Спамеров заинтересовали социальные сети

Все больше людей прибегает к общению в социальных сетях. Популярность подобных ресурсов растет с огромной скоростью. Это не могло не привлечь спамеров и хакеров, которые использовали все возрастающую славу этих сайтов в своих целях.

Особенности спама в июле 2008 г.:

• Наблюдался всплеск незапрошенных рассылок, связанных с социальными сетями.
• Доля спама в почтовом трафике по сравнению с июнем уменьшилась на 3,2% и составила в среднем 78,9%.
• Доля графического спама составила 9%.
• Письма со ссылками на фишинговые сайты составили 0,58%, что в два раза меньше июньских показателей.
• Вредоносные файлы содержались в 0,27% всех писем.
• Во второй половине июля прошли масштабные рассылки со ссылками, ведущими на зараженные страницы.
• Появился новый спамерский прием – запись контактной информации с помощью закрашенных ячеек в таблице.

Первым признаком того, что спамеры заинтересовались социальными сетями, стала июньская массовая рассылка писем, имитирующих извещение о получении сообщения с сайта Odnoklassniki.ru. Ссылка вела на подложный сайт, с которого на компьютеры пользователей пыталась загрузиться троянская программа Trojan.Win32.Agent.qxk. Волна подобных писем была зафиксирована и в середине июля.

В последние дни июля прошла рассылка с приглашением от пользователя портала Friends зарегистрироваться на нем.

Ссылка в письме не работала, однако по некоторым признакам - по небрежности, с которой было составлено приглашение (пришедшее от имени пользователя Olga, оно имело примечание: «Если ты не знаешь пользователя Natalija или не желаешь принимать от него приглашение, просто удали это письмо»); по тому, что рассылка имела массовый характер и распространялась на нескольких языках; по тому, что в разных письмах этой рассылки были указаны похожие, но не идентичные адреса сайта, – можно предположить, что рассылка имела такую же цель, как и письма якобы с сайта Odnoklassniki.ru. В связи с чем важно еще раз напомнить о потенциальной опасности приглашений, пришедших с незнакомых адресов.

Другим проявлением интереса спамеров к социальным сетям стало использование в ссылке названия сети в качестве приманки (на самом же деле по ссылке открывалась страница с рекламой). Отправители незапрошенной рассылки о дешевом софте поспешили воспользоваться популярной в Интернете шуткой про возникновение нового ресурса Сокамерники.ру. Письмо действительно носит шутливый характер и подделано под блатной жаргон. Это, равно как и предложение воспользоваться готовыми логином и паролем, должно было заинтриговать получателя. Однако отважных посетителей нового социального проекта ожидало разочарование: настоящая ссылка вела на сайт по продаже спамерского и хакерского программного обеспечения.

Всеобщее увлечение социальными сетями побудило хакеров создать специальное программное обеспечение. Часть программ, на первый взгляд, призвана облегчить жизнь завсегдатаям таких сайтов. Так, востребованность ресурса Odnoklassniki.ru породила рассылку с предложением утилиты, которая должна упростить посещение сайта. Утверждалось, что программа для автоматического ввода логина и пароля при входе на личную страницу освободит посетителя от утомительного набора своих данных. Однако безвредная утилитка на самом деле оказалась троянской программой Trojan-PSW.Win32.SocNet.a, которая, действительно, автоматически заполняла форму регистрации на сайте, но при этом передавала личные данные владельца на сайт злоумышленников.

Кроме того, хакеры создали новое ПО для социальной сети «Одноклассники» – в помощь спамеру. Так что пользователям сайта Odnoklassniki.ru в ближайшее время вполне может понадобиться кнопка «пожаловаться на спам». Важно обратить внимание на то, что заявленная программа будет производить рассылку не всем подряд, а только пользователям, которые находятся на сайте и входят в определенную социальную группу.

В настоящее время все спамерские предложения, так или иначе связанные с социальными сетями, носят криминальный характер. Спамеры, рекламирующие обычные товары и услуги, в почтовых рассылках пока не используют популярность социальных сетей, тогда как ссылки на вредоносные программы и предложения хакерского и спамерского ПО уже стали постоянными спутниками подобного спама.

Доля спама в почтовом трафике
Доля спама в почтовом трафике в июле 2008 года в среднем составила 78,9%. Самый низкий показатель был отмечен 16 июля – 66,2%, больше всего спама было зафиксировано 11 числа – 88,9%. Доля графического спама составила 9%.

В июле снизился процент спамовых писем с вредоносными вложениями и фишинговыми ссылками. Письма со ссылками на фишинговые сайты составили 0,58%, что в два раза меньше июньских показателей. Вредоносные файлы содержались в 0,27% всех писем.

Однако спамеры постарались по-своему компенсировать этот спад. Вторая половина месяца характеризовалась большой рассылкой писем, ссылка в которых вела на сайты, зараженные вредоносными программами. Хакеры взломали десятки сайтов, расположенных в различных доменных зонах. Письма сопровождались шокирующими новостными заголовками для того, чтобы пользователь без колебаний проследовал по ссылке на вредоносную программу.

Еще в одной из таких рассылок письма содержали предложение приобрести бесплатный антивирус, который в случае немедленной установки сотрет с компьютера всех троянцев и червей. При попытке получить такую «эффективную защиту» компьютер оказывался заражен разновидностью Trojan-Downloader.

Тематический состав спама
Пятерка лидирующих спам-тематик июня:

«Медикаменты; товары и услуги для здоровья» - 18%
«Отдых и путешествия» - 14%
Спам «для взрослых» - 12%
«Образование» - 8%
«Реплики элитных товаров» - 7%

Тематика «Медикаменты; товары и услуги для здоровья» остается на первой позиции даже в период отпусков. «Забота» о здоровье пользователей Интернета, а заодно об их досуге, была проявлена спамерами, разославшими письма со ссылкой на страницу одного из русскоязычных блогов. На этой странице размещалась реклама сайтов с порнографией, виагрой и казино.

Второй в пятерке лидеров в середине лета следует рубрика «Отдых и путешествия», полностью соответствующая настроениям второго летнего месяца. Особенно часто в письмах данной тематики встречались предложения туров внутри страны. Спамеры шли на разнообразные ухищрения, чтобы такие рассылки дошли до пользователя даже в неудобочитаемом виде. В приведенном ниже письме спамерская ссылка, перенаправляющая на сайт в доменной зоне tk, была замаскирована с помощью линка, ведущего на уважаемый туристический сайт tours.ru.

А спам с образовательной тематикой, наоборот, оставил свои позиции, хотя и не покинул пятерку лидеров. В июле подходят к концу вступительные экзамены в институты и уже сданы летние сессии, поэтому и спам в этой области бывает иногда очень необычным. Украинская рассылка предлагала пользователям Интернета сориентироваться в многообразии учебных заведений и даже скомпрометировать непонравившийся ВУЗ – совершенно анонимно.

Черный PR
Все более популярным средством борьбы с конкурентами или просто личными врагами становится черный PR. Такой неблагородный метод компрометации неоднократно применялся спамерами в начале года.

На протяжении нескольких недель атаке подвергался некий российский форум. Спамовые письма, разосланные якобы администрацией ресурса, носили агрессивный характер, часто в них использовалась нецензурная лексика и угрозы забанивания за спам. Несколько таких рассылок уже проходило во второй половине июня, но в июле прошла еще более агрессивная атака. Сложно сказать, какую цель преследуют злоумышленники: добиваются ли они закрытия сайта или просто хотят, чтобы количество постоянных посетителей форума резко уменьшилось.

Еще одним проявлением черного пиара стала рассылка, предлагавшая пластид и гексоген. Ссылки, которые были даны для получения информации, вели на безобидные сайты разной направленности. А само содержание писем подразумевало не слишком добрую шутку. Помимо компрометации указанных сайтов спамеры ссылались на то, что эта реклама якобы была одобрена ФСБ России.

Спамерские методы и трюки. «Японский сканворд»
В июле спамеры изобрели новый прием обхода спам-фильтров. И ранее спамеры использовали различные приемы для зашумления рекламного текста - отрывки из классики мировой литературы, объявления, написанные вручную, – а теперь в ход пошли и «японские сканворды».

Текст письма преподносится в привычном виде, а контактная информация тщательно маскируется. В данном случае для того, чтобы спам-фильтры не могли блокировать письма, содержащие конкретный номер телефона, спамеры прибегли к методу японского сканворда. Была создана таблица с большим количеством ячеек. Закрашенные ячейки внутри таблицы складываются в изображение цифр телефонного номера.

Заключение
Прогнозы о сезонном уменьшении доли спама в почтовом трафике полностью оправдали себя.

Тематический состав спама в течение лета остается почти неизменным. Однако возрастающая популярность социальных сетей позволяет прогнозировать увеличение количества незапрошенных рассылок, так или иначе связанных с этими ресурсами. В настоящее время спам, который затрагивает подобные сайты, носит криминальный характер. Большую часть его составляют письма со ссылками на вредоносные программы или на зараженные страницы.

Но и спам, не имеющий отношения к социальным сетям, все чаще носит криминальный характер. Черный PR, компрометирующий ресурсы различной направленности, ссылки на вредоносные программы или на зараженные сайты, реклама поддельных и контрафактных товаров, предложения услуг криминального характера или ПО для хакерской и спамерской деятельности – все это содержится в спамовых письмах. И это заставляет говорить о продолжающейся криминализации спама.

Татьяна Куликова, "Лаборатория Касперского"