С февраля почтовый сервис Twitter перешел на поддержку DMARC – нового протокола, призванного повысить эффективность процесса аутентификации отправителя и ускорить фильтрацию входящего трафика.

Каждый день Twitter рассылает огромное количество писем по своей клиентской базе, сообщая пользователям последние новости. Однако имя этого сервиса микроблогов, как и других социальных проектов, пользующихся большой популярностью, нередко становится жертвой спуфинга. Поддельные уведомления, якобы исходящие с Twitter, – излюбленный трюк фишеров, собирающих данные участников социальных сообществ, чтобы успешней маскировать нелегитимные рассылки.

Пользователи Google Chrome оказались под волной атак с использованием вредоносных расширений браузера, размещённых в официальном онлайн-магазине Chrome Web Store. По всей видимости, атака исходит из Турции и использует Facebook для распространения ссылок. По нашим наблюдением, пользователи из разных стран оказались заражёнными вредоносными расширениями, которые киберпреступники регулярно посылают в официальный онлайн-магазин.

Как мы уже сообщали в марте 2012 г., бразильские киберпреступники смогли разместить вредоносное расширение в Chrome Web Store. В июне 2012 Google изменил правила, по которым пользователи могут устанавливать сторонние расширения браузера, заблокировав возможность установки приложений, не размещённых в официальном онлайн-магазине. Позже Google убрал возможность автоматических установок, которой массово злоупотребляли третьи стороны.

Возможно, по этой причине киберпреступники переключились на загрузку вредоносных расширений в официальный магазин. Теперь, похоже, пришёл черёд турецких киберпреступников: они за последние несколько дней смогли загрузить туда несколько вредоносных расширений.

В ходе одной из атак, за развитием которых мы следили, с некоторых зараженных аккаунтов на Facebook начало рассылаться сообщение следующего вида, содержащее имена некоторых контактов жертвы и ссылки:

В связи с запуском новой системы социального поиска Graph Search специалисты по безопасности настоятельно рекомендуют участникам Facebook еще раз проверить настройки приватности и заняться чисткой уже опубликованных материалов. Разумеется, улучшенный поиск – благо для сервиса и его законных пользователей, однако такие нововведения облегчают задачу фишерам и спамерам, собирающим персональные данные в Сети, чтобы повысить эффект от своих рассылок.

По утверждению Facebook, служба Graph Search облегчит и ускорит поиск той информации в социальной сети, к которой ее участник имеет доступ. Новая система привязана также к поисковику Bing, чтобы доставлять дополнительные данные из интернета. Поскольку материалы, выложенные на Facebook, имеют разную степень конфиденциальности, поисковая выдача у пользователей будет персонализированной. Открытая информация появится во всех результатах поиска, учитывающего не только публичные записи в профилях и на стенах, но также пометки в фотоальбомах и итоги голосования (через кнопку «Like»).

Фишинговая схема с использованием названия Twitter набирает силу. Пара фишинговых доменов, ранее используемых для этой схемы в конце прошлой недели, были отключены, и их владельцы решили создать большое количество новых действующих доменов. Стоит обратить внимание на несколько моментов.

Если вы используете браузер Google Chrome, при заходе на сайт twitter.com браузер отображает индикатор url-адреса зеленого цвета, указывающий на то, что домен был верифицирован расширенным сертификатом SSL CA. Однако, учитывая, что в прошлом году мы наблюдали случаи со взломом CA (финальная версия отчета по взлому Diginotar была составлена на прошлой неделе), это может означать все, что угодно. Однако в этом случае проверить легитимность используемого вами сайта twitter можно следующим образом:

Данное личное сообщение привлекает внимание жертвы уведомлением полным драматизма: «Слышал, что о тебе говорят? Из-за тебя началась серьезные неприятности, вовлечено большое количество людей". Используется целый набор разных сообщений такого рода, о чем писали эксперты GFI.

При нажатии на эту сокращенную ссылку bit.ly ваш браузер будет перенаправлен через сервис отслеживания кликов

hXXp://client1.gtisolutions.co.uk/track?type=click=|||hXXp:// tivvtter.com/r1?zcms

далее – на не верифицированный, тщательно выбранный домен. На первый взгляд он выглядит почти как сам домен twitter:

Не вводите свой логин и пароль на этом сайте. Кроме того, существует как минимум еще полдюжины доменов, которые, как и этот, очень похожи на "twitter.com". Плохие парни используют их, пытаясь сделать так, чтобы вы ввели на них свои регистрационные данные. Если вы используете одни и те же пароли для разных аккаунтов, появляется риск того, что они могут быть украдены. Также, в аккаунтах Twitter хранится персональная информация пользователей, например, адрес электронной почты, который использовался для создания аккаунта Twitter. И поэтому - будьте осторожны и обращайте внимание на то, как написаны имена этих доменов.

У меня сложилось впечатление, что в последнее время фишинговых атак в социальных сетях стало меньше, чем раньше. Но сегодня, как только я зашёл в Twitter, я заметил, что получил два личных сообщения с очень похожим содержанием.

Первое сообщение пришло два дня назад. Я попытался проверить, ведет ли ссылка на ресурс, распространяющий вредоносное ПО, или на фишинговый сайт, но она была уже неактивна. Поэтому когда я получил второе сообщение, я проверил ссылку сразу же – сейчас, когда я это пишу, фишинговый сайт ещё активен.

По своей структуре сообщения были похожи. Единственное отличие заключалась в выборе сервиса сокращения ссылок (использовались сервисы bit.ly и y.ahoo.it), да ещё в тексте письма было изменено одно слово.

"hey, someone is spreading nasty rumours about you URL"
"hey, someone is spreading terrible rumours about you URL"

Бесплатное приложение, созданное университетскими исследователями для защиты от спама и вредоносных ссылок в социальных сетях, показало эффективность обнаружения 97%. Случаи ложного срабатывания составили 0,005%.

Программный продукт MyPageKeeper, разработанный в стенах Калифорнийского университета в Риверсайде, явился ответом академиков на рост интернет-угроз на социальных веб-сервисах. Приложение непрерывно сканирует стены и новостные рассылки подписчиков сервиса, отыскивает записи с признаками криминального или паразитического поведения и предупреждает о них владельцев профилей. Мусор, создаваемый спамерами, фишерами и распространителями зловредов в социальных сетях, исследователи называют собирательно – “socware”, от “social malware”.

Отслеживая определенные признаки, MyPageKeeper учитывает специфику “социального контекста”: характерные слова, число отметок “Like” и комментариев к записи. Например, присутствие такого слова, как “free” (“бесплатный”), “hurry” (“спешите”), “deal” (“выгодное предложение”) или “shoked” (“шокирован”), указывает на то, что использующая его запись – скорее всего, спам. По наблюдениям исследователей, малое количество положительных отзывов (“Like”) и комментариев также свидетельствует в пользу socware. URL, содержащиеся в сообщениях участников социальной сети, MyPageKeeper проверяет по черному списку доменов, уличенных в зловредной или спамерской деятельности.

В прошлом году новинка была опробована на Facebook, где проработала в тестовом режиме 4 месяца. За это время MyPageKeeper проанализировал свыше 40 млн. записей, сделанных 12 тыс. пользователей. Как оказалось, 49% из них имели шанс стать жертвой socware, если бы не предупреждение сторожевого приложения. Исследователи также обнаружили, что на идентификацию socware у MyPageKeeper уходит лишь 0,0046 с – против 1,9 с для обычных поисковых роботов.

Тестирование новой защиты позволило сделать еще ряд полезных выводов.

1. Потоки socware вбрасываются на Facebook ежедневно и в больших количествах, с заметными пиками во время масштабных скам-кампаний.
2. Некоторые ключевые слова, по которым работает MyPageKeeper, более характерны для socware, чем для почтового спама. Например, сокращение “omg” (“oh my god!”, “о боже!”) встречается на Facebook в 322 раза чаще, а слово “bank” – в 56 раз реже. Присутствие в записи 6 из 100 ключевых слов, которыми оперирует MyPageKeeper, позволяет ему с уверенностью классифицировать ее как socware.
3. К удивлению исследователей, лишь 54% ссылок, присутствующих в socware, оказались сокращены с помощью Bit.ly, TinyUrl.com и подобных им сервисов. Многие URL выглядели явно подозрительно, включая такие имена, как iphonefree5 и nfljerseyfree, однако пользователи все равно пытались их активировать.
4. 20% страниц, указанных ссылками в socware, размещены в пределах сети Facebook.

Работа университетских исследователей была представлена на августовском симпозиуме USENIX по безопасности компьютерных систем и сетей (USENIX Security '12). MyPageKeeper уже вызвал коммерческий интерес, однако разработчики не планируют останавливаться на достигнутом и хотят усовершенствовать свое детище, добавив функцию автоматического удаления зловредных сообщений.

Это может с каждым случиться … И если случается, обычно ни сам пострадавший, ни его родственники к этому не готовы. Речь идет о похищении людей.

У меня дважды был опыт работы с полицией, когда она занималась поиском и поимкой похитителей людей. В первый раз это никак не было связано со мной и моей семьей, но во второй – речь шла об одном близком мне человеке. Его похитили. И оказалось, что наша работа по выслеживанию киберпреступников может помочь в поимке преступников, которые вроде бы не имеют отношения к информационным технологиям. Интернет – не только инструмент для киберпреступников, он часто используется похитителями людей, чтобы вести переговоры с семьей или друзьями своей жертвы, особенно когда дело касается выкупа.И тут начинаешь понимать, что наша работа имеет очень большое значение, ведь собрав в интернете улик и проанализировав ошибки, совершенные преступниками, можно выйти на их след, а именно узнать их местоположение, например через IP-адрес.

Как я говорил в своем прошлом посте, количество вредоносного ПО для платформы Android неуклонно растёт. Причин роста много, в том числе та, что стать участником партнёрской программы и приступить к распространению вредоносного ПО может каждый и таких людей становится все больше. А те, кто в черном бизнесе уже давно, наращивают свои мощности и выдают всё больше вредоносного ПО. Пока речь идёт о количественной характеристике, будем называть это "ростом вширь". Рост интенсивный мы считаем качественным – в данном случае речь идёт о совершенствовании создаваемого вирусописателями ПО. Как правило, это уникальные образцы зловредов, написанные одним человеком или группой лиц. Такие зловреды совершенно не похожи на общие тренды.

Эксперты GFI Software обнаружили массовую рассылку вредоносных URL с поддельных Twitter-аккаунтов.

Зловредные твиты приглашают русскоязычных пользователей принять участие в свинг-вечеринке, англоязычных ― посмотреть на сексапильных дамочек. Все они доступны как с компьютера, так и со смартфона и снабжены ссылкой на внешний ресурс, размещенный в доменной зоне .tk. Последний по сути является редиректором и перенаправляет пользователя на страницу в зоне .ru, рекламирующую антивирусный сканер для Android-устройств.

При заходе на нее со смартфона потенциальной жертве воспроизводится русскоязычный текст, извещающий владельца устройства о заражении системных файлов с предложением активировать защиту. При нажатии соответствующей кнопки происходит загрузка и установка некоего файла, именуемого VirusScanner; на ПК он загружается с расширением .jar, на смартфон ― с .apk. Первый при выполнении выдает ошибку, второй содержит лжеантивирус, который с успехом инсталлируется на мобильном устройстве под логотипом Лаборатории Касперского.

Не так часто приходится анализировать вредоносные файлы, написанные в виде плагинов к кроссплатформенным браузерам. Еще реже встречаются плагины, написанные на кроссбраузерных движках. В данной публикации мы рассмотрим червя для социальной сети Facebook, написанного с использованием системы Crossrider, которая всё еще находится в стадии бета-тестирования.

Картинка с сайта http://crossrider.com