SPAMblog.hu » Adathalászat

A megújult VIPRE Email Security már az Exchange 2010 szervereket is védi

Bódis Ákos — Tue, 06 Apr 2010 12:44:40 +0000

Már letölthető a VIPRE Email Security for Exchange levelezésvédelmi rendszer legújabb, 3.1-es kiadása. A 6 szűrőmotort egyszerre tartalmazó védelmi rendszer minden levelezésbiztonsági problémára hatékony központi megoldást biztosít, 4 spamszűrő és dupla antivírus motorjai évek óta megbízható és gyártófüggetlen védelmet jelentenek a levélszemét és a fertőzött csatolmányok folyamatosan megújuló hullámai ellen.

A 3.1-es kiadás lényeges újdonságai:

Exchange 2010 támogatása
Edge Transport szerepkörű kiszolgálók támogatása
Új Cloudmark Authority szűrőmotor (3050.2)
Új SpamCure szűrőmotor (a korábbi Star Engine helyett)
Gyorsabb regex és wildcard szabályfeldolgozás
Új fejlécmezők és kibővített spoofing ellenőrzés
Csatolmányszűrő szabályok már tömörített fájlokon belül is alkalmazhatók

Az új telepítők (Exchange 2000/2003: v3.1.14867 és Exchange 2007/2010: v3.1.25811) a www.sunbelt.hu honlapról tölthetők le. A frissítés során az új telepítőcsomag rátelepíthető a korábbi változatra, de a frissítés néhány perces idejére az Exchange Store és Microsoft SMTP szolgáltatások leállnak, így az Outlook kliensekkel is megszakad a kapcsolat.

Kötelező frissítés minden VIPRE Email Security felhasználónak

A VIPRE Email Security 3.1 új Cloudmark Authority szűrőmotorja leváltja a korábban, a 3.0-ás változatokig alkalmazott Cloudmark motort. A régi szűrőmotorhoz 2010. május 1-ig érhetők el frissítések, ezt követően minden felhasználónak kötelező az új 3.1-es kiadásra váltani. Terméktámogató csapatunk egész áprilisban készséggel áll rendelkezésre az új változat telepítése során felmerülő bármilyen kérdéssel kapcsolatban!

Figyelem Email Owner

Bódis Ákos — Sat, 16 Jan 2010 10:41:15 +0000

A mai napon egy rendkívül szerencsétlenül sikerült adathalász támadás érte el at MPP MX domainszűrő rendszert, ahol az Invitel nevében próbálnak meg belépési adatokat kicsalni:

Az automatikusan fordított szöveg, valamint a feladó amit még meghamisítani is lusták voltak gyorsan lebuktatja a levelet, persze csak idő kérdése, hogy mikor sikerül egy hús-vér fordítót találniuk, vagy mikor tudnak legalább egy magyar levelet lemásolni.

A primitív adathalász támadás “különlegessége” egyszerűségében rejlik: évek óta nem találkoztunk már olyan levéllel, amiben közvetlenül kell belépési adatainkat megadni egy űrlap szerű táblázat kitöltésével. Pontosan egyszerűsége miatt lehet az ilyen támadás hatékony: a gyerekbetegségeitől eltekintve nincs benne semmilyen honlapcím, amire az adathalász szűrők figyelhetnek, az emberek pedig évek múltával elfelejtik (vagy sosem tanulták meg), hogy jelszavakat emailben soha nem kérnek el tőlünk.

Exkluzív interjú a VIPRE 4-ről

tunde — Thu, 14 Jan 2010 12:19:42 +0000

Curt Larsonnal, a Sunbelt Software a VIPRE 4 fejlesztéséért felelős termékigazgatójával beszélgettünk a legújabb verzió újdonságainak műhelytitkairól:

Melyek az új VIPRE 4 legfontosabb fejlesztései?

A legfontosabb, illetve a vásárlók szempontjából legnyilvánvalóbb változás az, hogy a Személyi Tűzfalat beépítettük a VIPRE-be. Az új, tűzfalat is tartalmazó változat neve VIPRE Antivirus Premium lesz.

Ez komoly előrelépés. Kifejtené?

Természetesen. Fogtuk a Sunbelt Személyi Tűzfal 4.6 kódját és 64-bites operációs rendszerekre valamint Windows 7-re optimalizálva újraírtuk, majd beépítettük a VIPRE-be.

A kód teljes újraírása valóban szükséges volt?

Nem egyszerűen arról van szó, hogy a régi kód mellé fejlesztettünk újat. A VIPRE-t eredetileg is úgy terveztük, hogy könnyen bővíteni tudjuk különféle szolgáltatásokkal, és a tűzfal alapvetően úgy viselkedik, mint egy plug-in, tökéletes összhangban a VIPRE felépítésével. Ráadásul, továbbra is rendkívül alacsony marad a program erőforráshasználata.

Mit lehet tudni a tűzfalról?

A tűzfalban számos technológiát ötvöztünk, idetartozik a két irányú működés, a HIPS (host alapú behatolást megelőző rendszer), az IDS (hálózati behatolást megelőző rendszer), a web szűrés, reklám szűrés, káros URL szűrés, adathalászat elleni védelem, valamint a tűzfal állandó kapcsolatban áll a Sunbelt egyedülálló ThreatTrack adatbázisával is, amely a fertőzött weboldalakat és számítógépeket tartja nyilván.

Lenyűgöző! Részletezné ezeket a szolgáltatásokat?

A két irányú tűzfal magáért beszél, mind a bemenő és kimenő hálózati forgalmat szűri. A HIPS technológia meggátolja, hogy egy kártevő kódokat adjon hozzá más futó programokhoz. Az IDS szabályok szerint működik, úgy blokkol bizonyos támadásokat, hogy megfigyeli a károkozó viselkedését és hálózati forgalmát, majd összeveti egy frissített szabályrendszerrel. A szabályok egyik legismertebb típusa az ún. SNORT® szabályok. A web szűrés, reklám- és káros URL szűrés feladata, hogy megállítson adott internetes tevékenységeket; például blokkolja a hozzáférést egy káros oldalhoz. Továbbá azt sem engedik, hogy bűnözők reklámoldalai különböző linkeket jelenítsenek meg, vagy, hogy káros alkalmazások töltődjenek le.

Nagyszerű!

Mi nemcsak meggátoljuk a káros alkalmazások letöltődését, hanem megállítjuk a trójai és egyéb kártevőket, billentyűzet naplózó alkalmazásokat még mielőtt “haza telefonálnának”. Eltávolítjuk a káros oldalcímeket a levelekből, amelyek legtöbbször az adathalász támadásokat teszik lehetővé. A webszűrő és adathalászat szűrő szolgáltatásaink egyaránt a Sunbelt ThreatTrack adatbázist használják, amelyet a Sunbelt Malware Research Team biztosít, és az amerikai kormány mellett számos nemzetvédelmi szervezet, nagyvállalat és intézmény is sikerrel alkalmaz.

Milyen szolgáltatásokkal bővül még a VIPRE 4?

Az új VIPRE automatikusan ellenőrzi a hordozható külső meghajtókat, teljes mértékben támogatja a Windows 7 és a Windows Server 2008 R2-t is, ellenőrzi a Firefox bővítményeit, és többféle tömörített fájlformátumot átvizsgál. Tökéletesítettük az Aktív Védelmet, az email szűrést valamint a rootkit keresőt és eltávolítót. Ezeken kívül még számos más működésbeli fejlesztést is végeztünk, így a VIPRE 4 igazán fontos változásokat hoz a felhasználóink számára. Remélem, hogy mindenkinek tetszeni fog.

Az új változatot csak a tűzfallal együtt lehet majd megvásárolni?

Nem, két verzióban fogjuk kiadni: az alapváltozat a VIPRE Antivirus lesz, a másik pedig a VIPRE Antivirus Premium, amiben a tűzfal is megtalálható. Akinek VIPRE 3 előfizetése van, az a VIPRE 4-et ingyenes bővítésként fogja megkapni, miközben eldöntheti, hogy kéri-e a tűzfallal ellátott Premium változatot is.

Még egy utolsó kérdés: hogyan válthat az, aki VIPRE és Sunbelt Személyi Tűzfal licenccel is egyszerre rendelkezik?

Ebben az esetben a prémium változatot ingyenesen jár majd neki.

Össztűz alatt a CIB: újabb adathalász támadás

Bódis Ákos — Mon, 04 Jan 2010 10:14:25 +0000

Ezúttal a CIB Bank került a belépési adatokra vadászó adathalászok figyelmének központjába, az éjszaka (január 4) során több tízezer kísérlet akadt fenn a hazai levelek jelentős részét szűrő MPP MX levelezésbiztonsági rendszer spamszűrőin.

A levelek kivétel nélkül a service@cib.hu címről érkeznek, és új támadás révén az automatikus adathalász szűrőknek még nem volt idejük reagálni rá.

A linkre való kattintást követően az adathalászok a New York melletti Jersey City egyik múzeumának kiszolgálójára vezetnek, ahol a cib.hu honlap bejelentkező oldalának megtévesztő másával várják az áldozatokat:

Az átverésnek ne dőljön be senki – továbbra is a legjobb, ha azonnal töröljük az ilyen leveleket.

Újabb trükkökkel az Erste Bank nevében

Bódis Ákos — Wed, 16 Dec 2009 17:13:11 +0000

Egy botnetről újabb adathalász támadást indítottak az Erste Bank nevében, ezúttal a levél szövege helyett egyetlen képben érkezik a teljes spam. Így próbálkoznak védekezni a bűnözők a szöveget elemző spamszűrők és a domain feketelisták ellen:

A szöveget még nem sikerült ugyan hibátlanra elkészíteni, de a képre helyezett link kétségtelenül alkalmas arra, hogy megkerülje a levelezőkliensek beépített adathalász szűrését, amely akkor figyelmeztet, ha eltérő címre mutat a link mint amit a szöveg tartalmaz.

Egyúttal feltűnhet, hogy a levél most már nem közvetlenül jelszót kér, és nem is jelzi, hogy a Bankunk elfelejtette volna a belépési adatainkat, hiszen erre úton-útfélen mindenki felhívja már a figyelmet: emailben soha nem kér el egyik Bank sem belépési adatot, ez már kezd rögzülni az emberekben. A problémára egyszerű megoldást találtak: akkor Önnek új üzenete érkezett (amely megtekintéséhez szintén ugyanúgy be kell lépni), de közvetlenül senki nem kérdezett rá a belépési adatokra. Kis kreativitással könnyen lehet tovább fokozni a burkolt figyelemfelkeltést: érkezett már figyelmeztetés a PayPal nevében, hogy egy nagy összegű tranzakció sikerült (vagy éppen nem), vagy írtak már adathalászok a Google és Yahoo helyett is, hogy elfogyott a pénz a hirdetési számláról. Ezekre nyilvánvalóan sokan azonnal reagálnak, az átverés így a legkevésbé egyértelmű.

Szerencsére ebben az esetben a nyelvi hibás üzenet, mint oly sokszor máskor is, sokat elárul, de arra nem számíthatunk, hogy a jövőben ne találnának egy magyarul tudó ismerőst.

A hivatkozott oldalt megnyitva különféle adatok bevitelére kér minket az Erste Bank lemásolt honlapja:

A figyelmes adathalászok a még kételkedők meggyőzése érdekében rögtön egy feltűnő, piros keretes figyelmeztetéssel hívják fel arra a figyelmet, hogy a Bank soha nem kér el belépési adatot elektronikus levélben. Most sem tették, hiszen csak egy “1 új üzenet éber”. A belépést követően kétféle módon léphetünk tovább, vagy további adatokat, vagy PIN kódot kérnek az adathalászok:

A 2-3 oldalig tartó affér végeztével pedig eljutunk az Erste Bank normál honlapjára, mintha mi sem történt volna.

Ez a példa is remekül szemlélteti, hogy a bűnözők mindig megtalálják a módát, hogy minél több embert átverhessenek. Hiába tanulja meg mindenki, hogy emailben soha nem kér el a Bank jelszót, hiszen akkor az adathalászok sem fognak: 1-1 ötletes figyelmeztetéssel még könnyebben lehet újabb és újabb áldozatokat gyűjteni.

Hatékony védelem az interneten

Bódis Ákos — Wed, 28 Oct 2009 14:30:37 +0000

A Sunbelt.hu útmutatói között kibővítettük és aktualizáltuk az egyéni felhasználóknak szóló útmutatónkat a hatékony otthoni védelemről. Mindenkinek javaslom az írást, aki most ismerkedik a számítógép használatával, vagy még nem gondolta át az alapvető biztonsági kérdéseket:

Hatékony védelem az interneten

Adathalászat az OTP Bank nevében

Bódis Ákos — Tue, 27 Oct 2009 09:37:17 +0000

A legújabb, észak-amerikai és brazíliai botnetekről terjedő adathalász támadás az OTP Bank honlapját veszi célba, és általában a service@otp.hu feladóval érkezik. A levelek ráadásul eltérő honlapcímeket tartalmaznak, vagyis nem egy központi kiszolgálóra irányítják az áldozatot, hanem a botnetben résztvevő számítógépek ezrei szolgálják ki a hamis honlapokat. Így nincsen egy konkrét, feketelistára helyezhető cím, ami jelentősen megnehezíti a böngészők és a biztonsági szoftverek adathalász védelmének dolgát.

A levél néha hibás karakterkódolással érkezik, attól függően, hogy a helyben elérhető betűtípus Unicode, vagy csak a közép-kelet-európai karaktereket tartalmazza:

A levelet ugyanakkor továbbra is számítógéppel fordították, de a linket is tartalmazó “Kattintson ide, és végezze el a lépéseket, hogy eltávolítsa korlátozásokat” mondat már szinte hibátlanra sikerült (az ezen a számítógépen jelentkező kódolási problémától eltekintve). Megtévesztő, ha csak kapkod és siet az ember.

A linkre kattintva megnyílik az OTP lemásolt honlapja, ahol valamilyen rejtélyes megfontolásból az adathalászok a Kártyaszámra és ATM PIN kódra kiváncsiak:

Az adathalászok a továbblépéssel már nem foglalkoznak, vagy valamilyen hiba miatt nem működik – pedig ha visszaküldenék a felhasználót az OTP valódi honlapjára, kevesebben jönnének rá, hogy itt valami nem stimmel.

Megkockáztatom, hogy nem érheti komoly kár azokat, akik bedőltek ennek a támadásnak, hiszen egy kártyaszám és egy PIN kód birtokában még a lejárati dátumot, a hátoldalon elhelyezett biztonsági kódot, a kártyatulajdonos nevét is meg kell tippelnie egy bűnözőnek, ami nagyon jó eséllyel többszöri riasztásként fog megjelenni az OTP csalásellenes rendszerében.

Ha lehet hinni a honlapcímnek, az adathalászok a saját webszerver mellett egy saját PHP futtatókörnyezetet is alkalmaznak a botneteken, ami segít a különféle hamisított oldalak egyszerű összeállításában. A fertőzött számítógépek tehát először emaileket (spamet) küldenek, majd webszerverként üzemelnek a levélben szereplő linkek kiszolgálására, végül az átvert látogatóktól begyűjtött adatokat eljuttatják megbízóiknak. Eközben pedig ahogy az adathalász honlapokat, úgy minden bizonnyal a botokon futó kártevőket is automatikusan frissítik – bármilyen célra ingyenesen és illegálisan kihasználva a fertőzött számítógép minden erőforrását.

Újabb adathalász levél az Erste Bank nevében

Bódis Ákos — Thu, 01 Oct 2009 17:01:14 +0000

Ismét egy szép adathalász levél tűnt fel az interneten: az Erste Bank nevében küldött e-mail szerint a Netbank felhasználónak üzenete érkezett, ezért lépjen be, amihez egy linket is csatol a levél, ám az nem a bank, hanem egy kruskopf.de kezdetű címre irányítja a belépni vágyót.

Néhány böngésző szerencsére már figyelmezteti a gyanútlan felhasználót, hogy feltehetően adathalász oldalról van szó, ugyanakkor a legnépszerűbb böngésző, az Internet Explorer adathalász szűrője még nem ismeri. A levélnek pár szépséghibája akadt ugyan: a levél szövege továbbra is automatikusan fordított, ezért rendkívül magyartalannak tűnik, valamint a karakterkódolást sem sikerült eltalálni; így félig cirill, félig latin betűkkel íródott. Ugyanakkor a feladónál egy nagyon is hihető, netbank@erstebank.hu név szerepel.

A linkre kattintást követően megnyíló weboldal több mint alkalmas megtévesztésre, egyedül az tűnhet fel, hogy a jelszót a szokásos kódolt mező helyett olvasható formában kérdezi meg:

A “bejelentkezést” követően folytatódik az információgyűjtés, a következő oldal minden olyan adatra rákérdez, amivel az adathalászok jó esélyekkel rendelkezhetnek bankszámlánk felett:

A procedúra végeztével pedig automatikusan továbbléphetünk az Erste Bank valódi honlapjára, míg az adathalászok biztosan naplózták megadott adatainkat.

Akármennyi szépséghibája is van, a levél és a honlap akkor is rendkívül alkalmas megtévesztésre, főleg egy tapasztalatlan felhasználó esetében, aki nem mozog otthonosan az Erste netbankjában. Egy biztos: emailben és interneten soha nem fogja Bankunk az “elfelejtett” adatainkat tőlünk elkérni, ezt észben tartva könnyedén törölhetjük a jövőben is a hasonló próbálkozásokat.

Adathalászok írnak az MKB Bank nevében

Bódis Ákos — Thu, 14 May 2009 16:52:43 +0000

A mai nap során külföldi, feltehetően orosz bűnszövetkezetekhez tartozó adathalászok óriási számban küldtek ki az MKB Bank nevében adathalász leveleket. Az orosz, török és ciprusi kiszolgálókról is érkező levelek az alábbi mintához hasonlóan néznek ki, láthatóan automatikusan fordított, ékezetek nélküli szöveget tartalmaznak:

A levélben látható linkre kattintó ügyfelek egy valójában teljesen más, mindössze IP címmel azonosított kiszolgáló honlapjára kerültek, ahol az MKB Bank NetBankár lemásolt felülete fogadta őket:

Az átvert ügyfelek sajnos így könnyen megadhatták valódi belépési adataikat, amelyekkel később a csalók könnyen visszaélhetnek.

Feltehetően a levél hitelességének növelésére a csalók egy eredeti MKB Bank logót is csatoltak a levélhez, viszont elkövették azt a hibát, hogy ezt az MKB kiszolgálójáról linkelték be. Így Az MKB Bank gyorsan reagálhatott az adathalász levelekre, és pár órával az első levelek rendszerünkbe történő megérkezését követően már le is cserélte a levélben látható képet az alábbi figyelmeztetésre:

Az így megnyíló adathalász levelek a cikk írásakor már gyakorlatilag veszélytelenek. Ugyanakkor a hasonló támadások továbbra is nagyon veszélyesek maradnak, főleg ha a csalók nem követnek el hasonló banális hibákat, valamint pár perccel több időt szánnak a levél magyaros megfogalmazására.

Ugyan létezik már több különböző technológia a hasonló levelek ellehetetlenítésére, de a magyar bankok közül mégis kevesen élnek velük. Például az MPP és Sunbelt mindegyik levelezésbiztonsági termékében évek óta sikeresen alkalmazott Sender Policy Framework (SPF) technológia most is rögtön lebuktatta volna a csalókat, hiszen az adathalász leveleket az info@mkb.hu email címről küldték ki, amit az MKB például a pár perc alatt beállítható SPF segítségével jelentős részben megakadályozhatott volna.

A Google-on hirdetők adataira utaznak

Bódis Ákos — Mon, 02 Feb 2009 10:25:33 +0000

A Virtumonde és kilenc másik kémprogram okozza a fertőzések 25%-át
Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 februárjában is megjelentette toplistáját a 2009 januárjában legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy a plusz védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

A fertőzések negyedét tíz kártevő okozza
Az újévben tovább folytatódott a tavalyi év második felében elkezdődött fertőzés-koncentráció: a januári fertőzések immár közel 25%-át csupán tíz kémprogram okozza. Közülük is kiemelkedik a Virtumonde, amely tavaly év végén került a toplista élére, letaszítva a sokáig egyeduralkodó Zlob.MediaCodecet. Ez a kémprogram egymaga a fertőzések közel 5%-áért felelős. Korábban egy-egy listavezető trójai mindössze a fertőzések 1%-áért volt okolható.

A Sunbelt toplistája egyébként őrzi az év végén kialakult képet: eltűntek róla a trójai letöltők és a komplex károkozók uralják. A toplista második helyén a böngésző keresési eredményét megváltozató Explorer32.Hijacker található, míg a harmadik helyre a többfunkciós Zango reklámprogram került fel, a negyedik helyen pedig a reklámablakokat megjelenítő Hyperlinks Rotator helyezkedik el. Az ötödik helyet az Adware.Agent reklámprogram család, míg az hatodikat egy újdonság foglalta el: a Plus18Point reklámokat jelenít meg és eltéríti a böngészőt – például átírja a kezdőoldalt, illetve manipulálja a keresési eredményeket.

A hetedik és nyolcadik helyen a meglátogatott honlappal konkurens hirdetéseket megjelenítő Hotbar.ShopperReports reklámprogram, illetve a programcsalád többi tagja együttesen található. A kilencedik helyre a C2.Lop böngésző eszköztár csúszott le, míg a tízedik helyre a WhenU.Save kémprogram került, amely folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket.

Adathalászok utaznak a Google és a Yahoo hirdetőire
Nem érezhetik magukat biztonságban azok, akik a Google, vagy a Yahoo hirdetési szolgáltatásait veszik igénybe. Az elmúlt héten olyan lánclevelekre figyeltek fel a Sunbelt szakemberei, amelyek megtévesztő módon az adwords-noreply@google.com címről érkeztek, s arra kérték a felhasználókat, hogy látogassák meg az adwords.google.com honlapot, ott pedig ellenőrizzék a felhasználónevükhöz kapcsolódó jelszavakat. A hamis portált felkeresők egy olyan űrlappal találták szembe magukat, amelyen részletesen meg kellett adniuk nevüket, cégük nevét, telefonos és e-mail-es elérhetőségüket, illetve országukat. A hamis oldal továbbá különböző .eu végződésű, hitelesnek tűnő domainekre irányította a látogatókat, ezzel is erősítve a valódiság látszatát.

A Google felhasználók olcsón megúszták a Yahoo Marketing Solutions ügyfeleit ért levelekhez képest: ők ugyanis olyan üzenetet kaptak, hogy hirdetési egyenlegük elérte a 0-át, aminek következtében nem jelenik meg többé az általuk megrendelt reklám. A lánclevél továbbá azzal fenyegette a felhasználókat, hogy ha nem lépnek be az e-mailben megadott linken található számlára, törlik a számlájukat. A hivatalosság látszatát ebben az esetben azzal próbálták elérni, hogy a Yahoo Customer Support oldalra vezető linket is elhelyeztek. Természetesen az összes megadott link hamis belépési, illetve ügyfélszolgálati oldalra vezetett.

Sokan bedőltek és jelentős összegeket helyeztek el a bűnözők által üzemeltetett honlapokon megadott számlákra. „Hiába gondolnánk, hogy Google hirdetési felületeit igénybe vevő vállalkozókat nem lehet egy ilyen átlátszó trükkel becsapni. Sokan bedőltek a trükköknek, akik az átverést komolynak véve jelentős összegeket utaltak át a bűnözőknek, amelyeket már soha nem látnak viszont.” – mondja Bódis Ákos, a Sunbelt magyarországi képviseletének vezetője.

Hasonló átverés érte az egyéni szoftvervásárlókat is, akiknek az így feltört számlákkal népszerű termékeket hirdettek – így például a WinRAR fejlesztői adtak ki figyelmeztetést, hogy a cég nevében megjelenő Google-hirdetések ál-webshopokba irányították a felhasználót, ahol pénzt kértek a WinRAR letöltéséért – ám az összeg végül nem a WinRAR-t fejlesztő német cég, hanem az orosz Roshal testvérek számláján landolt.

A legfertőzőbb vírusok és kémprogramok 2009. januárjában Magyarországon:

1. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

2. Explorer32.Hijacker (reklámprogram)
A webböngészőnk honlapját és keresőoldalát is módosító kémprogram eltéríti a valódi kereséseket és a reklámprogram hirdetőinek megfelelő találati listát ad, valamint csökkenti a böngésző védelmi szintjét, ez által újabb fertőzések előtt nyitja meg a számítógépet. Ezt a reklámprogramot gyakran terjesztik más trójai letöltő szoftverek is, amelyeket ha nem azonosít védelmi rendszerünk, akkor általában egymás után számtalan ismétlődő vírusriasztást kapunk, amíg csak el nem sikerül távolítanunk a fertőzések valódi okát.

3. Zango (reklámprogram)
A Zango az egyik legelterjedtebb és az egyik legsokszínűbb reklámprogram család az interneten, ami szinte kivétel nélkül ingyenes programok mellé települ fel, sokszor a felhasználó tudta és beleegyezése nélkül. Legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, és ingyenes alkalmazások, játékok, képernyővédők mellé „jár”. Működése során felugró reklámablakokat jelenít meg, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.

4. Hyperlinks Rotator (reklámprogram)
A reklámprogram különböző hirdetéseket jelenít meg felváltva a felhasználó számítógépén. Általában az Internet Speed Monitor nevű alkalmazás telepítésére veszi rá a felhasználót, de lényegében mindegy, melyik reklámablakra kattintunk, az legtöbbször további károkozók telepítéséhez vezet.

5. Adware.NetAdware (reklámprogram)
A reklámprogram eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. Az ál-antivírusok letöltése és telepítése további fertőzésekkel jár, a programok esetleges megvásárolásával pedig hasznos hitelkártya adatokat gyűjtenek be a bűnözők. Sajnos a kiadott hitelkártyát többször is leterhelik különböző, általában kisebb, néhány ezer forintos összegekkel, így a már megtörtént vásárlást követően a védekezésre a legjobb módszer a kiadott hitelkártya adatainak minél előbbi letiltása.

6. Plus18Point (reklámprogram, böngésző eltérítő)
A böngésző eltérítés mestere, a Plus18Point különböző károkozói a legváltozatosabb módokon épülnek be a böngészőbe, és „eltérítik”, vagyis módosítják a keresési találatokat, a meglátogatott oldalakat, vagy egyes variánsai akár a beírt honlapcímeket. A meglátogatott oldalakat kéretlen reklámokkal is gazdagíthatják, vagy a szokásos keresési találatok helyett egy alternatív, a hirdetők üzleti érdekeinek megfelelő keresési találatokat jelenít meg. A kéretlen keresőoldalak tipikusan nagyságrendekkel lassabbak a népszerű internetes keresőknél, ezért a meghamisított keresési eredményekre már a hosszú másodpercekig tartó, szokatlanul lassú keresés is utalhat.

7. Hotbar.ShopperReports (böngésző eszköztár)
A böngészőbe kéretlenül beépülő ShopperReports eszköztár a teljes, hasznosnak tűnő Hotbar programcsomagot is feltelepíti, ami időjárás jelentőt, asztali háttérkép letöltőt, Outlook Tools néven az Outlook levelezőkliensekbe beépülő modult és az internetes vásárlásokat “segítő” böngésző oldalsávot, ami vásárláskor a konkurencia reklámjait jeleníti meg a weboldal mellett. A program kézi eltávolítása nehézkes, többször próbálja a felhasználót lebeszélni a valós eltávolításról, és teljesen csak kémprogram-eltávolító használatával tüntethető el. Az eszköztár működése során megváltoztatja a böngésző kereső és saját honlap beállításait, böngészési beállításait, és gyűjtött adatokat jelent a böngészési és kommunikációs szokásokról.

8. többi Hotbar fertőzés (reklámprogram-család)
A Hotbar reklámprogram család többi tagja is sok számítógépen megtalálható, köztük név szerint az AccuWeather időjárás jelentő, a WOWPapers háttérkép kezelő, az Outlook Tools néven levelezőbe beépülő kéretlen kiegészítő és a Hotbar Web Tools reklámprogram, ami a böngészőben több helyen beépül, majd például a meglátogatott oldal tartalmától, vagy a keresett kifejezéstől függően próbál kapcsolatos reklámokat megjeleníteni.

9. C2.Lop (reklámprogram)
A C2 Media érdekeltségébe tartozó Lop.com honlap az átkattintás alapon fizető hirdetésekre specializálódott, a cég a károkozói segítségével hirdetői számára garantált mennyiségű látogatót szállít. A C2.Lop reklámprogram a böngészőket teljesen átalakítja, ami gyakorlatilag minden hibaüzenet, könyvjelzőt vagy kereső oldalt ezen túl a lop.com honlapon keresztül fog csak megjeleníteni. A reklámprogramot leggyakrabban MP3 zenék vagy erotikus tartalmú videók keresőjeként tüntetik fel, és fájlcserélő hálózatokon, a böngésző sebezhetőségeit kihasználó honlapokon valamint más alkalmazások, például fájlcserélő kliensek, vagy MSN Messenger beépülő modulok „segédprogramjaként” települ fel.

10. WhenU.Save (reklámprogram)
A kémprogram folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.

Kapcsolódó honlap: www.sunbelt.hu

A Sunbelt Software-ről
A floridai székhelyű, 1994-ben alapított Sunbelt Software, a Windows-biztonság szakértője, a kémprogram- és vírusvédelem, spamszűrés, archiválás és hálózati biztonsági megoldások területeinek vezető szállítója.

A Yellow Cube 2000. Kft.-ről
A Yellow Cube 2000. Kft. egyéni és vállalati ügyfeleknek fejleszt és kínál biztonságtechnikai szoftvereket. A cég a piacon egyedülállóként magyar nyelvű spamszűrő megoldást fejleszt, továbbá a Sunbelt Software és a Message Partners termékeinek kizárólagos hazai disztribútoraként spamszűrőket, antivírust, kémprogram-eltávolítót és tűzfalat kínál otthoni felhasználóknak és vállalatoknak.

2 millió postafiók spamvédelme: megjelent az új MPP Core 4

Bódis Ákos — Wed, 27 Aug 2008 10:26:22 +0000

új tartalomszűrő + német szerverek = még jobb és gyorsabb spamszűrés az MPP felhasználóknak

A megnövekedett spamszűrési igények miatt új szerverparkba költöztette a Yellow Cube Kft. a Mail Security Desktop és MX spamszűrőket.

„Ezentúl Európa egyik legnagyobb szerverközpontja, a Kölnben található Host Europe gépei végzik a magyar felhasználók kéretlen leveleinek szűrését.” – mondja Mihályi Dezső, a Mail Security Desktop vezető fejlesztője.

A Host Europe nagyságára jellemző, hogy a német értéktőzsdén, a DAX-on jegyzett vállalatok több mint 25%-a ettől a cégtől bérel tárhelyet, vagy szerverszolgáltatást. A több független szűrőmotorral működő, vagyis a vezető spamszűrők és antivírusok teljes tudását egyesítő Mail Security Magyarországon már kiállta próbát: az elmúlt három évben több mint 25.000 felhasználó vette igénybe ezt a szolgáltatást, a PC World magazin összehasonlító tesztjében pedig a legjobb spamszűrőnek minősítette az MPP-t. A költözésből a felhasználók semmit sem vettek észre, viszont a spamszűrés az új kiszolgálók bekapcsolásával fokozatosan gyorsabbá vált.

„A gyorsaság mellett az is szempont volt, hogy a cég európai terjeszkedését jobban szolgálja a német szerverpark, így könnyebb lesz kiszolgálni a kontinens bármely országában található új ügyfeleket.” – teszi hozzá Mihályi Dezső. Magyarországon már három ingyenes levelezési szolgáltató, az Indamail, a Citromail és a FreeStart felhasználóit védi a kéretlen levelek özönétől az MPP, s a többi szolgáltatóval szemben hatékonyabban tartja távol a spameket, amire immár összehasonlító tesztek is rámutatnak: az Index.hu hírportál szerint az MPP Core által védett magyar szolgáltatások jobban ellenálltak a levélszemétnek, mint a Google és a Microsoft sok millió dolláros fejlesztései.

MPP Core 4: felturbózott szűrőmotor
Az új szerverparkba történő végleges áttelepüléssel párhuzamosan megjelent a spamszűrő szolgáltatások alapját végző MPP Core 4. kiadása. Az új MPP Core 4 lehetővé teszi a levelek tartalom alapú irányítását – vagyis a szétválogatás, az ellenőrzés már a levél tartalma alapján is lehetséges, továbbá az átmenő e-mailek tartalom alapú szűrésére teljes szabályrendszer készíthető, sőt, programozható.

Az MPP Core 4 email tűzfalának szűrési képességei SPF támogatással is bővült, segítségével könnyebben kiszűrhetők a hamis feladóval elküldött levelek, amelyeket elsősorban adathalász támadásokra használnak fel. Így például, ha a valódi feladó levelezőrendszere is támogatja, nem lehet Bill Gates, vagy Barack Obama nevében levelet küldeni, mert az MPP által elvégzett SPF vizsgálaton kiderül, hogy a feladó IP-címe nem jogosult a megnevezett személyen nevében levelet küldeni. Ezt követően az MPP a levelet rögtön eldobhatja, vagy egyéni elbírálásnak is alávetheti: az MPP Core 4 újdonsága a szabadon átalakítható pontozási rendszer, ahol az egyes ellenőrző műveletek és a beépített szűrőmotorok különböző eredményei alapján a rendszergazdák szabadon eldönthetik, hogy hány vizsgálati eredmény szükséges a levél spamnek minősítéséhez, vagy épp karanténba helyezéséhez.

Az új MPP Core 4 változatra történő váltás minden érvényes licenccel rendelkező felhasználónak ingyenes, a képviseletet ellátó és a szolgáltatásokat fejlesztő Yellow Cube kollégái készségesen segítenek az új lehetőségek kiaknázásában.

Bővebb információ: www.mpp.hu

A Message Partners-ről
A 2001-ben alapított, amerikai székhelyű Message Partners a piacvezető spamszűrő és antivírus motorokat egyetlen védelmi rendszerbe integráló MPP szállítója. A vállalati és internetszolgáltatói környezetben alkalmazott, robusztus MPP egyedülálló módon ötvözi a legjobban teljesítő levélszűrő technológiákat egy átfogó levélkezelő rendszerrel, ami egyetlen integrált megoldásként minden levelezési problémára megoldást jelent.

A Yellow Cube 2000. Kft.-ről
A Yellow Cube 2000. Kft. egyéni és vállalati ügyfeleknek fejleszt és kínál biztonságtechnikai szoftvereket, elsősorban spamszűrő és kémprogram-eltávolító termékeket. A cég a piacon egyedülállóként magyar nyelvű spamszűrő szoftvert fejleszt, továbbá a Sunbelt Software és a Message Partners termékeinek kizárólagos hazai disztribútoraként a biztonságtechnikai szoftverek széles választékát kínálja otthoni felhasználóktól a nagyvállalatokig.

Vírusmarketinggel az adathalászok ellen

Bódis Ákos — Mon, 07 Apr 2008 07:10:39 +0000

- internetes videókkal kampányol a Kereskedelmi Bizottság az USA-ban -

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2008 áprilisában is megjelentette toplistáját a márciusban legfertőzőbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet™ káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik.

Eltérített Internet Explorer

Új károkozó jelent meg a biztonsági fenyegetést jelentő károkozók toplistáján: a CWS.DesktopHijack és gyakorlatilag átveszi az uralmat az Internet Explorer felett. A károkozó átírja a kezdőlap beállításait, saját keresőt installál a böngészőhöz és időről időre hamis biztonsági szoftverekről szóló reklámokat jelenít meg. A káros alkalmazás a toplista hetedik helyén landolt, így megelőzte két „régi motorosnak” számító társát, a Clickspring és a Command Service elnevezésű reklámprogramokat, de még a múlt hónapba megjelent trójait, a Trojan.i-n-t-e-r-n-e-t-et is.

Március során egyébként jelentősen nőtt a toplistán szereplő kémprogramok okozta fertőzések száma és aránya is. Az elmúlt havi éllovas 1,74%-ot mondhatott magáénak az összes fertőzésből, míg ebben a hónapban a toplista első helyén található Trojan.FakeAlert immár 2,24%-os részaránnyal „büszkélkedhet”.

A Sunbelt havi kémprogram-összesítőjét lehetővé tevő ThreatNet hálózathoz bárki csatlakozhat, hiszen elég letölteni a www.sunbelt.hu honlapról a CounterSpy kémprogram-eltávolító ingyenes próbaváltozatát, s a program automatikusan összegyűjti a számítógépet ért fertőzéseket – egyúttal megtisztítja a merevlemezt a kémprogramoktól, ami gyorsabbá és újra biztonságossá teheti a számítógépet.

Vírusmarketinggel az adathalászok ellen?

Meglepő lépésre szánta el magát az USA Kereskedelmi Bizottsága: a lakosságot interneten terjesztett videókkal kívánják felvilágosítani a legújabb adathalász trükkökről, ezzel véve elejét az újabb milliós károkozásoknak és bankszámla-lecsapolásoknak. A Bizottság azt reméli, hogy a víruskampánnyal sikerül rábírni az átlagos internet-felhasználókat arra, hogy jobban védjék személyes adataikat és ne adják meg ismeretlen weboldalakon. A videók három rövid spotban egy otthoni, egy irodai és egy vásárláskor elképzelt szituációt mutatnak be, amikor is felhasználókat adataik, jelszavaik és kódjaik ellenőrzése végett keresi meg egy ügynök. A főszereplők természetesen ellenállnak,felsorolva néhány példát, mi is történhet adataikkal.

A videók a Bizottság honlapján is megtalálhatók.

A legfertőzőbb kémprogramok és káros alkalmazások 2008 márciusában:

1. Trojan.FakeAlert (trójai)
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.

2. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek.
A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

3. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

4. Trojan.NewMediaCodec (trójai)
A New Media Codec trójai alkalmazás a Zlob.Media-Codec családhoz hasonlóan Windows Media Player frissítésnek tünteti fel magát, és tipikusan felnőtt tartalmú videók lejátszásakor kér engedélyt a felhasználótól a „frissítés” elvégzésére. Telepítését követően a kérdéses videó általában megtekinthetővé válik, viszont a trójai alkalmazás a háttérben azonnal elkezd különböző kémprogramokat és további károkozókat letölteni a gyanútlan felhasználó számítógépére.

5. ClickSpring.PuritySCAN (reklámprogram)
A PuritySCAN egy reklámok megjelenítésével finanszírozott szoftver, ami a böngésző gyorsítótára és az előzmények átvizsgálásával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg. A licencszerződés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztő ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszőleges alkalmazásokat telepíthet a számítógépre.

6. VirusHeat (ál-antivírus)
Az ál-antivírus telepítését követően a számítógépen nem létező, hamis fertőzéseket mutatva riasztja meg a felhasználót, és próbálja meg rábírni a VirusHeat megvásárolására, ami el tudja távolítani ezeket a fertőzéseket. A VirusHeat folyamatosan újabb és újabb kéretlen hirdetésekkel bombázza a felhasználót, amivel még jobban hangsúlyozni próbálja a számítógép valós vagy vélt fertőzöttségét.

7. CWS.DesktopHijack (általános trójai program)
Az Internet Explorerbe beépülő program megváltoztatja a kezdőlap beállításait, saját toolbart telepít és hamis biztonsági szoftverek hirdetéseit jeleníti meg.

8. ClickSpring.Oinadserver (reklámprogram)
A ClickSpring.Oinadserver egy böngészőbe beépülő modul, és általában automatikusan, a felhasználó beleegyezése nélkül települ. A beépülő modul működése során kéretlen reklámablakokat jelenít meg, működése a ClickSpring.PuritySCAN kémprogramhoz hasonlóan beszámíthatatlan és bizonyos esetekben nem csak zavaró, de veszélyes is lehet.

9. Command Service (reklámprogram)
Egy klasszikus adware kémprogram a felhasználó engedélyével, általában más, hasznosabb szoftverekkel együtt települ, és böngészés közben kéretlen hirdetéseket jelenít meg. A Command Service különlegessége, hogy más adware programok kiütésével megpróbálja „megvédeni saját területét”, a megszerzett számítógépet: végfelhasználói licensszerződése tartalmazza, hogy a program a felhasználó külön értesítése nélkül eltávolíthat, letilthat vagy működésképtelenné tehet más adware alkalmazásokat, amelyek feltételezhetően csökkenthetnék a Command Service hatékonyságát.

10. Trojan.in-t-e-r-n-e-t (trójai program)
A januárban megjelent károkozó eszközmeghajtóként telepítődik a számítógépre, és folyamatosan szemmel tartja a látogatott weboldalak címeit. Az összegyűjtött listát rendszeresen távoli szerverekre küldi el, míg újabb változatait különböző internetes csalásokra is felhasználják.

Bővebb információ: a CounterSpy kémprogram-eltávolító honlapja
A Sunbelt Software-ről
Az 1994-ben alapított, amerikai székhelyű Sunbelt Software otthoni és vállalati IT biztonságtechnikai szoftverek vezető szállítója: portfóliója spamszűrő, tűzfal és kémprogram-eltávolító termékektől a hálózatbiztonsági és rendszermenedzsment programokig terjed.

Vírusirtók honlapjai ontják a kémprogramokat

Bódis Ákos — Tue, 12 Feb 2008 10:54:42 +0000

- sok forgalmas weboldalt feltörnek a károkozók terjesztéséhez -

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2008 februárjában is megjelentette toplistáját a januárban legfertőzőbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet™ káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik.

Tájkép csata előtt

A 2008-as év sem hozott nagyobb változást a legtöbb fertőzést okozó kémprogramok sorrendjében. A listán továbbra is első helyen áll a Trojan.FakeAlert, ami biztonsági programnak álcázott kémprogramok telepítésére buzdít. Szorosan a nyomában található a korábban sokáig első helyezett Trojan-Downloader.Zlob.Media-Codec, amely általában felnőtt tartalmú videók lejátszásához szükséges segédprogramként tűnteti fel magát. A lista egyetlen újdonsága a Trojan.in-t-e-r-n-e-t, amely böngészési szokásainkat alacsony szintű eszközmeghajtóként gyűjti össze, és jelenti, hogy melyik oldalra, hányszor kattintottunk, ott meddig tartózkodtunk, hány felbukkanó reklámra klikkeltünk rá. A károkozó az összegyűjtött adatokat kéretlen reklámokat megjelenítő bűnözőknek továbbítja, akik ez alapján készítik el a fel-felbukkanó hirdetéseket. Így az elkövetők webes szokásainkat figyelembe véve még pontosabb „ajánlatokat” tehetnek nekünk, például látogatott internetes bankunk ismeretében célzott adathalász támadásokat is indíthatnak.

Biztonsági rés a weboldalakon

Gyakran a weboldalak futtatásáért felelős PHP programozási hibákat használnak ki a vírusírók: olyan automatizált programokat futtatnak, amelyek a leglátogatottabb weboldalakat folyamatosan tesztelik, s a programhibákat felfedezve a honlapokról saját károkozóikat teszik letölthetővé. Ez történt a múlt héten az indiai avSoft Technologies weboldalával is – a cég meglepő módon éppen vírusirtókat fejleszt és forgalmaz. A hackerek az úgynevezett iframe beszúrásos módszert alkalmazva, a megtámadott felhasználó gépén egy láthatatlan ablakot nyitnak meg, amely átirányítja a böngészőt egy másik szerverre, s a rosszindulatú szoftvert telepíti fel az áldozat számítógépére. Ez ellen azért nehéz védekezni, mert a jól kivitelezett támadás egyáltalán nem változtatja meg a honlap kinézetét, a közismert biztonsági rések kihasználásával pedig a károkozó automatikusan, feltűnés nélkül települhet a felhasználó sebezhető számítógépére. Egy vírusirtó cég honlapjára látogatva pedig a legkevésbé sem számítunk arra, hogy kémprogram települ számítógépünkre – ezért annak tudatában, hogy biztosan megbízható oldalon vagyunk, akár néhány biztonsági figyelmeztetést is jóváhagyhatunk, ami tovább könnyíti a kémprogramok terjedését.

A legfertőzőbb kémprogramok és káros alkalmazások 2008 januárjában:

A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

4. ClickSpring.PuritySCAN (reklámprogram)
A PuritySCAN egy reklámok megjelenítésével finanszírozott szoftver, ami a böngésző gyorsítótára és az előzmények átvizsgálásával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg. A licensszerződés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztő ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszőleges alkalmazásokat telepíthet a számítógépre.

5. Trojan.NewMediaCodec (trójai)
A New Media Codec trójai alkalmazás a Zlob.Media-Codec családhoz hasonlóan Windows Media Player frissítésnek tünteti fel magát, és tipikusan felnőtt tartalmú videók lejátszásakor kér engedélyt a felhasználótól a „frissítés” elvégzésére. Telepítését követően a kérdéses videó általában megtekinthetővé válik, viszont a trójai alkalmazás a háttérben azonnal elkezd különböző kémprogramokat és további károkozókat letölteni a gyanútlan felhasználó számítógépére.

6. MyGeek/CPVFeed (reklámprogram)
A 2007 februárjában felfedezett kéretlen reklámozó alkalmazás (adware) egy böngésző beépülő modulként települ, általában a felhasználó tudta nélkül. Működése során különböző reklámokkal zavarja a böngészést, sőt, bizonyos esetekben a weboldalakra történő navigáció eltérítésével más oldalakat mutat, mint amit valójában a felhasználó megpróbált megnyitni.

7. Trojan.in-t-e-r-n-e-t (általános trójai program)
A januárban megjelent friss károkozó eszközmeghajtóként telepítődik a számítógépre, és folyamatosan szemmel tartja a látogatott weboldalak címeit. Az összegyűjtött listát rendszeresen távoli szerverekre küldi el, míg újabb változatait különböző internetes csalásokra is felhasználják.

9. RootKitWin32Agent.eq (rootkit)
Az operációs rendszer legmélyebb rétegeibe beférkőző Win32.Agent.eq rootkit elsősorban reklámprogramok számára biztosít búvóhelyet kémprogram-eltávolító és antivírus szoftverek elől. A futó rootkit képes átverni az operációs rendszert úgy, hogy a károkozókat tartalmazó könyvtárat „nem mutatja” a könyvtárak listázása során, így egy víruskeresés esetén a klasszikus védelmi szoftverek számára láthatatlan marad a búvóhely.

10. Command Service (reklámprogram)
Egy klasszikus adware kémprogram a felhasználó engedélyével, általában más, hasznosabb szoftverekkel együtt települ, és böngészés közben kéretlen hirdetéseket jelenít meg. A Command Service különlegessége, hogy más adware programok kiütésével megpróbálja „megvédeni saját területét”, a megszerzett számítógépet: végfelhasználói licensszerződése tartalmazza, hogy a program a felhasználó külön értesítése nélkül eltávolíthat, letilthat vagy működésképtelenné tehet más adware alkalmazásokat, amelyek feltételezhetően csökkenthetnék a Command Service hatékonyságát.

A Sunbelt Software-ről
Az 1994-ben alapított, amerikai székhelyű Sunbelt Software otthoni és vállalati IT biztonságtechnikai szoftverek vezető szállítója: portfóliója spamszűrő, tűzfal és kémprogram-eltávolító termékektől a hálózatbiztonsági és rendszermenedzsment programokig terjed.

ICANN: Vége az 5 napig ingyenes domaineknek

Bódis Ákos — Wed, 06 Feb 2008 16:34:16 +0000

Az ICANN jelentős lépésre szánta el magát: végre vége az ingyenes, 5 napos domain regisztrációknak.

Az internet alapvető működéséért felelős non-profit szervezet, a domain nevek kiosztását felügyelő ICANN végre bezárta azt a kiskaput, amivel 5 napig ingyenesen lehetett egy domain nevet használni – úgymond “kipróbálni”.

Ez a lépés azért jelentős, mert a bűnözők minden nap tízezerszám regisztrálták az új domaineket, hogy újabb és újabb címeket használhassanak a károkozók terjesztésére, vagy éppen spamek küldésére. Egy új domain ingyenes regisztrációjával létrehozható egy új, adathalász támadásokhoz vagy károkozók letöltéséhez ideális hamisított honlap, illetve több ezer új email cím, amelyekről a kiküldött spamek hitelesebbnek tűnhetnek (hiszen a feladó címe nem teljesen véletlenszerű, mert a domain visszaellenőrizhető és már létezik).

Az 5 napos domain-kipróbálási lehetőség kihasználására több biztonsági cég is figyelmeztetett; olyan statisztikák is készültek, amikből látható volt, hogy az internetről letöltött károkozók több, mint 90%-a 5 napnál nem régebbi honlapokról tölthető le. A Google pár héttel ezelőtt vélgülis a hirdetési rendszeréből kitiltotta az olyan reklámokat, amelyek 5 napnál nem régebbi oldalra mutattak, ezzel is próbálva elejét venni a bűnözők tevékenységének készpénzre váltását.

Úgy tűnik, erre most már nem lesz szükség, mert az ICANN döntése alapján minden egyes beregisztrált domain után évente 20 centet kell leszurkolni – ezzel minden bizonnyal megszűnik az ipari méretű visszaélés az 5 napos regisztrációkkal.

Sajnos nekünk, a felhasználók számára ez nem jelenti azt, hogy megtizedelődik az interneten leselkedő károkozók száma, vagy hogy végre mérséklődik a spam és az adathalászat problémája. Viszont egy eszközzel biztosan kevesebb van már a bűnözők kezében, és így teljesen új értelmet nyernek az olyan szűrőmotorok, mint a Ninja és MPP részét is képező SURBL, ami a spameket a bennük található weblapcím alapján azonosítja. Mivel sokkal kevesebb címre kell ezentúl odafigyelni, így reméljük egy fokkal egyszerűbb lesz a spamszűrés is.

Bhutto halálából profitáltak a vírusírók

Bódis Ákos — Thu, 17 Jan 2008 11:35:04 +0000

- a pakisztáni politikus elleni merényletről készült videók mögé rejtőztek a legújabb vírusok és kémprogramok -

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2008 januárjában is megjelentette toplistáját a 2007 decemberében legfertőzőbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet™ káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik.

Megmerevedett frontok
Az elmúlt év utolsó hónapjában nem történt nagyobb változás a legtöbb fertőzést okozó kémprogramok között: lassan megszokhattuk, hogy a lista éllovasa a Trojan.FakeAlert, ami biztonsági programnak álcázott kémprogramok telepítésére buzdít. A karácsonykor megemelkedő kereskedelmi forgalom indokolhatja, hogy lényegesen nagyobb lett a kéretlen reklámleveleket pop-up ablakban megjelenítő programok által okozott fertőzések száma, így például a novemberben még csak a lista utolsó helyén kullogó MyGeek/CPVFeed reklámprogram immár az „előkelő” hatodik helyen található. Hasonlóan sok fertőzést okozott a többi hirdetőprogram, a Virtumonde, a ClickSpring.PuritySCAN és a Command Service is, amelyek összesen a fertőzések közel 2.5%-át adták.

Bhutto haláláról készült videók mögött vírusok leselkednek
Januárban ismét tanúi lehettünk, hogy a hackerek milyen gyorsan használják ki az adódó lehetőségeket: a Benazir Bhutto pakisztáni politikus elleni merényletre természetesen netezők százezrei voltak kíváncsiak, s a Google keresőben legtöbben a támadásról készült videofelvételekre kerestek rá. A vírusírók erre azonnal reagálva olyan oldalakat hoztak létre, amelyeket a Google kereső az elsők között adott meg a találati listán. A videókra klikkelve „természetesen” nem csupán a robbantás előtti perceket lehetett megtekinteni, hanem kodeknek tűnő vírusok és reklámprogramok települtek a felhasználók gépeire, amelyek megváltoztatták a számítógép DNS beállításait, illetve pop-up ablakokban felbukkanó hirdetésekkel hamis biztonsági programok vásárlására ösztönözték a felhasználókat. „A jelenség sajnos nem új: számos szenzációszámba menő eseményről készült videó mögül leselkedtek már eddig is kémprogramok – így például Zinedine Zidane 2006-os VB-döntőbeli lefejeléséről, illetve a Katrina hurrikánról készült felvételeknél is ezt tapasztaltuk. Egy-egy ilyen prominens videó megtekintéséért pedig olyan felhasználók is feltelepítik a kémprogramokat, akik más tartalomért nem kockáztatnának.” – mondja Bódis Ákos, a Sunbelt Software magyarországi képviseletének vezetője.

2008: a Mac elleni támadások éve lesz?
AZ előző év tendenciája folytatódni fog és növekszik a Mac operációs rendszerre készülő vírusok és kémprogramok száma. Erre lehet következtetni legalább is abból, hogy már az év első két hetében a Quicktime biztonsági rését kihasználó káros alkalmazások jelentek meg, illetve scareware támadta a Macesek egyre növekvő táborát. Ez utóbbi – amely a MacSweeper nevet kapta -, hamis riasztást ad és kémprogramok jelenlétével riogat, így próbálja meg rávenni a felhasználókat különböző antivírusok és biztonsági szoftverek megvásárlására. Az egyre népszerűbb – ez évtől hazánkban is kapható – iPhone, illetve a hozzá kapcsolódó szolgáltatások pedig ígéretes terepet jelentenek a hackereknek és adathalászoknak – például az iPhone-ra letölthető videók mögé könnyen lehet kémprogramokat rejteni. A telefonon futó károkozók pedig teljesen új lehetőségeket nyitnak meg az illetéktelen adatszerzők és a kéretlen reklámozók számára, és jelentős fejfájást okozhatnak majd eddig biztonságosnak hitt alkalmazásokban is.

A legfertőzőbb kémprogramok és káros alkalmazások 2007 decemberében:

Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

7. Trojan.Unclassified.gen (általános trójai programok)
A Trojan.Unclassified.gen általános kategóriába olyan trójai alkalmazások tartoznak, amelyeket a CounterSpy felismer, de egyenkénti elnevezésükre és elemzésükre még nem került sor. A kategória sok hasonló fertőzést tartalmaz.

8. RootKitWin32Agent.eq (rootkit)
Az operációs rendszer legmélyebb rétegeibe beférkőző Win32.Agent.eq rootkit elsősorban reklámprogramok számára biztosít búvóhelyet kémprogram-eltávolító és antivírus szoftverek elől. A futó rootkit képes átverni az operációs rendszert úgy, hogy a károkozókat tartalmazó könyvtárat „nem mutatja” a könyvtárak listázása során, így egy víruskeresés esetén a klasszikus védelmi szoftverek számára láthatatlan marad a búvóhely.

10. ClickSpring.Oinadserver (reklámprogram)
A ClickSpring.Oinadserver egy böngészőbe beépülő modul, és általában automatikusan, a felhasználó beleegyezése nélkül települ. A beépülő modul működése során kéretlen reklámablakokat jelenít meg, működése a ClickSpring.PuritySCAN kémprogramhoz hasonlóan beszámíthatatlan és bizonyos esetekben nem csak zavaró, de veszélyes is lehet.

Cyber bűnözés 2.0

Bódis Ákos — Fri, 28 Dec 2007 11:50:57 +0000

a rosszindulatú támadások, adathalász akciók és spamkitörések professzionális tervezését és kivitelezését figyelhettük meg az idén

Az eredetinek kinéző hamisítvány a legjobb üzlet. Úgy látszik, erre az internetes bűnözők is rájöttek, hiszen az idén minden eddiginél tökéletesebb ál-honlapok és valódinak tűnő e-mailek révén próbálták az adathalászok megszerezni személyes, banki adatainkat, illetve vásárlásra bírni bennüket, átlagos felhasználókat.

“A bűnözők a profi üzletemberekhez hasonlóan a marketing eszközeivel támogatják, propagálják tevékenységüket – természetesen saját, külön bejáratú csatornáikon keresztül.” – mondja Tom Liston az SANS Internet Storm Center képviselője.

Minél többen tudnak majd arról, hogy spamek segítségével a szó szoros értelmében fillérekért lehet elérni a fogyasztókat – egy több millió e-mailt kiküldő számítógépes zombi hálózat, vagyis egy botnet már 100 dollárért is bérelhető, tehát feleslegesnek tűnik többezer dollárért hirdetni – annál többen fognak élni is a lehetőséggel.

Egy lépéssel a fejlesztők előtt

Természetesen az internet és az e-mail forgalom biztonságát garantáló programok fejlesztői sem ülnek babérjaikon, hiszen egyre gyorsabban ismerik fel az új vírusokat, kémprogramokat, így a felhasználók egy-egy káros alkalmazás felbukkanása után akár egy órán belül is védelmet kapnak, a spamszűrők pedig egyre több szűrési módszert alkalmaznak, amelyek képesek az Excel, PDF, vagy akár az MP3-as formátumban érkező kéretlen leveleket is kiszűrni.

A bűnözők ezért nem nyílt támadásokkal gyűjtenek adatokat, hanem valódinak tűnő e-mailek, honlapok mögé rejtőzve kémprogramok segítségével nyitnak hátsó kiskaput számítógépünkhöz. Így például a YouTube-on is számtalan olyan videó tekinthető meg, amely lejátszása alatt egyúttal jelszólopó, billentyűzetfigyelő szoftver települ gépünkre.

S ami a leginkább szembetűnő volt az év folyamán: szinte minden nagyobb támadás pontosan időzített volt, tökéletesen alkalmazkodva az üzleti és a fogyasztói élet szokásaihoz. Az amerikai Superbowl döntője előtt az eseménynek otthont adó Dolphin Stadion honlapját fertőzték meg, s az idelátogató szörfözők gépére titokban kémprogramok települtek. A Cyber hétfőn, vagyis a hálaadást követő hétvége után – amely hagyományosan a legnagyobb kiskereskedelmi forgalmat generáló nap az évben – a Sunbelt Software képviselői 40.000 olyan hamis oldalt találtak, amelyek álkulcsszavak segítségével a Google keresési eredményei közt az élre kerültek. Az ajándékok után böngésző internetezők ebben az esetben is kémprogramokkal lettek “gazdagabbak”.

“A Google ugyan viszonylag gyorsan eltávolította ezeket az oldalakat, ám önmagában az is elég ijesztő, hogy a világ legnagyobb keresőjét pár órára is teljesen át tudták verni.” – mondja a spamszűrő és védelmi szoftvereket fejlesztő Sunbelt magyarországi képviseletének vezetője, Bódis Ákos.

A 2007-es év arra is rácáfolt, hogy létezik olyan fájlformátum, amely mögé nem lehet trójai programokat csempészni, így például a PDF, a képek és a videók egyaránt fertőzésveszélyt hordozhatnak magukban.

Spamözön – napi 120 milliárd kéretlen levél világszerte

Az év legnagyobb újdonsága a változatos csatolmányformátumok mellett kétség kívül az volt, hogy a legjobban szervezett spamtámadások során a felhasználók teljes neve és pontos e-mail címe jelent meg. A spammerek a MySpace, a Facebook és egyéb közösségi portálokon gyűjtötték össze az elérhetőségeket – s erre Magyarországon is volt példa: Nagy Sándor nevű e-mailező 600.000 magyar e-mail címet gyűjtött össze és kínált eladásra.

Amerikában a legsikeresebb Storm worm nevű féregnek hála a becslések szerint 100%-kal nőtt a spamek száma 2006-hoz képest. Ez azt jelenti, hogy naponta mintegy 120 milliárd kéretlen levél terheli a világ teljes hardver-erőforrásait – vagyis egy átlag felhasználó naponta 20 spamet kap.

A pontos e-mail címeknek köszönhetően az adathalászok például az FBI, a Szövetségi Kereskedelmi Bizottság vagy a Pénzügyminisztérium nevében küldtek ki eredetinek tűnő leveleket. A leggyakoribb módszer szerint a levelek azt állították, hogy panasz, vagy feljelentés érkezett a címzett ellen, aki ezért megnyitotta a feljelentést tartalmazó csatolmányt – ezzel pedig jelszófigyelő programot telepített gépére. A Stamford cég becslése szerint Amerikában mintegy 3.2 milliárd USD kárt okoztak ilyen támadásokkal – s az ilyen nagyságrendű összegért már minden bizonnyal érdemes vállalni a kockázatot, e-mail címeket gyűjteni, bankszámlákat megcsapolni.

Augusztus közepén például a világ egyik legnagyobb állásközvetítője, a Monster.com ismerte be, hogy hackerek 1.6 millió felhasználó adataihoz jutottak hozzá, de olyan spamtámadásokat is megfigyeltek, amelyek célpontjai kifejezetten felsővezetők voltak. A tendencia alól úgy tűnik, Magyarország sem kivétel:

“Egyik nagyvállalati felhasználónknál 5.000 postafiók spamszűrését biztosítjuk. A beérkező leveleknek több, mint 98%-a spam, ami szűrés nélkül mérhetetlen hardver erőforrást kötne le és azonnal megbénítaná a vállalat levelezését – vagy megfordítva: spamek nélkül töredékére zsugorodna a normál levelezés kiszolgálására alkalmas informatikai rendszer hardver és erőforrás költsége.” – mondja Darvas István, az MPP vállalati spamszűrő rendszer szakértője.

Már a Mac sem kivétel?

Ugyancsak újdonságszámba ment, hogy megjelent az első, kifejezetten Macintoshra fejlesztett kémprogram. Az OSX.RSPlug.A nevet viselő káros alkalmazás egy QuickTime beépülő modulnak álcázta magát, valójában pedig egy DNS átirányító, ami a fertőzött számítógépen tetszőleges weboldalt képes átirányítani más weboldalakra: például a Google keresési találatok helyett egy hasonló, de a bűnözők által megszerkesztett oldalra is el tudja vinni a felhasználót, vagy akár meg is tagadhatja bizonyos weboldalak (kiszolgálók) elérését.

2008: sötét jövő?

A következő évben sem fognak unatkozni az IT-biztonsággal foglalkozó cégek fejlesztői. Az USA-ban ismét komoly lehetőséget rejt magában az elnökválasztási kampány, hiszen már 2004-ben is megcsapolták John Edwards adománygyűjtő honlapját, az elnökjelölt, John Kerry portáljára pedig számtalan 5 centes adomány felajánlás érkezett, amely során a bűnözők azt tesztelték, hogy működnek-e még a lopott hitelkártyák. Az Apple termékek – különösen az iPhone terjedésével – 2008-ban is rengeteg újabb lehetőség nyílik adathalászatra és spamküldésre.

“Ma már csak az a kérdés, hogy mikor érjük el a 99% feletti spamarányt, amikor a spamek száma már több nagyságrenddel a jó levelek mennyisége felett lesz, a jó emailek statisztikailag is nehezen kimutatható arányt fognak elérni.” – teszi hozzá mindehhez Bódis Ákos.

Az sem kétséges, hogy az internetes kereskedelem és az online banki szolgáltatások bővülésével egyre több lesz a támadás magyar nyelvterületen is – például a Vatera.hu milliárdos nagyságrendű forgalma csábító lehet az internetes bűnözők számára.

“A kémprogramok esetében a leggyengébb láncszem továbbra is a felhasználó: ha nem alkalmaz megfelelő szoftveres védelmet, illetve ha meggondolatlanul telepít bizonyos programokat, kiegészítőket, azonnal átengedi az irányítást egy botnet gazdának.” – mondja Bódis.

Az oroszok már a spájzban vannak

Bódis Ákos — Tue, 11 Dec 2007 09:27:54 +0000

átlagosan félévente hallat magáról az RBN orosz internetes bűnözői csoport

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2007 novemberben is megjelentette toplistáját a november hónap során legfertőzöbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet™ káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik.

Helycserés támadások a kémprogramok között – egyre aktívabb trójaiak

Novemberben nem változott a legtöbb fertőzést okozó kémprogramok élbolya: továbbra is a trójai FakeAlert, a Virtumonde nevű hirdetési szoftver és a szintén trójai Zlob.Media-Codec kémprogram okozta a legtöbb fertőzést. Újdonság, hogy a Trojan.FakeAlert 2007 novemberében először lépte át a 2%-os határt, vagyis a kutatók által a világon regisztrált összes fertőzés 2,18%-át okozta ez a kártevő. Ennek persze lehet jó oldalát is nézni, hiszen a FakeAlert hamis biztonsági üzeneteket küldve veszi rá a felhasználókat a program telepítésére – vagyis egyre több internetezőt érdekel számtógépe biztonsága. A toplista első kilenc helyén novemberben négy trójai, négy kéretlen reklámokat megjelenítő program, és egy rootkit található – a tizedik helyen pedig egy valódi újdonság szerepel.

A MyGeek/CPVFeed névre keresztelt alkalmazást 2007 februárjában fedezték fel. A kéretlen reklámozó alkalmazás (adware) egy böngésző beépülő moduljaként települ, működése során különböző reklámokkal zavarja a böngészést, sőt, bizonyos esetekben a weboldalakra történő navigáció eltérítésével más oldalakat mutat mint amit valójában a felhasználó megpróbált megnyitni.

RBN – az orosz falanx

David Bizeul független szakértő novemberben külön tanulmányt szentelt az RBN nevű orosz internetes bőnözöi csoportnak. Az RBN-hez több nemzetközi netes bűncselekményt kapcsolnak a szakemberek, így 2005-ben a CoolWebSearch kémprogram megjelentetése, egy évvel később a VML sebezhetőségi hullám, a hírhedt Mpack exploit kit (2007 június), a Bank of India honlapjának feltörése (2007 augusztus) vagy akár a vezető antivírusok által több, mint 3 hónapig egyáltalán fel nem ismert Torpig/Sinowal trójai megalkotása mögött is az orosz csapat áll.

„Ahhoz, hogy megértsük az RBN működését, ismernünk kell a helyi viszonyokat. Oroszországban rendkívül sok, tehetséges IT szakember található, akik viszont nem találnak a képzettségüknek megfelelő munkát. Ugyanakkor a hekkelés, a fizetés nélküli használat teljesen bevett gyakorlatnak számít az országban.” – véli David Bizeul, a tanulmány szerzője.

A teljes képhez az is hozzátartozik, hogy az orosz hatóságok nem lépnek fel kellő hatékonysággal az internetes bűnözőkkel szemben, akik így méginkább bátorítva érezhetik magukat.

„Az adathalászat, a gyermekpronográfia, a spamküldés, a trójai alkalmazások terjesztése, illetve a honlap feltörések egyértelműen jelzik, hogy az RBN-nél mind a szükséges hardver – például botnetek – , mind a szellemi kapacitás rendelkezésre áll. Az RBN gyakorlatilag úgy működik, mint egy nemzetközi IT cég: bármilyen bűncselekményre tartunk igényt, ők megtalálják a megfelelő hardveres és szoftveres megoldásokat.” – teszi hozzá a szerző.

A szervezet egyébként átlagosan félévente hallat magáról, így könnyen előfordulhat, hogy ismét egy nemzetközi adathalász akciót, vagy egy új kémprogramot láthatunk tőlük.

A legfertőzöbb kémprogramok és káros alkalmazások 2007. októberében:

2. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

3. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás bizonyos felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek.

4. ClickSpring.PuritySCAN (reklámprogram)
A PuritySCAN egy reklámok megjelenítésével finanszírozott szoftver, ami a böngésző gyorsítótára és az előzmények átvizsgálsával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg. A licensszerződés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztő ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszőleges alkalmazásokat telepíthet a számítógépre.

6. Trojan.Unclassified.gen (trójai)
A Trojan.Unclassified.gen általános kategóriába olyan trójai alkalmazások tartoznak, amelyeket a CounterSpy felismer, de egyenkénti elnevezésükre és elemzésükre még nem került sor. A kategória sok hasonló fertőzést tartalmaz.

7. Command Service (reklámprogram)
Egy klasszikus adware kémprogram a felhasználó engedélyével, általában más, hasznosabb szoftverekkel együtt települ, és böngészés közben kéretlen hirdetéseket jelenít meg. A Command Service különlegessége, hogy más adware programok kiütésével megpróbálja „megvédeni saját területét”, a megszerzett számítógépet: végfelhasználói licensszerződése tartalmazza, hogy a program a felhasználó külön értesítése nélkül eltávolíthat, letilthat vagy működésképtelenné tehet más adware alkalmazásokat, amelyek feltételezhetően csökkenthetnék a Command Service hatékonyságát.

9. WhenU.Save (reklámprogram)
A kémprogram folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.

10. MyGeek/CPVFeed (reklámprogram)
A 2007 februárjában felfedezett kéretlen reklámozó alkalmazás (adware) egy böngésző beépülő modulként települ, általában a felhasználó tudta nélkül. Működése során különböző reklámokkal zavarja a böngészést, sőt, bizonyos esetekben a weboldalakra történő navigáció eltérítésével más oldalakat mutat mint amit valójában a felhasználó megpróbált megnyitni.

Bővebb információ a CounterSpy kémprogram-eltávolítóról

MPP Desktop a legjobb spamszűrő

Bódis Ákos — Tue, 12 Jun 2007 07:57:22 +0000

- a PC World szoftver-összehasonlító tesztjét a magyar fejlesztésű program nyerte -

Kéretlen leveleket szűrő programokat hasonlított össze a magyar PC World szaklap. A tesztben operációs rendszerek, levelező programok és biztonsági szoftverek spamszűrőit vették górcső alá a szakemberek. Az összehasonlításban szinte minden tekintetben a magyar fejlesztők által a hazai igényekre készített MPP Desktop került ki győztesen.

Az elektronikus levelezés használatával sajnos ma már elválaszthatatlanul megjelennek a kéretlen levelek, amelyek részvények, gyógyszerek vásárlására, vagy szegény afrikai ország megsegítésére buzdítanak. Kevesen tudják, hogy a spamekben található leiratkozás linkre kattintva pont az ellenkező hatást érhetjük el, hiszen a spamküldők így megbizonyosodhatnak, hogy élő e-mail címmel van dolguk. Ha e-mail címünk egyszer bekerül egy adatbázisba, akkor nincs megállás: naponta akár százával kaphatunk spameket. A postafiókokat elözönlő kéretlen levelek nem csupán zavaróak, hanem veszélyesek is lehetnek, hiszen vírusokat és kémprogramokat is tartalmazhatnak, adathalászok „munkáját” is segíthetik, emellett jelentős mennyiségű hasznos postafiók-tárhelyet vesznek el. A PC World szaklap ezért azt tanácsolja, ahol csak lehet, ne saját e-mail címünket adjuk meg, hanem egy eldobható e-mail címet, amelyet bármikor kikapcsolhatunk. Postafiókunk védelmére azonban előbb-utóbb be kell szereznünk egy spamszűrőt.

17 spamszűrő – óriási különbségek

A szaklap 17 különböző kéretlen levélszűrő teljesítményét hasonlította össze. A szoftverek között szerepeltek nemzetközi fejlesztők termékei, operációs rendszerekbe, biztonsági csomagokba, illetve levelező programokba beépített kéretlen levélszűrők is. A teszt során mindegyik programnak 5.500 levelet kellett megvizsgálnia és eldöntenie, hogy kéretlen levél-e vagy sem. Ebből 4.500 volt a spam és 1.000 a jó levél. Az egyes programok eltérő működése miatt a teszt előtt további 500 jó levél és 500 spam szolgált mintául azoknak a szoftvereknek, amelyeket „tanítani” kell, hogy melyik levél minősül spamnek és melyik nem.

A tesztelők három dologra voltak kíváncsiak: mennyi spamet szűr ki a program – erre összesen 45 pontot lehetett kapni –, mennyi jó levelet azonosít tévesen spamként – ezzel pedig 50 pontot lehetett elérni. A hibás azonosítás ugyanis legalább annyira fontos, ha nem fontosabb, mint az, hogy az összes kéretlen levelet kiszűrje a program – például egy érzékenyre állított spamszűrő a várva várt fontos e-maileket is kiszűrheti, s ezzel több kárt okoz, mint hasznot. A tesztelők további 5 pont erejéig az igénybevett processzorhasználatot, vagyis a számítógép lassulását is figyelembe vették, így összesen 100 pontot lehetett elérni. A 17 spamszűrő megoldás eredményei között nagyon nagy eltérések mutatkoztak: a leggyengébben teljesítők pont az ismert gyártók termékei voltak, amelyeknél többször előfordult 30% feletti téves azonosítás is. Egyes esetekben viszont az alkalmazások a spameknek sokszor alig felét, kétharmadát ismerték fel, ezért fontos a kiegyensúlyozott teljesítmény, vagyis a lehető legtöbb spam felismerése mellett a lehető legkevesebb jó levelet fogja el a szűrő. Jobban teljesítettek a Microsoft legfrissebb termékeihez járó spamszűrők, náluk pontosabbak csak a kifejezetten kéretlen levélszűrésre szakosodott nemzetközi gyártók bizonyultak – igaz, ezek a szoftverek instabilitásukkal tűntek ki.

Magyar levelezési szokásokra fejlesztett szűrő lett a győztes

Az összehasonlítást kiemelkedő, 99 pontos eredménnyel a magyar fejlesztők által, a magyar levelezési szokások alapján kifejlesztett MPP Desktop Professional nyerte. Az MPP a 4.500 levélből mindössze 4-et azonosított tévesen spamként, míg a kéretlen levelek 99,22%-át szűrte ki – ez utóbbinál jobb eredményt csupán két, nagyon erősre állított spamszűrő ért el, amelyek viszont sok jó levelet is kiszűrtek.

„Egyértelműen kiderült, hogy a magyar felhasználók levelezési szokásai alapján kell készíteni spamszűrőt, hiszen a nemzetközi gyártók nem adaptálják termékeiket a magyar piacra, így sok jó levél is a levélszemét mappában landol. Az általunk használt három különböző szűrési módszer ráadásul nem igényel tanítást, azonnali védelmet nyújtanak a kéretlen levelek áradata ellen.” – mondta a fejlesztő Yellow Cube Kft. ügyvezetője, Bódis Ákos.

A teszt jóllehet nem tért ki a termékek árára, az MPP az önálló spamszűrők között biztosan nem vallana kudarcot, hiszen 30 napig ingyenes kipróbálható, illetve mindössze egy emelt díjas sms áráért aktiválható.

Bővebb információ: a PC World teszt és az MPP Desktop honlap

Újabb rangos címet nyert el a Sunbelt Ninja

Bódis Ákos — Tue, 13 Feb 2007 09:36:23 +0000

- A Legjobb E-mailszűrő Program díjat ítélték a Ninja-nak -

A neves amerikai SC magazin tizedik, jubileumi közönségszavazásán a lap olvasói a Sunbelt Messaging Ninja spamszűrőnek ítélték a Legjobb E-mailszűrő Program díjat. Ezzel tovább nőtt a Ninja elnyert rangos díjainak száma, amelyek végigkísérik a közkedvelt spamszűrő sikertörténetét.

A Secure Computing (SC) Magazin olvasói és meghívott szakmai zsűrije immár tíz éve választják meg a legjobbnak ítélt biztonságtechnikai szoftvereket és megoldásokat. A neves IT biztonsággal foglalkozó szaklap olvasóinak az idén húsz kategóriában közel 400 program közül kellett kiválasztaniuk az általuk legjobbnak ítélt szoftvert. A Sunbelt Messaging Ninja-ra több mint 9.000 szavazat érkezett.

„Napjainkban sajnos egyre gyakoribb az adatlopás és növekszik az adatokkal történő visszaélések száma, ezért kiemelt szerepük van az IT-biztonsággal foglalkozó cégeknek.” – mondta az SC magazin főszerkesztője, Illena Armstrong a San Franciscoban tartott RSA konferencia gálaestjén.

„A Sunbelt Software megtiszteltetésnek veszi, hogy az olvasók és az IT-szakértők egyaránt a Ninja-t választották a legjobb spamszűrőnek.” – mondta Alex Eckelberry, a Sunbelt Software elnöke. „A Ninja teljes körű spam-, vírus- és kémprogramszűrést biztosít a Microsoft Exchange kiszolgálók számára, a robusztus többrétegű szűrőrendszer pedig az adathalászattal szemben is megbízható védelmet nyújt.” – tette hozzá.

Az SC Magazin olvasói díjával tovább nőtt a Ninja elismeréseinek száma, a program 2006 júniusi megjelenése óta több neves díjat begyűjtött: a Windows IT Pro magazin olvasói 2006-ban a rendszergazdák kedvenc levélszűrőjévé választották, míg a SearchExchange.com zsűrije az Év Szerverbiztonsági Terméke kategóriában díjazta.

„Mindössze néhány hónap alatt ennyi neves elismerést még egyetlen termékünknek sem sikerült begyűjtenie, ezért nagy érdeklődéssel figyeljük a spamszűrő sikertörténetét. Magyarországon is egyre többen döntenek a Sunbelt Messaging Ninja mellett: a próbaváltozatot feltelepítők több mint 90%-a dönt végül a licenszvásárlás mellett.” – mondta Bódis Ákos, a Ninja magyarországi képviseletének, a Yellow Cube Kft.-nek ügyvezető igazgatója.

További információ: a Sunbelt Messaging Ninja honlapja

A Yellow Cube 2000. Kft.-ről

Yellow Cube 2000. Kft. egyéni és vállalati ügyfeleknek fejleszt és kínál biztonságtechnikai szoftvereket, elsősorban spamszűrő és kémprogram eltávolító termékeket. A cég a piacon egyedülállóként magyar nyelvű spamszűrő szoftvert fejleszt, továbbá a Sunbelt Software és a Message Partners termékeinek kizárólagos hazai disztribútoraként a biztonságtechnikai szoftverek széles választékot kínálja otthoni felhasználóktól a nagyvállalatokig.

Spam károk és megoldások

Bódis Ákos — Thu, 25 Jan 2007 21:12:35 +0000

A mai napon a Dr. Fehér Gábor, a BME TMIT kutatója és Bódis Ákos, a Yellow Cube ügyvezetője sajtóbeszélgetésen ismertette a 2006-os év megnövekedett spam forgalmának okait és spamszűrés lehetséges megoldásait. A bejegyzésben a spamekről szóló olvasmányos összefoglaló részletesen olvasható!

Letölthető dokumentumok:

Jelentősen nőtt a kéretlen levelek száma az elmúlt néhány hónapban
- képes mellékletbe csomagolják a szöveges részt a spam küldők -

Bill Gates 2004-ben még azt jósolta, hogy két éven belül a spam véglegesen el fog tűnni. 2006-ban az Egyesült Államokban minden korábbinál több kéretlen levelet kapnak az e-mail fiókkal rendelkezők, minden 10-ből 9 levél spam. Magyarországon még nem ilyen rossz a helyzet, de a számok romló statisztikáról tanúskodnak: 2006 folyamán több vállalatnál is közel ötszörösére nőtt a spamek száma. A kéretlen levelek fogadása, letöltése – így az általuk okozott károk – természetesen elkerülhetők, az informatikusok innovatív megoldásokkal dolgoznak a spamek kiszűrésén.

Az e-mail fiókkal rendelkezők bizonyára kaptak már olyan levelet, amelyet ismeretlen címről küldtek, s amely valamely népszerű termék, gyógyszer – általában kedvező árú – vásárlására, szerencsejátékra, vagy egy ismeretlen weboldal látogatására buzdítottak. Az ilyen kéretlen leveleket a Monthy Python társulat egyik jelenetében használt szó után spam-nek kereszteltek, amely szó a „Spiced Pork and Ham”, egy nagyon rég gyártott olcsó löncshús rövidítését takarja. A spam a küldőnek nem csupán akkor hoz hasznot, ha a benne hirdetett terméket megvásároljuk, elég, ha a kíváncsi olvasó ellátogat a spam által reklámozott honlapra, s az itt elhelyezett hirdetések is bevételt jelentenek a kéretlen levél generálójának. A korábbi, „passzív” szélhámosságokat – amelyek általában Afrikába menekített vagyonok, illetve mesés nyeremények ígéretével pénz átutalására buzdítottak –, addig manapság egyre több az „aktív” bűncselekmény, amikor adathalászat révén személyes, banki adatainkat „elhalászva” élnek vissza a számítógépünkön tárolt tartalommal. Egyre gyakoribb a tőzsdei manipuláció is: ebben az esetben általában egy részvény vételére buzdítanak az ismeretlen küldők, s tény, ha több millióan kapják meg ugyanazt a tőzsdei tippet, akkor az adott részvény árfolyama rövid időn belül növekedésnek indul – ráadásul itt a legkisebb az esély a lebukásra.

Ugrásszerűen spam-mennyiség növekedés alig három hónap alatt

A korábbi állításokkal szemben pedig nem hogy csökken, hanem sokszorosára növekedett az elmúlt három hónapban a spamek száma. Ennek oka elsősorban a botnetekben, a felhasználó tudta nélkül összekapcsolt számítógépek hálózatában keresendő. A módszer egyszerű: egy vírus, trójai program révén a botnet gazdák távolról vezérlik a számítógépek sokaságát, amelyek ezután koordináltan hajtanak végre műveleteket. Az utasítások az anonimitást biztosító IRC (Internet Realy Chat) csatornán, vagy a modernebb peer-to-peer technológia segítségével érkeznek. A spam küldők előszeretettel vesznek bérbe botnet-et (egyes felmérések szerint a spamek 85%-a már botnetről érkezik), amely segítségével akár 100.000 otthoni, vagy irodai számítógép kapacitását kihasználva könnyedén küldenek egymilliárd e-mailt is mindössze néhány óra alatt, s ráadásul ezt a „szolgáltatást” alig néhány száz dollárért igénybe lehet venni.

A spamek nagyarányú növekedése mögött második okként a képes spam használatának elterjedése áll. Ezekben az üzenetekben a szöveges információt egy képben csatolva rejtik el, s az e-mail többi részét általános szöveggel töltik fel, így hagyományos spamszűrők nem ismerik fel a kéretlen levelet.

A magyar spam-statisztikák sajnos követik a nemzetközi trendet, 2006. májusától kezdve fokozatosan nőtt a kéretlen levelek száma. A VIPmail – Index / CitroMail esetében a 2006. májusi 10% körüli arány ez év januárjára már 45%-ra emelkedett (1. ábra). Ennél is nagyobb arányú spam-növekedést regisztráltak az AIONnet tartalomszolgáltatónál, ahol 1.700.000 levél közül több mint 80% feletti volt a spamek aránya (2. ábra). A Yellow Cube által forgalmazott MPP Desktop felhasználóinak 25%-ánál ez az arány ugyancsak 80% feletti (3. ábra).

1. ábra: Kéretlen levelek aránya a VIPmail – Index / CitroMail rendszerében

2. ábra: Hasznos és kéretlen levelek száma az AIONnet szerverein

3. ábra: Kéretlen levelek aránya az MPP Desktop felhasználói között

Mekkora kárt okoz a spam?

Az otthoni felhasználók számára a nagy mennyiségű spam ellehetetleníti a magánlevelezést, a sikeres adathalászat pedig komoly anyagi kárt okoz. A cégek és vállalatok esetében a folyamatosan érkező reklámlevelek kizökkentik a munkavállalót, s lelassítják, megnehezítik az üzleti levelezést, ezzel együtt pedig a munkavégzést is. Az adathalászat kritikus kockázatot jelent, hiszen egyik vállalat sem adhat ki kényes üzleti vagy banki adatokat, az internetszolgáltatók számára pedig a sokszorosára növekedett levélmennyiség jelentős sávszélesség költségeket, és plusz hardverkiadásokat okoz.
A kéretlen levelek okozta károk ma már számszerűsíthetők is: egy 100 fős vállalat esetében, ahol egy beosztott munkaórájának költsége 2500 Ft, a munkatársak átlagosan napi 40 spamet kapnak, s minden spammel mintegy 10 másodpercet töltenek el, így csak a munkaidő kiesés havi 600.000 Ft kárt okoz, amihez egy-egy sikeres adathalász vagy vírustámadás további súlyos összegekkel járulhat hozzá.

Védekezés a spamek ellen – többféle módszer, eltérő eredmények

A kéretlen leveleket nehéz végleg száműzni, a küldők – a spammerek – újabb és újabb módszereket fejlesztenek ki e-mail címünk felderítésére. Korábban elég volt arra ügyelnünk, hogy e-mail címünk ne kerüljön ki nyilvános, bárki által hozzáférhető felületekre – honlapokra, fórumokra -, ám a spammereknek újabban elég csak a domaineket begyűjteni, s a sűrűn alkalmazott felhasználóneveket helyettesítik be. Ugyancsak a kéretlen levélküldők munkáját segíti egyes levelezőszerverek, amelyek képesek megmondani, hogy az egy felhasználónév regisztrált az adott domainen, vagy sem.
A megelőzésnek léteznek jogi módszerei is. A spam küldés csaknem minden országban illegális és büntetik, de ez nem riasztja el a spam küldőit, hiszen nehéz kideríteni a küldők személyét. Az Európai Unión belül, így Magyarországon is az opt-in módszer az egyetlen legális út reklámlevelek küldésére. Ebben az esetben a felhasználónak kifejezetten kérnie kell, hogy szerepelhessen egy reklámozási célú levelezési listán. Az USA ezzel szemben az opt-out módszert is engedélyezi, ebben az esetben a felhasnzáló kaphat kéretlen levelet, azonban leiratkozhat erről a listáról és így több levelet attól a cégtől már nem kaphat. Sajnos a gyakorlat azt mutatja, hogy a spam küldők nem veszik figyelembe a megalkotott szabályokat, és reklám leveleiket kéretlenül küldik ki.

Ha a megelőzés nem vezet eredményre, akkor már csak egy szűrőben bízhatunk, amely egyenként végignézi a beérkező leveleket. A spamszűrők több változata is létezik, így szerver és kliensoldali verziók egyaránt elérhetők. A spamszűrés egyik elterjedt módszere a Bayes szűrő, amely a levél szöveges tartalma alapján dönti el, hogy spammel állunk-e szemben. A Bayes szűrő hátránya, hogy a helyes és hatékony működéséhez be kell „tanítanunk”, vagyis meg kell jelölni azokat a szavakat, amelyek nagy valószínűséggel előfordulnak a kéretlen levelekben, illetve állandóan frissíteni kell a program adatbázisát. A tapasztalat azt mutatja, hogy a szöveg alapú szűrés esetében mindig van néhány spam levél, amelyet nem ismer fel a szűrőprogram, illetve sajnos olyan is előfordulhat, hogy legitim levelet spamnek minősít. A magyarországi felhasználásra jellemző tanítás esetén, ahol a jó levelek csak magyar nyelvűek, a spamek viszont szinte kivétel nélkül más nyelven készülnek, a Bayes szűrő tanításával sajnos az is elérhető, hogy minden legitim, idegen nyelvű levelet spamnek tekintsen.

A szűrés egy másik módszere heurisztikákon és minták használatán alapul. Ez a módszer spam mintákat használ fel, s amennyiben a beérkező levél illeszkedik az adott mintára, akkor azt a szűrő spamnek minősíti. A spam-mintákat olyan cégek állítják elő, amelyek naponta sok levelet látnak. A módszer hatékony, hátránya, hogy jelentős idő telhet el a minta elkészültéig.

A kollaboratív spamszűrés az egyik legújabb módszerek közé tartozik. Itt hasonlóan az előző módszerhez összehasonlítunk leveleket és ha hasonlóak, akkor hasonlóképpen is bánunk velük. A különbség az, hogy ebben az esetben nem egy szervezet adja ki a mintákat, hanem egy nagy létszámú közösség dönti el, hogy mi minősül spamnek és mi nem.

Spamszűrők: minél több módszert tartalmaznak, annál hatékonyabbak.

A Yellow Cube 2000. Kft. mind az otthoni, mind az üzleti felhasználóknak optimális megoldásokat kínál a kéretlen levelek szűrésére. Egyéni felhasználóknak az MPP Desktop levélszűrő megoldás áll rendelkezésükre, amely összesen hat motorral, vagyis hat különböző szűrési módszerrel végzi a bejövő levelek pásztázását. Ennek köszönhető, hogy míg az egy módszer alapján szűrő programok a spamek 60-80%-át ismerik fel, addig az MPP Desktop a kéretlen levelek 99%-át képes kiszűrni. Az MPP Desktop egy teljes mértékben hazai fejlesztésű, ezért a piacon egyedülálló módon magyar nyelvű termék, amely esetében a szűrést távoli MPP szerverek végzik, így a saját számítógépet egyáltalán nem lassítja a hat szűrőmotor. Az MPP Desktop Small Business változata saját levelezőszerverrel nem rendelkező kis cégeknek és irodáknak készült. A termék előnye, hogy az egyes számítógépeken futó MPP Desktop kliensek tudása összeadódik, a program szerveroldali társaihoz hasonlóan egész cégre kiterjedő címlistákat is képes kezelni. Így ha egy ügyfél az egyik ügyintézőnél fehérlistára került, akkor az iroda minden dolgozója számára biztosan tud majd levelet küldeni anélkül, hogy a program spamnek minősítené az e-mailt.

Levelezőszerverrel rendelkező vállalatok számára a Yellow Cube a Sunbelt Messaging Ninja spamszűrőt kínálja, amit közvetlenül Microsoft Exchange kiszolgálókra lehet telepíteni. A Ninja-t világszerte több, mint 5000 cégnél használják és 1.500.000 postafiók védelmét látja el. Magyarországon több cég mellett a Magyar Református Egyház és a Rádió 1 is a program felhasználói közé tartozik. Alapbeállításokkal 92-95%-os spamszűrési pontosságot nyújt, ami könnyen 98-99%-ra javítható. A Ninja kezelőfelülete nagyon felhasználóbarát, az egyes beállítások könnyen tanulhatóak, ezért is választották a terméket a rendszergazdák többször is az év kedvenc programjának (Windows IT Pro Readers’ Choice) és több neves kitüntetést is megkapott (SearchExchange.com Product of the Year). A levélszűrés a beépített motorok feladata, így a Ninja a hozzáadott kényelmi szolgáltatásokra koncentrálhat. A Ninja tudása számos hasznos modullal rendelkezik, ilyen például az intelligens csatolmányszűrő, ami nem a fájlok kiterjesztése, hanem a fájlok tartalma alapján képes eldönteni azok valódi típusát. A Ninja több kiszolgálón is jól használható, így a vállalati, hierarchiába vagy klaszterekbe szervezett több szerveres levelezőrendszerek védelmét is meg tudja oldani a beállítások automatikus szétosztásával. A Sunbelt Software az Exchange fejlesztőkkel közeli kapcsolatot tart fenn, a cég Microsoft arany fokozatú partnersége pedig a Ninja és az Exchange tökéletes együttműködését garantálja.

Spam-kilátások 2007-re

Az e-mailben küldött spam tulajdonképpen azért ilyen tömeges, mert a küldőnek rendkívül olcsó és anonim is maradhat. A spam megjelenésére lehet számítani az azonnali üzenetküldés (Instant Messaging) területén, ahol a spam már annyira jellemző, hogy külön elnevezést, az SPIM (instant Messaging spam) nevet kapta. Szintén aggasztó, hogy webes fórumokon, blogokban is terjed a kéretlen levelek száma. Egy hasonló célterület lehet a VoIP telefónia, ahol szintén megjelenik az olcsó költség és így sajnos számíthatunk rá, hogy már akár a közeljövőben kéretlen reklámokkal bombázzák telefonunkat. A mobil telefonok esetében SMS és MMS formában hasonló spam üzenetekre számíthatunk. A lista nem teljes, ha egy megjelenő technológia kedvez a spam küldésnek, akkor sajnos biztosra vehetjük, hogy előbb utóbb kapunk is kéretlen üzenetet.

A Yellow Cube 2000. Kft.-ről

A Yellow Cube 2000. Kft. egyéni és vállalati ügyfeleknek fejleszt és kínál biztonságtechnikai szoftvereket, elsősorban spamszűrő és kémprogram eltávolító termékeket. A cég a piacon egyedülállóként magyar nyelvű spamszűrő szoftvert fejleszt, továbbá a Sunbelt Software és a Message Partners termékeinek kizárólagos hazai disztribútoraként a biztonságtechnikai szoftverek széles választékot kínálja otthoni felhasználóktól a nagyvállalatokig.

2006: A spam visszavág

Bódis Ákos — Sun, 31 Dec 2006 10:35:53 +0000

2 évvel ezelőtt Bill Gates, a Microsoft alapító-tulajdonosa a spamről azt jósolta, hogy 2006-ra végleg el fog tűnni. Év elején még akár be is válhatott volna a jóslata, hiszen akkor még csökkent a spamek száma, de 2006 végére a spam soha nem látott mértékben tért vissza.

Felhasználóink visszajelzései alapján a spamek arányát 70-90% közöttire tehetjük, a CNN decemberi híre alapján pedig 10 levélből 9 kéretlen szemét. A végülis jelentős növekedés mögött ezévben két fontos tényező állt: a botnetek növekedése, és a képben küldött spam elterjedése.

A botnetek egyéni számítógépek olyan hálózatait jelentik, amelyek vírusokkal vagy egyéb kártékony programokkal fertőződnek meg, és a felhasználók tudta nélkül számítógépük távoli kihasználását teszik lehetővé. Így néhány bűnöző kezében több tízezer vagy százezer számítógép szinte korlátlan sávszélessége és számítási teljesítménye koncentrálódik, amit a legtöbb esetben spamek – gyakorlatilag korlátlan mennyiségű – küldésére használnak. A spamküldés ellen sokáig a kártékony végpontok lekapcsolásával, vagy feketelistázásával védekeztek (ez volt Bill Gates jóslatának alapja is), de a botnetek esetén a fertőzött számítógépek száma exponenciálisan növekszik, és ezzel senki nem tud lépést tartani. A spamszűrés egyik alappillérét adó IP alapú, valósidejű feketelisták is lassan képtelenek ennyi számítógépet feketelistán tartani, amit az ORDB nemrég bejelentett megszűnése is csak megerősít. 2007-ben minden bizonnyal több hasonló RBL fog megszűnni, és a spamszűrés új módszerekre fog váltani.

Miután a botnetek által biztosított hatalmas spamküldő kapacitás rendelkezésre áll, a spammereknek már csak a célbajuttatás esélyét kellett növelni ahhoz, hogy a spam ismét igazán zavaró jelenséggé, és megbízható pénzszerző forrássá váljon. A képben küldött spamek, vagyis az olyan levelek, ahol a kéretlen reklámot teljesen a képi anyag tartalmazza, a legtöbb spamszűrőt teljesen váratlanul érték. Korábban például a “sex”, “stock” és egyéb gyanús szavakra szűrhettek egyes szűrők, de a képek esetén nem tudják az egyes szavakat felismerni.

2007-ben a spamszűrő iparág biztosan új módszerekkel fog próbálkozni a képben küldött spamek ellen – mi a Message Partners-nél tisztában vagyunk azzal, hogy az újabb és újabb spam típusok ellen az egyetlen működő megoldás az alkalmazkodóképesség megőrzése, ezért próbáljuk az MPP-vel a lehető legrugalmasabb levélszűrő platformot biztosítani.

A spamek konkrét megvalósítása mellett a kéretlen reklámok tartalma is folyamatosan változott az év során. Még mindig népszerűek a különböző gyógyszerek és potencianövelők, a Karácsony előtt az olcsó ajándékokat küldő webáruházak, de ezévben egyre több manipulatív és sokszor kártékony spam jelent meg.

Az egyik ilyen a tőzsdei részvények spamben történő hírverése, ami ugyan egy régóta ismert trükk, de csak most lett a spammerek kedvence és kényelmes pénzszerző forrása. Egy ilyen spam tárgya is már a “legjobb” részvény nevét kiabálja, a levél tartalma pedig a részvény mielőbbi vásárlására csábít. Az pedig tény, hogy ha több millió ember számára említenek egy részvényt, akkor annak árfolyama kisebb-nagyobb mértékben, de biztosan meg fog ugrani. Így a spammerek közvetlenül a tőzsdei manipulációval tudnak jelentős összegeket keresni, nincs szükség hozzá webáruházakra és egyéb kockázatosan üzemeltetett közvetítő oldalakra, ráadásul a kéretlen levél tartalmába sem kell linkeket elrejteni.

Egy másik, sokkal veszélyesebb spam típus az adathalászat, aminek magyarországi hirtelen elterjedése az év vége felé sokaknak jelentős fejfájást okozhatott. Az adathalász támadások során tipikusan egy banktól érkező levél szólít fel a bankszámla-adatok és PIN kódok sürgős egyeztetésére. Hiába abszurd sokaknak az ötlet, hiába a sok figyelmeztetés, a profin kinéző e-mailek és weblapok mégis képesek néhány embert megtéveszteni. A spammereknek pedig mindössze pár banki kód és néhány elérhető bankszámla elég ahhoz, hogy szép összegeket keressenek az adathalász támadással.

Bill Gates előrejelzése azt jól mutatja, hogy mennyire nehéz az IT iparban beigazolódó jóslatokat tenni, de azért azt nyugdotan kijelenthetjük, hogy 2007-ben tovább fog növekedni a spamek száma és az általuk jelentett biztonsági kockázat. Mivel a spamek küldése viszonylag egyszerűen kivitelezhető (a többi bűncselekményhez képest), és közepes hatékonyság mellett is jelentős anyagi bevételt hozhatnak, a szervezett bűnözésben egyre fontosabb szerepet kap a spammelés.

A Message Partnersnél mindig úgy gondoltuk, hogy amíg elektronikus levelezést használunk, addig az e-mailek is megpróbálnak használni minket. Ahogy az e-mail lassan a legfontosabb üzleti kommunikációs eszközzé válik, egy megbízható levelezésnek 2007-ben is fontos és elengedhetetlen része lesz egy megbízható levélszűrő alkalmazása.

Spamszűrővel az adathalászat ellen

Bódis Ákos — Fri, 08 Dec 2006 09:48:46 +0000

Az MPP Desktop spamszűrő mindegyik adathalász támadás ellen védett. Az elmúlt napok Raiffeisen Bank, Erste Bank, Szigetvári Takarékszövetkezet és OTP Bank nevében kiküldött adathalász levelei ellen az MPP Desktop spamszűrő hibátlan védelmet nyújtott, és mindegyik adathalász kísérletet kiszűrte a felhasználók postafiókjaiból.

Magyarországot eddig többé-kevésbé elkerülték az adathalász támadások, és az angol nyelvű levelek eddig nem bizonyultak megtévesztőnek a felhasználók többsége számára. A magyar nyelvű adathalász támadások számának hirtelen megugrásával viszont a felhasználóknak egy újabb, minden korábbi kéretlen levélnél veszélyesebb fenyegetéssel kell szembenézniük: itt nem csak bosszantó kéretlen reklámlevelekről van szó, hiszen ha sikerül a banki belépési adatainkat csalóknak kiadnunk, komoly anyagi kárral is szembesülhetünk.

Az MPP Desktop spamszűrő szolgáltatás az integrált Cloudmark Authority és MailShell SpamCompiler anti-spam motoroknak köszönhetően az adathalász támadásokat megjelenésük pillanatában képes volt azonosítani és megbízhatóan kiszűrni. A Cloudmark SpamNet hálózat a napi több, mint 3 milliárd levél szerkezetének folyamatos elemzésével a világ egyik legnagyobb levélszűrő rendszerét biztosítja, ami a hasonló adathalász és spam támadásokat rögtön a kitörést követően, néhány száz hasonló szerkezetű levél szétküldése után már megbízhatóan detektálni tudja.

Ahogy az adathalász támadásokhoz is gyorsan és könnyen tudott alkalmazkodni a vállalati környezetben már bizonyított rendszer, az MPP Desktop kezdeti céljának megfelelően továbbra is átfogó levélszűrést biztosít minden új, e-mailben érkező fenyegetés és károkozó ellen.