Общий объем спама сократился до уровня 2007 года

Николай Головко 17 Декабря 2011 - 07:08

...

Это - один из основных выводов, сделанных аналитиками Cisco в ежегодной исследовательской работе о состоянии информационной безопасности в мире - Cisco 2011 Annual Security Report. Отмечается также, что сократилось и количество взломанных злоумышленниками сетевых информационных ресурсов.

За последний год по спаму был нанесен довольно ощутимый удар: суммарный объем мусорной корреспонденции уменьшился более чем втрое. Если в августе 2010 года Cisco зарегистрировала более 379 миллиардов нежелательных писем, то в ноябре года текущего соответствующий показатель остановился на отметке в 124 миллиарда сообщений. Специалисты компании соотносят столь заметное падение с усилиями защитников информации и правоохранительных органов разных стран, которые атаковали крупнейшие вредоносные сети и разрушали их управляющую инфраструктуру, останавливая тем самым исходящие из них потоки спама. В результате пострадали и кошельки злоумышленников: по данным Cisco, их доходы от мусорных рассылок уменьшились вдвое. В июне 2010 годовой оборот этого сектора киберкриминального рынка оценивался примерно в 1 миллиард долларов, теперь же - где-то в 500 миллионов.

Cisco указывает, что сетевые преступники начинают постепенно отходить от прежних "бизнес-моделей" и отказываются от массовых рассылок в пользу единичных атак на особо выгодные цели. Крупные ботнеты, распространяющие нежелательную корреспонденцию, заметны и архитектурно уязвимы; для целевых нападений нужны гораздо меньшие мощности, а извлекаемая в результате прибыль вполне может превзойти любые потери от сокращения объемов рассылаемого спама.

Лидером по количеству мусорной корреспонденции в 2011 году стала Индия, ранее занимавшая вторую позицию. Освободившееся второе место досталось России, которая поднялась на него с четвертой ступени рейтинга. Тройку лидеров замкнул Вьетнам. Что касается традиционного центра спамерской активности - США, - то они с первого места опустились сразу на девятое.

Также аналитики Cisco отметили новое понижение среднестатистического индекса инфицированности сетевых ресурсов. Этот индекс рассчитывается с 2009 года и отражает относительный уровень распространенности случаев взлома легитимных сайтов. В 2009 году уровень тяжести ситуации составлял 7,2 по десятибалльной шкале, в 2010 - 6,8, а по результатам уходящего года индекс остановился на отметке в 6,5 пунктов. Постепенное улучшение специалисты связывают с теми же факторами, что и падение объемов спама: разрушение крупных ботнетов и переход к узконаправленным целевым атакам.

Infosecurity Magazine

Письмо автору

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: