Отчеты по спаму и фишингу

Спам и фишинг в третьем квартале 2016

 Скачать PDF-версию отчета

Спам: особенности квартала

Вредоносный спам

В течение всего 2016 года мы наблюдаем огромное количество спама с вредоносными вложениями; в третьем квартале эта цифра вновь заметно увеличилась. По данным KSN, в третьем квартале 2016 года почтовый антивирус сработал 73 066 751 раз. Большинство вредоносных вложений содержали троянцы-даунлоадеры, подкачивающие программы-шифровальщики.

Спам и фишинг в третьем квартале 2016

Количество срабатываний почтового антивируса, Q1-Q3 2016

Количество рассылаемого вредоносного спама достигло пика в сентябре 2016 года. По нашим оценкам, одних только рассылок с ботнета Necurs в сентябре было около 6,5% от всего спама. Напомним, этот вид вредоносного спама загружает на машину пользователя зловред Locky.

Большинство писем носили нейтральный характер. Пользователя побуждали открыть вредоносное вложение, маскируя его под счета от различных организаций, квитанции, билеты, сканы документов, голосовые сообщения, уведомления от магазинов и т.д. Некоторые сообщения не содержали текста вообще. Все это соответствует тенденции спама последних лет: пользователя все реже пытаются удивить или запугать, чтобы мотивировать его пройти по вредоносной ссылке или открыть вложение. Наоборот, спамеры стараются сделать содержимое письма обыденным, не отличающимся от прочей личной корреспонденции. Видимо, расчет делается на то, что значительная часть пользователей освоила азы безопасности в Интернете и может отличить реальную угрозу от фальшивой, поэтому вредоносные вложения маскируются под самые нейтральные вещи.

Спам и фишинг в третьем квартале 2016

Отдельно стоит отметить, что письма, рассылаемые ботнетом Necurs, имели типичный шаблон технических заголовков письма, однако схемы подкачки криптолокера Locky сильно отличались. Так, в пяти примерах выше можно встретить следующие четыре схемы:

  • Запакованный в ZIP-архив загрузчик на Javascript скачивает и запускает Locky.
  • Locky скачивается с помощью макроса в файле .docm.
  • Заархивированная HTML-страница со скриптом на Javascript, скачивающим Locky.
  • Заархивированная HTML-страница со скриптом на Javascript, скачивающим зашифрованный объект Payload.exe, который после расшифровки запускает Locky.

Методы и трюки: фокус на ссылки

Обфускация

В третьем квартале спамеры продолжили экспериментировать с обфускацией ссылок. В уже известный трюк с записью IP-адресов в шестнадцатеричной и восьмеричной системе спамеры добавили различное замусоривание. В результате IP-адрес в ссылке мог выглядеть, например, следующим образом:

HTTP://@[::ffff:d598:a862]:80/

Кроме того, спамеры стали добавлять небуквенные символы и слеши до домена/IP-адреса, например:

http://0122.0142.0xBABD/

<a href=/@/0x40474B17

Сервисы коротких ссылок

Также спамеры экспериментировали с сервисами коротких ссылок, вставляя между слешами различный текст, например:

Спам и фишинг в третьем квартале 2016

Иногда в качестве текстового мусора использовались другие ссылки:

Спам и фишинг в третьем квартале 2016

Использование поисковых запросов

Некоторые спамеры вспомнили о таком виде сокрытия адресов своих сайтов, как поисковые запросы. Использование этого трюка позволяет спамерам решить сразу две задачи: обойти списки запрещенных и сделать ссылки уникальными для каждого письма. Но в третьем квартале спамеры пошли еще дальше и использовали возможность поисковой системы Google, которая называется «I’m Feeling Lucky». Эта поисковая опция сразу перенаправляет пользователя на сайт, идущий в выдаче первым, и чтобы активизировать ее, достаточно в конце ссылки добавить «&btnI=ec». В результате нажатие на ссылку в письме отправит пользователя не на страницу выдачи Google по заданному запросу, а сразу на спамерский сайт. Очевидно, что сам рекламный сайт оптимизирован таким образом, чтобы по заданному запросу появляться в выдаче первым. Таких запросов в рамках одной рассылки может быть очень много.

Спам и фишинг в третьем квартале 2016

В примере выше используется еще одна хитрость. Сам поисковый запрос составлен на кириллице. Буквы кириллицы кодируются сначала в десятичную кодировку (например, «авто» превращается в «Авто»), а затем запрос в десятичной кодировке целиком, включая специальные символы, кодируется в 16-ричную URL-кодировку.

Подделки под известные сайты

Фишеры в третьем квартале пытались обмануть пользователя, сделав ссылку похожей на легитимный сайт. Трюк старый, но если раньше для подобных целей в ход шли небольшие незаметные искажения реальных названий, то сейчас чаще используются либо поддомены, копирующие настоящие названия, либо длинные домены с дефисами. Так, в фишинговых атаках на пользователей Paypal нам встречались такие домены:

Спам и фишинг в третьем квартале 2016

А в фишинге на пользователей Apple:

Спам и фишинг в третьем квартале 2016

Кроме того, спамерам помогают новые «говорящие» доменные зоны, в которых поддельная ссылка кажется более тематической и внушающей доверие, например:

Спам и фишинг в третьем квартале 2016

Ищем тестеров

В почтовом трафике третьего квартала мы часто наблюдали спам-рассылки с предложениями бесплатно протестировать какой-нибудь товар, который впоследствии можно оставить себе в постоянное пользование. Авторы проанализированных нами писем предлагали протестировать популярные и востребованные у населения товары. В основном это была дорогая бытовая техника известных марок (кофемашины, роботы-пылесосы), бытовая химия, косметика и даже продукты питания. Также нам встречалось множество предложений протестировать последние модели электронной техники, включая новый iPhone, выход которого состоялся в конце третьего квартала 2016 года. «Register to test & keep a new iPhone 7S! Wanted: iPhone 7S Testers!» — призывали заголовки спам-сообщений в таких рассылках. Отметим также, что выход нового гаджета традиционно вызвал всплеск тематического спама, посвященного исключительно продукции Apple.

В Q3 2016 года наибольшая доля спама была зафиксирована в сентябре – 61,25% #KLReport

Tweet

Отправители таких сообщений никак не связаны с крупными компаниями, чьи популярные товары они используют в качестве приманки. Более того, свои рассылки они осуществляют с подставных электронных адресов на пустых и большей частью только что созданных доменах.

Спам и фишинг в третьем квартале 2016

Товар для тестирования авторы рассылок обещают переслать почтой, и под этим предлогом получателя просят указать свой почтовый адрес, а также предоставить электронную почту и другие личные данные. Небольшие почтовые расходы при этом должен взять на себя сам заинтересованный участник акции. Гарантия получения оригинального товара надлежащего качества, да и какого-либо товара вообще, при этом полностью отсутствует. Более того, в интернете можно найти отзывы пользователей, до которых товар не доходил даже после оплаты почтовых расходов. Это указывает на элемент невиртуального мошенничества: киберпреступники под предлогом оплаты почтовых расходов получают денежный перевод, а затем бесследно исчезают.

Подарочные сертификаты на любой вкус

Среди спам-рассылок, проанализированных нами в течение третьего квартала, мы нашли несколько интересных, они объединены темой поддельных подарочных сертификатов. Получателю таких писем предлагают пройти онлайн-опрос, чтобы получить сертификат на несколько десятков, а то и сотен евро или долларов на покупки в крупных международных торговых сетях, онлайн-гипермаркетах, продуктовых сетевых магазинах, популярных сетях общепита, а также на автозаправках.

Спам и фишинг в третьем квартале 2016

В некоторых случаях отправители мошеннических сообщений ссылались на то, что хотели бы улучшить службу поддержки организации, от имени которой проходила эта щедрая акция, а также качество её товаров и услуг, для чего и создали такие опросы. В других же случаях говорилось, что электронный адрес получателя был случайным образом отобран для получения щедрого подарка в качестве благодарности за пользование товарами или услугами бренда. Сообщения при этом рассылались случайным образом по базам адресов, собранных спамерами и не обязательно принадлежавших клиентам упомянутых в письмах компаний.

Чтобы подтвердить получение подарочного сертификата, пользователя просят перейти по указанной в письме ссылке, расположенной на пустом домене с говорящим названием (например, «победитель дня»). Далее через редирект пользователь попадает на только что созданный сайт с баннером, оформленным в стиле бренда, от имени которого осуществляется рассылка. Там пользователю сообщают, что количество сертификатов ограничено, желающих много, поэтому у него есть всего 1,5 минуты, чтобы кликнуть по ссылке и тем самым дать согласие на получение подарка. Далее после короткого опроса в стиле «Как часто вы пользуетесь нашими услугами?» и «На что планируете потратить сертификат?» пользователю предлагают внести личные данные в специальную форму. И наконец «счастливчика» перенаправляют на страничку Secure Payment, где тот должен ввести все данные своей банковской карты и оплатить несущественные расходы (в исследуемом случае это была 1 крона).

Судя по отзывам, найденным в Сети, в некоторых вариантах мошенничества с сертификатами потенциальной жертве после перехода по ссылке из письма предлагали вместо онлайн-анкеты позвонить на указанный номер для прохождения телефонного опроса. Такая схема мошенничества также довольно распространена и заключается в длительном удержании абонента на платной линии, пока он сам не прервет звонок и не оставит попытку получения обещанного вознаграждения.

Как и в случае с предложениями протестировать различные товары, сообщения данной тематики рассылались с фальшивых адресов с пустыми или недавно созданными доменами, не имеющими никакого отношения к известным организациям, сертификаты которых обещали злоумышленники.

Статистика

Доля спама в почтовом трафике

Спам и фишинг в третьем квартале 2016

Доля спама в мировом почтовом трафике, второй и третий кварталы 2016 года

В третьем квартале 2016 года наибольшая доля спама была зафиксирована в сентябре – 61,25%. Средняя доля спама в мировом почтовом трафике составила 59,19%, что почти на 2 п.п. выше среднего показателя предыдущего квартала.

Спам и фишинг в третьем квартале 2016

Доля спама в российском почтовом трафике, второй и третий кварталы 2016 года

Уровень спама в российском сегменте интернета снижался на протяжении всего квартала – от 63,22% в июле до 60,98% в сентябре. Однако средняя доля спама в Рунете по-прежнему выше общемирового показателя — в среднем за третий квартал она составила 62%.

Страны – источники спама

Спам и фишинг в третьем квартале 2016

Страны – источники спама в мире, третий квартал 2016 года

В третьем квартале 2016 года заметно, на 4 п.п., увеличилась доля Индии (14,02%), и в результате она вышла на первое место в нашем рейтинге стран – источников спама. Вьетнам (11,01%), чья доля выросла на 1 п.п., сохранил за собой вторую позицию. На третье место спустились США (8,88%), чья доля, наоборот, уменьшилась на 1,9 п.п.

Как и в предыдущем квартале, четвертую и пятую позицию занимают Китай (5,02%) и Мексика (4,22%) соответственно. Далее идут Бразилия (4,01%), Германия (3,80%) и Россия (3,55%). Замыкает первую десятку, как и во втором квартале, Турция (2,95%).

Размеры спамовых писем

Спам и фишинг в третьем квартале 2016

Размеры спамовых писем, второй и третий кварталы 2016 года

Самыми рассылаемыми нежелательными письмами в третьем квартале 2016 года традиционно стали сообщения объемом до 2 КБ (55,78%). Их доля снижается на протяжении всего года, в третьем квартале падение составило 16 п.п. Заметно выросла доля писем размером от 10 до 20 КБ – с 10,66% до 21,19%. В остальных категориях произошли минимальные изменения.

Вредоносные вложения в почте

В настоящее время большинство вредоносных программ детектируются проактивно автоматическими средствами, что серьезно затрудняет сбор статистики по конкретным модификациям зловредов. Поэтому мы решили перейти на более информативную статистику: ТОР 10 вредоносных семейств по доле конкретного семейства в общем числе срабатываний почтового антивируса.

ТОР 10 вредоносных семейств

В третьем квартале 2016 года верхнюю строчку в нашем рейтинге традиционно заняло семейство Trojan-Downloader.JS.Agent (9,62%). На вторую позицию вышло Trojan-Downloader.JS.Cryptoload (2,58%), чья доля выросла на 1,34 п.п. Замыкает первую тройку, как и в предыдущем квартале, семейство Trojan-Downloader.MSWord.Agent (2,34%).

На четвертую строчку со второй спустилось популярное семейство Trojan-Downloader.VBS.Agent (1,68%), чей показатель уменьшился на 0,48 п.п. Пятое место заняло Trojan.Win32.Bayrob (0,94%).

Спам и фишинг в третьем квартале 2016

TOP 10 семейств вредоносных программ, третий квартал 2016 года

Новички третьего квартала расположились во второй половине нашего ТОР 10. На седьмой строке — Worm.Win32.WBVB (0,60%). В это семейство входят исполняемые файлы, написанные на языке Visual Basic 6 (как в режиме P-code, так и в режиме Native), которые не являются доверенными в KSN. При этом детект происходит только компонентом «Почтовый антивирус». Файловым антивирусом с таким вердиктом детектируются объекты, названия которых вводят в заблуждение пользователя, например, AdobeFlashPlayer, InstallAdobe и др.

На восьмой позиции расположился Trojan.JS.Agent (0,54%). Типичный представитель этого семейства представляет собой файл с одним из расширений: .wsf, .html, .js и др. Зловред используется для сбора информации о браузере, операционной системе и программном обеспечении, уязвимости которых предполагается использовать. Если нужное уязвимое программное обеспечение присутствует, то скрипт пытается запустить вредоносный скрипт или приложение по заданной ссылке.

–Девятую позицию занимает еще один новичок – Trojan-Downloader.MSWord.Cryptoload (0,52%). Как правило, это документ с расширением .doc или .docx, содержащий в себе скрипт, который может исполняться в MS Word (Visual Basic for Applications). Внутри скрипта содержатся процедуры для установки соединения, скачивания, сохранения и запуска файла – как правило, троянца-шифровальщика.

Замыкает первую десятку семейство Trojan.Win32.Agent (0,51%), которое в предыдущем квартале занимало седьмое место.

Страны — мишени вредоносных рассылок

Спам и фишинг в третьем квартале 2016

Распределение срабатываний почтового антивируса по странам, третий квартал 2016 года

В третьем квартале 2016 года наибольшая доля срабатываний почтового антивируса была зафиксирована в Германии (13,21%), страна продолжает удерживать лидерство, несмотря на то что ее доля вновь уменьшилась – на 1,48 п.п. На второе место с третьего поднялась Япония (8,76%), чья доля, наоборот, увеличилась на 2,36 п.п. Замыкает тройку Китай (8,37%), потерявший 5,23 п.п.

Россия (5,54%) в третьем квартале заняла четвертую позицию, ее доля выросла на 1,14 п.п. На пятом месте Италия (5,01%). США (4,15%), как и во втором квартале, заняли седьмую позицию. Замыкает первую десятку Австрия (2,54%).

Фишинг

В третьем квартале 2016 года с помощью системы «Антифишинг» была предотвращена 37 515 531 попытка перехода пользователей продуктов «Лаборатории Касперского» на фишинговые сайты. Это примерно на 5,2 миллиона больше по сравнению с показателями предыдущего квартала. Всего за квартал фишерами было атаковано 7,75% уникальных пользователей продуктов «Лаборатории Касперского» в мире.

География атак

Страной с наибольшей долей атакованных фишерами пользователей, как и во втором квартале, остается Китай – 20,21%. Ее доля в третьем квартале уменьшилась на 0,01 п.п.

Доля атакованных пользователей в Бразилии (18,23%) снизилась на 0,4 п.п., в ОАЭ (11,07%) напротив – выросла, на 0,88 п.п. Эти две страны заняли, соответственно, второе и третье место в нашем рейтинге. За ними следуют Австралия (10,48%, -2,29 п.п.) и Саудовская Аравия (10,13%, +1,5 п.п.).

TOP 10 стран по доле атакованных пользователей

Китай 20,21%
Бразилия 18,23%
ОАЭ 11,07%
Австралия 10,48%
Саудовская Аравия 10,13%
Алжир 10,07%
Новая Зеландия 9,7%
Макао 9,67%
Палестинская территория 9,59%
Южная Африка 9,28%

Доля атакованных пользователей в России в третьем квартале составила 7,74%. За ней с небольшим отрывом следуют Канада (7,16%), США (6,56%) и Великобритания (6,42%).

Организации — мишени атак

Рейтинг категорий, атакованных фишерами организаций

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях эвристического компонента системы «Антифишинг» на компьютерах пользователей. Этот компонент детектирует страницы с фишинговым контентом, на которые пользователь пытался пройти по ссылкам в письме или в интернете, если ссылки на эти страницы еще отсутствуют в базах «Лаборатории Касперского». При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или в результате действия вредоносной программы. В результате срабатывания компонента пользователь видит в браузере предупреждающий баннер о возможной угрозе.

В Q3 2016 в рейтинге стран – источников спама лидирует Индия (14,02%) #KLReport

Tweet

В третьем квартале 2016 года доля атакованных пользователей финансовых организаций (банки, платежные системы, онлайн-магазины) составила более половины всех зафиксированных атак. Доля категории «Банки» выросла на 1,7 процентных пункта и составила 27,13%, доли категорий «Онлайн-магазины» (12,21%) и «Платежные системы» (11,55%) выросли на 2,82 п.п. и 0,31 п.п. соответственно.

Спам и фишинг в третьем квартале 2016

Распределение организаций, атакованных фишерами, по категориям, третий квартал 2016 года

Помимо финансовых в третьем квартале фишеры чаще других атаковали организации из категорий «Глобальные интернет-порталы» (21,73%), «Социальные сети и блоги» (11,54%) и «Телефонные и интернет-провайдеры» 4,57%). Однако по сравнению с прошлым кварталом их показатели почти не изменились, разница по каждой из категорий составила менее 1 п.п.

Горячие темы квартала

Атаки на пользователей онлайн-банкинга

В третьем квартале заметно выросла доля атакованных пользователей в категории «Банки» — на 1,7 п.п. При этом четыре банка, чьих клиентов атаковали наиболее часто, были расположены в Бразилии. Последние несколько лет эта страна не покидает рейтинг стран с самой большой долей атакованных фишерами пользователей, более того, периодически занимает первое место. Естественно, пользователи онлайн-банкинга являются приоритетными мишенями для злоумышленников, так как финансовая выгода в случае успешной атаки очевидна.

Чаще всего ссылки на поддельные банковские страницы распространяются посредством электронной почты.

Спам и фишинг в третьем квартале 2016

Пример фишингового письма от имени бразильского банка. Ссылка в письме ведет на поддельную страницу, имитирующую вход в личный кабинет интернет-банкинга

«Порновирус» для пользователей Facebook

В начале прошлого квартала русскоязычные пользователи социальной сети Facebook подверглись атакам мошенников. По той же схеме спустя почти полгода мошенники атаковали пользователей в Европе. Злоумышленники отмечали потенциальных жертв на провокационном видео, для просмотра которого требовалось перейти на фальшивую веб-страницу (самое большое распространение получила страница на домене xic.graphics), которая маскировалась под видео-портал YouTube.

Спам и фишинг в третьем квартале 2016

Пример уведомления об отметке в посте с видео

На фишинговой странице пользователя просили загрузить расширение для браузера, требующее при установке права на чтение всех данных в браузере. В перспективе это позволяло мошенникам заполучать введенные пароли, логины, данные банковских карт и другую конфиденциальную информацию пользователя, а также далее распространять ссылки на себя в Facebook, но уже от имени новой жертвы.

Уловки фишеров

Как и во втором квартале, мы продолжаем рассказывать о популярных уловках интернет-мошенников. Цели различных уловок просты – убедить жертву, что она находится на легитимном ресурсе, и не попасть при этом в фильтры защитного решения. Часто случается так, что чем страница более убедительна для жертвы, тем проще ее детектировать различными технологиями, направленными против мошенников.

Красивые домены

Выше мы уже рассказали об уловке спамеров, которые используют в письмах красивые ссылки, распространяя фишинговый контент. Злоумышленники часто прибегают к этому приему вне зависимости от того, как распространяется фишинговая страница. Так они пытаются ввести в заблуждение пользователей, которые все же обращают внимание на адрес в адресной строке, однако недостаточно технически грамотны, чтобы увидеть подвох.

Например, основной домен организации, на пользователей которой производится атака, может быть представлен доменом 13-го уровня:

Спам и фишинг в третьем квартале 2016

Или просто использоваться в сочетании с другим значимым словом, например secure:

Спам и фишинг в третьем квартале 2016

Эти уловки помогают обмануть потенциальную жертву, однако сильно облегчают обнаружение защитными программами.

Разные языки для разных жертв

Используя информацию об IP-адресе потенциальной жертвы, фишеры определяют страну, в которой она находится. В приведенном ниже примере для этого используется сервис http://www.geoplugin.net/json.gp?ip=.

Спам и фишинг в третьем квартале 2016

В зависимости от страны, которую удалось определить, мошенники используют для отображения страницы словарь с тем языком, который ей соответствует.

Спам и фишинг в третьем квартале 2016

Примеры файлов, используемых в качестве словарей для отображения фишинговой страницы на указанном языке

Спам и фишинг в третьем квартале 2016

В данном примере предусмотрена выдача 11 разных вариантов страницы для 32 различных локаций:

Спам и фишинг в третьем квартале 2016

Пример скрипта, используемого фишерами для выдачи релевантной страницы в зависимости от локации жертвы

ТОР 3 атакуемых фишерами организаций

Мошенники концентрируют большую часть своих усилий на пользователях самых популярных брендов, тем самым повышая шансы на успех очередной фишинговой атаки. Более половины всех срабатываний эвристической компоненты нашей системы «Антифишинг» приходится на фишинговые страницы, выступающие под именем менее 15 известных компаний.

На ТОР 3 атакуемых организаций в третьем квартале пришлось 21,96% всех срабатываний эвристической компоненты.

Организация % срабатываний
Facebook 8,040955
Yahoo! 7,446908
Amazon.com 6,469801

В третьем квартале лидером среди организаций, использованных фишерами для прикрытия атак, стала Facebook (8,1%), ее доля увеличилась на 0,07 п.п. Microsoft – лидер предыдущего квартала – выбыла из первой тройки. Вторую позицию занимает глобальный интернет-портал Yahoo! (7,45%), он прибавил 0,38 п.п. и поднялся на строчку выше. Третью позицию занимает Amazon (6,47%), новичок первой тройки.

Заключение

В третьем квартале 2016 года средний процент спама в мировом почтовом трафике составил 59,19%, что почти на 2 п.п. выше среднего показателя предыдущего квартала. Наибольшая доля спама была зафиксирована в сентябре – 61,25%. В рейтинге стран – источников спама лидирует Индия (14,02%), занявшая в предыдущем квартале лишь четвертое место. Помимо нее в первую тройку вошли Вьетнам (11,01%) и США (8,88%).

Первая тройка стран — мишеней вредоносных вложений практически не изменилась по итогам третьего квартала. Первое место, как и в двух предыдущих кварталах, удерживает Германия (13,21%), за ней с заметным отрывом идут Япония (8,76%) и Китай (8,37%).

В третьем квартале 2016 года продуктами «Лаборатории Касперского» было предотвращено более 37,5 млн попыток перехода на фишинговые сайты. Это примерно на 5,2 млн больше по сравнению с показателями предыдущего квартала. Главной целью злоумышленников были финансовые организации, в первую очередь банки – на эту категорию пришлось 27,13% атак. При этом наиболее часто фишеры атаковали клиентов четырех банков, расположенных в Бразилии.

Спам и фишинг в третьем квартале 2016

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике