Веблог

Эксперты по кибербезопасности обнаружили, что в настоящее время 70% спам-рассылок, проводимых с ботнета Rustock, использует протокол TLS.

TLS (Transport Layer Security) — преемник SSL и нередко применяется в корпорациях для пересылки по почте конфиденциальной информации. В некоторых случаях организации настаивают на обязательном использовании этого протокола – например, при отправке сотрудником корреспонденции из точки беспроводного доступа к интернету. В то же время почтовый сервер, поддерживающий TLS, обычно не требует аутентификации отправителя, что, конечно, на руку спамерам.

Однако шифрование почтового трафика по протоколу TLS увеличивает нагрузку на почтовый сервер и замедляет процесс доставки. Объем дополнительного трафика, которым обмениваются участники во время сеанса связи, при этом составляет около 1 КБ, т.е. может превышать размер самого письма. Понятно, что при больших объемах рассылок, проводимых спамерами, эти накладные расходы катастрофически увеличиваются, еще больше замедляя трафик.

Такое положение вещей может отпугнуть обычных спамеров, но только не владельцев ботнета Rustock. Rustock-ботнет осуществляет спам-рассылки с большого количества IP-адресов и работает с большими перерывами. При его масштабах и высокой производительности этот ботнет вполне в состоянии справиться с проблемой дополнительного трафика, генерируемого при подключении к TLS-каналу.

Эксперты MessageLabs полагают, что операторы Rustock обновили часть спам-ботов, которые теперь могут направлять почтовому серверу запрос на TLS-соединение. Управляющий центр ботнета определяет целесообразность использования этого протокола, исходя из модификации наличных бот-агентов; его выбор в этом случае уже не зависит от типа спам-шаблона или местоположения получателей.

В начале марта, по оценке MessageLabs, TLS-спам составлял 20% от общего количества нелегитимных сообщений; за неделю его вклад увеличился почти до 35%. TLS-каналы используют и другие ботнеты — Grum, Cutwail, Bagle, но в очень ограниченном объеме.

Virus Watch → В стаде банкеров прибыло Сергей Голованов опубликовано 16 мар 2010, 12:58  MSK Сюжеты: Финансовый ущерб от вирусов, Онлайн-банкинг, Статистика по зловредам рейтинг постинга 0.4

Вредоносные программы, нацеленные на кражу конфиденциальной информации для доступа к банковским системам, давно стали головной болью для финансовых организаций. Аналитики говорят о миллионных ущербах, а клиенты банков жалуются на невозмещение ущерба.

 

Количество станиц по запросу «украли+деньги+банк+троян»,
найденных поисковой системой Google

В этой ситуации появление очередной программы для хищения денежных средств не воспринимается как нечто из ряда вон выходящее, однако хорошо демонстрирует методы и средства, используемые злоумышленниками для прямого незаконного обогащения.

Gumblar-атака

Напомним, что весной прошлого года стало известно о массовом взломе сайтов. Используемый при этом взломе скриптовый загрузчик Gumblar в очередной раз показал самые уязвимые места в организации безопасности работы с Сетью, а его модель распространения в течение года стала классической и используется для распространения множества вредоносных программ.

Схема распространения Gumblar. Источник: www.digitalthreat.net

Согласно отчету [PDF 4,77Мб] ФБР, в 2009 году злоумышленники в сумме украли у интернет-пользователей США 559,7 млн. долларов — вдвое больше, чем в предыдущем году.

За год Центр приема жалоб в отношении киберпреступлений (Internet Crime Complaint Center, IC3), работающий под эгидой ФБР, получил около 337 тыс. заявлений о недоставке/неоплате товара, «нигерийском» мошенничестве, хищении персональной информации и денег с онлайн-счетов, фальшивых чеках, взломе компьютеров, спаме, детской порнографии, выложенной в Сети, и прочем. 92% жалоб поступило от граждан США. В остальных случаях заявителями были жители других стран. Более 40% жалоб ФБР направило на рассмотрение в судебные инстанции.

В минувшем году IC3 применил автоматизированную систему оценки жалоб, разделив виды компьютерных преступлений на 79 категорий. В соответствии с новой классификацией самым популярным (16,6% жалоб) преступлением года в США оказалась рассылка мошеннических писем от имени ФБР с целью хищения пользовательских данных или выуживания денежного аванса в счет мифической компенсации убытков. Недоставка/неоплата товара, оформленного через интернет, заняла второе место (11,9%) в этом рейтинге, на третьем (9,8%) оказалось мошенничество с предоплатой (в том числе «нигерийские» схемы).

В списке ФБР появилась такая категория, как реклама фальшивых антивирусов. Их распространители выманивают у пользователей деньги за продукт, не обладающий заявленными свойствами, и могут использовать в своих интересах личные данные покупателя. Более того, сама программа после установки зачастую способна понизить уровень защиты пользовательской системы и даже нарушить ее нормальное функционирование.

По данным ФБР, в минувшем году средняя сумма индивидуальных убытков от кибермошенничества составляла 5,580 тыс. долларов. Больше половины жертв потеряли меньше 1 тысячи, а 13,4% — более 5 тысяч. Мужчины в полтора раза щедрее отзывались на призывы мошенников, чем представительницы прекрасной половины американского населения. В разделении жертв по возрастным группам наиболее серьезные потери понесли 40-49-летние граждане.

Ассоциация эмитентов платежных карт Великобритании (UK Cards Association) опубликовала статистику последствий мошенничества за прошедший год. Согласно этому отчету, потери британцев в системе онлайн-банкинга увеличились на 14% и составили 59,7 млн. фунтов стерлингов (более 90 млн. долларов).

Неутешительные показатели эксперты объясняют все более широким использование вредоносных программ в фишинговых целях. В целом за год было зарегистрировано более 51 тыс. фишинговых атак — на 16% больше, чем в 2008 году.

Убытки от махинаций с банковскими картами, напротив, впервые сократились, и сразу на 28%. По-видимому, сказывается внедрение чипованных карт с PIN-кодом (Chip-and-PIN) и средств проактивной защиты от мошенничества. Кроме того, вопросами безопасности банковских структур в интернете теперь занимается отдельное полицейское спецподразделение, DCPCU (Dedicated Cheque and Plastic Crime Unit). Фальшивых чеков тоже стало меньше; хождение банковских векселей в стране вообще идет на спад.

В отличие от многих других государств, в Великобритании финансовые структуры проявляют большую ответственность в отношении защиты своих клиентов. Нечаянным жертвам мошенничества здесь в большинстве случаев выплачивается адекватная компенсация.

Двое суток сторонники безопасного интернета наблюдают игру в «кошки-мышки», где главным призом является сотня головных серверов ZeuS, размещенных в Рунете.

9-го марта швейцарские эксперты из ZeuS Tracker, отслеживающие деятельность этого троянца (Trojan-Spy.Win32.Zbot), с удивлением обнаружили, что количество действующих центров управления ботнетами сократилось более чем на треть. Соответственно снизилась и общая активность троянца в Сети: ведь каждый командный сервер ZeuS поддерживает связь с 20-50 тыс. зараженных машин. Среди ушедших в оффлайн командиров был и тот, что помог злоумышленникам обокрасть работяг в штате Кентукки. А со страницы текущей статистики ZeuS Tracker также исчезли шесть российских и украинских хостинг-провайдеров, в сетях которых были размещены эти серверы.

Как позже выяснилось, группа экспертов по интернет-безопасности убедила москвичей – телеоператора «Айхоум» и владельцев нового дата-центра «Оверсан-Меркурий» – отключить интернет-провайдера Troyak, услугами которого, в числе прочих, пользовались 6 упомянутых выше хостинг-провайдеров. Однако на следующий день Troyak нашел нового телеоператора, а когда спустя некоторое время ему и здесь отказали, обратился в RTComm. К вечеру 11-го марта активисты ZeuS Tracker отметили, что большинство отключенных серверов, управляющих троянцем, опять в строю. Это означает, что злоумышленники получили возможность перенести информацию, украденную ZeuS, на более безопасный ресурс и создать резервный центр управления, обновив боты.

Сама компания Troyak в лице некоего Романа Старченко из Казахстана заявила, что временное отсутствие связи с интернетом было вызвано задолженностью администрации по оплате услуг. Организация числится в базе данных WhoIs с ноября 2007 года, а в конце 2009-го зарегистрировала (через Старченко) домен TroyAk.org. Возможно, это простое совпадение, но оформляла домен небезызвестная индийская компания Directi – аккредитованный в ICANN регистратор, пользующийся большой популярностью у спамеров.

Update: утром 12-го марта Troyak был вынужден вновь поменять телеоператора и теперь связан с интернетом через московскую городскую сеть ЭНЛАИН.