30 мая в столице Нигерии Лагосе будет приниматься решение об экстрадиции участника фишинговой группировки, против которой выдвинуты обвинения в американском штате Нью-Джерси.

По свидетельству ФБР, 7 нигерийцев, шестеро из которых давно обосновались в США, на протяжении года грабили банковские и зарплатные счета американцев, выуживая персональные идентификаторы с помощью фишинговых рассылок и поддельных сайтов. Получив доступ к чужим счетам, они связывались с банками по телефону и выводили краденые деньги переводами Western Union и Moneygram в другие штаты, Мексику, Великобританию, Латвию, Францию, Болгарию, Россию и Нигерию. Общая сумма мошеннических переводов составила 3,5 млн. долларов, из них 1,3 млн. фишеры успешно изъяли.

Подставной счет на территории Нигерии держал 26-летний выпускник местного университета Оланийи Виктор Макинде (Olaniyi Victor Makinde), который также подрабатывал в Сети, играя роль перспективной «невесты». Его альтер эго Бренда Стюарт умудрилась своими «капризами» выставить двоих американцев на 620 тыс. долл. В сентябре прошлого года нигерийским властям удалось арестовать фальшивую «невесту», которую они вычислили с помощью ФБР. В связи с новыми обвинениями ― в фишинге ― дело о брачном мошенничестве было приостановлено, и Макинде предстоит воссоединиться с другими «коллегами по цеху» на территории США.

Выявить остальных сообщников ФБР не составило труда. Двое из них задержаны в Джорджии, где они незадолго до этого отбывали срок за подделку банковских чеков. Обвинения по делу о групповом фишинге были официально оглашены в конце января текущего года.

Эксперты GFI Software обнаружили массовую рассылку вредоносных URL с поддельных Twitter-аккаунтов.

Зловредные твиты приглашают русскоязычных пользователей принять участие в свинг-вечеринке, англоязычных ― посмотреть на сексапильных дамочек. Все они доступны как с компьютера, так и со смартфона и снабжены ссылкой на внешний ресурс, размещенный в доменной зоне .tk. Последний по сути является редиректором и перенаправляет пользователя на страницу в зоне .ru, рекламирующую антивирусный сканер для Android-устройств.

При заходе на нее со смартфона потенциальной жертве воспроизводится русскоязычный текст, извещающий владельца устройства о заражении системных файлов с предложением активировать защиту. При нажатии соответствующей кнопки происходит загрузка и установка некоего файла, именуемого VirusScanner; на ПК он загружается с расширением .jar, на смартфон ― с .apk. Первый при выполнении выдает ошибку, второй содержит лжеантивирус, который с успехом инсталлируется на мобильном устройстве под логотипом Лаборатории Касперского.

По данным Websense, количество фишинговых сайтов, размещенных на территории Канады, за год увеличилось на 170%, число C&C ботнетов ― на 39%, вредоносных сайтов на 239%.

Предыдущее исследование профиля этой страны в отношении рисков, связанных с вредоносной активностью, эксперты провели в мае прошлого года. Новая статистика, собранная за истекший период, показала разительное ухудшение результатов. По итогам января-мая Канада заняла 2-ю позицию в Топ 10 стран, приютивших ловушки фишеров. Непочетный рейтинг от Websense возглавляют США, третье место занимает Египет. В десятку лидеров входят также европейские страны, а замыкают ее Россия и Израиль.

По словам экспертов, в недавнем прошлом основная масса вредоносного контента размещалась, как правило, на серверах Европы. Похоже, настало время перемен, злоумышленники активно мигрируют в регионы с более «чистой» репутацией. Примечательно, что канадцы не торопятся исправлять ситуацию: за год Websense не зафиксировала ни одной кампании по массовому истреблению зловредных площадок. Вредоносные сайты, размещенные на территории Канады, сохраняют свою активность дольше, чем в других странах, что указывает на низкую эффективность взаимосвязи публичного и частного секторов интернет-индустрии.

Во 2-й половине прошлого года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зафиксировала немногим более 83 тыс. уникальных фишинговых сайтов ― на 26% меньше, чем в предыдущем полугодии. По мнению экспертов, одной из главных причин уменьшения этого показателя является сокращение использования фишерами виртуальных серверов, взлом которых позволяет им создать целую сеть сайтов-ловушек, привязанных к общей хостинг-площадке.

Количество институтов, избранных фишерами в качестве мишеней, также уменьшилось ― до 487 против 520 в I полугодии. При этом объектами 78% фишинговых атак (уникальных подделок) являлись лишь 20 организаций. Список мишеней, облюбованных фишерами, впервые возглавил китайский аналог eBay и Amazon ― коммерческий сервис Taobao.com, на долю которого в отчетный период пришлось 22,2% имитаций. Бывший лидер этого рейтинга PayPal занял второе место с большим отрывом (8,6% атак).

Особой активностью по-прежнему отличались фишеры, действующие на территории Китая. За II полугодие они использовали свыше 22,2 тыс. поддельных сайтов для проведения кибератак против китайских организаций ― на 26,7% больше, чем в январе-июне. Больше трети из них были бесплатно зарегистрированы фишерами в доменной зоне .tk (Токелау), свыше 30% ― на поддоменах .pl и .cc.

В целом за полугодие фишеры использовали около 50,3 тыс. доменных имен. 39,5% фишинговых сайтов были привязаны к TLD-зоне .com, 9,2% ― к зоне .tk, 7,4% к .pl. Самая высокая плотность абьюзов зарегистрирована в национальных зонах Токелау, Индии и Таиланда, в которых на 10 тыс. зарегистрированных доменов было обнаружено 12,0, 11,7 и 10,6 фишерских имен соответственно при медианном показателе 3,2 (в зоне .com, например, он составил 2,3). По данным APWG, более половины сайтов, созданных фишерами в зоне .in, имитировали игровой сервис Battle.net.

Четверть доменов, используемых для фишинга, были зарегистрированы со злым умыслом, остальные принадлежали владельцам взломанных ресурсов. 62% доменов, зарегистрированных фишерами, использовались для проведения атак на территории Китая. 93% злонамеренных регистраций пришлось на долю TLD-зон .tk, .com, .info и .in, причем на долю первой ― 57%. За июль-декабрь исследователи также насчитали свыше 16,66 тыс. уникальных поддоменов, используемых фишерами, на которых были размещены 17,39 тыс. уникальных сайтов-ловушек ― на 38% больше, чем в предыдущем полугодии.

Среднее время жизни фишинговых сайтов продолжает сокращаться и в минувшем полугодии составило 46 часов 3 минут при медианном значении 11 часов 43 минуты. Быстрее всего эти сайты закрывают в зонах .info, .org, .tk и .cc ― благодаря агрессивной политике операторов соответствующих реестров в отношении абьюзов. Сроки службы подделок, ориентированных на китайских пользователей, не известны, так как китайский инфоцентр CNNIC (China Internet Network Information Center), предоставляющий APWG данные о местном фишинге, их не фиксирует.

Забывчивость или недооценка опасности – основные причины потери данных во всем мире. Во время своей последней поездки я обнаружил в зале аэропорта любопытные планшетные устройства на платформе Android, интегрированные с внешней клавиатурой для общественного использования и подсоединённые к сети Интернет.

Не так часто приходится анализировать вредоносные файлы, написанные в виде плагинов к кроссплатформенным браузерам. Еще реже встречаются плагины, написанные на кроссбраузерных движках. В данной публикации мы рассмотрим червя для социальной сети Facebook, написанного с использованием системы Crossrider, которая всё еще находится в стадии бета-тестирования.

Картинка с сайта http://crossrider.com

В IV квартале 2011 года защитные решения Microsoft обнаружили Conficker на 1,7 млн. компьютеров. Общее число атак, проведенных червем по этой базе, составило около 59 миллионов.

Несмотря на ограничительные меры, принятые специализированной рабочей группой и прочими активистами, Conficker, он же Kido, до сих пор возглавляет списки самых распространенных угроз в корпоративных сетях. Согласно статистике Microsoft, в октябре-декабре он был ответственен за 13,5% локальных заражений, зафиксированных в сфере бизнеса. Живучесть грозному червю обеспечивает широкий арсенал средств самозащиты и способов распространения. По данным Microsoft, 92% современных заражений Conficker происходит путем взлома или кражи административных паролей, 8% ― посредством эксплуатации брешей, которые жертвы не удосужились вовремя закрыть.

Тем не менее, в общем списке локальных угроз, обнаруженных MS-антивирусами в III-IV кварталах, Conficker занял лишь 6-е место. Наибольшее количество детектов пришлось на потенциально нежелательное ПО (PUPs) ― кейгены и adware. В пятерку лидеров вошли также autorun-черви и Sality. В абсолютном выражении число заражений сильно возросло в Германии (на 30,4% за квартал) и России (на 28,5%). В первой преобладают SpyEye, JS-компонент Blackhole и кейгены, во второй ― разные PUPs (57,2% детектов), троянцы (39,1%) и эксплойты (преимущественно Blackhole, 17,4%) . Из PUPs у россиян обнаружены фейковые инсталляторы Win32/Pameseg, требующие отправки дорогих SMS за установку приложений, а также кейгены и многокомпонентные программы показа рекламы Win32/Vundo, которые маскируются под расширение браузера и умеют загружать и запускать произвольные файлы.

Самые высокие уровни заражений, зафиксированных в IV квартале, наблюдались в Пакистане, Палестине и Турции, а также в Албании и Египте. Частота детектов в этих странах составила 22,7-32,9 на 1 тыс. прогонов MSRT (Malicious Software Removal Tool — специализированное средство удаления вредоносных программ для Microsoft Windows). Среднестатистический показатель по всему миру за тот же период намного ниже ― 7,1 (в России 7,2).

Актуальная статистика по Conficker и прочим угрозам с разбивкой по регионам представлена в глобальном отчете Microsoft за II полугодие, который можно скачать на сайте компании.

Генпрокуратура РФ утвердила обвинительное заключение по уголовному делу об умышленном блокировании платежного шлюза ASSIST. Дело направлено в Тушинский суд г. Москвы для рассмотрения по существу.

Напомним, что DDoS-атака на сетевые ресурсы ООО «Ассист» была проведена в июле 2010 года. В результате доступ к системе обработки платежей оказался заблокированным, и крупнейший клиент сервис-провайдера, ОАО «Аэрофлот», не смог осуществлять продажи авиабилетов онлайн. Расследование, проведенное силами ФСБ, позволило установить, что заказчиком и дирижером варварского нападения являлся владелец процессингового центра ChronoPay Павел Врублевский, который решил таким образом отбить лакомого клиента у своего конкурента.

Провели заказную DDoS-атаку два брата, Игорь и Дмитрий Артимовичи, которые использовали для этого собственную бот-сеть. Врублевский общался с наемниками через своего подчиненного, ведущего специалиста службы информационной безопасности Максима Пермякова, и заплатил им за услуги свыше 20 тыс. долл. Убытки Ассист оцениваются в 15 млн. руб., Аэрофлота ― в 146,7 млн. руб.

Кабинет министров Украины принял новую редакцию правил в сфере телекоммуникационных услуг. Обновленный регламент обязывает операторов и абонентов не проводить (а последних ― и не заказывать) спам-рассылки.

В предыдущей редакции было приведено лишь определение спама, однако прямого запрета на его распространение не было. В итоговой трактовке спамом являются «электронные, текстовые или мультимедийные сообщения, которые без предварительного согласия потребителя умышленно и массово рассылаются на адрес электронной почты или абонентское конечное устройство, за исключением сообщений оператора или сервис-провайдера». При этом абонент вправе потребовать от оператора прекратить предоставление услуг, которые он не заказывал, включая рассылку спама.

В правила введены также положения, регламентирующие предоставление контент-услуг. Оператор обязан предварительно сообщить потребителю о названии контент-услуги и тарифе, а также дать ему возможность подтвердить свое согласие (на это отводится 12 секунд). Предоставлять услуги без согласия абонента запрещается. При наличии технической возможности информацию о списанных суммах следует сообщать потребителю незамедлительно

С введением новых правил предыдущая редакция (2005 года) теряет силу.

По оценке Symantec, в минувшем году суточная норма спама в электронной почте уменьшилась на треть ― до 41,1 млрд. сообщений против 61,6 млрд. в 2010 году. Содержание мусора в почтовом трафике снизилось на 13,4 пункта и составило 75,1%.

Наиболее высокие уровни спама

наблюдались в Саудовской Аравии (80,9%), а также в Китае и России (по 80%). В разделении по отраслям хозяйственной деятельности больше прочих от спама страдали предприятия автомобильной промышленности (77,9%).

Вклад ботнетов в спам-трафик уменьшился на 9,4 пункта и в среднем составлял 78,8%, однако к концу года этот показатель увеличился до 81,2%. С ликвидацией Rustock флуктуации спама, генерируемого ботами, заметно возросли: на протяжении всего II полугодия мощные 2-3-дневные всплески чередовались с периодами затишья. Рейтинг ботнетов-спамеров в конце года возглавил Lethic (21,8% глобального спама), вплотную за ним следовал Grum (21,3%), с большим отрывом обогнав Cutwail (13,5%). Мировым лидером по числу ботов-спамеров являются США. Непочетный рейтинг таких заражений по региону ЕМЕА возглавляет Россия (17,6% местных ботов).

Отсутствие Rustock, специализировавшегося на рассылке фармаспама, отразилось и на тематическом составе спам-рассылок. Вклад рекламы медикаментов в спам-трафик сократился почти в 2 раза, до 39,6%. Спамеры начали усиленно продвигать подделки элитных товаров (18,6%, прирост 12,1 пункта), порно и сайты знакомств (14,7%, прирост 11,4). Доля рекламы БАДов возросла в 7 раз, вредоносных посланий ― в 6 раз, мошеннических писем в 3,6 раза.

61,0% нелегитимных сообщений, заблокированных Symantec в течение года, по размеру не превышали 2-5 КБ. URL-спам составил 86,2% мусорных сообщений. Наибольшей популярностью у спамеров пользовалась TLD-зона .com (58,5% ссылок), .ru и .info тоже не остались без внимания (11,5% и 10,5% соответственно). 88,7% непрошеных писем, заблокированных в конце года, были оформлены на английском языке.

85,2% фишинговых сайтов, обнаруженных экспертами, имитировали ресурсы финансовых организаций. 36,2% сайтов-ловушек были созданы автоматизированными средствами. Главным хостером фишерских подделок являются США. Как и в прошлом году, больше прочих от фишинга страдали жители Южной Африки (1 письмо на 96,3), а из отраслей хозяйственной деятельности ― государственный сектор (1 на 49,4).

39,1% вредоносных сообщений были снабжены ссылками ― в полтора раза больше, чем в предыдущем году. Полезной нагрузкой 7,5% писем, заблокированных за год антивирусами Symantec, являлся Bredolab, который распространялся, в основном, в виде вложений. Это эквивалентно примерно 35 млн. потенциальных кибератак.