Последнее время к нам в ловушки часто попадают вот такие письма:

В них некто со звучным английским именем просит зарезервировать отель или билеты на самолет для себя и семьи. "Ошиблись адресом," - подумает наивный пользователь, получивший подобное письмо и будет неправ.

Праздники традиционно воспринимаются рекламодателями как время, когда можно повысить продажи. Для спамеров подобная тема тоже работает. Так, ко Дню Святого Валентина всегда имеются товары и услуги, количество спама с рекламой которых резко возрастает. В первую очередь это цветы. Кроме того, популярны конфеты и мягкие игрушки.

Недавно мы заметили в потоках спама рассылку, представлявшую собой на первый взгляд классический "форумный" спам - мусорные сообщения, массово оставленные на различных форумах и досках объявлений, уведомления о которых приходят пользователям на почту.

В спаме рекламировались фармацевтические препараты, однако ссылки вели не на сайты онлайн-магазинов, а на видеохостинг YouTube. Там любопытный пользователь мог увидеть ролики, содержащие картинку, на фоне которой размещалось название медикамента и ссылка на фармацевтический сайт.

Сегодня нам встретился новый, весьма затейливый вид фишинга. Пользователю приходило письмо якобы от компании McDonald's о том, что он выиграл возможность участвовать в опросе и мгновенно получить за это $80 на свой счет.

Казалось бы, ничего не предвещало беды: пользователь проходит по ссылке, действительно попадает на форму опроса удовлетворенности качеством, проходит его, нажимает кнопку...

Последнее время в интернете широко обсуждается безопасность публичных облачных сервисов. Провайдеры услуг уверяют, что нет ничего надежней облака, секьюрити-компании уже находят различные угрозы в облаках.

Тем временем спамеры не отстают, и тоже начинают активней использовать бесплатные удаленные ресурсы. Так, недавно мы обнаружили вот такой фишинг для сбора почтовых паролей:

Февраль только начался, а мы уже видим большое количество спама, так или иначе связанного с Днем Всех Влюбленных. Уже сейчас с помощью спама рекламируется множество товаров и услуг к празднику: дорогой алкоголь и шоколад, ювелирные украшения и кожанные изделия, отдых для двоих и многое другое.

Отрадно видеть, что правоохранительные органы обращают все больше внимания на спамеров.

Как сообщает "Коммерсант", следственное управление при УВД по Центральному административному округу Москвы возбудило уголовное дело против гендиректора ООО «Деспмедия» Игоря Гусева. Через партнерскую программу Glavmed.com «Деспмедия» занималась продажей контрафактных фармацевтических препаратов, в том числе виагры, на территории США, Канады и других стран мира с использованием спама. По данным следствия, оборот Glavmed.com за последние 3,5 года мог составить $120 млн.

Следствие возбудило уголовное дело по части 2 статьи 171 УК РФ (незаконное предпринимательство, сопряженное с извлечением дохода в особо крупном размере). Эта статья предусматривает до пяти лет лишения свободы. В ближайшее время данные на Гусева будут переданы в Интерпол.

Считается, что Glavmed является владельцем Canadian Pharmacy - компании, занимающей первое место в десятке спамеров по версии Spamhaus. Сам Гусев всегда не только отрицал свою причастность к рассылке спама, но даже подал в суд на издательство, приписавшее ему подобную деятельность.

Считается также, что Glavmed владел закрытой недавно фармацевтической партнерской программой SpamIt. При закрытии программы ее авторы писали, что делают это "в связи с длинной чередой негативных событий последнего года и обострившимся вниманием к деятельности нашей партнерской программы". Что же, отрадно наблюдать, что и после закрытия "партнерки" внимание правоохранительных органов к спамерам не ослабло.

В то же время мы у себя в Лаборатории Касперского наблюдаем заметное снижение доли спама в почте (в понедельник и вторник количества спама в почтовом трафике составило, соответственно, 76,1% и 71,1%). Кроме того, можно отметить, что понизилась доля фармацевтического спама (18,3%).

Это может быть связано как с возбуждением уголовного дела против И.Гусева, так и с закрытием части командных центров ботнетов Bredolab и арестом одного из держателей ботнетов, проведенным Нидерландскими властями. В пользу последнего говорит и тот факт, что доля рубрики "компьютерное мошенничество" (куда в частности входят письма с вредоносными вложениями) сократилась в последние пару дней практически до нуля, а Bredolab известен как раз тем, что рассылает вредоносный спам.

Часто мы сталкиваемся с ситуациями, когда спамеры используют популярные мировые события и имена известных личностей для привлечения внимания к своей нелегитимной рассылке. В прошлом году, например, особенно популярен у спамеров был президент США Барак Обама: его имя использовалось как для завлечения пользователей на зараженные страницы, так и просто для продажи виагры.

А вот теперь уже и в этом году мы видим похожие методы социальной инженерии: для привлечения внимания спамеры воспользовались популярностью сериала «Доктор Хаус». На этот раз они не только придумали слоган «Доктор Хаус для вашего друга», но и вставили картинку с изображением Хью Лори — актера, играющего главную роль в сериале.

Такой метод привлечения внимания универсален: с таким слоганом можно продавать все от компьютерной помощи до пресловутой виагры. Удивительно, что в данном случае спамеры не поместили имя знаменитого сериального доктора в заголовок письма — большинство пользователей удаляют спам, не открывая писем, так что не смогут оценить подобных творческих усилий.

Сегодня нами была зафиксированная рассылка, призывающая пользователей зарегистрироваться в популярной социальной сети "ВКонтакте".

Письма были похожи на фишинговые, и мы уже ожидали поймать по ссылке очередной Zbot или другую троянскую программу, однако все оказалось несколько иначе.

Мы зафиксировали фишинговую атаку, использующую популярность Outlook Web Access (OWA) — сервиса, позволяющего с помощью веб-обозревателя обратиться к почтовому ящику Microsoft Exchange Server с любого компьютера, имеющего подключение к интернету. Пользователь получал письмо, в котором говорилось, что из-за обновления системы безопасности настройки почты следует изменить.

 

Такое содержание характерно для фишинговых писем, однако, письмо выглядело более доверительно, так как злоумышленники подставляли в ссылку доменное имя сайта, на почтовые ящики которого рассылались письма. На самом деле, пройдя по ссылке, пользователь попадал на фишерский домен, по виду похожий на Outlook Web Access.

 

Там ему предлагалось скачать exe-файл якобы для обновления почтовых настроек. Однако файл содержал троянскую программу семейства Trojan-Spy.Win32.Zbot.

Что интересно, все фишерские домены принадлежали зонам eu и co.uk — довольно редкий случай, так как обычно подобные сайты находятся в доменных зонах стран третьего мира.

OWA — популярный сервис, используемый многими компаниями, поэтому улов фишеров потенциально велик. Поэтому мы настоятельно рекомендуем быть внимательнее и никогда не ходить по ссылкам из писем, а тем более не запускать exe-файлы.