В последнее время вновь участились случаи рассылки мошеннических писем, маскирующихся под новостную рассылку от телеканала CNN. Получателя привлекают шокирующим заголовком (падение индексов на бирже, избрание нового Папы Римского) и просят кликнуть по ссылке для прочтения полной версии статьи. Для достоверности в письме есть ссылки на настоящие странички CNN, но ссылка с шокирующей новостью является, конечно же, поддельной. Она ведет на взломанный сайт, откуда с помощью java-script идет переадресация на сайт с вредоносным программным обеспечением, в данном случае – с Blackhole Exploit kit.

Одновременно прошла волна мошеннических писем, имитирующих уведомления от социальной сети Facebook. В этих письмах спамеры предлагали получателю посмотреть новые комментарии к его фотографиям. Механизм действия спамерской ссылки был идентичным с вышеописанным случаем. Но, что интересней всего, мошенники даже не потрудились переделать ссылки. Если в первом случае для большего правдоподобия в постфиксе домена стояло «cnnbrnews.html», то такое же окончание ссылки в подделке под извещения от Facebook выглядят довольно небрежно.

В остальном, киберпреступники, к сожалению, такой рассеянности не проявили. Письма с вредоносными ссылками продолжают распространяться, что снова заставляет напомнить о необходимости осторожного обращения с подозрительными сообщениями.

Традиционный для этого времени года новогодний и рождественский спам разбавлен сейчас новой тематикой: ожиданием конца света. Согласно вычислениям древних индейцев майя, 21 декабря произойдет окончание цикла длинного счета Эры Пятого Солнца. На этой дате их календарь обрывается, что дало нашим современникам основания предположить, что в этот день наступит конец света. Разумеется, такая дата не могла ускользнуть и от внимания спамеров: конец света - чем не повод прорекламировать свой товар?

Вот, например, что пишут по-русски:

 

А вот что пишут по-английски:

 

Ежегодно 31 октября во многих странах мира отмечается праздник Хэллоуин. Спамеры, конечно же, не могли обойти это событие стороной, и за последний месяц сотрудники ЛК регулярно детектировали рассылки, посвящённые этому празднику.

Эксперты предупреждают о вредоносной рассылке, эксплуатирующей интерес широкой публики к предвыборным дебатам между кандидатами на пост президента США.

Спам-фильтры Websense отсеяли тысячи зловредных писем, замаскированных под новостной бюллетень CNN. Их заголовок гласит: “CNN Breaking News - Mitt Romney Almost President” (“Последние новости от CNN – Митт Ромни почти президент”). По свидетельству экспертов, все кнопки “Full story” (“Читать полностью”) в поддельной ленте “горячих” новостей, вставленной в тело спам-письма, ведут на сайты-редиректы, перенаправляющие получателя на эксплойт-площадки с новейшей версией Blackhole. Целью данной кибератаки является загрузка на машину жертвы версии ZeuS, использующей руткит режима пользователя.

Очередной этап борьбы с неконтролируемым сбытом медикаментов в интернете, проводимой в рамках трансграничной операции "Пангея", завершился рекордными результатами. Закрыто 18 тыс. сайтов, связанных с теневой ”фармой”, произведено 79 арестов, изъято 3,75 млн. потенциально опасных препаратов на общую сумму 10,5 млн. долл.

Число стран-участниц тоже увеличилось – до 100 против 81 в прошлом году. Национальные рейды проводились в течение недели, с 25 сентября по 2 октября. Под удар попали все звенья подпольного фармбизнеса: торговые точки, платежные системы, изготовители, поставщики и, конечно, "партнерки", продвигающие контрафактные лекарства и доморощенные снадобья через спам-рассылки.

Американский Центр приема жалоб в отношении киберпреступлений (Internet Crime Complaint Centre, IC3), работающий под эгидой ФБР, предупреждает о новой волне мошеннических сообщений о мифическом киллере.

Почтовые сообщения, представленные заявителями в IC3, написаны от имени некого Бауэра, частного агента из безвестного сыскного бюро, ― разумеется, международного масштаба. К сожалению, на этом фантазия спамеров иссякает: «агент» вполне ожидаемо выслеживает «киллера», мишенью которого якобы является получатель спам-письма. Чтобы ускорить поимку злодея, «намеченной жертве» предлагают связаться с «агентством» и приобрести там «тревожную кнопку».

Письма-«страшилки» о наемном убийце, которому якобы «заказали» адресата (так называемый hitman scam), появились в массовом обращении в конце 2006 года. С тех пор они периодически всплывают в репертуаре спамеров, обрастая новыми деталями и персонажами. Вначале это были откровенно вымогательские письма, сродни «нигерийским»: их авторы от имени киллера пытались заставить адресата заплатить за «отказ от преследования». Тогда федеральные агенты поспешили успокоить встревоженных пользователей, выпустили ряд алертов и провели разъяснительную работу.

Эти превентивные меры, видимо, спровоцировали первые изменения в спамерском сюжете: «письма о киллере» стали распространяться от имени ФБР. У получателя больше не просили «отступных», ему предлагали принять участие в расследовании, якобы проводимом по делу «киллера»», уже арестованного. Чтобы подтолкнуть потенциальную жертву к ответным действиям, ей сообщали, что ее имя значится в списке мишеней, изъятом у «киллера». Если адресат, проглотив наживку, вступал в переписку с мошенниками, у него на каком-то этапе запрашивали персональные данные.

Когда ФБР погасило и эту волну, мошенники на какое-то время оставили американцев в покое и откочевали в Австралию. Последняя спам-рассылка «от киллера» на территории этой страны была зафиксирована минувшим летом, при этом угрозы распространялись в виде SMS.

Очередную смену сюжета спамеры, судя по всему, решили обкатать на проверенной аудитории и вернулись в США. Вопреки их стараниям, во всех вариациях писем четко прослеживается поставленная задача: запугать получателя и вовлечь его в приватную переписку. Потенциальную жертву просят действовать быстро, держать рот на замке и ни в коем случае не обращаться в полицию.

IC3 призывает пользователей игнорировать подобные спам-письма. Любой ответ подскажет авторам рассылки, что email-адрес активен, и они не отступятся, пока не получат с намеченной жертвы деньги или персональные данные.

Всего несколько дней осталось до начала церемонии открытия Летних олимпийских игр в Лондоне, и в этой связи самое время мягко напомнить о безопасности.

В данном случае речь идет не о безопасности самих Игр. Конечно, возможно, что кто-то может попытаться нарушить системы, используемые для поддержки Олимпиады – к примеру, повредить веб-сайты, исказить показания информационных табло или «посеять» вредоносные программы на официальных веб-сайтах Игр. Однако правительством Великобритании создана команда для сведения к минимуму риска прямых атак на олимпийские системы 2012 года в Лондоне.

Я хотел обратить внимание на две возможные опасности, с которыми могут столкнуться посетители игр.

Во-первых, есть риск того, что мошенники могут заманить болельщиков на поддельные веб-сайты, которые на первый взгляд выглядят как легитимные, например, 'www.london2o12.com'. Возможно, злоумышленники попытаются обогатиться за счет ажиотажа в связи с покупкой билетов в самый последний момент. На поддельном сайте мошенники могут продавать фальшивые билеты или просто выманивать личную информацию. При этом для привлечения пользователей на такие сайты фишеры могут использовать не только электронную почту, но и мгновенные сообщения или сообщения в социальных сетях.

Во-вторых, риск возникает при использовании незащищенных точек доступа wi-fi. В мире, где практически все устройства обладают возможностью постоянного подключения к сети, wi-fi – это способ оставаться на связи. Точку доступа wi-fi можно найти почти везде, где бы вы ни находились. Однако если вы передаете данные по неизвестной и непроверенной сети, они могут быть кем-нибудь перехвачены. Так что если вы – владелец ноутбука или планшета, убедитесь, что используемое соединение защищено с применением https, и используйте уникальные сложные пароли для каждой учетной записи (то есть такие пароли, в которых буквы чередуются с цифрами и символами, и длина которых больше 8 знаков). Если вы выходите в интернет со смартфона, не используйте непроверенную сеть wi-fi для операций, требующих ввода конфиденциальной информации, таких как банковские операции, онлайн-шоппинг и доступ к социальным сетям. Если вам необходимо использовать публичную сеть wi-fi (например, по работе), лучше всего пользоваться VPN-соединением вне зависимости от того, на какой платформе работает ваше устройство – Windows, Mac, Android или iOS.

В общем, если вы собираетесь купить билеты на игры или просто планируете быть в Лондоне этим летом, будьте бдительны и оставайтесь в безопасности.

*Уэнлок и Мандевиль – официальные талисманы Олимпийских игр 2012 в Лондоне.

Среди "нигерийских писем", которые поступают к нам в больших количествах, одно привлекает внимание необычным именем отправителя: прислал его, представьте себе, Орландо Блум.

Мы не ждали, что знаменитый актер, сыгравший Леголаса и Уилла Тернера, решит обратиться к нам с просьбой помочь в инвестировании средств. Но бывают ведь и сюрпризы. Тем более что в этом письме Орландо Блум предстал в неожиданном амплуа представителя некоей инвестиционной компании в Саудовской Аравии.

Неутомимый исследователь Брайан Кребс взял на мушку еще один ботнет, используемый для рассылки спама. В темных аллеях интернета нашлись зацепки, позволившие распознать оператора Grum среди участников фармпартнерок.

Grum, он же Tedroo, появился на спам-арене три года назад и специализируется, в основном, на рассылке рекламы фармпрепаратов. Зловред, лежащий в основе ботнета, распространяется посредством эксплойта уязвимости в браузере и использует руткит режима ядра. В начале прошлого года Grum насчитывал порядка 65 тыс. зараженных машин с совокупной производительностью свыше 1 млрд сообщений в сутки. По данным M86 Security, в настоящее время этот ботнет опережает всех конкурентов и ответственен за четверть спам-трафика в интернете.

Среди наиболее удачливых участников почившей SpamIt числился некий GeRa, владелец нескольких аккаунтов и активный покупатель эксплойт-трафика. Из фрагментов приватных чатов, слитых конкурентами одиозной фармпартнерки, Кребс узнал, что благодаря спам-рассылкам, проводимым этим подрядчиком и его протеже, SpamIt за 3 года осуществила не менее 80 тыс. продаж через интернет-аптеки, выручив свыше 6 млн. долларов. Общая сумма комиссионных по ним составила более 2,7 млн. долл. Как удалось установить, GeRa получал свои комиссионные на электронный кошелек WebMoney, открытый в 2006 году в московском офисе по паспорту некого Николая Алексеевича Костогрыза.

GeRa часто обращался к администраторам SpamIt, жалуясь на неадекватное поведение хостинг-провайдеров или проблемы с серверами. Названные им IP-адреса были опознаны экспертами как центры управления Grum. Со временем GeRa покинул SpamIt и переметнулся к ее конкуренту, партнерке Rx-Promotion, которую Кребс ассоциирует с именем экс-главы ChronoPay Павла Врублевского. По данным университетских исследователей из Сан-Диего, Rx-Promotion перечисляла все комиссионные за спам, генерируемый Grum, на один и тот же номер счета, открытого пользователем «gera».

По свидетельству KrebsOnSecurity.com, партнерская программа GlavTorg, специализирующаяся на продвижении поддельных предметов роскоши, с февраля прекращает свою деятельность.

Запуск этой российской «партнерки» был объявлен в 2010 году, в День независимости США. Кребс утверждает, что операторами GlavTorg.com являлись соучредители аналогичных предприятий, опекавших нелицензированные интернет-аптеки, ― Главмеда и SpamIt. Во всяком случае, первый анонс о новой партнерской программе появился на форуме Glavmed. Подопечные интернет-магазины GlavTorg занимались сбытом дешевых имитаций модных сумок, часов, солнцезащитных очков и обуви ― такие подделки часто рекламируются через спам.

По всей видимости, новая «партнерка» оказалась убыточной. В минувшем декабре участникам GlavTorg было объявлено, что программа будет свернута по причине «ухудшения качества продукции, предлагаемой поставщиками», а выплаты будут производиться лишь до 31 января. Судя по объявлению на стартовой странице русскоязычного сайта, домен glavtorg.ru уже выставлен на продажу.

Кребс полагает, что реальной причиной закрытия GlavTorg является прессинг со стороны владельцев торговых марок, незаконно использующихся для продвижения подделок. В сентябре прошлого года Chanel подала иск против владельцев интернет-магазинов, торгующих репликами ее товаров. Среди десятков доменов, переданных по суду компании, оказался и topbrandclub.com, крупнейший контрактор GlavTorg. На домашней странице этого ресурса теперь красуется предостережение от Chanel, адресованное потенциальным покупателям контрафакта.