Отчеты по спаму и фишингу

Спам в сентябре 2014

Особенности месяца

В сентябре «нигерийские» мошенники рассылали истории, воспользовавшись свежими новостями о вирусе Эбола. «Праздничный» спам в Рунете был посвящен зимним праздникам – уже встречалась реклама новогодней тематики. Немалая часть больших тематических рассылок была посвящена продвижению товаров и услуг с помощью популярных социальных сетей: спамеры гарантировали мгновенный приток новых клиентов и увеличение доходов.

Поиск персонала от спамеров

С окончанием сезона отпусков и восстановлением деловой активности спамеры вернулись к рекламному спаму.  В сентябре спамеры предлагали пользователям Рунета различные услуги по подбору персонала. В рекламных сообщениях отправители обещали качественно подобрать не только офисный и домашний персонал, но и кадры с редкими профессиями. Новых клиентов заманивали высоким качеством услуг, низкими ценами, гарантией бесплатной замены работника и возможностью поиска по базам кандидатов. Также встречались и спам-сообщения с рекламой сервисов для поиска работы (для соискателей) и персонала (для работодателей).

Спам в сентябре 2014

Все спам-предложения рассылались от имени компаний, однако в качестве имени отправителя указывались в основном лишь имена или фамилии, а сами электронные ящики были зарегистрированы на бесплатных почтовых сервисах.

Вирус Эбола в «нигерийском» спаме

В июле в СМИ появились первые сообщения о вспышке вируса Эбола, зарегистрированной в Африке. В то время как внимание мирового сообщества сосредоточилось на борьбе с лихорадкой и предотвращения ее дальнейшего распространения, мошенники использовали болезнь для создания новых сюжетов для «нигерийских» писем.

В сентябре мы обнаружили несколько рассылок, в тексте которых упоминался вирус Эбола. Мошенники использовали не только популярные в «нигерийском» спаме легенды, написанные от имени людей, больных различными заболеваниями, но и достаточно необычные выдуманные истории. Так, в письме от некой богатой жительницы Либерии, умирающей от лихорадки Эбола, приводился многословный и до крайности слезливый рассказ о, том, что лихорадка унесла жизнь всех ее детей, а местный медицинский центр отказал ей в помощи. Автор готова передать получателю безвозмездно более 1,5 миллионов долларов с условием последующей передачи денег благотворительным организациям. В тексте послания было очень много подробностей, а также объяснение сложившейся ситуации, что достаточно редко встречается в «нигерийских» письмах. Однако такое детальное изложение истории — лишь очередная уловка для того, чтобы получатель поверил в достоверность рассказа и вступил в переписку с мошенниками.

Спам в сентябре 2014

Автор другой мошеннической рассылки представлялся сотрудницей Всемирной организации здравоохранения и пытался привлечь внимание получателя необычным для «нигерийских» писем способом — приглашением на конференцию, в рамках которой будет обсуждаться в том числе и вирус Эбола. Получателю не только предлагали принять участие в конференции в качестве гостя, но и обещали сумму в 350 тысяч евро и автомобиль в качестве помощи для работы представителем ВОЗ в Великобритании. В случае согласия адресата просили прислать персональные данные. По-видимому, мошенники рассчитывали, что обещание денег и работы в международной компании придадут письму большую достоверность.

Праздничный спам

Уже на протяжении нескольких лет подготовка спамеров к новогодним праздникам начинается в сентябре. Вот и в этом году мы зафиксировали в спам-трафике Рунета несколько рекламных рассылок с предложениями услуг по проведению праздничных банкетов и приобретению новогодней упаковки с логотипом компании. В отличие от полученных нами в 2013 году писем, в теме которых упоминалось название праздника, в письмах этого года спамеры предпочли совсем не раскрывать содержание сообщения, указав в качестве темы лишь «New message» («Новое сообщение»).

Спам в сентябре 2014

Заработок и реклама в социальных сетях

Среди крупных тематических рассылок месяца можно выделить спам, рекламирующий различные способы заработка в интернете с использованием популярных социальных сетей. Чаще всего спамеры предлагали за определенную цену создать индивидуальный профиль или группу «ВКонтакте», Facebook или «Одноклассниках», оформить страничку согласно концепции фирмы и продаваемого ею товара, обеспечить первыми подписчиками, а также наполнить первичным контентом и начать активно продвигать. После такой комплексной настройки сообщества в социальной сети авторы рассылок обещали резкое увеличение клиентов и, соответственно, продаж для компании-заказчика. Чтобы обратиться за услугой, пользователям нужно было оставить заявку, пройдя по ссылке из письма.

Спам в сентябре 2014

Не менее популярны у спамеров и услуги профессионального продвижения бизнеса при помощи размещения фото и видео в специализированных социальных сетях. Авторы таких рассылок также обещали обеспечить своих заказчиков необходимым числом подписчиков, например в сети Instagram, разместить фотоматериалы товаров и уже в течение трех дней добиться первых результатов такой рекламной кампании. Нередко получателям предлагалось создать видеоролик с презентацией компании или рекламой нужного товара и разместить его на популярном видеохостинге YouTube. С помощью YouTube спамеры также предлагали заработать «неприлично большие деньги», тратя всего 40 минут в день. Но такие рассылки представляли собой рекламу очередного авторского маркетингового курса, представленного в формате DVD. Приобрести диск с инструкциями по заработку можно было, перейдя на сайт заказа по ссылке из письма.

Спам в сентябре 2014

В сентябре нам также встречались рассылки с приглашениями на тематические семинары и вебинары, посвященные «науке» администрирования групп и сообществ в социальных сетях. Авторы таких курсов обещали раскрыть все тонкости работы администратора, например группы «ВКонтакте», что в дальнейшем обеспечит слушателей стабильным ежемесячным заработком в сети. Записаться на вебинар можно было, пройдя по ссылке из письма.

Спам в сентябре 2014

Спам для коллекционеров

Среди интересных рассылок месяца можно также выделить спам, предназначенный для коллекционеров и рассылавшийся от имени коллекционеров. Так, пользователям Рунета предлагалось приобрести золотые и серебряные коллекционные монеты разных стран и эпох, оловянных солдатиков и другие коллекционные фигурки. Чтобы подробнее ознакомиться с предложенным ассортиментом и совершить покупку понравившейся вещи, получателям предлагалось позвонить по указанным в письмах телефонам. При этом письма приходили с ящиков, зарегистрированных на бесплатных почтовых хостингах, имя отправителя представляло собой случайную комбинацию букв, а в некоторых письмах контактные данные были замусорены. Иногда в сообщениях упоминалось название фирмы-продавца, но даже в этом случае письма были отправлены не с её официального адреса.

Спам в сентябре 2014

Статистика

Доля спама в мировом почтовом трафике

Доля спама в почтовом трафике

Доля спама в почтовом трафике

В среднем доля спама в почтовом трафике в сентябре составляла 66,5% что на 0,7 процентных пункта меньше по сравнению с результатами предыдущего месяца. В течение сентября доля незапрошенных писем стабильно сокращалась – если в начале месяца процент спама был 69,3%, то в конце месяца он снизился до 63,1%.

Доля спама в почтовом трафике Рунета

Доля спама в почтовом трафике

Доля спама в почтовом трафике Рунета

В среднем доля спама в почтовом трафике Рунета в сентябре составила 66,2%, что на 2 п.п. меньше показателя прошлого месяца. Наибольший показатель спама наблюдался в самом начале месяца (69,4%), наименьший – в конце (62,7%).

Страны – источники спама

По итогам сентября 2014 года первая тройка стран — источников спама, распространяемого по всему миру, выглядит следующим образом. Лидирующую позицию сохранили за собой США (12%), однако по сравнению с прошлым месяцем показатель страны уменьшился почти на 4%. На второе место с четвертого переместился Вьетнам (9,3%), а доля разосланного из этой страны спама выросла на 4,6 процентных пункта. Третье место в сентябре принадлежит России (5,8%), в результате незначительного сокращения доли спама страна сместилась на одну позицию вниз.

Страны – источники спама в мире

Страны – источники спама в мире

Далее в списке следует Китай (5,6%), замыкавший тройку лидеров по итогам августа. За прошедший месяц его показатель уменьшился почти на один процентный пункт. На 5-й позиции находится Индия (4,7%), замыкавшая в августе первую десятку стран – источников спама, её показатель вырос почти на 2 п.п.

Увеличение доли спама наблюдалось также в Южной Корее (3,2%), которая по итогам месяца расположилась на 7-м месте, что на целых восемь позиций выше и на 1,3 п.п. больше её августовского результата. Напротив, сокращение показателей зафиксировано в Германии (2,9%) – страна переместилась с 6-й на 9-ю позицию, потеряв 0,7 п.п. Замыкает десятку Тайвань с показателем доли спама 2,5%. Также чуть больше 2% спама было разослано из таких стран, как Франция, Испания и Италия.

Ситуация со спам-потоками в Рунете по итогам сентября выглядит следующим образом:

Страны – источники спама в Рунете

Страны – источники спама в Рунете

Лидером среди стран – источников спама в Рунете в сентябре остается Россия (18,8%), чей показатель за месяц сократился на 3,6 п.п. Далее следует Вьетнам (12%), его показатель, напротив, увеличился на 4 п.п. Замыкает тройку Украина (10%), потерявшая 2,2 п.п. Напомним, что по итогам августа страна занимала второе место.

Практически без изменений остался показатель США (7,7%) – в результате все та же 4-я позиция в списке. На 5-м месте находится Индия (5,1%), сместившая Казахстан (2,8%) на одну позицию вниз.

На 0,6 п.п увеличился показатель доли спама, разосланного пользователям Рунета из Германии (2,7%), в результате чего страна поднялась на 7-ю строчку. Напомним, что в прошлом месяце она замыкала первую десятку. В сентябре же на 10-е место вышла Аргентина с показателем 1,8%. Далее следует Беларусь, ее показатель также составил 1,8%, но это на 1,4 п.п. меньше ее предыдущего показателя.

Напротив, увеличение доли разосланного спама в сентябре наблюдалось в Индонезии (1,7%), Турции (1,6%), а также Бразилии (1,2%).

Вредоносные вложения в почте

В сентябре TOP 10 вредоносных программ, распространяемых по электронной почте, выглядел следующим образом.

TOP 10 вредоносных программ, распространяемых по электронной почте

TOP 10 вредоносных программ, распространяемых по электронной почте

Первую, шестую и девятую строки занимают представители семейства троянцев-загрузчиков Dofoil: Trojan-Downloader.Win32.Dofoil.dx, Trojan-Downloader.Win32.Dofoil.dy и Trojan-Downloader.Win32.Dofoil.dz.  Зловреды этого типа закачивают другое вредоносное ПО на компьютер пользователя, а затем с его помощью крадут разнообразную пользовательскую информацию (в первую очередь пароли) и отправляют её злоумышленникам.

На второй позиции – знакомый нам Trojan-Spy.HTML.Fraud.gen. Напомним, что он представляет собой поддельную HTML-страницу и рассылается по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, компаний-разработчиков ПО и т.д.

Четвёртую строку занимает Trojan-Banker.HTML.PayPal.b – HTML-страница, имитирующая анкету PayPal. Получателю письма с этим вложением предлагают заполнить форму для актуализации своего PayPal-профиля в связи запуском новой системы онлайн-безопасности. В анкете присутствуют такие поля, как: E-Mail Adresse, PayPal passwort, Vollständiger Name, Nachname der Mutter (Fakultativ), Geburtsdatum, Telefonnummer, Adresse, Stadt, Land, Postzahl, Kartennummer, Verfallsdatum, Kartenprüfnummer, VBV Passwort / MasterCard. Судя по всему, мошенничество рассчитано на немецкоговорящих владельцев аккаунтов PayPal.

На пятой и восьмой позиции разместились зловреды Trojan-Downloader.MSWord.Agent.ba и Trojan-Downloader.MSWord.Agent.bf соответственно. Они представляют собой .doc файл с встроенным макросом, написанным на Visual Basic for Applications (VBA), который выполняется при открытии документа. Сам макрос скачивает и запускает вредоносное ПО, например, представителей семейства Andromeda.

Замыкает список Trojan.Win32.Vundo.adc. Этот зловред загружает различное вредоносное ПО, например Trojan-Banker.Win32.Fibbit — троянца, который крадет данные, проходящие через банковские клиентские приложения. Троянец перехватывает ввод с клавиатуры, копирует данные из буфера обмена, ищет файлы-сертификаты с расширением .jks, делает снимки экрана и пытается прочитать файл «keys.dat». Все полученные данные упаковываются в CAB-архив и отсылаются на сервер злоумышленника.

Распределение срабатываний почтового антивируса по странам

Распределение срабатываний почтового антивируса по странам

В лидерах по количеству срабатываний почтового антивируса по-прежнему находятся Германия, Великобритания и США, которые то и дело меняются местами. В сентябре на первой строчке оказалась Германия (9,11%), на второй – Великобритания (8,45%) и США – на третьей (8,26%).

Россия (2,59%) с четвёртой строки (на которой она так неожиданно оказалась в августе) переместилась на 13-ю позицию, потеряв 4,14 процентных пункта.

Особенности вредоносного спама

В сентябре тематика приема на работу (и, напротив, увольнения) присутствовала и в рассылках, содержащих вредоносные вложения. Мы зафиксировали рассылку, в которой получателя информировали о приостановлении его трудового контракта с организацией (названия организаций менялись от письма к письму) в связи с нарушениями внутренней политики компании. В письмах приводились даже номера и даты регламентирующих документов компании, которые якобы были нарушены. В письме также указывалось, что получателю уже были вынесены письменные предупреждения, в последнем из которых указывалось на необходимость принять активные меры для исправления поведения. И поскольку меры приняты не были, это вызвало приостановление трудового контракта.

Спам в сентябре 2014

Чтобы обжаловать данное уведомление, получатель должен был обратиться к юристам не позднее указанного срока. К письму прилагался архив, содержащий документацию по нарушенным регламентам, с которыми получателю предлагалось ознакомиться, открыв вложение. Но на деле во вложении находился представитель семейства Trojan-Downloader.Win32.Cabby. Этот зловред загружает на компьютер пользователя другое вредоносное ПО, включая различные модификации семейства Zbot.

Фишинг

По итогам сентября на компьютерах пользователей продуктов «Лаборатории Касперского» было зафиксировано 18 779 357 срабатываний системы «Антифишинг», что на 13 874 415 срабатываний ниже показателя августа. С окончанием периода летнего затишья, связанного с сезоном отпусков и восстановлением деловой активности, доля фишинга уменьшается. Также следует отметить, что на сентябрь приходятся различные презентации и другие крупные события в компаниях, и часто в преддверии этих событий растет активность фишеров, что приводит к временному росту количества попыток мошенничества в конце лета.

В сентябре в рейтинге стран, атакованных фишерами, на первое место вновь вернулась Бразилия (17,8%), чей показатель уменьшился на 1,7 п.п. Австралия (11,1%) спустилась на третье место. Вторую строчку по итогам месяца занимает Индия (13,4%). На 4-м и 5-м местах расположились ОАЭ (10,5%) и Франция (10,4%) соответственно.

TOP 10 стран по проценту атакованных пользователей:

  Страна % пользователей
1 Бразилия 17,8
2 Индия 13,4
3 Австралия 11,2
4 ОАЭ 10,5
5 Франция 10,4
6 Канада 9,9
7 Китай 9,9
9 Колумбия 9,4
8 Бангладеш 9,0
10 Великобритания 8,0

Организации — мишени атак

Статистика по мишеням атак фишеров основана на срабатываниях эвристического компонента системы «Антифишинг». Эвристический компонент системы «Антифишинг» срабатывает, когда пользователь переходит по ссылке на фишинговую страницу, а информация об этой странице еще отсутствует в базах «Лаборатории Касперского». При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или, например, в результате действия вредоносной программы. В результате срабатывания в браузере пользователь видит предупреждающий баннер о возможной угрозе.

По итогам сентября рейтинг атакованных фишерами организаций продолжают возглавлять почтово-поисковые порталы (24,7%), их показатель уменьшился на 6,1 п.п. Доля фишинговых атак на социальные сети (20,2%) увеличилась на 2,8 п.п.

Распределение  организаций, атакованных фишерами, по категориям, август 2014 г.

Распределение организаций, атакованных фишерами, по категориям, август 2014 г.

На финансовый фишинг в целом пришлось 36,9% срабатываний эвристического компонента системы «Антифишинг», что на 1,7 п.п. больше, чем в прошлом месяце. На долю категории «Банки» пришлось 18,9% срабатываний, их показатель увеличился всего на 0,5 п.п. Далее следуют «Онлайн-магазины» (11,4%, +1,4 п.п) и «Платежные системы» (7,3%, +0,5 п.п.).

TOP 3 атакуемых организаций

  Организация % срабатываний
1 Facebook 11,16%
2 Yahoo! 7,10%
3 Google 6,31%

В сентябре в TOP 3 организаций, атакуемых фишерами, на первое место поднялась социальная сеть Facebook (11,1%), ее показатель увеличился на 1,1 п.п. Вторую строчку с показателем 7,1% занимает поисковая система Yahoo!. Доля атак на сервисы Google (6,3%) уменьшилась в два раза, и по итогам месяца компания замыкает рейтинг атакуемых организаций.

В сентябре в почтовом спам-трафике мы обнаружили фишинговые рассылки, направленные на кражу логинов и паролей от личного кабинета на популярной китайской торговой площадке Alibaba.com. В своих письмах мошенники пытались убедить получателей в необходимости обновить данные учетной записи или подтвердить ее использование, ссылаясь на новую систему защиты и текущее обслуживание аккаунта. В оформлении поддельных сообщений использовался официальный логотип и автоподпись компании Alibaba.com, цветовое выделение текста, а также стандартное сообщение антивируса об отсутствии в письме угроз. В качестве имени отправителя в поле From указывался Alibaba.com, а в его адресе использовались в основном легитимные доменные имена. Однако при внимательном рассмотрении в некоторых рассылках можно заметить орфографические ошибки в адресах отправителей и доменные имена, очевидно не принадлежавшие компании.

Спам в сентябре 2014

Фишинговые страницы были вложены непосредственно в фальшивые письма и имели практически идентичное оформление. Получателю необходимо было заполнить поля не только с адресом электронной почты и паролем, но и c названием компании, страны, а также указать номер мобильного телефона. Таким образом мошенники собирали еще и дополнительную информацию о жертвах, которую впоследствии могут использовать для различных целей.

Спам в сентябре 2014

Заключение

Доля спама в мировом почтовом трафике в сентябре уменьшилась на 0,7 п.п. и составила 66,5%. В Рунете показатель доли спама также незначительно уменьшился (-2 п.п.) и составил 66,2%.

Среди стран-источников спама, распространяемого по всему миру, лидерами в сентябре стали США (12%), Вьетнам (9,3%) и Россия (5,8%).

Список вредоносных программ, распространяемых по электронной почте, в сентябре возглавил троянец-загрузчик из семейства Dofoil, используемый для загрузки на компьютер жертвы других вредоносных программ.

По итогам сентября количество срабатываний системы «Антифишинг» составило 18 779 357 срабатываний. По статистике 17,8% всех атак пришлось на долю пользователей в Бразилии. Австралия, занимавшая в августе первую строчку, передвинулась на третье место (11,1%). Рейтинг организаций, атакованных фишерами, продолжают возглавлять почтово-поисковые порталы (24,7%). Показатель финансового фишинга в целом увеличился на 1,7 п.п. и составил 36,9%. В ТОП-3 рейтинга атакуемых фишерами организаций произошло перераспределение мест, и на первое место вышла социальная сеть Facebook (11,1%).

В сентябре с политических событий на Украине «нигерийские» мошенники переключились на проблемы здравоохранения, в частности на вирус Эбола, сообщения о заражении которым постоянно появляются в СМИ.

В рекламных рассылках встречались предложения товаров и услуг, посвященных Новому году и Рождеству. В течение следующих месяцев, вплоть до декабря, когда количество спама новогодней и рождественской тематики достигнет максимума, мы ожидаем увеличения доли спам-рассылок, посвященных этим праздникам.

Спам в сентябре 2014

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике