведены ниже.

Зачем?

Как известно, функционал бота — рассылка спама и возможность проведения DDoS атак. Мы обнаружили, что помимо этого:

1. Бот умеет заражать флешки, создавая на них файлы «Copy of Shortcut to google.lnk» а ля stuxnet.
2. Бот умеет искать конфигурационные файлы для множества FTP-клиентов и передавать их на серверы управления.
3. В боте встроен функционал кражи Bitcoin кошелька.
4. В боте встроен функционал Bitcoin miner’a.
5. Бот умеет работать в режиме прокси-сервера.
6. Бот ищет на диске файлы, содержащие адреса электронной почты.
7. Бот имеет сниффер для перехвата паролей от электронной почты, FTP и HTTP сессий.

Часть кода работы HLUX с FTP клиентами

Часть кода работы HLUX по краже Bitcoin кошелька

Откуда?

Бот загружается на компьютеры пользователей со множества сайтов, расположенных на fast-flux доменах преимущественно в доменной зоне .EU. В систему бот устанавливается маленькими (~47КБ) даунлоадерами. Загрузки таких даунлоадеров зафиксированы на компьютеры в ботнетах GBOT и Virut. При этом даунлоадер может загружаться на компьютеры уже через несколько минут после того, как машины были заражены вышеперечисленными вредоносными программами (GBOT и Virut). Такой механизм распространения препятствует обнаружению первоисточника распространения бота.

Также зафиксированы установки бота в ходе Drive-by атак с помощью Incognito Exploit Kit.

Общее количество компьютеров, входящих в новый ботнет HLUX, оценивается в несколько десятков тысяч машин — исходя из цифры в ~8000 IP-адресов, замеченных в работе через p2p.

Куда?

Сейчас ботнет HLUX по-прежнему получает в основном команды на рассылку спама. Однако в то же время на ботнет устанавливается еще одна вредоносная программа, о которой мы писали здесь. Основной её функционал –мошеннические действия с поисковыми системами а ля TDSS.

Собранные HLUX пароли от FTP используются для размещения на сайтах вредоносных JavaScript’ов, перенаправляющих посетителей взломанных сайтов опять же на Incognito Exploit Kit. В этих атаках при установке бота используются, в основном, эксплойты к уязвимости CVE-2011-3544. Таким образом, HLUX реализует замкнутую схему распространения, аналогичную схеме, используемой Bredol.

Итого

Ботнет Hlux, как старый, так и новый, является ярким примером организации преступной деятельности в интернете. Владельцы данного ботнета участвуют практически во всех мошеннических схемах заработка: рассылка спама, кража паролей, мошенничество с поисковыми системами, DDоS и т.д. Мы продолжим наблюдение за данным ботнетом и будем держать вас в курсе технической стороны дела.

PS. На одном fast-flux домене, с которого раньше распространялся HLUX, мы обнаружили следующее.

Является ли это панелью управления ботнетом HLUX, пока неизвестно.

По данным M86 Security, во второй половине минувшего года потоки спама продолжали снижаться и в декабре побили 4-летний рекорд. В этом месяце мусорные сообщения составляли около 70% почтовой корреспонденции. Однако вклад вредоносных писем в спам-трафик за полгода увеличился в 5 раз и на пике достигал 20%.

В тематическом составе спама преобладала реклама фармацевтических изделий (47% от общего количества). Спамеры также активно продвигали поддельные предметы роскоши (13%), веб-сайты знакомств (12,5%) и онлайн-казино (12%). Доля URL-спама с укороченными ссылками колебалась в пределах 10%, причем для их генерации спамеры предпочитали использовать малоизвестные или собственные сервисы.

90% нелегитимных писем распространялись с 8-ми хорошо известных ботнетов. Вклад Festi в спам-трафик заметно увеличился, обеспечив ему место лидера в декабрьском рейтинге (более 20%). Почти столько же пришлось на долю Lethic; боты Cutwail разных версий совокупно генерировали около 18% спама. Выход с Grum и Donbot оказался несколько скромнее ― примерно по 15%. Xarvester и Maazben по непонятным причинам выбыли из списка лидеров, первый ― в августе, второй в октябре. Спам-рассылки с Cutwail, Festi и Asprox зачастую были нацелены на распространение зловредов.

В конце года вредоносные письма составляли 5-10% мусорной корреспонденции. Пик зловредных рассылок пришелся на август и сентябрь, когда эксперты фиксировали мощные всплески спама с вложениями. Их содержимым в большинстве случаев являлся тот или иной троянский даунлоудер. В ноябре произошел заметный сдвиг в предпочтениях спамеров: используя те же шаблоны, они стали заменять вредоносные аттачи ссылками на набор эксплойтов, доступный через редирект. Последние, как правило, размещались на взломанных легитимных ресурсах.

Среди эксплойт-китов безусловным лидером по частоте использования является Blackhole, на долю которого во втором полугодии приходилось 95,1% URL-спама. Его авторы стали чаще выпускать обновления, добавляя в комплект новые эксплойты и средства самозащиты ― например, проверку версии атакуемого приложения. По данным M86 Security, все усовершенствования Blackhole проходят первичную обкатку в России и Румынии.

Зловредный контент, обнаруженный M86 на веб-сайтах в отчетный период, был нацелен на 50 с лишним уязвимостей в разном ПО. Среди последних преобладали известные, уже закрытые бреши в IE, Java, Acrobat Reader, Flash и Microsoft Office. Больше половины из них в настоящее время использует Blackhole.

Почти половина зловредного контента было обнаружено на территории США (49,2% страниц). Второе место по этому показателю занимает Россия (6,0%), причем 63% зараженных страниц, размещенных в этой стране, приходятся на Москву и Подмосковье. Немногим лучше обстановка в Германии (5,9%), Китае (4,5%) и Южной Корее (4,1%). На китайском веб-хостинге преобладают единичные эксплойты ― в основном, против уязвимостей в IE версии 6, столь популярной у местных пользователей, число коих уже превысило 500 млн.

С середины декабря эксперты Seculert насчитали свыше 20 бот-сетей, сформированных на основе Citadel и использующих 5 разных версий этого зловреда.

Напомним, что Citadel ― одна из новейших модификаций ZeuS, которые стали активно множиться после утечки исходного кода в Сеть. Его авторы позиционируют его на черном рынке как SaaS-продукт и в обеспечение развития своего open-source проекта создали мощную CRM-платформу, мобилизующую опыт и ресурсы нового киберсообщества.

Seculert удалось определить географический разброс нескольких ботнетов, в состав которых входят совокупно свыше 100 тыс. ПК, зараженных Citadel. Его жертвы ― жители Западной Европы, США, Австралии, России и Индии. Наибольшее число заражений обнаружено в Италии (24%) и США (19%), в 2-3 раза меньше ― в Австралии, Германии, Польше, Великобритании.

Зафиксированные версии Citadel различаются набором дополнительных модулей и опций, некоторые из них были предложены самими пользователями. Например, одна из версий имеет опцию шифрования конфигурационного файла и каналов C&C связи по AES, и клиенту предоставляется выбор: использовать этот стандарт или перешедший по наследству от «Зевса» RC4. Citadel обрел также средство защиты от сторонних глаз, отслеживающих вредоносную активность (Zeus Tracker, MalwareURL и т.п.). Загрузка обновлений и файлов конфигурации в пределах конкретного ботнета теперь осуществляется с использованием особого ключа.

Ресурсы поставщиков антивирусов и других защитных решений занесены в черный список; эта опция позволяет Citadel блокировать загрузку новых средств обеспечения безопасности и обновлений для тех, что уже установлены. Модуль видеозаписи действий пользователя, отображаемых на экране, тоже предоставляется как опция. Он использует mkv-кодек и активируется при заходе жертвы на определенные сайты, но видеозаписи требуют больших объемов памяти на C&C сервере.

Как показал опрос, проведенный Microsoft в 27 странах, включая Россию, основная масса пользователей овладела базовыми навыками самозащиты от интернет-угроз, в которых используются технические трюки, но плохо знает, как оградить себя от кибератак, использующих методы социальной инженерии.

Оценка осведомленности пользователей о проблеме онлайн-безопасности производилась с помощью накопительной системы индексации компьютерной защищенности ― MCSI. Каждому участнику опроса начислялись баллы за осмотрительность и активное применение профилактических мер, которые затем суммировались. Предельное значение MCSI составляет 100 баллов. В опросе приняли участие 11 тыс. пользователей от 14 до 60 лет и более, проживающих в Западной Европе, а также в Израиле, России, Литве, на Украине, в Казахстане и Бразилии.

Согласно итогам опроса, в настоящее время средний показатель грамотности по всем представленным странам составляет 44 балла, что означает: базовые знания есть, но почивать на лаврах рано. Выше среднего индекс у молодежи, мужчин (за счет освоения технических средств защиты) и бездетных (заботятся о своей онлайн-репутации и используют псевдонимы). В целом по выборке 85% респондентов указали, что используют антивирус, хотя аналогичную защиту на мобильных устройствах установили лишь 18%. 57% опрошенных регулярно обновляют наличный софт, половина активировали брандмауэр, 61% усилили пароли, 51% проводят транзакции только на благонадежных сайтах.

В то же время лишь 29% участников опроса отметили, что используют антифишинговые и браузерные фильтры, а 39% вообще не принимают никаких мер, чтобы предотвратить хищение денежных средств и персональных данных. Единственный инструмент защиты от identity theft, который пользуется популярностью, ― это опция смены уровня конфиденциальности в социальных сетях, позволяющая ограничить информацию, доступную через интернет. Ее освоили примерно половина пользователей, да и то, в основном, подростки и те, кому еще нет 30-ти. Эти же возрастные группы активно используют ники, сложные пароли и контролируют объем личных данных в Сети с помощью поисковых систем.

Исследование также показало, что 80% подростков заходят в интернет из тех мест, где родители не могут их контролировать. Согласно приведенной выше статистике, они быстрее взрослых осваивают меры предосторожности, посему просвещение подрастающего поколения в отношении онлайн-безопасности ― занятие не только важное, но и весьма благодарное.

По данным Radware, специализирующейся на защите виртуальных и «облачных» датацентров, в 76% случаев скорость трафика, зафиксированного в прошлогодних DoS- и DDoS-атаках, составляла менее 1 Гб/с. Больше половины кибернападений, призванных вывести ресурс из строя, представляли собой атаки прикладного уровня, которые трудно выявить и пресечь.

Статистика по DoS-атакам, представленная в годовом отчете компании, опровергает ряд бытующих заблуждений относительно этой разновидности угроз. В частности, она доказывает, что мощные кибератаки, привлекающие всеобщее внимание, достаточно редки. В минувшем году лишь 9% DoS были вызваны перегрузками, превышающими 10 Гб/с. Эксперты также подчеркивают, что при оценке DoS важна не столько сила удара, сколько тип атаки. Небольшая диверсия вроде HTTP flood, реализованная на прикладном уровне, способна причинить намного больше вреда, чем массированный UDP flood.

Больше прочих от DoS-атак страдали финансовые организации (28% инцидентов), а также госслужбы и игровые веб-сайты (по 25%). В половине случаев жертва не знала, почему ее атакуют. 22% DoS-атак инициировали «хактивисты», 12% ― разгневанные юзеры, 7% конкуренты, 4% вымогатели.

В целом, DoS-нападения стали более сложными, продуманными и техничными. Согласно статистике Radware, соотношение кибератак, нацеленных на приложения и на сеть, примерно одинаково, 54 и 46%. Дело в том, что большинство маломощных атак проводятся комплексно, с применением flood-техник как на сетевом, так и на прикладном уровне. Злоумышленники могут одновременно нанести до 5 разных ударов, зачастую в обход защитных решений. Обнаружить и заблокировать UDP flood, SYN flood или TCP flood намного проще, чем flood-атаки на приложения, использующие реальные IP-адреса и полноценные транзакции.

В свете вышесказанного оборонительную стратегию, выстроенную по принципу «защищайся и поглощай», эксперты считают малоэффективной. Межсетевые экраны, на которые привыкли полагаться бизнес-структуры, нередко оказываются самым слабым звеном в обороне. По данным Radware, в 32% прошлогодних DoS-атак главные проблемы возникали из-за брандмауэра или системы предотвращения вторжений (IPS). Мощные, но примитивные flood-атаки можно погасить с помощью сервисной сети доставки контента (CDN), которая просто поглотит дополнительный трафик, хотя и за счет атакуемого клиента (ему придется оплачивать весь объем как легитимный). Однако, как показали недавние инциденты в Израиле ― на крупном новостном портале, на тель-авивской бирже и в авиакомпании El Al, CDN легко обойти сменой запроса страницы в каждой веб-транзакции. Используя технику произвольных запросов, злоумышленники заставляют CDN проксировать весь зловредный трафик на атакуемые серверы.

Что касается многоуровневых DoS-атак, то тут, по мнению экспертов, нужен целый комплекс защитных решений, в том числе проактивных, способных опознать вражеский инструментарий, выявить его слабые стороны и использовать их для нейтрализации угрозы.

В отчете Radware использованы результаты специализированного опроса и данные по 40 инцидентам, произошедшим в минувшем году. В осеннем онлайн-опросе приняли участие 135 руководителей корпоративных служб безопасности разного ранга, большинство которых не являются клиентами Radware. Полностью отчет можно посмотреть на сайте компании.

Будет ли сервис Bouncer эффективным инструментом в борьбе с вредоносным ПО в приложениях на базе Android?

Компания Google приняла правильные и, безусловно, необходимые меры, однако полностью проблема пока не решена. Судя по опубликованным об этом сервисе данным, все приложения будут проверяться на наличие уже известного вредоносного ПО. Другими словами, будет применяться система мультисканирования или нечто подобное, а значит, качество детектирования будет напрямую зависеть от того, какой антивирусный движок для анализа приложений будет использовать Google. Качество у всех движков очень разное, поэтому существует вероятность того, что некоторые вредоносные приложения не будут квалифицированы как вредоносные. Еще одним шагом Google станет эмуляция. Прием хороший, однако и его можно обойти: с помощью «обмана» эмулятора или запрограммировав приложение «вести себя» во время эмуляции как невредоносное. Короче говоря, те же приемы, которые используются для преодоления защиты Windows, теперь могут применяться и на Android.

Наверное, самая плохая ситуация — когда веб-сайт банка содержит вредоносную рекламу: неизвестно, какие программы и когда будут установлены на ваш компьютер, если кликнуть на рекламный баннер.

Нечто похожее происходит и с веб-сайтами, посвященными IT-безопасности, на которых размещена вредоносная реклама. Предполагается, что подобные сайты предоставляют сведения о том, как защитить свой компьютер от IT-угроз. Заходя на такой сайт, пользователи уверены в том, что его содержимое полностью безопасно, однако на деле из-за рекламных баннеров этим ресурсам нельзя доверять.

Недельный опрос, проведенный российским регистратором REG.RU среди владельцев доменных имен, показал хорошую осведомленность об интернет-угрозах и способах самозащиты в этой сфере.

В качестве главных угроз респонденты отметили размещение дезинформации, фишинговых и мошеннических сайтов на домене или его двойнике; рассылку спама с домена; потерю технического контроля над доменом, прекращение работоспособности ресурса, незаконную смену администратора, дефейс. Как оказалось, около половины владельцы доменов никогда не сталкивались с такими угрозами. Четверть опрошенных знакомились с ними от 1 до 5 раз, 19% — лишь однократно, 7% более 5 раз.

Среди неприятных инцидентов на домене, пережитых участниками опроса, были названы размещение недостоверного или поддельного контента (совокупно 21% ответов), отказ ресурса (18%), потеря технического контроля над доменом (13%), дефейс и потеря административного доступа (по 3%). Пострадавшие также отметили кибератаки, подрывающие доверие к брэнду или доменному имени: киберсквоттинг и тайпсквоттинг (совокупно около 20% ответов), рассылку спама с именем домена (16%), размещение фишинговых и мошеннических сайтов на схожем домене (15%). (Все цифры в этом абзаце указаны в соответствии с текстовой частью новости на REG.RU и несколько отличаются от статистики, представленной в виде диаграмм.)

Судя по результатам опроса, наиболее распространенными мерами безопасности являются системы email- или SMS-уведомлений об операциях с доменом/аккаунтом (57% респондентов), практика подтверждения операций по SMS-каналу (56%), а также использование HTTPS-протокола и SSL-сертификатов подлинности (44%). Эти варианты защиты и профилактики зачастую применяются комплексно и в комбинациях с другими средствами: привязкой к аккаунту «секретного вопроса», ограничением входа в личный кабинет по IP-адресу, усилением защиты почтовых систем, запретом операций с доменами на стороне реестра, регистрацией доменов-двойников.

В минувшем году REG.RU обработал более 2,5 тыс. жалоб на спам, размещение противоправного контента и прочие абьюзы, связанные с доменными именами. Владельцам доменов рекомендуется внимательней относиться к безопасности почтовых сервисов и личного кабинета, при регистрации указывать корректные данные администратора, а также дублировать регистрацию в популярных доменных зонах и выкупить схожие имена.

Неутомимый исследователь Брайан Кребс взял на мушку еще один ботнет, используемый для рассылки спама. В темных аллеях интернета нашлись зацепки, позволившие распознать оператора Grum среди участников фармпартнерок.

Grum, он же Tedroo, появился на спам-арене три года назад и специализируется, в основном, на рассылке рекламы фармпрепаратов. Зловред, лежащий в основе ботнета, распространяется посредством эксплойта уязвимости в браузере и использует руткит режима ядра. В начале прошлого года Grum насчитывал порядка 65 тыс. зараженных машин с совокупной производительностью свыше 1 млрд сообщений в сутки. По данным M86 Security, в настоящее время этот ботнет опережает всех конкурентов и ответственен за четверть спам-трафика в интернете.

Среди наиболее удачливых участников почившей SpamIt числился некий GeRa, владелец нескольких аккаунтов и активный покупатель эксплойт-трафика. Из фрагментов приватных чатов, слитых конкурентами одиозной фармпартнерки, Кребс узнал, что благодаря спам-рассылкам, проводимым этим подрядчиком и его протеже, SpamIt за 3 года осуществила не менее 80 тыс. продаж через интернет-аптеки, выручив свыше 6 млн. долларов. Общая сумма комиссионных по ним составила более 2,7 млн. долл. Как удалось установить, GeRa получал свои комиссионные на электронный кошелек WebMoney, открытый в 2006 году в московском офисе по паспорту некого Николая Алексеевича Костогрыза.

GeRa часто обращался к администраторам SpamIt, жалуясь на неадекватное поведение хостинг-провайдеров или проблемы с серверами. Названные им IP-адреса были опознаны экспертами как центры управления Grum. Со временем GeRa покинул SpamIt и переметнулся к ее конкуренту, партнерке Rx-Promotion, которую Кребс ассоциирует с именем экс-главы ChronoPay Павла Врублевского. По данным университетских исследователей из Сан-Диего, Rx-Promotion перечисляла все комиссионные за спам, генерируемый Grum, на один и тот же номер счета, открытого пользователем «gera».

Barracuda Networks опубликовала результаты статистического исследования, позволившего выявить ключевые различия реальных и поддельных профилей на Facebook.

Основой для исследования послужили данные о зловредной активности на Facebook и Twitter, собранные с помощью Barracuda Profile Protector, а также открытая информация о типовом поведении пользователей в Сети. Эксперты проанализировали тысячи подставных профилей на Facebook, созданные спамерами и мошенниками, чтобы определить характерные особенности, отличающие их от рядовых участников социальной сети. По результатам этого анализа была написана эвристическая подпрограмма, способная выявить имитаторов, примкнувших к социальному сообществу с недоброй целью.

Согласно итоговой статистике, собранной Barracuda по случайной выборке из 2884 активных Facebook-профилей, почти все подставные участники этой соцсети (97%) представляются дамами, тогда как у рядовых пользователей этот показатель составляет 40%. Около 60% имитаторов именуют себя бисексуалами ― в 10 раз больше, чем в реальности. Дружеских контактов у них почти в 6 раз больше, чем у обычных «фейсбукеров», они чаще причисляют себя к выпускникам колледжей и не делают легкомысленных записей в графе «Интересы». Интересно, что в фейковых профилях тэги к фотографиям проставляются в 100 раз чаще, чем это делают реальные пользователи. Все эти ключевые моменты в наглядной форме представлены на сайте компании.

Зима – время морозов, горнолыжных курортов и распродаж. Самое время для того, чтобы утеплиться, купить новую горнолыжную куртку или же просто обновить гардероб.

Предприимчивые мошенники активно пользуются интересом покупателей к распродажам и создают поддельные онлайн-магазины, которые якобы продают зимнюю одежду топовых брендов. На сайты таких «магазинов» покупателей заманивают скидками на товары.

Неплохие скидки на куртки “The North Face” на фальшивом сайте

Огромные скидки на товары модного бренда «Burberry» на фальшивом сайте

Цель мошенников – заполучить персональные данные пользователей. Если на таком сайте ввести всю необходимую для оплаты кредитной картой информацию (номер кредитной карты, фамилию и имя держателя карты, срок действия карты и секретный номер cvv), она попадает к злоумышленникам, а покупатель останется не только без оплаченного товара, но и без средств на счете.

Напомним, что мошенничество такого рода называется фишингом.

Сайтов фальшивых онлайн-магазинов в Сети много, и сделаны они качественно.

Фальшивые сайты

Нередко их дизайн в точности повторяет дизайн настоящих магазинов мировых брендов. Поэтому отличить поддельный сайт от официального очень нелегко.

Официальный сайт бренда «Burberry»

Сайт-подделка под «Burberry»

Как распознать фальшивки?

По данным компании Internet Identity (IID), специализирующейся на защите сетевых ресурсов, в начале нового года DNS Changer был обнаружен в сетях половины Fortune-500 компаний и ключевых федеральных служб США.

Одноименный ботнет, использовавшийся операторами для перенаправления трафика на рекламные сайты заказчиков, был обезврежен в минувшем ноябре. Американские власти при поддержке зарубежных коллег временно отключили основные DNS-серверы ботнета, заменив их подставными. Однако процесс идентификации и очистки зараженных машин далек от завершения, а срок поддержки альтернативных DNS-каналов истекает 8 марта. После этой даты владельцы инфицированных ресурсов рискуют остаться без интернета. Кроме того, резидентный DNS Changer препятствует обновлению ОС и антивирусных баз на зараженной машине, лишая жертву защиты от других зловредов.

Чтобы не повторилась история с Conficker, который до сих пор обитает на миллионах пользовательских ПК, представители ИТ-индустрии и федеральные власти создали специализированную рабочую группу, к которой присоединилась и IID. Подробные инструкции по локализации и очистке DNS Changer можно получить у любого участника рабочей группы, их список опубликован на общем веб-сайте. Корпоративные пользователи могут напрямую связаться с IID, обратившись к разделу «Контакты» на сайте компании.

Компания Adobe объявила о выпуске бета-версии Flash Player, снабженной «песочницей», для Mozilla Firefox.

Flash Player Protected Mode использует тот же механизм, который был реализован больше года назад в Adobe Reader X. Загружаемый объект (в данном случае swf-файл) обрабатывается в изолированной среде; все запросы на действия, требующие повышения привилегий, подаются через посредника («брокера»), реакция которого определена жестким набором правил и корректируется белыми списками.

Такой подход не избавляет от попыток эксплуатации брешей в популярном приложении, но помогает существенно ограничить неприятные последствия таких кибератак, усложняя задачу вирусописателям. С момента взятия «песочницы» на вооружение Adobe не зафиксировала ни одной успешной itw-атаки на Reader X. Работа Flash Player в безопасном режиме тоже доказала свою эффективность ― в этом уже имели возможность убедиться пользователи Google Chrome. Разработчики надеются, что интеграция Flash Player Protected Mode в Firefox окажется не менее полезной, и обещают перенести опыт на другие браузеры.

Безопасный режим Flash Player доступен для версий Firefox 4.0 и выше, работающих под Windows Vista или Windows 7. Пробная сборка пока предлагается для скачивания лишь сообществу разработчиков, актуальная информация уже опубликована на сайте компании. Результаты бета-тестирования будут учтены при подготовке финальной версии, выпуск которой запланирован на текущий год.

Google объявила о запуске нового защитного сервиса, который будет автоматически проверять Android Market на наличие вредоносного контента.

Система Bouncer подвергает анализу новые и уже загруженные приложения, а также учетные записи разработчиков. Как только продукт появляется на сайте, он подвергается проверке по антивирусной базе. Bouncer также прогоняет новую программу на симуляторе, отслеживая признаки потенциальной угрозы, и производит сравнение с проанализированными ранее приложениями. Проверка репутации разработчиков введена с целью пресечения нежелательных рецидивов.

По словам Google, новый сканер был запущен в тестовом режиме в прошлом году и уже позволил сократить число зловредных загрузок на 40%. В условиях роста интернет-угроз, ориентированных на платформу Android, это можно считать серьезным достижением, если только этот спад не является следствием низкой эффективности нововведения. Последняя авральная чистка Android Market от зловредов была проведена в середине декабря, и SMS-троянцев в магазине Google обнаружил не Bouncer, а сторонние эксперты.

Справедливости ради стоит отметить, что разработчики Android снабдили свое детище средствами самозащиты. Они реализовали на этой платформе «песочницу» и встроили систему запроса привилегий для приложений. К сожалению, практика показывает, что при установке новых программ многие пользователи игнорируют этот список, выводимый на экран, и бездумно соглашаются со всеми требованиями.

Безусловно, введение нового уровня защиты на Android Market можно только приветствовать, хотя более настоятельная проблема пока не решена. С нетерпением ждем от Google новостей об исправлении ситуации с обновлениями и о сокращении сроков закрытия уязвимостей по клиентской базе.

Группа организаций-участниц проекта DMARC.org опубликовала спецификации нового механизма, призванного повысить эффективность процесса аутентификации источников электронных сообщений и уменьшить риски в отношении абьюзов.

Существенным недостатком существующих технологий аутентификации, таких как SPF и DKIM, является отсутствие обратной связи между получателем и легальным отправителем. В такой ситуации почтовый провайдер, применяющий эти механизмы, достоверно не знает, в каком объеме ими пользуется отправитель. Посему он вынужден полагаться на сложные и далекие от совершенства методики, чтобы как-то различать мошеннические подделки и легитимные сообщения, не обеспеченные средствами проверки на подлинность.

Протокол DMARC (Domain-based Message Authentication, Reporting and Conformance) призван освободить оператора почтового сервиса от игры в «угадайку», помогая ему поддерживать тесную взаимосвязь с массовым отправителем. Он определяет интеграцию техник аутентификации в инфраструктуру отправителя и позволяет сигнализировать интернет-провайдерам о наличии таких средств защиты, а также публиковать политику в отношении писем, не прошедших проверку на аутентичность (например, отправлять их в спам-карантин или блокировать). DMARC предусматривает также получение от провайдера подробной статистики, позволяющей корректировать возможные упущения.

Разработчики новой технологии надеются, что ее освоение ускорит повсеместное развертывание систем аутентификации и создание доверенной среды. Безусловно, DMARC предполагает поддержку как на стороне отправителя, так и на стороне получателя, однако у этого протокола уже есть солидная база: его полтора года активно используют 15 участников проекта. Среди них ― ведущие почтовые сервисы (AOL, Gmail, Hotmail, Yahoo), финансовые организации (Bank of America, Fidelity Investments, PayPal), социальные службы (American Greetings, Facebook, LinkedIn), поставщики защитных решений (Agari, Cloudmark, eCert, Return Path, Trusted Domain Project). По оценке Google, в настоящее время около 15% легитимных писем на ее почтовом сервисе приходит с доменов, поддерживающих DMARC.

Возможно, внедрение новшества потребует дополнительных усилий по обеспечению приватности, а также финансовых затрат. Последние, по мнению участников проекта, не должны оказаться обременительными, так как новый протокол предполагает использование действующих стандартов и технологий. Разумеется, DMARC не гарантирует 100%-ную защиту от фишинга, но поможет оперативно отсеивать явные подделки. Авторы разработки предлагают использовать новую технологию в дополнение к существующим механизмам аутентификации. Заинтересованные организации могут ознакомиться с рабочим вариантом спецификаций на сайте DMARC.org. Новый протокол будет представлен на февральских конференциях MAAWG и RSA. После его обкатки в полевых условиях участники проекта планируют обратиться в IETF для утверждения DMARC в качестве отраслевого стандарта.

По данным Imperva, в июне-ноябре интенсивность попыток эксплойта уязвимостей в веб-приложениях, осуществляемых с помощью ботнетов, в среднем составляла 130-385 тыс. в месяц. На пике этот показатель взмывал почти до 38 тыс. в час (10 запросов в секунду).

К 30 объектам, отобранным для мониторинга полгода назад, эксперты добавили еще десяток популярных программ и расширили классификацию вредоносного трафика до 7 категорий. Как показывает статистика, хакеры отдают предпочтение «техничным» методикам, основанным на эксплойте типовых уязвимостей, которые, к сожалению, нетрудно отыскать. Наибольшее распространение получили такие техники, как RFI (Remote File Inclusion), SQL-инъекции, LFI (Local File Inclusion), XSS и DT (Directory Traversal). На долю двух последних пришлось больше половины вредоносного трафика, зафиксированного в отчетный период.

В новом отчете Imperva рассматривает также 2 новых разновидности кибератак, которые она называет business logic attacks, BLA ― атаки, использующие логику бизнес-приложения. Данная техника не нарушает функционала атакуемой программы и использует легальные входные значения, поэтому такой абьюз трудно обнаружить. Путем несложных манипуляций атакующий может выудить из приложения приватную информацию, изменить объем совместно используемых ресурсов, исказить данные, находящиеся в общем доступе, и т.п. ― зачастую в обход защитных механизмов.

Эксперты различают две вида BLA: коммент-спам и извлечение email-адресов. Оба легко поддаются автоматизации, а их результаты приносят хакерам материальную выгоду. Внедрение рекламных ссылок в поля комментариев является одним из способов накрутки рейтинга спамерских сайтов в поисковых системах. Согласно статистике Imperva, эти атаки особенно популярны в Восточной Европе. Возможность извлекать из веб-приложений почтовые адреса и прочую личную информацию помогает спамерам формировать списки для грядущих рассылок. Сбором адресов увлекаются африканские хакеры. В минувшем полугодии вклад BLA в зловредный трафик составил 14%.

Некоммерческая организация HostExploit опубликовала Тор 50 неблагополучных AS-провайдеров за октябрь-декабрь. В составлении квартального отчета принимала деятельное участие российская Group-IB.

Новый рейтинг был составлен по итогам исследования 39,8 тыс. автономных систем. Его возглавляет литовский хостер Hosting Media (AS47583), который в предыдущем квартале занимал 2-е место. На его площадках по-прежнему много эксплойтов, зловредов, их активно используют фишеры и спамеры, а по количеству серверов, управляющих ботнетами, Hosting Media вновь нет равных.

Прежний лидер непочетного списка, американский провайдер Oversee.net (AS33626) улучшил свои показатели в полтора раза, что позволило ему опуститься на 12-ю строку. США вновь заняли половину мест в ведущей десятке, а в Тор 50 их присутствие увеличилось до 20 позиций [PDF 1,68 Мб]. Россияне находятся за пределами первой 20-ки, в Тор 50 их четверо: ОАО «Вебальта» (AS41947), «Мегафон» (AS31133), «Агава» (AS43146) и SpaceWeb (AS44112). «Вебальта», похоже, почистила свои сети и смогла опуститься на 28-ю строку; тем не менее, этой компании было присвоено 4-е место в категории «Зараженные сайты». «Мегафон» с регионами занимает 3 позиции в десятке лидеров по спаму, столько же пришлось на долю России в категории «C&C ZeuS».

В январе традиционно начинаются рассылки, посвященные Дню святого Валентина. В этом году первую довольно небольшую спам-рассылку, предлагающую подарки к празднику, мы получили 14 января. С этого момента «валентинов» спам стал появляться в почтовом трафике довольно регулярно. Как показывает практика, рассылки посвященные Дню святого Валентина, обычно не столь многочисленны, как новогодние. В 2011 году доля таких рассылок в пиковый период (на второй неделе февраля) составила 0,21% от всех спамерских сообщений. Вероятно, на следующей неделе и за пару дней до праздника доля валентинова спама окажется ничуть не меньше, чем год назад. На уходящей неделе доля такого спама составила всего 0,004% от всего спам-трафика. И хотя эта цифра не слишком впечатляет, необходимо напомнить, что спамеры ежедневно распространяют миллиарды сообщений, а это значит, что в Сети ежедневно распространяется несколько сотен тысяч сообщений, посвященных Дню святого Валентина.

Подавляющее большинство спамерских валентинок англоязычны. Разумеется, в разных сегментах интернета встречаются рассылки и на других языках, однако англоязычные рассылки наиболее многочисленны и встречаются в спам потоках в разных странах. В свою очередь подавляющее большинство англоязычных рассылок относятся к «партнерскому» спаму. Англоязычные партнерские рассылки, посвященные дню святого Валентина, можно поделить на три группы: во-первых, это рассылки традиционно спамерских товаров – медикаментов и реплик элитных товаров – наполненные праздничной атрибутикой, с помощью которой спамеры пытаются привлечь внимание пользователей к своим сообщениям. Второй вид рассылок – это предложения от сезонных партнерских программ. Сюда входят предложения подарков для любимых, цветов и прочей продукции с праздничной символикой. Третий и наиболее опасный вид рассылок, посвященных Дню святого Валентина – вредоносные рассылки, подделанные под открытки с поздравлениями. В последние годы такие рассылки нечасто встречались в спам-потоках, но их не стоит сбрасывать со счетов.

На днях мы зафиксировалил рассылку, которая занимает промежуточное положение между вторым и третьим видом. Это англоязычное письмо, предлагающее отправить любимым бесплатные электронные открытки.

Вопреки ожиданиям, по ссылке в письме не было вредоносной программы, однако и электронных открыток там тоже не было.

Британская компания NCC Group, специализирующаяся в области информационной защиты, опубликовала Тор 10 стран, с территории которых осуществляются хакерские атаки.

Географический рейтинг хак-плацдармов возглавляют США и Китай, на долю которых в минувшем году приходилось 22 и 16% попыток взлома соответственно. По совокупности эти нападения ежегодно обходятся мировой экономике в 43 млрд. долл. Третье место с большим отрывом занимает Россия с показателем 3,6%; годовой ущерб от действий российских хакеров составляет порядка 4 млрд. долл. Пятерку лидеров замыкают Бразилия (3,5%) и Италия (3,1%).

Примечательно, что половину позиций в Тор 10 занимают страны Западной Европы. С территории Италии, Голландии, Франции, Дании и Германии было произведено почти 200 млн. непрошеных вторжений, обошедшихся жертвам в 16 млрд. долл. Великобритания оказалась за пределами ведущей «десятки», заняв 15-е место. Однако, по оценкам исследователей, деятельность британских хакеров причиняет значительный ущерб; в минувшем году его размеры составили 2 млрд. долл.

Рейтинг NCC был составлен на основе данных о несанкционированных вторжениях, представленных добровольцами в рамках проекта DSHield (автор ― американский институт SANS). Итоговая статистика учитывает все попытки взлома, как успешные, так и провальные.

В Румынии задержан 20-летний студент, подозреваемый во взломе сайтов Пентагона и НАСА.

Полицейские убеждены, что будущий ИТ-профи Маноле Разван Чернэяну (Manole Razvan Cernăianu) ― не кто иной, как TinKode. Сей азартный взломщик известен тем, что атакует именитые сайты для забавы, похваляется своими «подвигами» в социальных сетях и публикует обнаруженные уязвимости. На счету TinKode немало «боевых трофеев», хотя предпочтение он отдает американским ресурсам. Два года назад от его проделок пострадал официальный сайт британских ВМС, лишившись ряда паролей. TinKode также причастен к взлому сайтов Европейского космического агентства и MySQL, куда он цинично проник посредством SQL-инъекции.

Поскольку в расследовании, помимо румын, принимали участие ФБР и НАСА, Чернэяну инкриминируются лишь незаконное вторжение в американское пространство и нарушение нормального функционирования компьютерных ресурсов. В доказательство новых успехов хакер успел опубликовать видеоролик с демонстрацией кибератак, а также предлагал в своем блоге поделиться хакерским инструментарием.

По наблюдениям ZeuS Tracker, ботоводы ZeuS начали мигрировать из российской национальной зоны .ru в зону .su.

Согласно статистике швейцарских экспертов, зона .ru на протяжении нескольких лет активно использовалась злоумышленниками для размещения центров управления этим зловредом. Однако в начале текущего года количество таких C&C площадок заметно уменьшилось. Сократилось также время жизни новых ru-доменов, приобщаемых к командной инфраструктуре ZeuS. Если раньше оно измерялось неделями и даже месяцами, то в настоящее время составляет от 4 до 24 часов.

Активисты полагают, что главной причиной такого успеха является обновление правил регистрации доменных имен в зонах .ru и .рф, которые были введены в силу в минувшем ноябре. В новой редакции пункт 5.7 разрешает регистратору прекратить делегирование домена по запросу некой компетентной организации, если она представила доказательства, что этот домен используется для фишинга, несанкционированного доступа к чужим ресурсам, распространения зловредов или для управления ботнетом. Список компетентных организаций Координационный центр домена .ru обещает публиковать на страницах своего сайта.

Как бы то ни было, ботоводы ZeuS начали искать tld-зону с более благоприятным климатом и остановились на полузабытой, но еще активной .su. В настоящее время число su-доменов в списках ZeuS Tracker растет, 2 из 4-х C&C долгожителей-рекордсменов тоже размещены в этой зоне. При отсутствии в логах легальных запросов, ассоциированных с этим доменным пространством, эксперты советуют просто блокировать его на шлюзе.

Согласно статистике ZeuS Tracker по состоянию на 1 февраля, число активных центров управления ZeuS в Сети приближается к 200. Больше половины из них находятся на территории США, вдвое меньше ― в России. Из регистраторов хуже всех ситуация у российских «Наунет СП» (94 домена, ассоциированных с ZeuS) и REG.RU (78), из AS-провайдеров ― у азербайджанской ADaNET (15 C&C серверов) и американской GNAXNET (12).

Во второй половине минувшего года эксперты Sophos регистрировали в среднем 30 тыс. вредоносных страниц в сутки ― в полтора раза больше, чем в предыдущем полугодии. Более 80% этих страниц были обнаружены на взломанных серверах безвинных организаций.

В настоящее время главным видом кибератак являются drive-by загрузки. В 10% случаев вредоносные объекты, обнаруженные Sophos в интернете, были отнесены к разряду эксплойтов, две трети из них были представлены набором Blackhole. 67% детектов пришлось на долю редиректов, около половины которых были привязаны к ресурсам с Blackhole. Согласно статистике Sophos, в настоящее время этот эксплойт-пак является главной угрозой в Сети и атакует в первую очередь уязвимости в Java, Flash Player и Adobe Reader. Blackhole быстро обновляется с появлением новых брешей и в случае успешной эксплуатации награждает пользователя ботом (чаще всего ZeuS), руткит-дроппером (TDSS или ZeroAccess) или фальшивым антивирусом.

Присутствие последних в Сети с середины года пошло на убыль, однако с ними все еще приходится считаться. По данным Sophos, в июле-декабре на долю лжеантивирусов приходилось 5,5% детектов. Эксперты полагают, что этот спад ― явление временное, злоумышленники, скорее всего, просто перейдут на другие механизмы распространения этих поддельных продуктов.

Наиболее атакуемой платформой, вопреки регулярным починкам, остается Windows. Подавляющее большинство современных кибератак на этой платформе проводятся посредством эксплойта сторонних приложений ― в первую очередь, Adobe Reader и Flash. Однако, как показал минувший год, пользователи Mac OS тоже не застрахованы от назойливого внимания злоумышленников. Появление череды поддельных антивирусов типа MacDefender тому прямое свидетельство.

Особый раздел в полугодовом отчете Sophos посвящен Conficker/Kido, который, несмотря на давность, все еще сильно досаждает владельцам ПК. Согласно статистике компании, этот могучий червь до сих пор возглавляет рейтинг опасных зловредов. В минувшем полугодии он был ответственен за 14,8% заблокированных попыток заражения. Его живучесть эксперты объясняют агрессивной способностью к самораспространению и небрежением пользователей, не удосужившихся вовремя установить надлежащие заплатки.

Прошло четыре месяца с тех пор, как Microsoft и «Лаборатория Касперского» объявили о прекращении работы ботнета Kelihos/Hlux. Использовавшийся в ходе этого отключения метод sinkhole-маршрутизатора имеет преимущества, так как с его помощью можно обезвредить ботнет достаточно быстро без взятия под контроль главных командных серверов. Однако, как стало ясно позже, этого не достаточно, если хозяева ботнета остаются на свободе.

Вскоре после того, как был взят под контроль Kelihos/Hlux, мы наткнулись на новые самплы, которые очень напоминали исходную версию бота. Проведя сравнительный анализ, мы нашли все отличия новой версии от исходной. Здесь будет представлено краткое резюме этого исследования.

Начнем с самого нижнего уровня, с криптования и упаковки сообщений Kelihos/Hlux в коммуникационном протоколе, которые представлены в виде древовидной структуры:

По свидетельству KrebsOnSecurity.com, партнерская программа GlavTorg, специализирующаяся на продвижении поддельных предметов роскоши, с февраля прекращает свою деятельность.

Запуск этой российской «партнерки» был объявлен в 2010 году, в День независимости США. Кребс утверждает, что операторами GlavTorg.com являлись соучредители аналогичных предприятий, опекавших нелицензированные интернет-аптеки, ― Главмеда и SpamIt. Во всяком случае, первый анонс о новой партнерской программе появился на форуме Glavmed. Подопечные интернет-магазины GlavTorg занимались сбытом дешевых имитаций модных сумок, часов, солнцезащитных очков и обуви ― такие подделки часто рекламируются через спам.

По всей видимости, новая «партнерка» оказалась убыточной. В минувшем декабре участникам GlavTorg было объявлено, что программа будет свернута по причине «ухудшения качества продукции, предлагаемой поставщиками», а выплаты будут производиться лишь до 31 января. Судя по объявлению на стартовой странице русскоязычного сайта, домен glavtorg.ru уже выставлен на продажу.

Кребс полагает, что реальной причиной закрытия GlavTorg является прессинг со стороны владельцев торговых марок, незаконно использующихся для продвижения подделок. В сентябре прошлого года Chanel подала иск против владельцев интернет-магазинов, торгующих репликами ее товаров. Среди десятков доменов, переданных по суду компании, оказался и topbrandclub.com, крупнейший контрактор GlavTorg. На домашней странице этого ресурса теперь красуется предостережение от Chanel, адресованное потенциальным покупателям контрафакта.

Городской суд Йошкар-Олы вынес приговор по уголовному делу 32-х участников криминальной группы, которая за 3 года выманила у иностранцев свыше 5,5 млн. руб., поддерживая с ними переписку от имени перспективных «невест».

Как показало расследование, данная группировка действовала на территории республики Марий Эл с осени 2004 по июль 2007 гг. Аферисты арендовали несколько квартир в Йошкар-Оле и соседнем поселке Медведево, оборудовали каждую десятком компьютеров и наняли студентов, которые круглосуточно строчили послания сетевым романтикам. В ходе переписки жертву неоднократно просили перевести деньги для различных нужд, которые на самом деле шли на оплату аренды, покупку электронного оборудования и содержание охраны. По данным следствия, мошенникам удалось получить 225 денежных переводов от 125 обманутых иностранцев, большинство которых ― граждане США, а также канадцы, немцы, британцы и австралийцы.

Йошкар-олинский горсуд признал всех участников преступной группы виновными в нарушении ч. 4 ст. 159 УК РФ (мошенничество, совершённое организованной группой). Один из главарей, Алексей Васин, приговорен к 4,5 годам лишения свободы с отбыванием срока в исправительной колонии строгого режима. Остальные подельники получили от 3 до 5 лет условно с испытательным сроком 3 года и оштрафованы на разные суммы, от 4 до 15 тыс. руб.

29 других сообщников были осуждены ранее, еще 23 находятся под следствием.

Facebook и генпрокуратура штата Вашингтон обвинили маркетинговую компанию Adscend Media в использовании противозаконных методов ведения бизнеса и рассылке спама. Параллельные иски были поданы в двух американских штатах по предварительному соглашению.

Согласно исковым заявлениям, 80% доходов Adscend приносила реализация партнерской CPA-программы (Cost per Action, «Оплата за действие»). В соответствии с этой моделью участник «партнерки» получает оплату за активность посетителей на целевых ресурсах, т.е. потенциальный клиент должен не только перейти на рекламируемый сайт, но и совершить там определенные действия: заполнить анкету, подписаться на рассылку, заказать товар и т.п. По утверждению истцов, оператор «партнерки» не только одобрял использование Facebook в качестве полигона, но и поощрял своих подопечных использовать любые способы для привлечения участников социальной сети на сторонние сайты ― вплоть до спама и махинаций с «кликами».

Арбитражный суд Челябинской области оставил в силе постановление местного УФАС, в соответствии с которым ОАО «Мегафон» должно уплатить 100 тыс. руб. штрафа за ненадлежащую рекламу.

Административное наказание было назначено телеоператору по результатам расследования, проведенного по жалобе одного из его абонентов. Как оказалось, «Мегафон», действительно, прикреплял рекламные тексты к USSD-сообщениям, автоматически направляемым в ответ на запрос о состоянии абонентского счета. Челябинское УФАС заключило, что такая практика подпадает под статью 18 федерального закона «О рекламе», которая запрещает проведение коммерческих рассылок с применением средств автоматизированного выбора адресатов.

ОАО «Мегафон» попыталось опротестовать решение УФАС в суде, считая, что избранный им способ рассылки не является автоматическим, так как список получателей рекламы формирует оператор, т.е. человек. Однако суд отклонил эти доводы, установив, что при составлении списка адресатов оператор вводит в программный комплекс лишь критерии отбора группы абонентов. Итоговый выбор номеров производит автомат, отправляя рекламу только тем участникам списка, которые запрашивают баланс. Следовательно, утверждение «Мегафон», что в данном случае выбор адресатов осуществлялся человеком, не соответствует действительности.