Эксперты RSA обнаружили itw готовый комплект для фишинга, использующий нечто вроде белого списка – ограниченного перечня email-адресов, по которому распространяются URL поддельных страниц.

По данным RSA, в минувшем году фишеры провели свыше 445 тыс. атак, на 59% больше, чем в предыдущем. Эти атаки обошлись мировой экономике в 1,5 с лишним млрд. долларов, что на 22% выше прежнего показателя. Фишерский инструментарий постоянно совершенствуется: в 2012 г. на черном рынке появились специальные плагины для проверки работоспособности краденых идентификаторов в реальном времени, а также для составления отчетов об эффективности фишинговых рассылок с помощью легальных аналитических сервисов. Новый необычный инструмент, обнаруженный экспертами, – лишнее доказательство тому, что фишеры сделали ставку на технический прогресс.

Ежегодно 31 октября во многих странах мира отмечается праздник Хэллоуин. Спамеры, конечно же, не могли обойти это событие стороной, и за последний месяц сотрудники ЛК регулярно детектировали рассылки, посвящённые этому празднику.

Эксперты Dell SecureWorks и Symantec обнаружили спам-рассылку, использующую URL с доменом высшего уровня, выделенным правительственным учреждениям США. Как оказалось, спамеры используют открытые редиректы на правительственных сайтах и сервис коротких ссылок 1.USA.gov, учрежденный правительством США в партнерстве с Bit.ly.

Текст спамерских писем содержит малоинформативную фразу, единственным назначением которой является побуждение к действию – к активации короткой ссылки, использующей имя 1.USA.gov. Судя по краткому описанию, размещенному на официальном портале правительства США, этот сервис был создан для упрощения процедуры сокращения URL, привязанных к таким зонам, как gov и .mil. Получить короткий URL с доменом 1.USA.gov теперь можно через bitly.com, введя исходный адрес и нажав кнопку на сокращение. Регистрироваться при этом не нужно, чем и воспользовались кибермошенники.

Эксперты Websense обнаружили спам-рассылку, использующую сервис генерации QR-кодов для маскировки целевой рекламы.

Как уже отмечалось на страницах нашего блога, рост популярности QR-кодов, упрощающих доступ к веб-ресурсам с мобильных устройств, не преминул привлечь внимание сетевого криминала. Использование двумерного штрихкода, заменяющего длинный URL, создает дополнительные удобства для владельцев смартфонов, помогая быстро попадать на искомую страницу. Однако за такой обезличенной ссылкой может скрываться любой контент, чем и пользуются злоумышленники.

Спам-сообщения, попавшие на радары Websense, оформлены по типовому шаблону пресловутой «фармы» и содержат ссылку на веб-сайт 2tag.nl. Данный сервис вполне легален и предоставляет пользователям услуги по созданию QR-кодов на основе URL. При активации ссылки, указанной спамерами, на экран выводится QR-код и его содержимое ― развернутый URL. После считывания кода штатным сканером в браузер автоматически загружается целевая реклама (некоторые QR-ридеры предварительно запрашивают согласие пользователя на загрузку).

Эксперты Symantec обнаружили на сайте Facebook мошенническую схему, помогающую злоумышленникам раздобыть анти-CSRF токены для публикации вредоносных ссылок в социальной сети.

Подделка межсайтовых запросов (Cross-site Request Forgery, CSRF) ― тип кибератаки, при которой атакующий повторно использует разрешение на связь, выданное законному пользователю, для совершения противоправных действий без ведома и согласия инициатора сеанса. Чтобы предотвратить такое вторжение, многие веб-сервисы, включая Facebook, применяют генераторы посеансовых токенов, которые при авторизации вводятся в веб-форму как скрытый входной параметр.

Со второй декады октября Commtouch наблюдает масштабную спам-кампанию, использующую регистрацию целевых сайтов «на лету».

По свидетельству экспертов, эти мусорные письма продвигают игорные сайты. Объемы разовых спам-рассылок составляют несколько сотен миллионов сообщений, снабженных ссылкой. Число URL, задействованных в каждой такой атаке, измеряется тысячами, однако все они на момент рассылки не зарегистрированы. Авторы казино-спама регистрируют свои сайты примерно через час после начала атаки в надежде обмануть системы URL-фильтрации. Дело в том, что спам-фильтры в первую очередь проверяют дату регистрации ресурса, рекламируемого в письме. Если тот зарегистрирован накануне рассылки, весьма вероятно, что соответствующее сообщение отослано спамерами.

Трюк, используемый в наблюдаемых спам-рассылках, не нов. Commtouch отмечает, что из-за такого запаздывания с регистрацией первые получатели казино-спама при всем желании не смогут попасть на целевые веб-сайты. Тем не менее, спамерам, видимо, в данном случае важнее увеличить процент доставки последующих писем, кои вбрасываются в Сеть мощными очередями.

По данным Symantec, в октябре спам составлял 74,2% почтовой корреспонденции ― немногим меньше, чем в предыдущий месяц. Около 0,5%, а в пиковые дни 2-3% нелегитимных писем были снабжены укороченной ссылкой, сгенерированной на легальном веб-сервисе.

Для маскировки собственных URL спамеры обычно используют чужие генераторы коротких ссылок. В мае текущего года исследователи обнаружили несколько поддельных сервисов такого рода, созданных специально для проведения спам-кампаний. Эти сайты нигде не афишировались, а URL, которыми они оперировали, на поверку оказались простыми редиректами. В минувшем месяце Symantec впервые обнаружила в открытом доступе полноценные сервисы сокращения ссылок, которые контролируются, по всей видимости, одной группой спамеров.

По свидетельству экспертов, все эти сайты, общим числом более 80, созданы по единому шаблону, используют open-source скрипты и зарегистрированы в зоне .info на московские адреса. Соответствующие домены размещены на британском веб-хостинге, держатель которого уже уведомлен о вероятности абьюза. Короткие ссылки, созданные на новых публичных сервисах, пока замечены лишь в спам-рассылках, продвигающих онлайн-аптеки сети Pharmacy Express.

Основным источником нелегитимных писем по-прежнему являются США, вклад которых в общий поток составил 34%. Наиболее высокие уровни спама наблюдались в Саудовской Аравии (80,5%), России (79,9%), Люксембурге (79,7%), Венгрии и Бразилии (по 77,7%). В разделении по отраслям хозяйственной деятельности больше прочих от спама страдали представители сферы образования (76,4%).

Доля фишинговых посланий в общем объеме спама сократилась на 0,07 пункта ― до 0,29%. Вклад вредоносных сообщений в спам-трафик сократился несколько больше и составил 0,42%. И та, и другая зловредная активность особенно ярко проявилась в британском секторе интернета. Лидером по локальным заражениям, зафиксированным Symantec в октябре, является Sality.

Недавно мы заметили в потоках спама рассылку, представлявшую собой на первый взгляд классический "форумный" спам - мусорные сообщения, массово оставленные на различных форумах и досках объявлений, уведомления о которых приходят пользователям на почту.

В спаме рекламировались фармацевтические препараты, однако ссылки вели не на сайты онлайн-магазинов, а на видеохостинг YouTube. Там любопытный пользователь мог увидеть ролики, содержащие картинку, на фоне которой размещалось название медикамента и ссылка на фармацевтический сайт.

В попытках обойти системы фильтрации почты и доставить свою информацию пользователям спамеры сплошь и рядом пользуются различными приемами. Хотя по-настоящему новые трюки (например, рассылка начитанных роботом mp3) попадаются сравнительно редко, однако бывают и они.

Так, недавно аналитиками Лаборатории Касперского были замечены несколько любопытных примеров. Маскировка текста зашумлением вполне банальна, а вот ссылки организованы весьма нетипичным для спама образом.

Сама хитрость оказалась достаточно проста и пока относительно безвредна: в url письма используется запрос на вебсайт, уязвимый к SQL injection. На выходе кода получается всего одна строка - спамерский линк (в данном случае рекламирующий очередную типовую «фарму»). Именно туда и перенаправляют браузер пользователя – если, конечно, исходный сайт позволяет выполнение такого кода.

Небольшое количество встреченных нами за неделю наблюдения примеров показывает, что после масштабной SQL-атаки LizaMoon многие владельцы сайтов приняли соответствующие меры безопасности и массово найти подходящих «доноров» оказалось не так уж легко.

Спамеру Сэнфорду Уоллесу предъявлено обвинение во взломе 500 тысяч аккаунтов в социальной сети Facebook, краже личных данных пользователей и организации масштабной рассылки 27 миллионов спам-сообщений.

43-летний Уоллес первым смог обойти спам-фильтры Facebook. Он использовал скрипт, который автоматически авторизовывался на украденных аккаунтах и получал доступ к списку френдов пользователя. Всем им "на стену" выкладывалось сообщение, содержащее активную ссылку. При переходе по ней пользователи попадали на сайт с вредоносным ПО, собирающим личные учетные данные, используемые в дальнейшем для рассылки спама. Эта схема работала на протяжении 5 месяцев, начиная с ноября 2008 года.

Два года назад суд обязал Уоллеса выплатить сети Facebook штраф в размере 711 миллионов долларов. Аналогичный иск в 2008 году подала социальная сеть MySpace — на сумму 230 миллионов долларов. На прошлой неделе Уоллес сдался агентам ФБР. Спамер уже появлялся в суде и был отпущен под залог 100 тысяч долларов. Кроме того, ему запрещено заходить на сайты Facebook и MySpace.

Уоллесу предъявлено обвинение в шести эпизодах мошенничества, двух случаях умышленной порчи компьютеров и двух случаях посещения запрещенных сайтов, в частности, речь идет о Facebook. Причем однажды спамер вошел в социальную сеть с борта самолета при перелете из Лас-Вегаса в Нью-Йорк.

Если Уоллеса признают виновным, то ему грозит до 3 лет тюремного заключения и штраф в размере 250 тысяч долларов за каждый из эпизодов мошенничества, а также до 10 лет тюрьмы и 250 тысяч долларов за каждый из эпизодов повреждения компьютеров. Если судья окажется строг, в целом наказание спамера может составить 48 лет тюрьмы и 1,5 миллиона долларов.