В минувшем квартале Cloudmark зафиксировала резкое сокращение потоков мошеннических SMS-сообщений, предлагающих абонентам «бесплатные» призы и подарочные карты от ведущих ритейлеров. По мнению экспертов, главной причиной этого спада являются коллективные иски, поданные Федеральной комиссией США (ФТК) против распространителей такого спама.

ФТК подала в суд на SMS-мошенников в начале марта. Сразу после публикации этой новости Cloudmark отметила, что дневная норма жалоб на «подарочный» SMS-спам снизилась до 10% от общего объема. В 2012 году на его долю пришлось 44% текстовых спам-сообщений, в январе-феврале нового года на пике эксперты получали до 78% жалоб в сутки, а в марте этот показатель сократился до 6%.

Рекрутинговый сервис HeadHunter совместно с компаниями Group-IB и UALinux разоблачил мошенника, незаконно использовавшего брэнд HeadHunter в целях личной наживы.

20-летний украинец создал поддельный сайт headhuhter.ru, имя которого, как можно видеть, отличается от названия известной компании лишь одной буквой. А для пущей убедительности тайпсквоттер украсил новый ресурс логотипом HeadHunter. Посетителям подложного сайта предлагалось авторизоваться, указав номер мобильного телефона. На этот номер высылалась SMS с кодом, который следовало ввести в веб-форму – якобы для завершения процесса авторизации. На самом деле, как обнаружили эксперты, в результате такой «авторизации» посетителя подписывали на платные услуги контент-провайдеров, которые наверняка не скупились на вознаграждение посреднику.

По итогам расследования против «предпринимателя» было возбуждено административное дело по статье 51-2 КоАП Украины (нарушение прав на объекты интеллектуальной собственности). Суд признал молодого человека виновным и наложил штраф, сумма которого не раскрывается. Хотя судили его за нарушение авторских прав, пострадавшие, по данным HeadHunter, могут в индивидуальном порядке подать заявление о возмещении убытков. Поддельный сайт headhuhter.ru закрыт, количество пострадавших и общую сумму ущерба, причиненного мошенником, никто пока не огласил.

В связи с увеличением попыток тайпсквоттинга владельцы HeadHunter развернули активную борьбу с мошенничеством, наносящим урон репутации портала. На сайте уже выложена информация о типовых приемах мошенников, обманом завлекающих посетителей на подставные сайты и разоряющих их мобильные счета. А соискателям и работодателям напоминают, что регистрация на HeadHunter бесплатная и не предполагает отправки каких-либо SMS. Кроме того, при заходе на рекрутинговый сервис следует в первую очередь обратить внимание на адресную строку и убедиться в подлинности ресурса. Главная страница HeadHunter расположена по адресу http://hh.ru/, остальные сайты имеют адрес вида http://город.hh.ru. Сообщить о найденной подделке можно на адрес anti-phishing@hh.ru.   

Чтобы лишить мошенников возможности получать доход за счет сервиса коротких номеров, HeadHunter объединил усилия с компанией «Мегафон» и приглашает к сотрудничеству других операторов сотовой связи. За последние три месяца партнеры пресекли несколько мошеннических схем отъема денег у абонентов «Мегафон», ищущих работу на hh.ru. Во всех случаях для привлечения соискателей на поддельный сайт злоумышленники использовали спам-рассылки. После подтверждения фактов мошенничества контент-провайдеры, ответственные за короткие номера, были оштрафованы «Мегафон» в пользу пострадавших, а мошеннический контент убран с сайтов. По оценке специалистов HeadHunter, сотрудничество с компанией «Мегафон» поможет сократить число обманутых пользователей сайта hh.ru на 30%.

Ведущий телеоператор Польши и администратор национального реестра, NASK (Naukowa i Akademicka Sieć Komputerowa), установил контроль над 23 местными доменами, задействованными в командной инфраструктуре ботнета Virut.

Полиморфный вирус Virut, заражающий исполняемые файлы Windows, появился в интернете более 6 лет назад. Он распространяется через съемные носители, файлообменники, при этом зараженным может оказаться не только исполняемый, но и html-файл. Virut обладает функционалом бэкдора, и IRC-ботнет, созданный на его основе, зачастую используется для распространения других вредоносных программ, участвуя в многочисленных PPI-партнерках. С&С адреса и номера портов жестко прописаны в коде этого зловреда, хотя в начале текущего года он, по данным Symantec, обзавелся генератором доменов, ― резервным механизмом, позволяющим ботоводам быстро восстановить управление, если основные С&С домены окажутся вне доступа.

Участники швейцарского проекта Abuse.ch обнаружили, что операторы р2р-ботнета Kelihos, специализирующегося на рассылке спама, покинули TLD-домен .eu и обновляют боты с сайтов, размещенных в российской национальной зоне.

По данным Abuse.ch, перенос площадок, используемых злоумышленниками для распространения Kelihos, он же Hlux, в другую TLD-зону произошел минувшим летом. Активисты насчитали свыше 170 ru-доменов, ассоциированных с хостами fast-flux сети, раздающими вредоносные файлы calc.exe и rasta01.exe. Все эти домены зарегистрированы через Reggi.ru и обслуживаются NS-серверами, также размещенными на fast-flux ботнете. Регистратор DNS-имен все тот же – Internet.bs (Багамы).

Microsoft заключила мировое соглашение с ответчиком по делу о противоправном использовании доменной зоны 3322.org. По обоюдной договоренности компания отзывает свой иск и передает контроль над вредоносными поддоменами китайской группе реагирования на компьютерные инциденты (CN-CERT).

Напомним, что поводом для подачи иска послужило обнаружение командного сервера ботнета Nitol, который хостился в доменной зоне 3322.org и использовал ее сервис динамических DNS (DDNS). Владельцем домена и оператором DDNS-сервиса оказалась одна и та же китайская компания, которую Microsoft обвинила в потворстве ботоводам. Более того, в ходе расследования выяснилось, что 70 тыс. поддоменов 3322.org используют еще 500 разных зловредов. Чтобы пресечь вредоносную активность в этом адресном пространстве, MS с разрешения суда перенаправила DNS-трафик с 3322.org на свои серверы и стала его фильтровать.

Это решение было временным, и теперь, по условиям соглашения, китайский DDNS-сервис возобновит свою работу. Его владелец Пэн Юн (Peng Yong) изъявил готовность сотрудничать с Microsoft и китайской CERT и будет перенаправлять все запросы от поддоменов, указанных в блок-листах, на sinkhole-компьютер CN-CERT. Юн будет пополнять эти блок-листы по указанию MS и китайской стороны, а также помогать им отыскивать жертвы инфекции на территории Китая и оказывать посильную помощь в очистке.

Всю информацию, собранную в ходе расследования, Microsoft передаст CN-CERT, которая с помощью Юна постарается идентифицировать и призвать к ответу владельцев вредоносных поддоменов. За 2 с лишним недели фильтации DNS-трафика по 3322.org MS удалось заблокировать свыше 609 млн. запросов, исходящих с 7,65 млн. уникальных IP-адресов, прописанных в 40 странах. Чтобы оповестить интернет-провайдеров о заражениях и ускорить процесс очистки, эксперты связались с участниками security-проекта Shadowserver Foundation и начали распространять собранную информацию через национальные CERT.

Окружной суд Восточной Виргинии удовлетворил ходатайство Microsoft о захвате контроля над org-доменом, ассоциированным с вредоносной деятельностью. Разрешение выдано на ограниченный срок.

Поводом для подачи ходатайства послужил тот факт, что на домене 3322.org, владельцем которого является китайская компания, размещен командный сервер Nitol ― ботнета, попавшего на радары MS. Проверяя каналы своих поставок на китайский рынок, эксперты сделали контрольные покупки ― и обнаружили боты Nitol, установленные на ПК вместе с контрафактной версией Windows. Зараженными оказались 20% машин, приобретенных ревизорами в Китае. Цепочки поставок имеют больше количество промежуточных звеньев ― логистов, дистрибьюторов, реселлеров. В отсутствие адекватных политик и строгого контроля у субподрядчиков зловред мог быть внедрен на любом из этих этапов.

Во 2-й половине прошлого года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зафиксировала немногим более 83 тыс. уникальных фишинговых сайтов ― на 26% меньше, чем в предыдущем полугодии. По мнению экспертов, одной из главных причин уменьшения этого показателя является сокращение использования фишерами виртуальных серверов, взлом которых позволяет им создать целую сеть сайтов-ловушек, привязанных к общей хостинг-площадке.

Количество институтов, избранных фишерами в качестве мишеней, также уменьшилось ― до 487 против 520 в I полугодии. При этом объектами 78% фишинговых атак (уникальных подделок) являлись лишь 20 организаций. Список мишеней, облюбованных фишерами, впервые возглавил китайский аналог eBay и Amazon ― коммерческий сервис Taobao.com, на долю которого в отчетный период пришлось 22,2% имитаций. Бывший лидер этого рейтинга PayPal занял второе место с большим отрывом (8,6% атак).

Особой активностью по-прежнему отличались фишеры, действующие на территории Китая. За II полугодие они использовали свыше 22,2 тыс. поддельных сайтов для проведения кибератак против китайских организаций ― на 26,7% больше, чем в январе-июне. Больше трети из них были бесплатно зарегистрированы фишерами в доменной зоне .tk (Токелау), свыше 30% ― на поддоменах .pl и .cc.

В целом за полугодие фишеры использовали около 50,3 тыс. доменных имен. 39,5% фишинговых сайтов были привязаны к TLD-зоне .com, 9,2% ― к зоне .tk, 7,4% к .pl. Самая высокая плотность абьюзов зарегистрирована в национальных зонах Токелау, Индии и Таиланда, в которых на 10 тыс. зарегистрированных доменов было обнаружено 12,0, 11,7 и 10,6 фишерских имен соответственно при медианном показателе 3,2 (в зоне .com, например, он составил 2,3). По данным APWG, более половины сайтов, созданных фишерами в зоне .in, имитировали игровой сервис Battle.net.

Четверть доменов, используемых для фишинга, были зарегистрированы со злым умыслом, остальные принадлежали владельцам взломанных ресурсов. 62% доменов, зарегистрированных фишерами, использовались для проведения атак на территории Китая. 93% злонамеренных регистраций пришлось на долю TLD-зон .tk, .com, .info и .in, причем на долю первой ― 57%. За июль-декабрь исследователи также насчитали свыше 16,66 тыс. уникальных поддоменов, используемых фишерами, на которых были размещены 17,39 тыс. уникальных сайтов-ловушек ― на 38% больше, чем в предыдущем полугодии.

Среднее время жизни фишинговых сайтов продолжает сокращаться и в минувшем полугодии составило 46 часов 3 минут при медианном значении 11 часов 43 минуты. Быстрее всего эти сайты закрывают в зонах .info, .org, .tk и .cc ― благодаря агрессивной политике операторов соответствующих реестров в отношении абьюзов. Сроки службы подделок, ориентированных на китайских пользователей, не известны, так как китайский инфоцентр CNNIC (China Internet Network Information Center), предоставляющий APWG данные о местном фишинге, их не фиксирует.

По наблюдениям участников швейцарского проекта Abuse.ch, новый ботнет Kelihos использует, в основном, ресурсы стран СНГ и бывшего соцлагеря. Больше трети IP-адресов, мобилизованных ботоводами, прописаны в Польше.

Версия Kelihos/Hlux, послужившая основой для новоявленной бот-сети, была обнаружена экспертами ЛК вскоре после того, как Microsoft и ЛК объявили о взятии под контроль одноименного ботнета-спамера, на то время единственного. Обновленный зловред тоже специализируется на рассылке спама, но его функционал был дополнен и обеспечивает ботоводам широкий выбор мошеннических схем заработка. Старый ботнет в настоящее время заблокирован и не принимает участия в криминальной деятельности.

Статистика Abuse.ch подтверждает, что новый Kelihos обосновался в TLD-зоне .eu. Активисты насчитали около 40 eu-доменов, ассоциированных с хостами fast-flux сети. Все они зарегистрированы через одну и ту же американскую компанию ― OnlineNIC. DNS-серверы, обслуживающие эти домены, тоже размещены на fast-flux ботнете; такой двойной заслон на базе технологии динамической перерегистрации IP-адресов сильно затрудняет выявление и блокировку ключевых узлов Kelihos. Доменное имя, используемое злоумышленниками для DNS-нужд, оформлено через регистратора Internet.bs (Багамы).

С 24 февраля вступили в силу изменения, внесенные RU-CENTER в регламентирующие документы для доменов третьего уровня. Изменения касаются условий, при которых оказание услуг может быть приостановлено регистратором.

В новой редакции п. 3.3.6 регламента закрепляет за регистратором право прекратить делегирование домена, уличенного в противоправной деятельности или нанесении ущерба третьим лицам. Судя по перечню незаконных действий, приведенному RU-CENTER, речь здесь идет, в основном, о размещении агрессивного, порнографического и аморального контента. При этом регистратор вправе самостоятельно определять факт правонарушения, даже в отсутствие действующих нормативных актов.

Новые положения регламента и некая размытость формулировок породили массу неприятных опасений, посему RU-CENTER счел нужным опубликовать некоторые разъяснения. По словам регистратора, внесение изменений было вызвано, прежде всего, стремлением привести внутреннюю документацию в соответствие с общими правилами регистрации доменов в зонах .ru и .рф. Обновленная версия Правил вступила в силу в минувшем ноябре; в ней прописаны дополнительные основания для прекращения делегирования доменов второго уровня аккредитованными регистраторами.

Недельный опрос, проведенный российским регистратором REG.RU среди владельцев доменных имен, показал хорошую осведомленность об интернет-угрозах и способах самозащиты в этой сфере.

В качестве главных угроз респонденты отметили размещение дезинформации, фишинговых и мошеннических сайтов на домене или его двойнике; рассылку спама с домена; потерю технического контроля над доменом, прекращение работоспособности ресурса, незаконную смену администратора, дефейс. Как оказалось, около половины владельцы доменов никогда не сталкивались с такими угрозами. Четверть опрошенных знакомились с ними от 1 до 5 раз, 19% — лишь однократно, 7% более 5 раз.

Среди неприятных инцидентов на домене, пережитых участниками опроса, были названы размещение недостоверного или поддельного контента (совокупно 21% ответов), отказ ресурса (18%), потеря технического контроля над доменом (13%), дефейс и потеря административного доступа (по 3%). Пострадавшие также отметили кибератаки, подрывающие доверие к брэнду или доменному имени: киберсквоттинг и тайпсквоттинг (совокупно около 20% ответов), рассылку спама с именем домена (16%), размещение фишинговых и мошеннических сайтов на схожем домене (15%). (Все цифры в этом абзаце указаны в соответствии с текстовой частью новости на REG.RU и несколько отличаются от статистики, представленной в виде диаграмм.)

Судя по результатам опроса, наиболее распространенными мерами безопасности являются системы email- или SMS-уведомлений об операциях с доменом/аккаунтом (57% респондентов), практика подтверждения операций по SMS-каналу (56%), а также использование HTTPS-протокола и SSL-сертификатов подлинности (44%). Эти варианты защиты и профилактики зачастую применяются комплексно и в комбинациях с другими средствами: привязкой к аккаунту «секретного вопроса», ограничением входа в личный кабинет по IP-адресу, усилением защиты почтовых систем, запретом операций с доменами на стороне реестра, регистрацией доменов-двойников.

В минувшем году REG.RU обработал более 2,5 тыс. жалоб на спам, размещение противоправного контента и прочие абьюзы, связанные с доменными именами. Владельцам доменов рекомендуется внимательней относиться к безопасности почтовых сервисов и личного кабинета, при регистрации указывать корректные данные администратора, а также дублировать регистрацию в популярных доменных зонах и выкупить схожие имена.