Конец зимы и весна — весьма плодотворное время для спамеров, особенно для тех, кто работает на российскую аудиторию. На руку мошенникам и большое количество праздников: День Святого Валентина, Масленица, Пасха, День защитника отечества и, наконец, Международный женский день. В этом году спамерам в России помогли и выборы – они активно использовали для завлечения жертв тему политических протестов.
Удивительно, но несмотря на все эти информационные поводы, российские пользователи в последнее время стали получать меньше спама (по частоте срабатываний почтового антивируса Россия опустилась за 2 месяца с 1 на 15 место). В целом же по миру в феврале объем мусорных сообщений в почтовом трафике составил 78.5%.
«Около 80% почтового трафика составляет спам, из которого 70% – заказной спам, - сообщила «Газете.Ru» руководитель отдела контентных аналитик «Лаборатории Касперского» («ЛК») Дарья Гудкова. - В результате, согласно приблизительным подсчетам, совокупный доход распространителей спама на территории России может составлять от 784 млн до 1,9 млрд рублей без учета различных издержек. Если говорить только о заказном спаме, то стоимость разовой рассылки 1 млн сообщений составляет в среднем 3 500 рублей».
По ее словам, учитывая численность населения России, на нашу страну может приходиться примерно 1/50 всех спам-сообщений в мире.
За последнее время самое забавное «праздничное» спам-предложение из зафиксированных аналитиками — виагра на 8 марта как подарок для мужчин. Письмо, зафиксированное спам-аналитиками «ЛК», было почему-то адресовано англоязычным получателям, хотя Международный женский день отмечают в неанглозычных странах.
Помимо рекламных рассылок (традиционная «виагра», «ролексы», всевозможные подделки и услуги), самая интересная категория мусорных писем — мошеннический или кибер-криминальный спам. Откровенно «криминальных» писем в феврале было зафиксировано сравнительно немного - 3% (из них 0,02% - фишинговые письма и 2,8% - послания с вредоносными вложениями). В этих сообщениях пользователям предлагается открыть вложение с вредоносной программой или перейти по ссылке на зараженный или фишинговый сайт (поддельные страницы банков, социальных сетей, онлайн-игр). В таких письмах мошенники используют методы социальной инженерии — убеждение и управление действиями человека.
По данным компании Cisco, существует 7 человеческих «уязвимостей», которые используют преступники: алчность, тщеславие, доверчивость, лень, сострадание, поспешность и сексуальность.
Последний пункт, и, в частности, тему многообещающих знакомств, мошенники используют всегда — делается это очень примитивно, но тем не менее такие письма до сих пор иногда пробивают спам-защиту крупных почтовых сервисов. Характерный пример:
Пррривеет Марианчик ммне рекомендовала твой мейл.!) заходь ко мне на страницу rwpodshrmy.pisem.su Алинчик-Щепкина меня зовут там..!)) если тебе захочется узнать друг друга получше!!))
алоха Алина мне кинула адрес и-мейл твой... заходь ко мне на страницу byrwjmwpil.newmail.ru Иринка~Завражина меня там зовут..!!!)) если не против узнать друг друга...!)
Среди завлекающих мошеннических посланий, как ни странно, до сих пор очень популярны «нигерийские письма» с разными фантастическими историями, смысл которых сводится к тому, что жертва (получатель письма) должна перевести деньги на такой-то счет.
В конце марта специалисты «ЛК» зафиксировали рассылку с креативным предложением всем желающим «изменить будущее» - присоединиться к хакерской группе Anonymus и поддержать протест против правительств разных стран. Авторы посланий, очевидно, рассчитывали на то, что многие люди симпатизируют хактивистам как борцам за независимость и справедливость.
От получателя требовалось лишь отправить свое имя и подтвердить адрес электронной почты. Спам-аналитик «ЛК» Мария Наместникова считает, что в ответ авторы рассылки предложили бы пользователям перевести немного денег, скажем, для проведения хактивистской акции.
Но сегодня можно встретить и классические «нигерийские письма», сулящие «наследство от дяди» или любовь прекрасных невест, которым нужно перевести немного денег. Свои тексты мошенники переводят на разные языки при помощи элементарных интернет-сервисов. Получается примерно так:
«Я правовых advicer для умершего клиента доктор Бен Сато, который работал с нефти и газа компании здесь, в Того. Он умер со своей семьей в страшной аварии, двигатель в декабре 2007 года. Я обращаю Ваше внимание на retrival его огромный депозит в размере $ 5.2million слева на свой банковский счет до своей смерти, пока он не confisticated и переданы в правительство счет. Я с нетерпением жду вашего ответа для более подробной информации, если интересно. У любезно свяжитесь со мной прямо на мою частную adddress электронной почты (walter.mbolo@ yahoo.fr ) для получения дополнительной информации в отношении претензий на его имущество / активы на сумму (5,2 млн. долл. США).»
А вот еще один забавный пример, обнаруженный в конце марта специалистами «Доктор Веб»: «Доброго день! Моя есть работай адвокат Зимбабве и представляй интересов клиента Хорхе Пупкин, недавно погибай в автокатастрофа совсем вообще насмерть».
«Нигерийский спам» становится еще более необычным благодаря используемому злоумышленниками Google Translate», - сказал «Газете.Ru» руководитель пресс-службы «Доктор Веб» Кирилл Леонов.
Осенью 2011 года многие мошенники предлагали пользователям поделить мифическое наследство убитого Муаммара Каддафи. Письма рассылались от имени сыновей и жен ливийского диктатора. В тот же период в спам-лабораторию «ЛК» попала еще одна интересная нигерийская рассылка: отправитель письма сообщал, что некто заплатил ему за убийство получателя письма. Адресату предлагалось внести $8000 своему потенциальному киллеру - за эти деньги можно не только остаться в живых, но и узнать личность заказчика.
В другом сообщении была угроза подать в суд на адресата за рассылку спама. Пользователю предлагалось открыть прикрепленный к сообщению архив, чтобы ознакомиться с «доказательствами его вины». На самом деле, разумеется, во вложении находился файл, содержавший вредоносный код.
Открыть вредоносное вложение пользователей убеждают по-разному - для этого мошенники используют резонансные события («посмотри фото убитого бен Ладена») или классические приемы: например, предлагают посмотреть на «голых девушек».
Интересный пример из последних - письмо-инструкция «Как вести себя на митинге протеста» 5 марта, в котором скрывался троян, «убивавший» операционную систему. Рассылку зафиксировали специалисты «Доктор Веб» - в сообщении был текст с призывом прийти на акцию против Путина и Word-файл Инструкция_митинг.doc. После запуска трояна, который рушил системные файлы, после перезагрузки пользователь видел только «синий экран смерти».
Но такие вложения сейчас скорее все же редкость, потому что неработающий компьютер нельзя монетизировать, а спамерам это неинтересно. Во вложениях, как правило, встречаются троянские загрузчики, программы-шпионы для кражи логинов и паролей (в т.ч. для систем онлайн-банкинга), трояны для управления зараженной системой и т.д.
Домашние пользователи уже несколько лет чаще сталкиваются со спамом даже не в почте, а в социальных сетях. В России с этим постоянно сталкиваются пользователи «В Контакте». В сети Facebook специалисты «ЛК» недавно обнаружили следующую схему: из украденных аккаунтов мошенники отправляют своим жертвам сообщения о том, что у них возникла некая проблема. Например, они (знакомые пользователя) застряли в аэропорту в другом городе и им нужны деньги на билет домой. Или пишут, что их электронный ключ для совершения банковских операций сломался, и просят жертву одолжить им работающий ключ. Дело в том, что пользователи Facebook размещают очень много частной информации - на основе нее можно собрать подробные сведения о конкретных людях. А через украденные аккаунты можно узнать подробно о взаимоотношениях между людьми, чтобы у жертвы не возникло подозрения в мошенничестве.
В компании «Доктор Веб» говорят, что среди мошеннического спама также участились предложения в Twitter скачать «полезную программу» или «ключи для антивирусного ПО». Такие ссылки ведут, как правило, на поддельные файлообменники, где пользователю предлагают ввести номер мобильного телефона и пришедший по СМС «код активации».
Разумеется, никакого антивирусного ПО или иной «полезной программы» вы не получаете. Таким способом ваш мобильный телефон подключают к мошеннической псевдоуслуге или псевдосервису, за который периодически взимается оплата. Оплата обычно небольшая и на фоне ваших ежемесячных платежей за телефон заметить ее непросто. Чтобы проверить, не подписаны ли вы на какую-нибудь «левую» платную услугу, нужно заказать у оператора мобильной связи детализацию вашего счета, например, за месяц, и внимательно ее изучить.