Группа организаций-участниц проекта DMARC.org опубликовала спецификации нового механизма, призванного повысить эффективность процесса аутентификации источников электронных сообщений и уменьшить риски в отношении абьюзов.

Существенным недостатком существующих технологий аутентификации, таких как SPF и DKIM, является отсутствие обратной связи между получателем и легальным отправителем. В такой ситуации почтовый провайдер, применяющий эти механизмы, достоверно не знает, в каком объеме ими пользуется отправитель. Посему он вынужден полагаться на сложные и далекие от совершенства методики, чтобы как-то различать мошеннические подделки и легитимные сообщения, не обеспеченные средствами проверки на подлинность.

Протокол DMARC (Domain-based Message Authentication, Reporting and Conformance) призван освободить оператора почтового сервиса от игры в «угадайку», помогая ему поддерживать тесную взаимосвязь с массовым отправителем. Он определяет интеграцию техник аутентификации в инфраструктуру отправителя и позволяет сигнализировать интернет-провайдерам о наличии таких средств защиты, а также публиковать политику в отношении писем, не прошедших проверку на аутентичность (например, отправлять их в спам-карантин или блокировать). DMARC предусматривает также получение от провайдера подробной статистики, позволяющей корректировать возможные упущения.

Разработчики новой технологии надеются, что ее освоение ускорит повсеместное развертывание систем аутентификации и создание доверенной среды. Безусловно, DMARC предполагает поддержку как на стороне отправителя, так и на стороне получателя, однако у этого протокола уже есть солидная база: его полтора года активно используют 15 участников проекта. Среди них ― ведущие почтовые сервисы (AOL, Gmail, Hotmail, Yahoo), финансовые организации (Bank of America, Fidelity Investments, PayPal), социальные службы (American Greetings, Facebook, LinkedIn), поставщики защитных решений (Agari, Cloudmark, eCert, Return Path, Trusted Domain Project). По оценке Google, в настоящее время около 15% легитимных писем на ее почтовом сервисе приходит с доменов, поддерживающих DMARC.

Возможно, внедрение новшества потребует дополнительных усилий по обеспечению приватности, а также финансовых затрат. Последние, по мнению участников проекта, не должны оказаться обременительными, так как новый протокол предполагает использование действующих стандартов и технологий. Разумеется, DMARC не гарантирует 100%-ную защиту от фишинга, но поможет оперативно отсеивать явные подделки. Авторы разработки предлагают использовать новую технологию в дополнение к существующим механизмам аутентификации. Заинтересованные организации могут ознакомиться с рабочим вариантом спецификаций на сайте DMARC.org. Новый протокол будет представлен на февральских конференциях MAAWG и RSA. После его обкатки в полевых условиях участники проекта планируют обратиться в IETF для утверждения DMARC в качестве отраслевого стандарта.

Некоммерческая организация HostExploit опубликовала Тор 50 неблагополучных AS-провайдеров за октябрь-декабрь. В составлении квартального отчета принимала деятельное участие российская Group-IB.

Новый рейтинг был составлен по итогам исследования 39,8 тыс. автономных систем. Его возглавляет литовский хостер Hosting Media (AS47583), который в предыдущем квартале занимал 2-е место. На его площадках по-прежнему много эксплойтов, зловредов, их активно используют фишеры и спамеры, а по количеству серверов, управляющих ботнетами, Hosting Media вновь нет равных.

Прежний лидер непочетного списка, американский провайдер Oversee.net (AS33626) улучшил свои показатели в полтора раза, что позволило ему опуститься на 12-ю строку. США вновь заняли половину мест в ведущей десятке, а в Тор 50 их присутствие увеличилось до 20 позиций [PDF 1,68 Мб]. Россияне находятся за пределами первой 20-ки, в Тор 50 их четверо: ОАО «Вебальта» (AS41947), «Мегафон» (AS31133), «Агава» (AS43146) и SpaceWeb (AS44112). «Вебальта», похоже, почистила свои сети и смогла опуститься на 28-ю строку; тем не менее, этой компании было присвоено 4-е место в категории «Зараженные сайты». «Мегафон» с регионами занимает 3 позиции в десятке лидеров по спаму, столько же пришлось на долю России в категории «C&C ZeuS».

В январе традиционно начинаются рассылки, посвященные Дню святого Валентина. В этом году первую довольно небольшую спам-рассылку, предлагающую подарки к празднику, мы получили 14 января. С этого момента «валентинов» спам стал появляться в почтовом трафике довольно регулярно. Как показывает практика, рассылки посвященные Дню святого Валентина, обычно не столь многочисленны, как новогодние. В 2011 году доля таких рассылок в пиковый период (на второй неделе февраля) составила 0,21% от всех спамерских сообщений. Вероятно, на следующей неделе и за пару дней до праздника доля валентинова спама окажется ничуть не меньше, чем год назад. На уходящей неделе доля такого спама составила всего 0,004% от всего спам-трафика. И хотя эта цифра не слишком впечатляет, необходимо напомнить, что спамеры ежедневно распространяют миллиарды сообщений, а это значит, что в Сети ежедневно распространяется несколько сотен тысяч сообщений, посвященных Дню святого Валентина.

Подавляющее большинство спамерских валентинок англоязычны. Разумеется, в разных сегментах интернета встречаются рассылки и на других языках, однако англоязычные рассылки наиболее многочисленны и встречаются в спам потоках в разных странах. В свою очередь подавляющее большинство англоязычных рассылок относятся к «партнерскому» спаму. Англоязычные партнерские рассылки, посвященные дню святого Валентина, можно поделить на три группы: во-первых, это рассылки традиционно спамерских товаров – медикаментов и реплик элитных товаров – наполненные праздничной атрибутикой, с помощью которой спамеры пытаются привлечь внимание пользователей к своим сообщениям. Второй вид рассылок – это предложения от сезонных партнерских программ. Сюда входят предложения подарков для любимых, цветов и прочей продукции с праздничной символикой. Третий и наиболее опасный вид рассылок, посвященных Дню святого Валентина – вредоносные рассылки, подделанные под открытки с поздравлениями. В последние годы такие рассылки нечасто встречались в спам-потоках, но их не стоит сбрасывать со счетов.

На днях мы зафиксировалил рассылку, которая занимает промежуточное положение между вторым и третьим видом. Это англоязычное письмо, предлагающее отправить любимым бесплатные электронные открытки.

Вопреки ожиданиям, по ссылке в письме не было вредоносной программы, однако и электронных открыток там тоже не было.

По свидетельству KrebsOnSecurity.com, партнерская программа GlavTorg, специализирующаяся на продвижении поддельных предметов роскоши, с февраля прекращает свою деятельность.

Запуск этой российской «партнерки» был объявлен в 2010 году, в День независимости США. Кребс утверждает, что операторами GlavTorg.com являлись соучредители аналогичных предприятий, опекавших нелицензированные интернет-аптеки, ― Главмеда и SpamIt. Во всяком случае, первый анонс о новой партнерской программе появился на форуме Glavmed. Подопечные интернет-магазины GlavTorg занимались сбытом дешевых имитаций модных сумок, часов, солнцезащитных очков и обуви ― такие подделки часто рекламируются через спам.

По всей видимости, новая «партнерка» оказалась убыточной. В минувшем декабре участникам GlavTorg было объявлено, что программа будет свернута по причине «ухудшения качества продукции, предлагаемой поставщиками», а выплаты будут производиться лишь до 31 января. Судя по объявлению на стартовой странице русскоязычного сайта, домен glavtorg.ru уже выставлен на продажу.

Кребс полагает, что реальной причиной закрытия GlavTorg является прессинг со стороны владельцев торговых марок, незаконно использующихся для продвижения подделок. В сентябре прошлого года Chanel подала иск против владельцев интернет-магазинов, торгующих репликами ее товаров. Среди десятков доменов, переданных по суду компании, оказался и topbrandclub.com, крупнейший контрактор GlavTorg. На домашней странице этого ресурса теперь красуется предостережение от Chanel, адресованное потенциальным покупателям контрафакта.

Городской суд Йошкар-Олы вынес приговор по уголовному делу 32-х участников криминальной группы, которая за 3 года выманила у иностранцев свыше 5,5 млн. руб., поддерживая с ними переписку от имени перспективных «невест».

Как показало расследование, данная группировка действовала на территории республики Марий Эл с осени 2004 по июль 2007 гг. Аферисты арендовали несколько квартир в Йошкар-Оле и соседнем поселке Медведево, оборудовали каждую десятком компьютеров и наняли студентов, которые круглосуточно строчили послания сетевым романтикам. В ходе переписки жертву неоднократно просили перевести деньги для различных нужд, которые на самом деле шли на оплату аренды, покупку электронного оборудования и содержание охраны. По данным следствия, мошенникам удалось получить 225 денежных переводов от 125 обманутых иностранцев, большинство которых ― граждане США, а также канадцы, немцы, британцы и австралийцы.

Йошкар-олинский горсуд признал всех участников преступной группы виновными в нарушении ч. 4 ст. 159 УК РФ (мошенничество, совершённое организованной группой). Один из главарей, Алексей Васин, приговорен к 4,5 годам лишения свободы с отбыванием срока в исправительной колонии строгого режима. Остальные подельники получили от 3 до 5 лет условно с испытательным сроком 3 года и оштрафованы на разные суммы, от 4 до 15 тыс. руб.

29 других сообщников были осуждены ранее, еще 23 находятся под следствием.

Facebook и генпрокуратура штата Вашингтон обвинили маркетинговую компанию Adscend Media в использовании противозаконных методов ведения бизнеса и рассылке спама. Параллельные иски были поданы в двух американских штатах по предварительному соглашению.

Согласно исковым заявлениям, 80% доходов Adscend приносила реализация партнерской CPA-программы (Cost per Action, «Оплата за действие»). В соответствии с этой моделью участник «партнерки» получает оплату за активность посетителей на целевых ресурсах, т.е. потенциальный клиент должен не только перейти на рекламируемый сайт, но и совершить там определенные действия: заполнить анкету, подписаться на рассылку, заказать товар и т.п. По утверждению истцов, оператор «партнерки» не только одобрял использование Facebook в качестве полигона, но и поощрял своих подопечных использовать любые способы для привлечения участников социальной сети на сторонние сайты ― вплоть до спама и махинаций с «кликами».

Арбитражный суд Челябинской области оставил в силе постановление местного УФАС, в соответствии с которым ОАО «Мегафон» должно уплатить 100 тыс. руб. штрафа за ненадлежащую рекламу.

Административное наказание было назначено телеоператору по результатам расследования, проведенного по жалобе одного из его абонентов. Как оказалось, «Мегафон», действительно, прикреплял рекламные тексты к USSD-сообщениям, автоматически направляемым в ответ на запрос о состоянии абонентского счета. Челябинское УФАС заключило, что такая практика подпадает под статью 18 федерального закона «О рекламе», которая запрещает проведение коммерческих рассылок с применением средств автоматизированного выбора адресатов.

ОАО «Мегафон» попыталось опротестовать решение УФАС в суде, считая, что избранный им способ рассылки не является автоматическим, так как список получателей рекламы формирует оператор, т.е. человек. Однако суд отклонил эти доводы, установив, что при составлении списка адресатов оператор вводит в программный комплекс лишь критерии отбора группы абонентов. Итоговый выбор номеров производит автомат, отправляя рекламу только тем участникам списка, которые запрашивают баланс. Следовательно, утверждение «Мегафон», что в данном случае выбор адресатов осуществлялся человеком, не соответствует действительности.

По данным Symantec, в декабре уровень спама в почтовом трафике снизился до 67,7%, а в январе подрос до 69,0%. Тем не менее, спамеры пока не дотягивают до среднегодовой отметки.

Основным источником мусорной почты остаются США, хотя по сравнению с ноябрем их вклад в спам-трафик сократился вдвое и в январе составил лишь 25,0%. Второе место заняла Индия с показателем 10,2%, третье ― Бразилия (5,8%). В пятерку лидеров также вошли Россия (5,6% и Великобритания (4,4%). Самые высокие уровни спама наблюдались в Саудовской Аравии (75,5%), Китае (75,0%) и Бразилии (73,1%), а в разделении по отраслям хозяйственной деятельности ― в сфере образования (71,0%).

В тематическом составе спама преобладала реклама фармацевтических препаратов, доля которой за 2 месяца выросла на 6,5 пунктов и в январе составила 38,0%. Еще заметней увеличилось количество рекламы поддельных предметов роскоши (27,5%), порноресурсов и сайтов знакомств (22,5%). В категории «Мошенничество» показатель уменьшился втрое и составил лишь 0,5%. 57,8% URL-спама содержало ссылки, привязанные к TLD-зоне .com, 9,4% ― к зоне .ru. Общий размер нелегитимных сообщений несколько увеличился ― в основном, за счет роста доли объемных писем (более 10 КБ), которая в январе составила 13,8%.

В Twitter наблюдается всплеск русскоязычного спама, содержащего вредоносные ссылки.

По всем признакам, вредоносные сообщения распространяются автоматизированными средствами. Все они предлагают разнообразные файлы для скачивания: сборники задач с решениями, дистрибутивы игр, аудиокниги, некие документы и т.п. Примечательно, что к вредоносным URL, указанным в этих записях, прикреплен один из нескольких популярных хэштэгов, таких как «#Россия», «#новости», «#интернет», «#Москва». По свидетельству Lenta.ru, соответствующие тематические разделы сейчас наполнены зловредным спамом, которого в несколько раз больше, чем релевантных записей.

Насколько известно, новая спам-атака началась в Twitter пару дней назад, накануне встречи Дмитрия Медведева со студентами МГУ. На тот момент в спам-шаблонах преобладал хэштэг «#жалкий», который часто используется в записях с критикой в адрес президента. В настоящее время интенсивность рассылки спама с этим хэштэгом составляет несколько десятков сообщений в минуту.

Microsoft внесла изменения в исковые претензии к ботоводам Kelihos, добавив свидетельства против еще одного ответчика ― россиянина Андрея Сабельникова.

По признанию экспертов, они вышли на это имя в результате анализа вредоносного кода. Новые находки позволили им заключить, что Сабельников принимал участие в создании зловреда и ботнета на его основе. Россиянин также регистрировал адреса, которые впоследствии использовались для управления Kelihos, в том числе 3,7 тыс. поддоменов в зоне cz.cc, вверенной dotFREE Group. Эта компания и ее владелец, Доминик Александер Пьятти (Dominique Alexander Piatti), фигурировали в качестве ответчиков в первоначальном варианте искового заявления Microsoft, однако при более тщательном расследовании Пьятти оказался обычным поставщиком веб-услуг, и обвинения с него были сняты.

Появление нового имени, которое Microsoft связывает с деятельностью Kelihos, породило волну журналистских расследований. В обновленном иске указано, что Сабельников ― выпускник питерского университета по специальности «вычислительные системы и программирование». В настоящее время он живет в Санкт-Петербурге и работает как фрилансер в консалтинговой компании, занимающейся также разработкой софта, а ранее трудился в штате некоего поставщика защитных решений. Небезызвестный Брайан Кребс изучил профиль Сабельникова на LinkedIn и установил, что нынешним местом его работы является Teknavo, создающая приложения для финансовых организаций, а прежним ― Agnitum. Репортеры CNews дополнили этот послужной список еще двумя именами: R-Tools и Returnil, однако отметили, что Сабельников уже удалил с LinkedIn все данные о своей трудовой карьере.

Ботнет Kelihos, он же Hlux, был обезврежен прошлой осенью стараниями Microsoft, ЛК и Kyrus. Злоумышленники использовали его для рассылки спама, кражи пользовательских данных, проведения DDoS-атак и многих других видов криминальной деятельности. Подменив управляющий центр ботнета, ЛК насчитала в его составе свыше 49 тыс. уникальных IP-адресов. В настоящее время Kelihos неактивен, но истребить всю инфекцию на местах пока не удалось.