В минувшем квартале Cloudmark зафиксировала резкое сокращение потоков мошеннических SMS-сообщений, предлагающих абонентам «бесплатные» призы и подарочные карты от ведущих ритейлеров. По мнению экспертов, главной причиной этого спада являются коллективные иски, поданные Федеральной комиссией США (ФТК) против распространителей такого спама.

ФТК подала в суд на SMS-мошенников в начале марта. Сразу после публикации этой новости Cloudmark отметила, что дневная норма жалоб на «подарочный» SMS-спам снизилась до 10% от общего объема. В 2012 году на его долю пришлось 44% текстовых спам-сообщений, в январе-феврале нового года на пике эксперты получали до 78% жалоб в сутки, а в марте этот показатель сократился до 6%.

Российская компания Mail.ru Group объявила о расширении партнерства с международной системой оценки репутации сайтов WOT (Web of Trust). Отныне пользователи мобильной версии почты Mail.ru наравне с остальными клиентами этой почтовой службы будут получать предупреждение о возможной угрозе в момент перехода по присланной в письме подозрительной ссылке.

Рейтинг WOT составляется по принципу краудсорсинга, при активном участии интернет-добровольцев. Ссылки, которые пытаются активировать подписчики WOT, автоматически проверяются по общей базе. Если ссылка ведет на мошеннический/фишинговый сайт или содержит опасный контент, пользователю выводится соответствующее предупреждение. В настоящее время база WOT насчитывает свыше 41 млн. сайтов, в ее пополнении принимают участие 73 млн. пользователей интернета.

По данным Mail.ru, за последний год число пользователей ее мобильной почты выросло в несколько раз. Провайдер надеется, что запуск репутационных оценок для этой быстро растущей аудитории позволит снизить риски и защитить ее от угроз, неподвластных почтовому антивирусу. Mail.ru сотрудничает с WOT уже несколько лет; базу WOT используют также некоторые крупные социальные сети и веб-порталы.

Компания «Яндекс» запустила бета-версию бесплатного сервиса Яндекс.DNS, ограничивающего доступ к вредоносным ресурсам и сайтам для взрослых.

Для фильтрации новая служба использует данные поиска и собственного антивируса «Яндекс». При попытке зайти на опасный сайт с настольного компьютера, ноутбука или мобильного устройства пользователю выводится сообщение о блокировке.

Яндекс.DNS работает в трех режимах: без фильтрации, с защитой от вредоносного контента и в режиме семейного фильтра – с блокировкой вредоносных и нежелательных ресурсов. Каждой опции соответствует свой адрес DNS. Режим без фильтрации «Яндекс» рекомендует использовать тем, кому требуется лишь быстрая и надежная DNS-служба.

Настроить Яндекс.DNS можно через точку беспроводного доступа или маршрутизатор, прописав один из трех адресов этой службы в качестве основного. Соответствующие обновления прошивки пока доступны лишь для устройств D-Link и ZyXEL, но в будущем ожидается расширение списка поддерживаемых устройств. Инструкции по настройке DNS-сервиса «Яндекс» вручную приведены на сайте dns.yandex.ru.

Некоммерческая организация HostExploit опубликовала отчет о вредоносной активности в AS-сетях по итогам IV квартала 2012 года. В этом документе традиционно представлены списки TOP 50 хостов/сетей и TOP 10 стран с высокой концентрацией опасного контента. Самой неблагополучной в этом отношении страной третий квартал подряд признана Россия.

Напомним, что система индексации, разработанная HostExploit, включает множество параметров и учитывает не только число вредоносных объектов на серверах, но и общее количество IP-адресов в AS-системе. При этом исследователи каждый раз подчеркивают, что участники TOP 50 чаще всего не причастны к криминальной активности. Эти ежеквартальные списки публикуются с единственной целью — обратить внимание на проблемы, о существовании которых провайдер может даже не подозревать, и побудить его к активным действиям.

Первую строчку в TOP 50 за октябрь-декабрь 2012 г. заняла небольшая голландская сеть Ecatel (AS29073), в прошлом уже не раз занимавшая это непочетное место. Вторым оказался скромный российский хостинг-провайдер Ideal Solution (AS58001), зарегистрированный на Сейшелах. Его ресурсы злоумышленники используют преимущественно для рассылки спама и управления ботнетами, включая ZeuS. В первую десятку вошли также крупнейшие операторы Белтелеком (Беларусь, 3-е место) и OVH Systems (Франция, 5-е место), а также немецкий провайдер Hetzner Online (6-е место). На долю США в глобальном TOP 50 пришлось 13 позиций, на долю России — 8.

В категории «Зараженные сайты» с большим отрывом лидирует крупнейший российский почтовик Mail.ru. По оценке HostExploit, количество вредоносных URL во владениях этой компании за квартал резко увеличилось, и она попала в общий список TOP 50, поднявшись сразу на 10-ю ступень. В TOP 10 по зараженным сайтам присутствуют также такие известные имена, как Amazon.com (4-е место) и Google (7-е место).

За отчетный период исследователи обнаружили 132 центра управления разными ботнетами. TOP 10 по этому показателю возглавил московский провайдер IQ Host (AS50465), ресурсы которого полтора года назад активно использовали ботоводы ZeuS. Второе место в этой категории занял новичок SOTAL Interactive (AS61322), специализирующийся в области IP-телевидения и доставки контента. Эта российская AS-сеть насчитывает предельное малое количество IP-адресов (256), зарегистрирована на Украине и хостится за пределами России.

В категории «C&C ZeuS» лидировала российская компания Ideal Solution (AS58001), в сетях которой было найдено четыре таких сервера. На долю России в этом рейтинге пришлось три позиции из десяти.

В TOP 10 по спаму не оказалось ни одной индийской компании, хотя в предыдущем квартале Индия занимала половину позиций в десятке. Список теперь возглавляет скромный украинский хостинг-провайдер, именуемый FOP Smovskaya Valentina Ivanovna (AS197774), за ним следует белорусский гигант Белтелеком. Спамеры также активно используют ресурсы других крупных телеоператоров — Kazakhtelecom (4-е место) и Telefonica del Peru (7-е). Примечательно, что 3-ю позицию в списке по спаму заняла голландская компания CB3ROB (AS34109), она же Cyberbunker. Ее имя недавно всплыло в связи с мощнейшей DDoS-атакой, главной мишенью которой являлась антиспамерская организация Spamhaus.

Четыре позиции в ТOP 10 по фишерским площадкам, включая 1-е и 2-е места, заняли американские AS-сети. На седьмой строчке этого списка вновь фигурирует Google.

Как уже говорилось выше, десятку стран-лидеров по совокупной вредоносной активности вновь возглавила Россия. Эта страна лидирует в категориях «Зараженные сайты», «Badware» (шпионское ПО, программы показа рекламы, лжеантивирусы, PUP и т.п.), а также занимает 2-е место по концентрации C&C ботнетов. Вслед за Россией следует Беларусь, которая заняла 1-е место по спаму, имеет большое количество зараженных и фишинговых сайтов. 3-е место присуждено Украине, занимавшей в предыдущем квартале 5-ю позицию. Украинские AS-сети — вторые в мире по спаму, в них много центров управления ботнетами, включая ZeuS. В TOP 10 стран вернулись Виргинские острова (1-е место по эксплойт-площадкам) и США, которые выпали из этого непочетного списка на три квартала. В IV квартале HostExploit обнаружила в американских AS-сетях множество зараженных сайтов и командных серверов ZeuS. Географический рейтинг активисты составляют с учетом общего количества IP-адресов и числа инцидентов по всем AS-сетям в каждой стране.

В подготовке квартального отчета приняли участие эксперты российской компании Group-IB, датской CSIS и немецкой Cyscon. TOP 50 «плохих» хостов и сетей составлен по результатам анализа более 43 тыс. зарегистрированных автономных систем. Полный текст отчета доступен на английском и немецком языках.

Крупнейший телеоператор Deutsche Telekom, предоставляющий услуги более чем в 50 странах мира, ввел в строй новый информационный веб-ресурс с интерактивной картой, отражающей актуальные источники кибератак.

Данные о текущих кибератаках в реальном времени поступают с ловушек компании, размещенных по всему миру. Таких датчиков у Deutsche Telekom около сотни, и в настоящее время они регистрируют до 450 тыс. инцидентов в сутки. Эксперты отмечают, что большинство кибератак проводятся автоматизированными средствами, их число растет по мере того, как злоумышленники активизируют поиск уязвимостей в сетях и системах.

PhonepayPlus, британский регулятор сферы премиум-услуг, оштрафовал на 50 тыс. фунтов (около 80 тыс. долл.) московского владельца коротких номеров за использование SMS-троянца. В случае неподчинения принятому решению блюстители правопорядка намерены применить более жесткие санкции к сервис-провайдеру, использующему неэтичные методы ведения бизнеса в чужом интернет-пространстве.

Согласно результатам расследования, проведенного по жалобам абонентов, ООО «Коннект», осуществляющее деятельность в Сети под именем SMSBill, предлагало британцам Android-программу доступа к игровому порталу 7mobi.net. Данный продукт запрашивал разрешение на установку и был препровожден 8-страничным пользовательским соглашением, набранным мелким шрифтом. Те, кто не ленился прокрутить его до конца, обнаруживали, что посредническая услуга может обойтись им в 5 фунтов, причем эти сведения были размещены лишь на 6-й странице. Если пользователь соглашался на установку, с его смартфона отсылалось текстовое сообщение на короткий номер 80079, инициирующее отправку абоненту платной SMS с номера 79555. По свидетельству PhonepayPlus, входящее SMS-сообщение с этого номера в Великобритании стоит 10 фунтов (около 16 долл.). В итоге игрок попадал-таки на вожделенный портал, но деньги списывались с его счета без надлежащего уведомления.

Случаи использования мобильных зловредов, замаскированных под легальные приложения или идущих в комплекте с ними, для накрутки платного трафика в Великобритании нередки, и последнее время PhonepayPlus ведет активную борьбу против этого вида мошенничества. Дополнительный функционал «проводника» к игровому сервису был опознан Sophos как Android-троянец Opfake. По оценке PhonepayPlus, за время своего присутствия на смартфоне зловред успевал обокрасть неосторожного абонента в среднем на 100-250 фунтов (160-400 долл.). Сколько при этом выручала SMSBill, определить не удалось: компания, по всей видимости, игнорирует британский кодекс чести, действующий в сфере премиум-услуг, и не проявила особого желания сотрудничать со следствием.

По мнению британских экспертов, зарубежный сервис-провайдер нарушил сразу несколько положений местного кодекса профессиональной этики: стремился скрыть реальную стоимость услуги, взимал плату без уведомления и согласия абонентов, а также осуществлял свою деятельность на территории страны, не будучи зарегистрированным в PhonepayPlus. Помимо уплаты штрафа, москвичам предстоит в течение 3-х месяцев возместить британским абонентам убытки, понесенные ими из-за Opfake, и представить доказательства выполнения этого условия в контролирующий орган. Все премиум-услуги, которые провинившаяся компания планирует предложить британцам в ближайшие 2 года, должны быть одобрены PhonepayPlus. Если требования, выдвинутые британским регулятором, не будут соблюдены, нарушителю обещана более суровая кара.

Шаги, предпринятые FireEye для нейтрализации Grum, дали неожиданно быстрые результаты. Все действующие C&C ботнета-спамера были отключены в течение трех дней.

Как мы недавно сообщали, у Grum ― современного лидера по спам-рассылкам ― к июлю осталось лишь 4 активных центра управления. Два из них, размещенные на территории Панамы и России, использовались ботоводами для учета наличного состава и поддержки работоспособности подсетей, еще два, оба в Голландии, осуществляли сопровождение спамерской деятельности.

На призыв FireEye к совместным действиям первыми откликнулись голландцы. Местный интернет-провайдер отключил оба C&C сервера Grum, раздававшие спам-шаблоны и инструкции своим подчиненным. Тем не менее, ботоводы быстро оправились от удара и перенесли управление спам-операциями на Украину, подняв там сразу 6 новых серверов. Эксперты FireEye, внимательно следившие за ходом событий, сразу передали новую информацию коллегам, включая Spamhaus и Group-IB, а те, в свою очередь, задействовали свои российские и украинские контакты. 

К этому времени панамский интернет-провайдер, попытавшийся проигнорировать заморский запрос, уступил давлению общественности и отключил master-сервер Grum, обосновавшийся в его сетях. Второй несговорчивый хостер такого же контроллера, псковский ГазИнвестПроект, был вынужден с ним расстаться, когда магистральный провайдер заблокировал трафик с соответствующего IP-адреса. Одновременно пали и украинские серверы Grum. 

Разумеется, для полной победы над бот-сетью нужно еще найти и призвать к ответу ее операторов, а также провести очистку зараженных компьютеров. Spamhaus ежедневно регистрировала в среднем порядка 120 тыс. IP-адресов Grum, активно рассылающих спам. После отключения C&C их количество сократилось до 21,5 тысяч. Приводя эти цифры, FireEye отмечает, что они дают лишь примерное представление об истинных масштабах Grum. Многие компании и провайдеры блокируют исходящую почту по умолчанию, и участники бот-сети, сидящие за такими фильтрами, используются ботоводами лишь как площадки для размещения спам-рекламы.      

PhonePayPlus, британский регулятор сферы премиум-услуг, оштрафовал голландскую компанию Mobile Minded на 10 тыс. фунтов стерлингов (15,5 тыс. долл.) за мошеннические методы ведения бизнеса на территории Великобритании. Обманщик должен также возместить пострадавшим стоимость всех SMS, на которые те невольно подписались в погоне за призрачным призом.

Расследование, начатое по жалобам абонентов, показало, что Mobile Minded рекламировала свой премиум-сервис Bumbalee через спам на Facebook, предлагая подарочные купоны Morrisons ― крупнейшей британской сети супермаркетов. Чтобы их получить, претендент должен был поместить рекламный баннер Mobile Minded на своей странице и проставить «Thanks» («Спасибо») в комментариях. В обмен на «бесплатный» купон пользователю надлежало также заполнить некую анкету, однако при выборе соответствующей опции в баннере вместо страницы с опросником он попадал на сайт Bumbalee.

Как и следовало ожидать, промо-акция, проводимая от имени Morrisons, на поверку оказалась фикцией. Посетителю Bumbalee, «клюнувшему» на приманку, вновь предлагали принять участие в опросе. На сей раз мифическим «пряником» служил iPhone 5, и участники розыгрыша должны были отвечать на вопросы по SMS-каналам. Если абонент соглашался и на это условие, его подписывали на рассылку на недельный срок ― с соответствующим уведомлением, но без указания стоимости текстовых сообщений.

Расценки на SMS, рассылаемые с короткого номера Bumbalee, указаны лишь в конце целевой страницы сервиса, которая привязана к рекламному баннеру, распространяемому через спам на Facebook. Если участник социальной сети, обманом привлеченный на Bumbalee, не поленится прокрутить эту страницу на смартфоне, он обнаружит, что каждый SMS-вопрос обойдется ему в 2 фунта (3,1 долл.). По данным PhonePayPlus, жертвы мошеннической схемы получали в среднем 8 дорогих SMS; списание денег со счета производилось вне зависимости от того, отвечал абонент на вопросы или нет. Разумеется, грядущая версия «айфона», продвигаемая в качестве приза, обернулась пустым обещанием.

По оценкам PhonePayPlus, мошеннические трюки позволили владельцам Bumbalee «заработать» порядка 50-100 тыс. фунтов (77,6-155,2 тыс. долл.). Mobile Minded обязали в течение полугода вернуть деньги всем заявителям и представить регулятору соответствующий отчет. В ближайший год провинившейся компании предстоит передавать в PhonePayPlus все свои премиум-предложения и рекламные материалы ― для проведения проверки на соответствие британскому кодексу профессиональной этики. Найденные огрехи Mobile Minded должна будет устранять в двухнедельный срок.

Британского контент-провайдера обязали вернуть на счета абонентов все деньги, списанные в его пользу с помощью SMS-троянца. A1 Agregator Limited уплатит также 50 тыс. фунтов стерлингов штрафа (около 78,4 тыс. долл.) за мошенничество и нарушение кодекса профессиональной этики.

Эта санкции были утверждены после должного расследования PhonepayPlus, регулятором сферы премиум-услуг Соединенного Королевства. В декабре прошлого года в эту организацию поступили 34 жалобы на необъяснимую утечку денежных средств с абонентских счетов, которые стали регулярно таять после установки новых программ. Данные приложения представляли собой репаки популярных игр, таких как Angry Birds, Assassins Creed, Cut the Rope, и позиционировались в разных Android-магазинах как бесплатные.

Как и следовало ожидать, вместе с пиратской копией игры на смартфоны заявителей попала вредоносная программа, способная отсылать без ведома пользователя текстовые сообщения на короткий номер. Соответствующий премиум-сервис бомбардировал жертву ответными SMS, каждое из которых обходилось абоненту в 5 фунтов (свыше 7,8 долл.). При этом зловред прятал от пользователя входящие уведомления о списании средств в пользу номера, которому он приносил барыши. Обмен разорительными SMS продолжался до тех пор, пока жертва не догадывалась удалить новую «игрушку».

По свидетельству экспертов, данный SMS-троянец умеет использовать короткие номера в 18 странах и был скачан с Android Market 14 тыс. раз, прежде чем Google изгнала его из своего магазина и заблокировала аккаунты соответствующего разработчика. По оценке PhonepayPlus, в Великобритании от мошеннической схемы пострадали около 1,4 тыс. абонентов, совокупно потерявших свыше 27,8 тыс. фунтов (43,5 тыс. долл.). К счастью, благодаря оперативным действиям регулятора и участников рынка мошеннический номер был быстро заблокирован, и краденые деньги не успели уйти к хозяевам зловреда.

Провинившийся премиум-провайдер A1 Agregator был опознан одним из держателей сервиса коротких номеров как субподрядчик, который еще не успел завершить регистрацию в PhonepayPlus. Новобранцу предписано в 3-месячный срок вернуть всем пострадавшим деньги, украденные с помощью троянца, в том числе тем, кто не заявил о потере, и представить регулятору соответствующую документацию. В течение года ему также придется обращаться в PhonepayPlus за разрешением каждый раз, когда он вздумает предложить британцам какие-либо премиум-услуги. Что касается кодекса профессиональной этики, A1 Agregator нарушил сразу несколько правил, в том числе оказывал услуги, не имея регистрации; скрывал от абонентов стоимость сервиса; взимал плату, не заручившись согласием пользователей на оказание услуг. Согласно последним поправкам к британскому кодексу премиум-провайдеров, активность абонентского номера, сымитированная зловредом, не может считаться основанием для выставления счета.

Группа независимых исследователей HostExploit представила новый инструмент, позволяющий отслеживать географическое распределение и концентрацию зловредного контента в интерактивном режиме. Проект Global Security Map был разработан совместно с российскими экспертами Group-IB и датской аналитической компанией CSIS.

Интерактивная карта киберопасности является пробной попыткой отобразить в географической привязке флуктуацию уровней вредоносной активности, замеряемой по особой методике HostExploit. Разработанный экспертами алгоритм индексации уже несколько лет применяется ими для оценки загрязненности АС-систем; результаты регулярно публикуются в виде квартальных отчетов Top 50 Bad Hosts & Networks («50 самых неблагополучных хостов и сетей»). Отныне эта же статистика и история ее изменений будут доступны на отдельном сайте в разделении по странам.

В настоящее время в базе HostExploit числятся около 41 тыс. публичных АС-систем разной величины, и точно привязать их к определенным регионам порой чрезвычайно трудно. Одним из верных показателей географической принадлежности АС, по мнению экспертов, является страна ее регистрации. Для получения результатов по региональным доменам в каждом были просуммированы уровни криминальной активности по всем прописанным в нем АС. Итоговые сводные рейтинги Топ 10 и Топ 50 неблагополучных стран участники проекта Global Security Map представили в дебютном отчете о глобальной безопасности.