Российская компания Mail.ru Group объявила о расширении партнерства с международной системой оценки репутации сайтов WOT (Web of Trust). Отныне пользователи мобильной версии почты Mail.ru наравне с остальными клиентами этой почтовой службы будут получать предупреждение о возможной угрозе в момент перехода по присланной в письме подозрительной ссылке.

Рейтинг WOT составляется по принципу краудсорсинга, при активном участии интернет-добровольцев. Ссылки, которые пытаются активировать подписчики WOT, автоматически проверяются по общей базе. Если ссылка ведет на мошеннический/фишинговый сайт или содержит опасный контент, пользователю выводится соответствующее предупреждение. В настоящее время база WOT насчитывает свыше 41 млн. сайтов, в ее пополнении принимают участие 73 млн. пользователей интернета.

По данным Mail.ru, за последний год число пользователей ее мобильной почты выросло в несколько раз. Провайдер надеется, что запуск репутационных оценок для этой быстро растущей аудитории позволит снизить риски и защитить ее от угроз, неподвластных почтовому антивирусу. Mail.ru сотрудничает с WOT уже несколько лет; базу WOT используют также некоторые крупные социальные сети и веб-порталы.

Четвертого марта мы обнаружили, что наш продукт Linux Mail Security блокирует большое число необычных сообщений. Все письма содержали одно и то же вложение в формате PDF (MD5: 97b720519aefa00da58026f03d818251), однако были отправлены с разных электронных адресов.

Электронные письма были написаны по-немецки, причем большая часть из них была отправлена с немецких IP-адресов. На карте ниже показано географическое распределение этих адресов:

В Челябинске возбуждено уголовное дело против двух молодых людей, которые на заказ воровали регистрационные данные электронной почты с помощью вредоносной программы.

Расследованием преступной деятельности дуэта занималось ГУ МВД по Челябинской области и местное УФАС. Как удалось установить, идейным вдохновителем незаконного бизнеса являлся 17-летний студент из Челябинска, создавший зловреда, способного перехватывать всю необходимую информацию, включая контрольные вопросы и ответы. Будущий юрист активно рекламировал свою разработку в интернете, предлагая услуги по взлому почтовых ящиков, которые в среднем стоили 1,5 тыс. руб. Он также выставил вредоносную программу на продажу, обещая предоставить «курс молодого бойца» за 3 тыс. руб.

Его подручный, 28-летний безработный из Нижневартовска, выполнял функции менеджера по подбору клиентов и оформлению заказов. Сообщники обслуживали всех желающих, от конкурентов по бизнесу до ревнивых супругов, и принимали оплату через платежные системы. Если клиент отказывался платить, его шантажировали, угрожая раскрыть жертве взлома детали заказа. За полгода преступной деятельности молодые «бизнесмены» произвели 100 попыток заражения, треть которых завершились успехом.

Подельники соблюдали строгую конспирацию, регистрируясь в Сети под чужими или вымышленными именами. Тем не менее, их удалось вычислить; в ходе обысков у злоумышленников были изъяты компьютерная техника и рабочие записи. Уголовное дело открыто по факту нарушения ч. 1 ст. 273 УК РФ («Создание, использование и распространение вредоносных программ»).

Используя методы социальной инженерии, исследователи из Positive Technologies получили доступ к трем из пяти популярных веб-сервисов через процедуру восстановления пароля.

Проверка этого звена в системе безопасности проводилась на основе выборки из реальных почтовых аккаунтов Gmail, Mail.ru, Яндекс, а также профилей ВКонтакте и Facebook. Их владельцы были заранее проинформированы об эксперименте и дали согласие на свое участие. Работая с разными механизмами восстановления пароля, эксперты вели поиск информации о владельце аккаунта на общедоступных сайтах, вступали в переписку со службой техподдержки целевого сервиса. В отдельных случаях им приходилось провоцировать «жертву» на раскрытие нужных данных, устанавливая с ней контакт в социальной сети. Каждый из рассмотренных сервисов получил оценку по двум параметрам: уровень защищенности и удобство для пользователя, и был впоследствии ознакомлен с результатами.

Почтовая служба Mail.Ru запустила новый веб-сервис, предназначенный для повышения качества и эффективности коммерческих рассылок.

Постмастер@Mail.Ru позиционируется как инструмент, позволяющий крупным отправителям писем отслеживать реакцию аудитории и вносить соответствующие коррективы в рекламные кампании. Не секрет, что многие получатели коммерческих бюллетеней отправляют их в корзину или спам-карантин только потому, что им просто не интересна присланная информация или они забыли вовремя оформить отказ от рассылки.

В настоящее время «Постмастер» предоставляет клиентам статистику по общему объему исходящих рассылок, эффективности доставки, числу жалоб, удаленных или помеченных как спам посланий, а также по отбивкам из-за некорректно указанного адреса. Все эти показатели доступны в динамике за суточный, недельный и ежемесячный периоды. В дальнейшем планируется вести раздельную статистику по тематическим категориям писем, внедрить систему автоматического уведомления о жалобах, детализировать ответную реакцию (прочтенные письма, удаленные без прочтения, удаленные после прочтения, занесенные в спам-карантин по личным настройкам и т.п.).

В помощь клиентам на сайте «Постмастер» выложено много полезной информации, в частности, свод правил в обеспечение успешной доставки, а также анализ типовых ошибок. Среди подписчиков нового сервиса числятся «Яндекс», сервис скидок GroupOn, шопинг-клуб KupiVIP и многоязычная социальная сеть Badoo.com.

Недавно мы заметили в потоках спама рассылку, представлявшую собой на первый взгляд классический "форумный" спам - мусорные сообщения, массово оставленные на различных форумах и досках объявлений, уведомления о которых приходят пользователям на почту.

В спаме рекламировались фармацевтические препараты, однако ссылки вели не на сайты онлайн-магазинов, а на видеохостинг YouTube. Там любопытный пользователь мог увидеть ролики, содержащие картинку, на фоне которой размещалось название медикамента и ссылка на фармацевтический сайт.

Специалисты по информационной безопасности из Godai Group LLC обнаружили, что 30% компаний из списка Fortune 500 уязвимы к целевым атакам через электронную почту, использующим близкие по написанию доменные имена.

Злоумышленники регистрируют домены-двойники мишеней в расчете на ошибку пользователей, осуществляющих набор адреса вручную. Как правило, подставные сайты используются ими для фишинга или распространения зловредов. Однако, подняв на таком домене почтовый сервер, тайпсквоттер имеет шанс завладеть конфиденциальной информацией, отосланной сотруднику целевой организации письмом с характерной опечаткой в адресе. Возможны также кибератаки типа man-in-the-mailbox (MitMB), когда злоумышленник контролирует домены-двойники интересующих его получателя и отправителя, отлавливает «заблудившиеся» письма на своем почтовике и использует скрипт для автоматической пересылки этих посланий легальным адресатам, ― дабы те не обнаружили перехват.

Сегодня мы подняли нашу оценку уровня опасности в интернете на один пункт. Причин у этого несколько, но одна из них крайне интересна. Это обнаружение червя VBMania. В отличие от массы современных червей, этот использует для распространения электронную почту. Настоящая старая школа! Более того, он работает по принципу «скачай и запусти».

Червь распространяет себя путем отправки с зараженного компьютера писем, содержащих тему «Here you have», тексты произвольного содержания, например «This is The Free Download Sex Movies, you can find it Here» и ссылкой на файл, размещенный в интернете.

Пользователю, для того чтобы заразиться, необходимо вручную пройти по ссылке, сохранить и запустить файл.

Вуаля.

Несмотря на всю примитивность описанного способа, в настоящее время червь активно рассылает свои письма в сети, в весьма значительных объемах.
Учитывая это, а также множество новостей на эту тему, мы тоже решили поднять уровень опасности для информирования как можно большего числа пользователей.

Стоит отметить, что червь написан на Visual Basic и детектировался нашим антивирусом проактивно, при помощи эвристических технологий, как Suspicious:HEUR:Trojan.Win32.Generic
Сегодня ночью для вредоносных файлов было добавлено и сигнатурное детектирование (Trojan.Win32.Swisyn), которое позже будет изменено на Email-Worm.Win32.VBMania.

UPD. По состоянию на 19:00 MSK все вредоносные файлы червя, размещенные на сайте members.multimania.co.uk - удалены и это означает, что червь больше не способен распространяться. Однако, письма с зараженных компьютеров будут рассылаться до тех пор пока эти компьютеры не будут вылечены.

В ходе анализа червя нами также был установлен его ранний вариант, обнаруженный еще в начале августа этого года (Trojan.Win32.Swisyn.ajgd) и обладавший аналогичным функционалом. Его распространение происходило также с с пользовательского раздела на сайтах members.multimania.co.uk и lycos.co.uk