С февраля почтовый сервис Twitter перешел на поддержку DMARC – нового протокола, призванного повысить эффективность процесса аутентификации отправителя и ускорить фильтрацию входящего трафика.

Каждый день Twitter рассылает огромное количество писем по своей клиентской базе, сообщая пользователям последние новости. Однако имя этого сервиса микроблогов, как и других социальных проектов, пользующихся большой популярностью, нередко становится жертвой спуфинга. Поддельные уведомления, якобы исходящие с Twitter, – излюбленный трюк фишеров, собирающих данные участников социальных сообществ, чтобы успешней маскировать нелегитимные рассылки.

За минувший год эксперты Trend Micro обнаружили 4 тыс. фишинговых URL, привязанных к версиям сайтов, ориентированных на мобильные устройства. Хотя они составили менее 1% всех фишинговых ссылок, обнаруженных компанией за год, данная статистика свидетельствует о том, что мобильные платформы становятся привлекательной мишенью для фишеров.

По данным Trend Micro, 75% фишинговых URL, распространявшихся с расчетом на мобильные устройства, вели на поддельные сайты банковских служб и платежных веб-сервисов. 4% пришлось на мобильные версии онлайн-магазинов, 3% – на сайты телеоператоров, 2% на социальные сети и столько же – на почтовые сервисы. Тор 10 брэндов, использованных фишерами в прошлом году в атаках на мобильные платформы, возглавил PayPal. В этот список также попали 5 банков, интернет-аукцион eBay, голландский платежный сервис, французский телеоператор и популярный сайт знакомств Match.сom.

Уроженец Нигерии, разорявший британские онлайн-счета, получил 2,5 года. Это третий приговор к лишению свободы, вынесенный по делу о масштабном фишинге на территории Великобритании.

Согласно статистике Антифишинговой рабочей группы (APWG), в III квартале минувшего года, как и в предыдущем, число традиционных фишинговых атак продолжило снижаться – в основном, за счет сокращения количества атак на финансовый сектор и сервисы розничной торговли. В сентябре эксперты обнаружили 46,9 тыс. поддельных сайтов – на 26% меньше, чем в апреле. Число уникальных фишинговых рассылок с мая снизилось на 35% – до 21,7 тыс. в сентябре.

Тем не менее, за год активность фишеров увеличились – по оценке MarkMonitor, одного из соавторов отчета, на 45%. Современные фишеры стали чаще обращаться к помощи вредоносных программ. Каждый день появляются сотни новых сайтов, вовлеченных в drive-by атаки, и привязанные к ним URL распространяются по почтовым каналам тиражом в сотни, тысячи и миллионы экземпляров. При этом эксперты отмечают, что применение зловредного арсенала вряд ли сведет на нет обычный фишинг: расходы на проведение соответствующих рассылок и создание страниц-имитаций ничтожны, а drive-by атаки требуют более солидной подготовки и капиталовложений.

Эксперты RSA обнаружили itw готовый комплект для фишинга, использующий нечто вроде белого списка – ограниченного перечня email-адресов, по которому распространяются URL поддельных страниц.

По данным RSA, в минувшем году фишеры провели свыше 445 тыс. атак, на 59% больше, чем в предыдущем. Эти атаки обошлись мировой экономике в 1,5 с лишним млрд. долларов, что на 22% выше прежнего показателя. Фишерский инструментарий постоянно совершенствуется: в 2012 г. на черном рынке появились специальные плагины для проверки работоспособности краденых идентификаторов в реальном времени, а также для составления отчетов об эффективности фишинговых рассылок с помощью легальных аналитических сервисов. Новый необычный инструмент, обнаруженный экспертами, – лишнее доказательство тому, что фишеры сделали ставку на технический прогресс.

По оценке NSS Labs, специализирующейся на тестировании сетевого софта и security-продуктов, эффективность антифишинговых технологий, внедренных в современные браузеры, превышает 90%. Однако на реализацию этого потенциала уходит 3-5 суток, что может оказаться слишком большим сроком в условиях роста популяции фишерских ловушек и повышения их ротации.

Основой для такого заключения послужили результаты сравнительного тестирования новейших версий Safari, Chrome, IE и Firefox, проведенного в минувшем октябре. За 10 дней полевых испытаний на выборках из свежих URL (обновляемых каждые 6 часов) подопытные браузеры обнаружили и заблокировали 90-94% фишинговых сайтов. Согласно статистике NSS Labs, в начале атаки (zero hour) эффективность браузерной защиты составила 53,2-79,2%, время реакции – 2,35-6,11 часа. К концу первых суток все браузеры заблокировали свыше 83% фишинговых URL, предельные показатели были достигнуты через 3-5 дней.

Согласно статистике Symantec, уровень спама в октябрьском почтовом трафике составил 64,8%, т.е. уменьшился более чем на 10 процентных пунктов по сравнению с предыдущим месяцем.

По мнению экспертов, одной из причин падения этого показателя является отсутствие потоков, генерируемых Festi. Этот ботнет-спамер проявлял высокую активность в начале сентября, а в минувшем месяце выход с него практически исчез. Молчание Festi не преминуло отразиться на рейтинге его основного плацдарма, Саудовской Аравии. Эта страна, доселе занимавшая далеко не последние позиции в Тор 10 спамеров, в минувшем месяце вовсе выпала из этого нелестного списка. Октябрьский Тор 10 от Symantec по исходящему спаму возглавила Индия, сохранив свое первенство, но уменьшив вклад в глобальный спам-трафик (11,9%). Второе место заняла Бразилия (7,9%), поднявшись сразу на 4 ступени. США (6,6%) и Канада (5,0%) поменялись местами в ведущей пятерке, которую по итогам октября замыкает Россия (4,6%).

Фишинговая схема с использованием названия Twitter набирает силу. Пара фишинговых доменов, ранее используемых для этой схемы в конце прошлой недели, были отключены, и их владельцы решили создать большое количество новых действующих доменов. Стоит обратить внимание на несколько моментов.

Если вы используете браузер Google Chrome, при заходе на сайт twitter.com браузер отображает индикатор url-адреса зеленого цвета, указывающий на то, что домен был верифицирован расширенным сертификатом SSL CA. Однако, учитывая, что в прошлом году мы наблюдали случаи со взломом CA (финальная версия отчета по взлому Diginotar была составлена на прошлой неделе), это может означать все, что угодно. Однако в этом случае проверить легитимность используемого вами сайта twitter можно следующим образом:

Данное личное сообщение привлекает внимание жертвы уведомлением полным драматизма: «Слышал, что о тебе говорят? Из-за тебя началась серьезные неприятности, вовлечено большое количество людей". Используется целый набор разных сообщений такого рода, о чем писали эксперты GFI.

При нажатии на эту сокращенную ссылку bit.ly ваш браузер будет перенаправлен через сервис отслеживания кликов

hXXp://client1.gtisolutions.co.uk/track?type=click=|||hXXp:// tivvtter.com/r1?zcms

далее – на не верифицированный, тщательно выбранный домен. На первый взгляд он выглядит почти как сам домен twitter:

Не вводите свой логин и пароль на этом сайте. Кроме того, существует как минимум еще полдюжины доменов, которые, как и этот, очень похожи на "twitter.com". Плохие парни используют их, пытаясь сделать так, чтобы вы ввели на них свои регистрационные данные. Если вы используете одни и те же пароли для разных аккаунтов, появляется риск того, что они могут быть украдены. Также, в аккаунтах Twitter хранится персональная информация пользователей, например, адрес электронной почты, который использовался для создания аккаунта Twitter. И поэтому - будьте осторожны и обращайте внимание на то, как написаны имена этих доменов.

CERT-GIB, российский центр быстрого реагирования на компьютерные инциденты, созданный на базе Group-IB, объявил о запуске краудсорсинг-проекта Antiphishing.ru в помощь борцам с фишингом и зловредами в Сети.

Главной задачей нового ресурса является оперативный сбор и обработка информации о подозрительных сайтах, при этом предполагается, что сигналить о нарушениях будут сами пользователи. Проверка подозрительного URL или IP-адреса средствами Antiphishing.ru осуществляется следующим образом. Пользователь загружает адрес или группу адресов через веб-интерфейс, система поводит автоматизированный сбор дополнительной информации и подвергает ее тщательной обработке. По итогам анализа выносится решение о дальнейшей судьбе соответствующих ресурсов. Предполагается также, что все данные об абьюзах и их инициаторах, собранные через антифишинговый сайт, будут передаваться в правоохранительные органы, чтобы злоумышленники не ушли от ответа.

Авторы нового проекта надеются, что принцип краудсорсинга, положенный в его основу, позволит значительно увеличить объемы оперативной информации и, как следствие, повысить эффективность работы CERT. В реализации Antiphishing.ru приняли участие такие компании, как Яндекс, Web of Trust и Mail.Ru Group. Новая инициатива осуществлена при поддержке Координационного центра доменов RU/РФ.

По данным Symantec, в минувшем месяце потоки спам-рекламы, фишинговых и вредоносных сообщений несколько увеличились. Уровень спама в почтовом трафике составил 75,0%, что на 2,7 пункта больше, чем в августе.

Больше прочих от почтового мусора страдали жители Саудовской Аравии (84,9%), а в разделении по отраслям хозяйственной деятельности – работники сферы образования (77,9%) и индустрии развлечений (77,6%). Среди стран-спамеров лидируют Индия (17,4% спам-трафика) и Саудовская Аравия (11,7%). В пятерку лидеров по этому показателю вошли также США (6,1%), Турция (5,1%) и Канада (4,9%).