Все больше людей прибегает к общению в социальных сетях. Популярность
подобных ресурсов растет с огромной скоростью. Это не могло не привлечь
спамеров и хакеров, которые использовали все возрастающую славу этих
сайтов в своих целях.
Особенности спама в июле 2008 г.:
- Наблюдался всплеск незапрошенных рассылок, связанных с социальными сетями.
- Доля спама в почтовом трафике по сравнению с июнем уменьшилась на 3,2% и составила в среднем 78,9%.
- Доля графического спама составила 9%.
- Письма со ссылками на фишинговые сайты составили 0,58%, что в два раза меньше июньских показателей.
- Вредоносные файлы содержались в 0,27% всех писем.
- Во второй половине июля прошли масштабные рассылки со ссылками, ведущими на зараженные страницы.
- Появился новый спамерский прием – запись контактной информации с помощью закрашенных ячеек в таблице.
Первым признаком того, что спамеры заинтересовались социальными
сетями, стала июньская массовая рассылка писем, имитирующих извещение о
получении сообщения с сайта Odnoklassniki.ru. Ссылка вела на подложный
сайт, с которого на компьютеры пользователей пыталась загрузиться
троянская программа Trojan.Win32.Agent.qxk. Волна подобных писем была
зафиксирована и в середине июля.
В последние дни июля прошла рассылка с приглашением от пользователя портала Friends зарегистрироваться на нем.
Ссылка в письме не работала, однако по некоторым признакам - по
небрежности, с которой было составлено приглашение (пришедшее от имени
пользователя Olga, оно имело примечание: «Если ты не знаешь
пользователя Natalija или не желаешь принимать от него приглашение,
просто удали это письмо»); по тому, что рассылка имела массовый
характер и распространялась на нескольких языках; по тому, что в разных
письмах этой рассылки были указаны похожие, но не идентичные адреса
сайта, – можно предположить, что рассылка имела такую же цель, как и
письма якобы с сайта Odnoklassniki.ru. В связи с чем важно еще раз
напомнить о потенциальной опасности приглашений, пришедших с незнакомых
адресов.
Другим проявлением интереса спамеров к социальным сетям стало
использование в ссылке названия сети в качестве приманки (на самом же
деле по ссылке открывалась страница с рекламой). Отправители
незапрошенной рассылки о дешевом софте поспешили воспользоваться
популярной в Интернете шуткой про возникновение нового ресурса
Сокамерники.ру. Письмо действительно носит шутливый характер и
подделано под блатной жаргон. Это, равно как и предложение
воспользоваться готовыми логином и паролем, должно было заинтриговать
получателя. Однако отважных посетителей нового социального проекта
ожидало разочарование: настоящая ссылка вела на сайт по продаже
спамерского и хакерского программного обеспечения.
Всеобщее увлечение социальными сетями побудило хакеров создать
специальное программное обеспечение. Часть программ, на первый взгляд,
призвана облегчить жизнь завсегдатаям таких сайтов. Так,
востребованность ресурса Odnoklassniki.ru породила рассылку с
предложением утилиты, которая должна упростить посещение сайта.
Утверждалось, что программа для автоматического ввода логина и пароля
при входе на личную страницу освободит посетителя от утомительного
набора своих данных. Однако безвредная утилитка на самом деле оказалась
троянской программой Trojan-PSW.Win32.SocNet.a, которая, действительно,
автоматически заполняла форму регистрации на сайте, но при этом
передавала личные данные владельца на сайт злоумышленников.
Кроме того, хакеры создали новое ПО для социальной сети
«Одноклассники» – в помощь спамеру. Так что пользователям сайта
Odnoklassniki.ru в ближайшее время вполне может понадобиться кнопка
«пожаловаться на спам». Важно обратить внимание на то, что заявленная
программа будет производить рассылку не всем подряд, а только
пользователям, которые находятся на сайте и входят в определенную
социальную группу.
В настоящее время все спамерские предложения, так или иначе
связанные с социальными сетями, носят криминальный характер. Спамеры,
рекламирующие обычные товары и услуги, в почтовых рассылках пока не
используют популярность социальных сетей, тогда как ссылки на
вредоносные программы и предложения хакерского и спамерского ПО уже
стали постоянными спутниками подобного спама.
Доля спама в почтовом трафике
Доля спама в почтовом трафике в
июле 2008 года в среднем составила 78,9%. Самый низкий показатель был
отмечен 16 июля – 66,2%, больше всего спама было зафиксировано 11 числа
– 88,9%. Доля графического спама составила 9%.
В июле снизился процент спамовых писем с вредоносными вложениями и
фишинговыми ссылками. Письма со ссылками на фишинговые сайты составили
0,58%, что в два раза меньше июньских показателей. Вредоносные файлы
содержались в 0,27% всех писем.
Однако спамеры постарались по-своему компенсировать этот спад.
Вторая половина месяца характеризовалась большой рассылкой писем,
ссылка в которых вела на сайты, зараженные вредоносными программами.
Хакеры взломали десятки сайтов, расположенных в различных доменных
зонах. Письма сопровождались шокирующими новостными заголовками для
того, чтобы пользователь без колебаний проследовал по ссылке на
вредоносную программу.
Еще в одной из таких рассылок письма содержали предложение
приобрести бесплатный антивирус, который в случае немедленной установки
сотрет с компьютера всех троянцев и червей. При попытке получить такую
«эффективную защиту» компьютер оказывался заражен разновидностью
Trojan-Downloader.
Тематический состав спама
Пятерка лидирующих спам-тематик июня:
«Медикаменты; товары и услуги для здоровья» - 18%
«Отдых и путешествия» - 14%
Спам «для взрослых» - 12%
«Образование» - 8%
«Реплики элитных товаров» - 7%
Тематика «Медикаменты; товары и услуги для здоровья» остается на
первой позиции даже в период отпусков. «Забота» о здоровье
пользователей Интернета, а заодно об их досуге, была проявлена
спамерами, разославшими письма со ссылкой на страницу одного из
русскоязычных блогов. На этой странице размещалась реклама сайтов с
порнографией, виагрой и казино.
Второй в пятерке лидеров в середине лета следует рубрика «Отдых и
путешествия», полностью соответствующая настроениям второго летнего
месяца. Особенно часто в письмах данной тематики встречались
предложения туров внутри страны. Спамеры шли на разнообразные
ухищрения, чтобы такие рассылки дошли до пользователя даже в
неудобочитаемом виде. В приведенном ниже письме спамерская ссылка,
перенаправляющая на сайт в доменной зоне tk, была замаскирована с
помощью линка, ведущего на уважаемый туристический сайт tours.ru.
А спам с образовательной тематикой, наоборот, оставил свои позиции,
хотя и не покинул пятерку лидеров. В июле подходят к концу
вступительные экзамены в институты и уже сданы летние сессии, поэтому и
спам в этой области бывает иногда очень необычным. Украинская рассылка
предлагала пользователям Интернета сориентироваться в многообразии
учебных заведений и даже скомпрометировать непонравившийся ВУЗ –
совершенно анонимно.
Черный PR
Все более популярным средством борьбы с конкурентами
или просто личными врагами становится черный PR. Такой неблагородный
метод компрометации неоднократно применялся спамерами в начале года.
На протяжении нескольких недель атаке подвергался некий российский
форум. Спамовые письма, разосланные якобы администрацией ресурса,
носили агрессивный характер, часто в них использовалась нецензурная
лексика и угрозы забанивания за спам. Несколько таких рассылок уже
проходило во второй половине июня, но в июле прошла еще более
агрессивная атака. Сложно сказать, какую цель преследуют
злоумышленники: добиваются ли они закрытия сайта или просто хотят,
чтобы количество постоянных посетителей форума резко уменьшилось.
Еще одним проявлением черного пиара стала рассылка, предлагавшая
пластид и гексоген. Ссылки, которые были даны для получения информации,
вели на безобидные сайты разной направленности. А само содержание писем
подразумевало не слишком добрую шутку. Помимо компрометации указанных
сайтов спамеры ссылались на то, что эта реклама якобы была одобрена ФСБ
России.
Спамерские методы и трюки. «Японский сканворд»
В июле спамеры
изобрели новый прием обхода спам-фильтров. И ранее спамеры использовали
различные приемы для зашумления рекламного текста - отрывки из классики
мировой литературы, объявления, написанные вручную, – а теперь в ход
пошли и «японские сканворды».
Текст письма преподносится в привычном виде, а контактная информация
тщательно маскируется. В данном случае для того, чтобы спам-фильтры не
могли блокировать письма, содержащие конкретный номер телефона, спамеры
прибегли к методу японского сканворда. Была создана таблица с большим
количеством ячеек. Закрашенные ячейки внутри таблицы складываются в
изображение цифр телефонного номера.
Заключение
Прогнозы о сезонном уменьшении доли спама в почтовом трафике полностью оправдали себя.
Тематический состав спама в течение лета остается почти неизменным.
Однако возрастающая популярность социальных сетей позволяет
прогнозировать увеличение количества незапрошенных рассылок, так или
иначе связанных с этими ресурсами. В настоящее время спам, который
затрагивает подобные сайты, носит криминальный характер. Большую часть
его составляют письма со ссылками на вредоносные программы или на
зараженные страницы.
Но и спам, не имеющий отношения к социальным сетям, все чаще носит
криминальный характер. Черный PR, компрометирующий ресурсы различной
направленности, ссылки на вредоносные программы или на зараженные
сайты, реклама поддельных и контрафактных товаров, предложения услуг
криминального характера или ПО для хакерской и спамерской деятельности
– все это содержится в спамовых письмах. И это заставляет говорить о
продолжающейся криминализации спама.
