- Kaspersky Security Bulletin 2010. Развитие угроз в 2010 году
- Kaspersky Security Bulletin 2010. Основная статистика за 2010 год
- Спам в 2010 году
«Лаборатория Касперского» анализирует около 1,5 миллионов спамерских сообщений в день. Материалом для анализа служат срезы различных по качеству и плотности почтовых потоков, предоставляемых нашими клиентами и партнерами, и спам, попадающий в специальные «ловушки». Весь спам автоматически классифицируется. Часть входящего потока дополнительно анализируется вручную. Уникальный рубрикатор спама позволяет исследовать долевое и тематическое распределение спамерских сообщений.
Борьба со спамом и рассылкой вредоносного кода в 2010 году
2010 год можно назвать революционным в том, что касается борьбы со спамом на разных уровнях. Прежде всего, он примечателен успехами правоохранительных органов разных стран в борьбе с киберпреступлениями, в том числе связанными с рассылкой спама.
В 2010 году были закрыты командные центры таких спамерских ботнетов, как Waledac, Pushdo/Cutwail, Lethic и Bredolab, заведено несколько крупных уголовных дел на подозреваемых в киберпреступлениях, прекратила свою деятельность спамерская партнерская программа SpamIt. Следствием этих событий стали изменения в распределении основных географических источников спама и в его тематическом содержании. Так, к концу года беспрецедентно уменьшилась доля спама, рассылаемого из США, и увеличилась доля спама, рассылаемого из Восточной Европы. Впервые за всю историю наблюдений мы видим продолжительное снижение доли спама в почтовом трафике. Однако есть и плохая новость: спам стал намного более опасен.
Мы уже писали о криминализации спама, о том, как из этой ниши нелегальной рекламы постепенно уходит малый и средний бизнес, и она всё в большей мере становится инструментом мошенников и продавцов поддельной и нелегальной продукции. В 2010 году спам стал еще и источником многочисленных вредоносных атак: за год количество вредоносных вложений в почте увеличилось в 2,6 раз.
Вредоносный спам
В 2010 году доля вредоносных писем в почте достигла 2,20% (соответствующий показатель прошлого года — 0,85%). На пике атак, в августе, письма с вредоносными вложениями составляли 6,29% всего почтового трафика. Возможно, именно эти массированные атаки привлекли внимание правоохранительных органов к спаму.
Наиболее эффективные спамерские методы и трюки применялись именно в рассылках, с помощью которых распространялись вредоносные программы. Письма в таких рассылках искусно подделывались под официальные уведомления популярных веб-ресурсов (социальных сетей, магазинов, банков и хостингов), при их составлении были использованы приемы социальной инженерии. Пользователь, прошедший по ссылке в письме-подделке, перенаправлялся на сайт с рекламой виагры, и в то же время, незаметно, — на вредоносный сайт.
К концу года изменился вектор атак распространителей вредоносного спама: среди получателей вредоносных сообщений стало намного больше жителей развивающихся стран. Причиной этого, вероятно, стала активная борьба с ботнетами в США и странах Западной Европы. Киберпреступники предпочли расширять ботнеты, атакуя компьютеры пользователей в тех странах, где правоохранительные органы еще не уделяют достаточного внимания борьбе с киберпреступностью.
Закрытие ботнетов: хронология
В начале января 2010 г. был закрыт ботнет Lethic. Увы, на количестве спама в почте это почти не сказалось. А уже в феврале Lethic вновь заработал.
В конце февраля были закрыты 277 доменов, связанных с системой управления ботнета Waledac, и в первой половине марта можно было наблюдать уменьшение доли спама в почтовом трафике на 3,1%. Однако к маю доля спама в трафике вернулась на прежний уровень.
В августе были закрыты около 20 командных центров ботнета Pushdo/Cutwail, ответственного, по некоторым оценкам, за 10% мирового спама. Это привело к снижению количества спама в сентябре на 1,5% (по сравнению с августом).
Последним, и наиболее сильным, ударом по спамерам стало закрытие 25 октября 143 командных центров ботнета Bredolab. По сведениям голландской полиции, к моменту закрытия командных центров этот ботнет насчитывал около 30 миллионов компьютеров пользователей в разных странах мира. Ботнет использовался как для рассылки спама фармацевтической тематики, так и для распространения с помощью спама целого спектра вредоносных программ. Такой спам, являющийся одновременно средством для рекламы фармацевтической продукции и инструментом для заражения компьютеров вредоносным ПО, мы подробно описывали в отчете за третий квартал 2010 года.
Закрытие ботнета Bredolab заметно сказалось на количестве спама в почте. Сразу после его отключения доля спама сократилась примерно на 8-9%. Затем трафик восстановился. Однако средний показатель октября остался низким и составил 77,4% (на 3,6% ниже сентябрьского). Следствием успешной борьбы с этим ботнетом стало сокращение доли вредоносного спама в почте и беспрецедентное уменьшение доли спама, рассылаемого из США (с 15,5% в августе до 1,6% в октябре).
Операция по закрытию командных центров ботнета Bredolab была проведена совместными усилиями национальной группы быстрого реагирования на компьютерные инциденты (Computer Emergency Readiness Team, CERT), спецподразделений голландской полиции, специалистов по сетевой безопасности и хостинг-провайдера, в сетях которого были обнаружены эти серверы. На следующий день в Международном аэропорту Еревана был задержан один из владельцев отключенной зомби-сети. Пользователям зомби-компьютеров, которые удалось идентифицировать, были высланы уведомления о заражении и инструкции по очистке ресурсов.
Отметим, что до закрытия ботнетов Bredolab, помимо прочего, загружал на компьютеры пользователей спам-боты, такие как Rustock (Backdoor.Win32.HareBot) и Pushdo (Backdoor.Win32.NewRest.aq). Спам-ботнет Pushdo, в свою очередь, был главным распространителем Backdoor.Win32.Bredolab.
Спам и закон
Задержание владельца ботнета Bredolab стало не единственным делом, возбужденным против спамеров в этом году.
В конце сентября были проведены массовые аресты участников группировки, распространяющей вредоносную программу ZeuS, которая часто рассылается с помощью спама. За арестами последовало ощутимое уменьшение количества заражений компьютеров этим зловредом.
В октябре ареной действий правоохранительных органов стали партнерские программы, специализирующиеся на фармацевтическом спаме. В первый день октября закрылась программа SpamIt — одна из крупнейших в мире партнерских программ по продаже фармацевтических препаратов, а уже в конце месяца следственное управление при УВД по Центральному административному округу Москвы возбудило уголовное дело против генерального директора ООО «Деспмедия» Игоря Гусева. Последний обвиняется в продаже контрафактных фармацевтических препаратов, в том числе виагры, на территории США, Канады и других стран. Эти препараты рекламировались в спамовых письмах, рассылаемых по линии партнерской программы Glavmed.com (частью которой, по мнению некоторых, является упомянутая выше программа SpamIt). Как известно, в России пока нет уголовной ответственности за рассылку спама, как нет и юридически сформулированного понятия «спам». Уголовное дело против Игоря Гусева было возбуждено по части 2 статьи 171 УК РФ (незаконное предпринимательство, сопряженное с извлечением дохода в особо крупном размере). По данным следствия, оборот Glavmed.com за последние 3,5 года мог составить $120 млн.
В начале декабря в Лос-Анджелесе был задержан Олег Николаенко, обвиняемый в рассылке спама с помощью ботнета Mega-D, командные центры которого были закрыты в ноябре 2009 года. Господина Николаенко сдал правосудию австралиец Ланс Аткинсон, являющийся одним из учредителей Affking (партнерской программы, специализирующейся на распространении рекламы поддельных «ролексов» и контрафактных медикаментов), осужденный в декабре прошлого года. Считается, что после закрытия ботнета Mega-D и программы Affking, Николаенко продолжил заниматься распространением спама в качестве активного участника партнерской программы SpamIt. До суда, который состоится не позднее 11 февраля, Олег Николаенко находится в заключении. Вину свою он отрицает.
7 декабря в Таганроге были задержаны три лица, подозреваемых в распространении вредоносного ПО. Они обвиняются во взломе, заражении вирусами и предоставлении несанкционированного доступа к нескольким сотням тысяч компьютеров с использованием спама. Если вина обвиняемых будет доказана, они могут получить до трех лет лишения свободы.
На волне многочисленных задержаний и обвинений, имеющих отношение к спаму, Государственная Дума РФ, совместно с РАЭК (Российской ассоциацией электронных коммуникаций), начала готовить поправки в Федеральный Закон «О защите информации». В числе прочего предполагается внести в этот закон определение понятия «спам» и законодательно закрепить уголовную ответственность за рассылку спама. Надо сказать, что такие инициативы появляются в Думе не первый раз. Еще в 2004 году планировалось внести поправки в соответствующий закон и ввести уголовную ответственность за рассылку непрошеных сообщений. Хочется надеяться, что на этот раз ответственные лица доведут дело до конца. Однако ни сроки, ни конечный результат этих инициатив пока не известны. Представители РАЭК сообщили, что ассоциация пока не ведет работу над конкретными поправками к законам, а работает над дополнениями к предложенному РАЭК Кодексу профессиональной деятельности в сети интернет.
Спам в динамике
Вышеперечисленные события — отключение командных центров ботнетов, закрытие партнерской программы SpamIt и возбуждение против спамеров уголовных дел — повлияли на структуру и характер спама, который мы видим в почтовых потоках. Уменьшилось количество нежелательной почты, и изменился список стран, из которых спам рассылается в наибольших количествах.
Доля спама в почтовом трафике
Доля спама в почтовом трафике
На графике видно как в 2010 году снижалась доля спама в почтовых потоках. Особенно это снижение заметно в осенние месяцы — в тот период, когда были закрыты командные центры крупных ботнетов Pushdo/Cutwail и Bredolab, упразднена крупная партнерская программа SpamIt, а также возбуждено несколько уголовных дел против спамеров.
Уже несколько лет количество спама в почтовом трафике не оставалось на столь низком уровне в течение столь долгого времени. Вспоминается закрытие в 2008 году печально известного хостинг-провайдера McColo (на его ресурсах работали командные центры нескольких ботнетов), после которого уровень спама в почте оставался низким примерно в течение месяца (73,7%). Сколько продлится затишье на этот раз, пока остается загадкой. Однако, как показывает практика, вряд ли стоит надеяться на то, что столь низкая доля спама останется в почтовом трафике и в следующем году. Вирусописатели могут организовать новые ботнеты, на этот раз в странах с менее развитыми законами в области защиты от киберпреступлений. Это предположение косвенно подтверждается и тем фактом, что в ноябре наибольшее количества вредоносного спама было разослано в Россию, Индию и Вьетнам (8,6%, 6,8% и 6,5% соответственно), в то время как доля вредоносного спама, получаемого пользователями в США и в странах Западной Европы, заметно уменьшилась.
Наибольшее количество спама в почтовом трафике в 2010 году было зафиксировано 21-го февраля и составило 90,8%, наименьшее — 70,1% — наблюдалось 28 октября. Средняя доля спама в почтовом трафике в 2010 году составила 82,2%.
Страны — источники спама
Страны — источники спама в 2010 г.
Наибольшее количество спама в 2010 году было разослано из США (11,3%), на втором месте Индия (8,3%), на третьем — Россия (6,0%). Как и в 2009 году, в TOP 20 достаточно широко представлены страны Восточной Европы и Азиатского региона, в то время страны Западной Европы — в меньшинстве.
Количество спама, рассылаемого из разных стран, менялось в течение года. Особенно хорошо эти изменения видны на примере пятерки лидеров.
Динамика рассылки спама из стран, вошедших в TOP 5
Первые восемь месяцев года США лидировали с большим отрывом от других стран — источников спама. В сентябре, после закрытия командных центров ботнетов Pushdo/Cutwail и Bredolab, доля спама, рассылаемого из этой страны, резко сократилась, а в октябре вклад США в мировую рассылку спама оказывается меньше, чем у других стран первой пятерки. Далее — до самого конца 2010 года — он оставался беспрецедентно низким (на уровне нескольких процентов по сравнению с традиционными 15-20%). В ноябре и декабре США даже не вошли в двадцатку лидеров. А начиная с октября наблюдается значительное колебание долевых показателей остальных стран – источников спама, вошедших в TOP 5. Можно предполагать, что спамеры, столкнувшиеся с давлением правоохранительных органов на территории США и Западной Европы, пытаются организовать новые ботнеты в других странах.
Распределение источников спама по регионам
Распределение источников спама по регионам
Наибольшее количество спама в 2010 году было распространено из стран Азиатского региона. В прошлом году мы уже писали о смещении источников спама на восток. В 2010 году из стран Азии и Восточной Европы (включая Россию) было разослано более половины спама (55,9%). В целом, распределение источников спама по регионам мало отличается от распределения 2009 года.
Посмотрим на динамику рассылки спама из разных регионов:
Динамика рассылки спама из разных регионов в 2010 г.
Наиболее значительные изменения произошли в четвертом квартале: при резком сокращении доли спама, рассылаемого из США, стремительно росло количество спама, рассылаемого из Восточной Европы. Как мы уже писали выше, после закрытия командных центров нескольких ботнетов спамеры используют альтернативные источники рассылки.
Доля Западной Европы в целом довольно стабильна, однако вклад разных стран этого региона значительно различается. Причем в одних странах наблюдается тенденция к увеличению объемов рассылаемой нежелательной корреспонденции, а в других — к уменьшению:
Динамика рассылки спама из стран Западной Европы
В отличие от стран Западной Европы, показатели некоторых стран в других регионах коррелируют:
Корреляция в динамике рассылки спама из двух стран одного региона
Это свидетельствует о том, что из данных стран распространяются одинаковые спам-рассылки. Можно предполагать, что зараженные компьютеры пользователей в этих странах входят в одни и те же ботнеты.
Тематический состав спама
Распределение спама по тематическим категориям в 2010 году
По итогам 2010 года лидирующая тематическая категория русскоязычного спама «Образование» и основная рубрика англоязычного спама «Медикаменты; товары/услуги для здоровья» оказались в нашем рейтинге на как никогда ранее близких позициях: «Образование» обошло своего конкурента лишь на 0,2%.
По сравнению с 2009 годом заметно уменьшилась доля рубрик «Реклама спамерских услуг» (-6,1%) и спама «для взрослых» (-4,6%). Количество сообщений, содержащих признаки компьютерного мошенничества, увеличилось почти вдвое (+3,8%).
В десятке лидирующих тематик в 2010 году появился «новичок» — рубрика «Коллекции фильмов на DVD». Это сообщения, в подавляющем большинстве случаев русскоязычные, с рекламой коллекций фильмов и мультфильмов на DVD, а также обучающих дисков. Такие сообщения приходили в почтовые ящики пользователей и раньше, но в 2010 году их количество стало столь заметным, что мы выделили их в отдельную рубрику. Отметим, что распространяется такая продукция с помощью партнерских программ и, как правило, является пиратской.
В течение года неоднократно менялась тематическая структура спама. Особо отметим резкий взлет и высокие позиции спама, объединенного в тематическую рубрику «Медикаменты», произошедший в августе. А также довольно большую его долю в мусорном трафике в сентябре-октябре — прямо перед закрытием партнерской программы SpamIt, специализировавшейся на рассылке рекламы фармацевтической продукции. Возможно, часть спамеров была в курсе надвигающейся угрозы закрытия этой программы и пыталась под конец получить на SpamIt максимальную прибыль.
Доля спама «Медикаменты; товары,услуги для здоровья» в 2010 г.
С сентября спамеры, зарабатывающие на рекламе фармацевтической продукции, стали пробовать себя в других партнерских программах. Это можно заметить по кратковременным подъёмам разных видов партнёрского спама, в том числе спама, рекламирующего онлайн-казино и порнографический контент.
Закрытие ботнетов и крупной партнерской программы не могло не сказаться и на соотношении «партнерского» и заказного спама. Так, в августе доля спама, работающего на партнерские программы, значительно увеличилась, а начиная с сентября, стала уменьшаться.
Доли «партнерского» и «заказного» спама 2010 году
К концу года доля «партнерского» спама снизилась до минимальных значений за весь год — около 30% всего спама. Вероятно, с восстановлением мощностей закрытых ботнетов увеличится и количество «партнерского» спама.
Методы и трюки, применявшиеся в спам-письмах
В этом году наиболее интересные трюки использовались, в основном, распространителями вредоносных программ. Чтобы заставить пользователя пройти по вредоносной ссылке, они рассылали спамовые письма, очень умело подделанные под уведомления известных ресурсов: банков, магазинов, почтовых провайдеров, социальных сетей, популярных хостингов и многих других (подробно об этом спаме здесь). Подделаны были даже технические заголовки в письмах, не видимые пользователю, но важные для работы антиспам-фильтра.
Обычно фишинговые послания построены таким образом, чтобы запугать пользователя и, сыграв на его опасениях, вынудить его ввести логин и пароль на фишерской странице. Хотя распространители вредоносных программ, как и фишеры, рассылали подделки под письма от легальных ресурсов, они не использовали приёмы запугивания. Часть сообщений просто копировала стандартные уведомления, рассылаемые пользователям/клиентам с легитимных ресурсов.
Примеры спамовых писем, подделанных под уведомления от легальных ресурсов
Такие подделки под «нейтральные» уведомления очень опасны: как правило, опытный пользователь может распознать фальшивку по содержанию (например, банки никогда не просят ввести логин и пароль, пройдя по ссылке из письма). В описанных случаях письма полностью копировали оригинал во всем, кроме ссылок, пройдя по которым пользователь получал на свой компьютер целый букет вредоносных программ.
Другие сообщения тонко оперировали методами социальной инженерии. Например, в некоторых из них говорилось, что пользователь совершил покупку, и предлагалось посмотреть ее детали, пройдя по ссылке:
Пример спамового письма, в котором использованы методы социальной инженерии
Все ссылки в данном письме ведут на один и тот же зараженный сайт.
Наблюдались и попытки целевых атак на определенную пользовательскую аудиторию. Вот такое письмо пришло на один из адресов «Лаборатории Касперского»:
Пример спамового письма, ориентированного на определенную пользовательскую аудиторию
Данное письмо подделано под уведомление службы поддержки: пользователя просят подтвердить свой запрос о смене пароля, либо отменить его. Обращает на себя внимание, что в теле письма везде правильно указан домен, на который оно пришло. А адрес, проставленный в поле «From», — это настоящий адрес службы поддержки. То есть люди, рассылавшие подобные письма, вручную либо с помощью робота искали реальный адрес службы технической поддержки «Лаборатории Касперского» и проставляли его в поле «From», чтобы их письма казались более достоверными. Все ссылки в письме, как и в предыдущих примерах, вели на один и тот же зараженный сайт.
Вредоносные вложения в спаме
В 2010 году вредоносные файлы содержались в 2,2% электронных сообщений, что в 2,6 раза больше чем в 2009 (тогда на вредоносные программы приходилось только 0,85% трафика).
Массированные вредоносные рассылки, наблюдавшиеся летом и в начале осени 2010 года, во многом обусловили высокий процент вредоносного спама по итогам года. Пик таких рассылок пришелся на август.
Процент спама с вредоносными вложениями в почте в 2010 г.
Однако, как видно на графике, доля спама, содержащего вредоносные вложения, начала расти еще в мае, и уже в июне достигла довольно высоких показателей. Тогда она составила почти 2,7%.
Если говорить о рассылке вредоносного кода, то июнь стал одним из самых заметных месяцев 2010 года. В первый летний месяц интернет наводнили спамовые письма, содержащие html-вложения с прописанными в них скриптовыми зловредами (в том числе Trojan-Downloader.JS.Pegel.g, который по итогам года занял второе место в рейтинге вредоносного ПО, распространяемого в почте). Письма были подделаны под уведомления от различных легитимных сервисов, в том числе онлайн-магазинов и социальных сетей. Злоумышленниками была использована довольно сложная схема распространения зловредов с помощью такого спама и подключения компьютеров пользователей к зомби-сети. Подробнее про эту схему можно прочитать здесь.
В августе и сентябре доля рассылок с вредоносными вложениями достигла своих пиковых значений (6,29% и 4,33% соответственно). Столь высокий процент вредоносных сообщений в почте был обусловлен несколькими мощными краткосрочными вбросами вредоносного кода в почтовый трафик. Всего таких вбросов было шесть — по три в августе и в сентябре. В эти дни злоумышленники принимались активно рассылать новые модификации различных зловредов, в том числе и нашумевшего Zbot. Подробнее об этих рассылках можно прочитать в отчете за третий квартал 2010 года.
Одним из следствий массированных вредоносных рассылок августа и сентября стало резкое увеличение количества сообщений с zip-вложениями. Обычно такой спам составляет не более половины процента от общего объема нелегитимной почты. Однако в третьем квартале доля сообщений с zip-вложениями достигла рекордных 2,6% от всего спама. В четвертом квартале количество сообщений с zip-вложениями сократилось до более привычных значений (порядка 0,3% от всего спама). Тем не менее, напомним пользователям важное правило сетевой безопасности — никогда не открывать непонятные архивы в подозрительных письмах.
TOP 10 вредоносных программ, распространявшихся в почте в 2010 году, выглядит следующим образом:
TOP 10 вредоносных программ в почте
Лидирует Trojan-Spy.HTML.Fraud.gen, основная задача которого — сбор личных и регистрационных данных пользователя.
На втором месте, как уже было упомянуто, Trojan-Downloader.JS.Pegel.g. Эта вредоносная программа с заметным отрывом от остальных возглавила рейтинг в июне. Представители семейства Pegel представляют собой html-страницу, содержащую сценарий, написанный на языке JavaScript. После открытия зараженной страницы в браузере, троянец, используя сценарий JavaScript, начинает дешифровку своего кода и запускает его выполнение. При этом пользователь перенаправляется на сайт, зараженный эксплойтами, с которого, используя уязвимости в браузере, на компьютер могут загрузиться другие вредоносные программы.
На четвертой и пятой позициях рейтинга находятся упаковщики семейства Krap. Модификации Krap.an и Krap.x обычно используются для упаковки Zbot, FraudTools и Iksmas. Упаковщик Trojan.win32.pakes.Katusha.o, занявший девятую строчку, также может таить в себе с равной вероятностью и поддельные антивирусы, и тот же Zbot.
Более 15% всех объектов, обнаруженных почтовым антивирусом в 2010 году, на момент детектирования являлись неизвестными ранее угрозами.
Среди стран, в которых чаще всего наблюдались срабатывания почтового антивируса, лидируют Соединенные Штаты Америки. Следом идут Германия, Великобритания и Япония. Кроме того, в рейтинговую десятку попали еще две европейские страны — Франция и Испания.
Срабатывания почтового антивируса по странам: TOP 10
Из представленной выше диаграммы можно сделать вывод, что в 2010 году вектор атак злоумышленников по-прежнему был направлен на развитые страны. Это, объясняется тем, что личные данные пользователей в этих странах представляют для киберпреступников большой интерес.
Однако к концу года злоумышленники начали с большей охотой рассылать вредоносные сообщения в развивающиеся страны. По всей видимости, это связано с активной борьбой с ботнетами в США, Великобритании и странах Западной Европы. Закрытие командных центров крупных зомби-сетей, а также пристальное внимание к ним со стороны властей заставляют преступников расширять ботнеты, заражая компьютеры пользователей в странах, где такая борьба менее успешна или не ведется вовсе. В ноябре наибольшее количество срабатываний почтового антивируса наблюдалось в России, Индии и Вьетнаме, а самыми распространенными вредоносными вложениями, отправленными в эти страны, были различные модификации Zbot, а также троянцы-загрузчики семейства Oficla, в задачу которых входит, в том числе, и загрузка ботов на компьютеры пользователей.
Фишинг
Доля фишинговых писем в почте составила 0,35%, что на 0,51% меньше аналогичного показателя прошлого года.
Отметим, что на протяжении почти всего года доля фишинговых писем была крайне низкой: около 0,02%. Как видно на графике, лишь в начале и в конце года фишинговые сообщения составляли заметную часть почтового трафика.
Процент писем, содержащих фишинговые ссылки,
в почтовом трафике в 2010 году
При этом «вкусы» фишеров по сравнению с прошлым годом несколько изменились. Несмотря на то, что оба лидера десятки наиболее часто атакованных фишерами организаций — PayPal и eBay — сохранили свои позиции, большая часть рейтинга претерпела заметные изменения.
Организации, подвергшиеся фишинговым атакам в 2010 году
Если в 2009 году шесть из десяти организаций являлись банками, то в 2010 сфера интересов фишеров сместилась в сторону различных онлайн-сервисов.
После традиционных уже PayPal и eBay наибольший интерес для фишеров представляют аккаунты социальных сетей. Основной целью в этом сегменте являются аккаунты Facebook — самой популярной в настоящее время социальной сети. Доля атак на нее составила 6,95%. Также в TOP 10 попала социальная сеть Habbo, на долю которой пришлось 1,34% всех фишинговых атак 2010 года.
Популярность у фишеров обрели и сервисы Google. В отчете за третий квартал мы уже упоминали, что аккаунты таких сервисов, как Google AdWords и Google Checkout представляют для фишеров не меньший интерес, чем аккаунты онлайн-банкингов, поскольку к ним привязываются данные пластиковой карты пользователя. Такая привязка позволяет злоумышленникам рассчитывать на получение как аккаунта, так и финансовых данных жертвы.
Онлайн-игра World of Warcraft также была популярной мишенью фишеров на протяжении всего 2010 года. Здесь фишерам интересны как «прокачанные» персонажи, так и так называемый WoW Gold. И то и другое злоумышленники могут выменять на вполне реальные деньги.
Судя по тому, что у фишеров все большей популярностью пользуются деньги из виртуальных миров, можно с уверенностью предположить, что в дальнейшем виртуальные деньги станут более интересны злоумышленникам, нежели реальные. В случае с воровством виртуальных денег фишер получает не меньший доход, при этом подвергая себя куда меньшему риску, чем в случае кардерства.
Прогнозы
В следующем году можно ожидать продолжения сложных, комплексных атак, объединяющих технологии фишеров, спамеров и использующих социальную инженерию. Могут продолжиться и активные рассылки вредоносного спама: спамерам надо восстанавливать утраченные ботнеты.
Следует отметить, что с восстановлением ботнетов увеличится и количество спама в почтовом трафике. Пока спамеры не оправились от мощного удара по зомби-сетям. Но, скорее всего, через пару месяцев количество спама в почте вернется на прежний высокий уровень.
Вероятно, киберпреступники станут еще более осторожными и попытаются организовать ботнеты в странах, наименее защищенных от киберугроз, как законодательно, так и с помощью программного обеспечения. Это косвенно подтверждается и тем фактом, что в ноябре наиболее часто срабатывания почтового антивируса наблюдалось в России, Индии и Вьетнаме, а рассылаемые в эти страны вредоносные программы включали в себя троянцев, загружающих боты. Соответственно, продолжит меняться и картина распределения источников спама по странам.
Мы неоднократно писали, что борьба со спамом должна вестись сразу на нескольких уровнях: законодательном, юридическом, технологическом и просветительском. 2010 год показал, что эта борьба может быть вполне успешной. Закрытие в 2010 году командных центров сразу нескольких крупных ботнетов, специализирующихся на рассылке спама, высокая активность правоохранительных органов и некоторые законодательные инициативы вселяют надежду на то, что спам заметили как явление, и он стал заботой не только вендоров, специализирующихся на безопасности в интернете. Хотелось бы верить, что это только начало, и следующий год станет действительно переломным в борьбе со спамом.
Если правоохранительные органы и хостинг-провайдеры, совместно с IT-экспертами, продолжат бороться против киберпреступников, то когда-нибудь интернет станет существенно более чистым и безопасным для пользователя.
Пока же мы по-прежнему рекомендуем пользователям осторожно относиться к рекламе и ссылкам в спамовых письмах, своевременно устанавливать обновления различных программ и пользоваться современными антивирусами. Ведь сейчас даже простая «мусорная» почта небезопасна и может нанести вред вашему компьютеру.
Kaspersky Security Bulletin 2010. Спам в 2010 году