В октябре наблюдается повышенная активность SMS-мошенников и рост числа опасных вложений в спаме

«Лаборатория Касперского» подвела итоги деятельности спамеров в октябре 2011 года. Отличительной чертой минувшего месяца стали рассылки, спекулирующие на громких событиях, двукратный рост доли вредоносных вложений в электронных сообщениях, адресованных российским пользователям, смещение целей фишеров, а также более равномерное распределение потока спама.



Октябрь был богат на информационные сообщения, имевшие широкий резонанс по всему миру, которые, как обычно, не остались без внимания спамеров. Так, в течение месяца были зарегистрированы различные рассылки, эксплуатирующие тему смерти основателя компании Apple Стива Джобса, который скончался 5 октября. В основном, это были сообщения, содержащие ссылки на вредоносный код. На известие о гибели 20 октября бывшего ливийского лидера Муаммара Каддафи спамеры отреагировали типичными «нигерийскими» письмами. Пользователям приходили сообщения якобы от его «родственников» и служивших у него военных, которым досталась часть «несметных сокровищ» покойного. Во всех таких письмах предлагалось принять участие в дележе этих богатств. Кроме этого, спамеры начали готовиться к предстоящим новогодним и рождественским праздникам, рекламируя различные подарки и поездки на время предстоящих каникул.

Нестабильная ситуация в экономике заставила злоумышленников вновь обратиться к методам обмана пользователей, которые были поставлены на поток в период кризиса 2008-2009 годов: в спаме вновь появились письма, рассылаемые SMS-мошенниками. Так, эксперты «Лаборатории Касперского» обнаружили рассылку с заманчивыми предложениями по аренде недвижимости. Чтобы получить полную информацию о предлагаемых объектах, на сайте, куда вела ссылка в письме, требовалось ввести номер мобильного телефона. Однако, после того как пользователь указывал его, он не только получал доступ к контенту, но и подписывался на SMS-рассылку c этого сайта. В результате со счета его мобильного телефона ежедневно списывалась небольшая сумма – порядка 10 рублей. Подобная схема очень распространена среди мошенников, поскольку периодическое списание небольших сумм сложно отследить и, как правило, остается без внимания владельцев телефонов. Это позволяет злоумышленникам получать стабильный доход, который, с учетом масштабов деятельности спамеров, сложно назвать скромным.

«Главное оружие в борьбе с мошенниками в Интернете – это внимательность и осторожность, – комментирует Мария Наместникова, старший спам-аналитик «Лаборатории Касперского». – Пользователям всегда следует читать правила регистрации или пользования сервисом, если для этого требуется отправить SMS-сообщение на короткий номер или предоставить персональные данные. Кроме того не надо забывать, что как бы заманчиво ни звучала тема спамерского письма, его содержимое не сулит пользователю ничего хорошего».

Непростая экономическая ситуация сказалась и на деятельности фишеров, предпочтения которых сместились с «виртуальных» денег на реальные. Как следствие, произошло снижение количества атак, нацеленных на социальные сети и онлайн-игры, тогда как банковские организации и платежные системы все чаще становились мишенями для злоумышленников.

Еще одной особенностью минувшего месяца стало равномерное распределение потоков спама. Так, если в третьем квартале этого года почти 50% всей нежелательной корреспонденции рассылалось из стран, занимавших первые пять строчек рейтинга стран-спамеров, то в октябре на их долю пришлось всего 33,4%. При этом больше почтового мусора стало распространяться из всех остальных стран. Как и прежде, возглавляет список стран-спамеров Индия (-4,7%), на втором месте Корея (-0,7%), затем следует Бразилия (-4,1%) и Индонезия (-3,4%). На пятой позиции неожиданно оказалась Италия (+2,47%). Россия же сохранила за собой 13-е место (2,3%), хотя объем спама, рассылаемого с ее территории, немного увеличился на 0,4%.

Октябрь отметился снижением количества вредоносных вложений в электронных сообщениях (-2%). Вместе с тем, доля срабатываний почтового антивируса на компьютерах российских пользователей увеличилась почти в два раза (+8,26%). В результате по этому показателю Россия оказалась на первом месте, оставив далеко позади все остальные страны. Кроме этого в тройку лидеров традиционно вошли США (+2,1%) и Великобритания (+1,2%).

Среди тематик спама чаще всего встречалась реклама образовательных услуг, медицинских препаратов и товаров для здоровья. На третьем месте оказались предложения аренды офисных помещений, что может быть связано как с сезонным увеличением офисных переездов, так и с нестабильной ситуацией в экономике. На этом фоне вопреки прогнозам экспертов «Лаборатории Касперского» доля партнерского спама и рекламы услуг спамеров уменьшилась, а количество заказного спама, наоборот, увеличилось. Однако если кризисные настроения будут расти, то можно ожидать что объем мусорной корреспонденции, рассылаемой в рамках партнерских программ, также заметно увеличится.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Yandex Cloud открыл клиентам опцию веб-защиты сайтов от DDoS

В рамках проходящей в эти дни конференции Yandex Cloud компания «Яндекс» объявила об официальном запуске нового сервиса для защиты веб-приложений — Smart Web Security. В настоящее время функция Smart Web Security работает в режиме Public Preview и предоставляется ограниченному количеству пользователей бесплатно по запросу. Воспользоваться новым сервисом смогут компании, разместившие свои сайты в облаке Yandex Cloud.

Новая технология Smart Web Security позволяет блокировать наиболее сложные атаки злоумышленников, которые реализуются через ботов на прикладном уровне L7 (Application level) по классификации OSI. Считается, что такие DDoS-атаки максимально близко имитируют поведение «живых» пользователей, поэтому для защиты от реализуемых с их помощью DDoS-атак наиболее эффективным является отсечение ботов от доступа к разделам пользовательских сайтов. Технически данная функция была доступна и ранее, но на уровне корпоративных средств защиты. Это стоило достаточно высоких затрат. Теперь опция защиты от DDoS становится доступной для всех клиентов Yandex Cloud.

Особенности работы механизма Smart Web Security

Как отмечает «Яндекс», новая технология помогает выявлять угрозы с помощью поведенческого анализа пользователей, встроенных алгоритмов машинного обучения и средств интеграции с капча-механизмом Yandex SmartCaptcha. Новый сервис «Яндекса» проводит верификацию запросов и способен отличить обращения пользователей от действий роботов в автоматическом режиме.

Если механизм «Яндекса» при автоматической идентификации убеждается, что перед ним с высокой достоверностью присутствует человек, то сервис обходит вызов капча-опции «Я не робот». Если подключение опции показа капчи все-таки требуется, то пользователю достаточно просто кликнуть на чек-бокс и подтвердить, что он не является роботом. В остальных случаях, когда механизм оценки «Яндекса» показывает высокую вероятность присутствия робота, запускается обработка капчи в полном объеме: на экране появляется «изломленный» текст, а от пользователя требуется ввод показанных слов с клавиатуры.

 

Новый сервис был разработан на основе «Антиробота» – внутренней технологии «Яндекса», которая давно применяется внутри компании для отражения DDoS-атак на ее собственные сервисы, сообщает сам вендор. Интеграция тех же ML-алгоритмов в Smart Web Security позволит вести постоянное дообучение механизма на новых реальных паттернах, перехватываемых «Яндексом» в сегменте легитимного и нелегитимного трафика.

Следует также напомнить, что, по имеющимся данным, исходный код Smart Web Security ранее попал в массовую утечку, которая произошла в январе 2023 года. Тогда в сеть попали 45 Гбайт данных «Яндекса» в открытом виде, в том числе исходные коды его отдельных механизмов и готовящейся функции Smart Web Security. Многие утверждали, что из-за этого «Яндекс» получил тогда не только серьезные репутационные убытки, но и трудности в будущей реализации защиты от DDoS. Яндекс не комментировал необходимость переработки алгоритма выявления роботов, поэтому сейчас нет достоверных сведений, работает ли механизм в его нынешней реализации на «слитом» коде или код претерпел существенные изменения.

Кастомизация Smart Web Security

Можно отметить, что «Яндекс» предоставил не просто механизм Smart Web Security, но также предусмотрел возможность его кастомизации. Типовые опции управления представлены в готовых пресетах, но пользователь может выбирать, например, сложность генерируемых капчей, добиваясь эффективной защиты от интеллектуальных DDoS-атак, когда злоумышленники используют механизм для распознавания.

«Яндекс» не использует для капчей рисунки и фотоснимки, поскольку злоумышленники уже научились достаточно хорошо распознавать и обходить такую защиту. Вместо этого «Яндекс» применяет кастомную генерацию двухсловных последовательностей. Сложность их распознавания увеличивается с ростом количества изломов текста. Впрочем, известно по исследованиям самого «Яндекса», что с ростом количества и степени изломов падает распознаваемость текста не только для роботов, но и для человека. Возможно, поэтому «Яндекс» предоставил выбирать сложность капчей самим владельцам сайтов. Как минимум теперь они смогут экспериментировать с качеством своей защиты.

К сожалению, «Яндекс» не предоставляет возможности для кастомного формирования капчей и оценки результатов их выбора посетителями сайтов. Эта опция могла бы быть полезной самим компаниям – клиентам «Яндекса». Например, 20 лет назад на такой опции Google выстроил проект по оцифровке газетного фонда, благодаря чему удалось оцифровать архив всех газетных публикаций The New York Times с самого первого выпуска в 1851 году. Это было большое культурное достижение. Оно позволило практически бесплатно решить задачу, за которую не бралось ни одно профильное агентство.

С сегодняшнего дня в сервисе SmartCaptcha появятся ряд существенных улучшений. Станет доступен выбор типов проверок для основного челленджа (чек-бокс и слайдер) и для дополнительного челленджа (текст, силуэты, калейдоскоп). Появится возможность настроить уровень сложности проверок, при этом для оценки правильности выбора клиентам станет доступен встроенный мониторинг с различными метриками, например, показы капчи, успешные прохождения капчи, количество успешных validate запросов в API сервиса и т. д. По этим метрикам можно будет оценивать эффективность работы капчи.

Сколько это стоит?

В арсенале конфигуратора пользователя веб-сайта и раньше была опция защиты от DDoS-атак в рамках услуг Advanced Yandex DDoS Protection и Managed Web Application Firewall. Однако цены на эти услуги остаются достаточно высокими. Они ограничивают применение данной опции в основном только для компаний среднего и крупного бизнеса.

 

Достоинство новой функции Smart Web Security состоит в том, что она позволяет активно противодействовать DDoS также и для компаний малого бизнеса, ведущим свой интернет-бизнес через Yandex Cloud. Пока информации о тарифах на эту опцию нет, она предоставляется в режиме Public Preview ограниченному количеству пользователей бесплатно по запросу. Мы попросили ответить «Яндекс» о планах будущей тарификации этой услуги, но, к сожалению, пока не получили ответа.

«Для нас приоритетно не просто обеспечивать высокий уровень безопасности собственной инфраструктуры, а предоставлять готовые сервисы для защиты ИТ-систем клиентов, – отметил Григорий Атрепьев, директор по продуктам в Yandex Cloud. – Smart Web Security – хороший пример, в котором мы применили алгоритмы защиты, разработанные с учетом экспертизы ИБ-специалистов Яндекса».

Что ждать в будущем еще?

В будущем в сервисе для фильтрации трафика появится еще и технология WAF (Web Application Firewall, межсетевой экран для веб-приложений), обещает «Яндекс». Этот инструмент позволит осуществлять фильтрацию трафика и предоставлять сервис Yandex DDoS Protection на уровнях L3 (сетевой) и L4 (транспортный). Владельцы сайтов в Yandex Cloud смогут комплексно работать с безопасностью на уровне сети и на уровне приложений.

«Яндекс» отмечает, что новый сервис Smart Web Security уже нативно интегрирован с другими продуктами его облачной платформы. В частности, можно по кнопке развернуть его в рамках балансировщика нагрузки Yandex Application Load Balancer, использовать Certificate Manager для безопасного хранения и использования TLS-сертификатов. Средствами Cloud Logging и Audit Trails можно использовать логи сервиса Smart Web Security для анализа трафика и событий безопасности. Можно также применять накопленные данные для мониторинга в рамках Yandex Monitoring.

Насколько накладна для «Яндекс» реализация новой функции Smart Web Security?

Согласно обнародованным данным, в настоящее время облачным сервисом Yandex Cloud пользуется более 29 тыс. клиентов. Как уже было отмечено ранее, наиболее нагруженный сценарий поддержки, охватывающий загрузку капчи в виде «ломанного текста», требует передачи трафика в размере 300 Кбайт. Используемые ML-алгоритмы позволяют отсечь не менее 50% от дополнительной проверки, опираясь на поведенческий анализ активности. Благодаря этому для них не требуется загрузка графики капчей. Таким образом, благодаря ИИ и оптимизации процедуры обработки, «Яндекс» обеспечил ограничение повышенной загрузки при реализации DDoS-защиты.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru