Kaspersky Security Bulletin

Kaspersky Security Bulletin. Спам в 2008 году

  1. Развитие угроз в 2008 г.
  2. Основная статистика за 2008 г.
  3. Спам в 2008 г.

Введение

2008 год оказался особенным в нескольких отношениях. С одной стороны, впервые на международном уровне были предприняты серьезные шаги, направленные на организованную борьбу со спамом. Результатом этих усилий стало падение крупнейших плацдармов, с которых рассылался спам, что, в свою очередь, обусловило некоторый тренд в сторону снижения доли спама в почтовом трафике.

С другой стороны, начавшийся в 2008 году мировой экономический кризис, достигший России в начале осени, оказал влияние и на спам-бизнес, что выразилось в изменении структуры спама: меньше стало рекламы реальных товаров и больше спама криминализированного.

Основные итоги года

  • Доля спама составила в среднем 82,1%, что на 2,1% выше, чем в 2007 году;
  • Доля спама в почтовом трафике снизилась в период летних отпусков;
  • В течение нескольких дней после закрытия хостинг-провайдера McColo, на серверах которого располагались центры управления нескольких ботнетов, в России было зафиксировано в 2 раза меньше спама, в США – в 3 раза;
  • Выросло количество почтового спама, ориентированного на пользователей социальных сетей, и спама в социальных сетях.
  • Распространялся спам, провоцирующий пользователей посылать дорогостоящие SMS-сообщения на короткие номера;
  • Во втором полугодии уменьшилась доля спама «Другие товары и услуги», которая характеризует количество заказов, получаемых спамерами из реального сектора экономики.
  • Почти на 10% увеличилась доля спама «для взрослых», с помощью которого, в том числе, шла «накачка» трафика на порносайтах;
  • Появилась новая тематика русскоязычного спама: копии элитных товаров;
  • Для привлечения внимания к услугам и товарам, рекламируемым в спаме, широко эксплуатировалась тема мирового экономического кризиса и имя нового американского президента;
  • Спамеры использовали особенности языка html для обхода спам-фильтров;

Основные тенденции года

Спам-мошенничество с использованием SMS

В 2008 году особенно широкое распространение получил следующий вид мошенничества: пользователей интернета под разными предлогами провоцировали послать SMS-сообщение на короткий телефонный номер. Арендовавшие эти короткие номера мошенники получали прибыль за счет высокой цены посланных SMS-сообщений.

Список ложных обещаний и угроз, используемых спамерами, включал следующие:

  • обещание выиграть приз в несуществующем розыгрыше;
  • предложение прочитать письмо, которое якобы пришло пользователю, но не будет показано, пока он не пошлет SMS-сообщение;
  • предупреждение о том, что почтовый аккаунт пользователя будет закрыт, если не будет направлено SMS-сообщение;

Приводимое ниже сообщение имитирует письмо от сотового оператора:

Благодатную почву для развития такого вида мошенничества создает то обстоятельство, что в России, в отличие от большинства других стран, для аренды короткого номера не требуется лицензии. Достаточно оформить партнерский договор с агентством мобильного маркетинга, заключившим соглашение с оператором сотовой связи. Если один и тот же телефонный номер используется несколькими компаниями (т.н. разделяемый номер), для каждой из них выделяется кодовое слово – префикс. Субарендатор получает часть стоимости отправленной SMS.

Российские пользователи, привыкшие оплачивать мелкие услуги с помощью SMS, часто не видят подвоха. Короткие номера вполне легально используются для проведения SMS-голосований, викторин и конкурсов. Послав SMS-сообщение, можно оплатить контент для мобильного телефона (рингтон, картинку, java-игру и т. д.), разместить сообщения на web-сайтах, форумах и блогах, получить доступ к wap-сайтам. Также SMS используется различными сервисными службами – знакомств, справочными, информационными и так далее.

Всем этим активно пользуются мошенники. Они арендуют короткие номера с префиксами, а далее рассылают спамовые письма, имитирующие сообщения от администраций различных ресурсов и сервисов. В таких письмах пользователя под разными предлогами провоцируют послать SMS-сообщение на короткий номер, не информируя, что при этом со счета снимается приличная сумма денег (150-300 р.).

Агентства мобильного маркетинга пытаются контролировать деятельность своих партнеров по SMS-биллингу, отключая мошеннические номера. Но подобные аферы, похоже, будут практиковаться до тех пор, пока мошенники смогут извлекать прибыль. Чтобы избежать непредвиденных трат, не следует доверять информации, полученной в спаме. Как минимум ее надо проверить на сайте компании, от лица которой послано сообщение.

Спам и социальные сети

Социальные сети, получившие в последние годы широкое распространение (фактически готовые базы пользовательских данных!) все активнее используются спамерами.

Поддельные уведомления от имени администрации социальных сетей рассылаются спамерами с целью спровоцировать переход пользователя на зараженную вредоносной программой страницу, либо побуждают его отослать SMS-сообщения на короткие номера, либо помогают фишерам выуживать логины и пароли пользователей.

Так, в июне прошла массовая рассылка, имитирующая сообщения с известного российского ресурса www.odnoklassniki.ru. Письма копировали уведомления, обычно приходящие с популярного сайта. Внимательный пользователь мог заметить подмену: ссылка вела не на общеизвестный домен, а на страницу одного из подложных сайтов (odnoklassniks.info, odnoklass.ru или odnoklassniks.ru). Используемый URL, зарегистрированный в Сингапуре, был максимально приближен к подлинному. При переходе по указанной ссылке на компьютер пользователя загружался Trojan.Win32.Agent.qxk, а далее происходило автоматическое перенаправление на оригинальный сайт www.odnoklassniki.ru.

Здравствуйте, bezotveta!
Вам пришло новое сообщение от пользователя:
Kamilla
Чтобы прочитать сообщение перейдите по ссылке:
http://www.odnoklassniks.info//mi?l=EATjNDZRQlAawz_fZKfhbqLFYpFnO

Если указанная выше ссылка не открывается, скопируйте ее в буфер обмена, вставьте в адресную строку браузера и нажмите ввод.
Вы получили это письмо, потому что зарегистрированы на сайте odnoklassniki.ru Вы можете настроить отправку уведомлений о новых сообщениях в разделе «Моя страница» > «Мои настройки»


С уважением,
Служба поддержки odnoklassniki.ru
———————————————————-
—-
Общайся с одноклассниками на мобильном телефоне.
Зайди с телефона на wap.odnoklassniki.ru

Такие сообщения попадали как к зарегистрированным пользователям социальной сети www.odnoklassniki.ru, так и на случайные адреса. Основной целью рассылки, несомненно, были пользователи сети. Эта атака была тщательно подготовлена, но успехом не увенчалась: настройки вредоносных сайтов позволяли одновременно подключаться к ним ограниченному числу пользователей, и троянская программа в большинстве случаев на компьютер пользователя не загружалась.

В одной из атак спамеры использовали популярность социальных сетей для того, чтобы вытянуть деньги из пользователей. От имени администрации еще одной российской социальной сети «ВКонтакте» получателю предлагалось принять участие в розыгрыше призов и отправить «бесплатное» SMS-сообщение на короткий номер:

В октябре спамеры сделали еще один заметный «шаг вперед», проведя очередные рассылки от имени ресурса «ВКонтакте». Пользователей должен был привлечь новый вид услуг, предлагаемый якобы администрацией сайта. При переходе по ссылке открывалась поддельная страница регистрации сайта «ВКонтакте». После ввода данных посетителю сообщалось, что настоящий адрес не зарегистрирован, или пароль набран неверно. Логин и пароль попадали к фишерам.

Здраствуйте,Пользователь Анотолей Смирнов приглашает вас на онлайн беседу.Для этого вам достаточно пройти на {SITE} и принять его преглашение или же отказаться.

Хотим вас сразу предупредить,это Новая Функция и по этому возможны какие-то проблемы,при их возникновении просьба сообщить о них .

Социальные сети стали настолько популярны, что злоумышленники даже придумали программу для автоматического ввода логина и пароля при входе на личную страничку пользователя социальной сети. Эта программа, рекламировавшаяся в спаме, действительно автоматически заполняла форму регистрации на сайте, но при этом передавала личные данные владельца на сайт злоумышленников.

Эта Программа для тех, кому надоело каждый раз при входе на сайт www.odnoklassniki.ru вводить E-Mail и Пароль!

Odnoklassniki.ru Login 1.1 — это ничто иное как LoginForm!
программа прячется в трее (в правом нижнем углу — рядом с часами), сохраняет логин и пароль!

Скачать программу с сайта
{site}

Спам распространялся и непосредственно в социальных сетях. Начиная с июня 2008 года многие пользователи ресурса «ВКонтакте» начали находить на своих «стенах» такие (или похожие) сообщения:

Ссылки вели на порносайты.

Развитие в России социальных сетей и атаки спамеров на пользователей этих ресурсов позволяют говорить о новом виде интернет-спама – спаме, ориентированном на пользователей социальных сетей. Он распространяется как через электронную почту, так и непосредственно внутри социальных сетей. Социальные сети стали еще одной нишей для спам-индустрии. Спамеры используют социальные сети для заражения пользовательских машин, выманивания денег через дорогие SMS-сообщения и кражи пользовательских данных (фишинг). В связи с этим пользователям можно дать простой, но верный совет – соблюдать осторожность.

Долевое распределение спама

Доля спама в 2008 году составила в среднем 82,1% (на 2,1% выше, чем в 2007 году). Минимальная доля спама в почтовом трафике была зафиксирована аналитиками «Лаборатории Касперского» 13 ноября – всего 50,5%. Максимальная доля – 97,8% – была отмечена 1 марта.


Доля спама в Рунете в 2008 году

Если посмотреть на график, отражающий долевое распределение спама, можно заметить тенденцию к уменьшению количества спама в почтовом трафике. Однако объяснять это снижением спамерской активности было бы ошибкой.

В первом квартале года доля спама росла. Во втором она начала уменьшаться и держалась все лето на сравнительно невысоком уровне (около 80%). Это было сезонное летнее падение, которое не говорит в пользу тенденции к снижению уровня спама. В сентябре количество спама в почтовом трафике начало увеличиваться, но резко упало в ноябре. Это падение было связано с закрытием хостинг-провайдера McColo, на котором были расположены командные центры сразу нескольких крупных ботнетов (Rustock, Srizbi, Dedler, Storm, Mega-D и Pushdo).

Уже к концу ноября спам начал отвоевывать свои позиции, и в декабре его уровень в Рунете поднялся до 82,5%.

Тот факт, что закрытие одного хостинг-провайдера так сильно повлияло на количество спама в трафике (в течение нескольких дней после закрытия McColo в России было зафиксировано в 2 раза меньше спама, в США – в 3 раза), является беспрецедентным и весьма показательным. И хотя количество спама постепенно восстановилось, этот случай показывает, что со спамом можно и нужно бороться не только программными средствами, но и действовать на уровне международного сотрудничества в технологической и юридической областях.

Страны-источники спама


Страны-источники спама

Среди стран-источников спама в Рунете в 2008 году лидировала Россия (в 2007 году больше всего спама поступало из США). На втором месте – США, далее с большим отрывом идут остальные страны. При этом распределение по месяцам неравномерно. Так, вклад Испании, в среднем за год составивший 5% общего объема спама, в отдельные месяцы достигал 10%.

Типы и размеры спамовых писем


Размеры спамовых писем

Размер подавляющего большинства спам-писем, как и в прошлые годы, не превышал 10 Кб. Несмотря на повсеместное распространение безлимитных тарифов и широкие интернет-каналы, спамеры по-прежнему предпочитают посылать короткие сообщения.


Типы спамовых писем

Распределение типов спамовых писем также не претерпело изменений: большая часть сообщений содержит только текстовую часть, что соответствует небольшому размеру сообщения.

Наиболее распространенным языком спама в Рунете (и это вполне логично) является русский, на долю которого пришлось 77% всех писем. Второе место занимает английский язык (14% спамовых писем). Доля остальных языков составляет 9%, среди них чаще других встречаются французский, немецкий, итальянский и португальский.

Фишинг

Спам содержащий ссылки на фишинговые сайты, составил в среднем 1,01%. В первом полугодии активность мошенников была гораздо выше, чем во втором: 1,32% и 0,7% соответственно. Значительное увеличение числа фишинговых атак отмечалось в мае-июне 2008 года.


Письма, содержавшие фишинговые ссылки в 2008 году

Мы ожидали более высоких показателей фишинг-активности в конце года. Было бы логично, если бы на фоне финансового кризиса, затронувшего сотни банков, фишеры максимально усилили атаки на их клиентов, играя на слухах о банкротствах и тому подобном. Кроме того, в период рождественских и новогодних праздников многие делают покупки в интернет-магазинах и получают поздравительные электронные открытки. На этом фоне у кибермошенников появляется больше возможностей для атак.

Отсутствие всплеска фишинговых атак, возможно, объясняется закрытием хостингов McColo и Atrivo, на ресурсах которых мошенники размещали поддельные сайты или центры управления ботнетами для организации рассылок фишинга и спама.


TOP атакуемых организаций

Чаще всего фишеров интересовала платежная система PayPal. Это свидетельствует о том, что пользователи все чаще прибегают к помощи подобных ресурсов для осуществления расчетных операций. Значительно реже фишеров интересовала конфиденциальная информация клиентов банков (Bank of America, Wachovia). Примечателен тот факт, что «Чейз Манхаттан Банк» подвергался крупным атакам только в ноябре и декабре 2008 года, однако настолько массивным, что этот банк занял второе место в списке наиболее атакуемых организаций.

Ежемесячно фиксировались атаки на почтовый сервис Mail.Ru, а также на популярные в России социальные сети. Тем не менее, не обошлось и без попыток украсть деньги – так, наблюдались атаки фишеров на платежную систему Yandex.

Следует ожидать, что с восстановлением мощностей пострадавших ботнетов участятся и попытки кражи пользовательской информации. Особенно в благоприятной для махинаций обстановке продолжающегося кризиса. Чтобы не стать жертвой мошенников, достаточно помнить о том, что ни один надежный и авторитетный интернет-ресурс не будет просить своих клиентов ввести конфиденциальную информацию, перейдя по ссылке в письме.

Рассылка вредоносных вложений и ссылок на зараженные страницы

Данные о вредоносных вложениях в электронной почте были собраны при помощи Kaspersky Hosted Security — нашего сервиса, предоставляемого клиентам в Центральной Европе, Великобритании, США и России.

Письма с вредоносными вложениями

В настоящее время электронная почта перестает быть основным способом доставки вредоносных программ и, следовательно, несет значительно меньшую, чем в предшествующие годы, угрозу заражения вредоносным ПО. Сообщения с зараженными вложениями становятся менее популярными – спамеры все чаще прибегают к рассылке писем со ссылками на зараженные страницы.

Тем не менее, в 2008 году вслед за резким мартовским подъемом (1,81%) и произошедшим затем спадом было зафиксировано возрастание процента таких писем ближе к концу года. Это дало значительный перевес второму полугодию (1,12% от всего почтового трафика) над первым (0,66%).

В среднем доля содержащего вредоносные вложения спама составила 0,89%.

TOP20 вредоносных программ в электронной почте в 2008 году

Trojan-Downloader.JS.Iframe.sh 31,07%
Backdoor.Win32.Hijack.e 8,98%
Trojan-Clicker.HTML.Agent.ag 7,73%
Backdoor.Win32.UltimateDefender.tt 4,42%
Trojan-Dropper.Win32.Agent.yzp 2,94%
Trojan-Dropper.Win32.Agent.xgg 2,72%
Worm.Win32.AutoRun.svl 2,02%
Trojan-Downloader.JS.Agent.cye 1,96%
Trojan-Downloader.Win32.Agent.algj 1,60%
Trojan-Downloader.Win32.Agent.afqa 1,52%
Trojan-Spy.Win32.Goldun.axt 1,46%
Trojan-PSW.Win32.Agent.lcc 1,37%
Trojan-Downloader.HTML.Agent.km 1,32%
Trojan-Dropper.Win32.Agent.xql 1,30%
Trojan-Downloader.JS.Agent.ckn 1,22%
Email-Worm.Win32.NetSky.q 1,12%
Trojan-Spy.Win32.Goldun.azl 1,11%
Trojan-Spy.Win32.Goldun.bbg 1,04%
Trojan.Win32.Buzus.hrp 0,98%
Trojan-Spy.Win32.Zbot.fql 0,92%

Впервые за все время существования наших отчетов первое место по итогам года занимает не почтовый червь. Абсолютным лидером 2008 года стал троянский загрузчик Iframe.sh, реализованный на JavaScript и призванный выполнить на компьютере получателя вредоносного письма специальный код, способный привести к загрузке и исполнению других троянских программ.

Если сгруппировать вредоносные программы из 20-ки по поведениям, то мы получим следующую статистику:

Trojan-Downloader 39,66%
Backdoor 13,39%
Trojan-PSW 9,09%
Trojan-Spy 8,49%
Trojan-Clicker 8,02%
Trojan-Dropper 7,72%
Worm 3,96%
Exploit 1,96%
Trojan 1,62%
Email-Worm 1,45%

Эта таблица отражает те радикальные изменения, которые произошли с вредоносными программами за последние несколько лет. Поведение Email-Worm, созданное именно для распространения по электронной почте и превалировавшее в 2000-2005 годах, по итогам 2008 года занимает последнее место по распространенности и уступает таким поведениям, как Trojan-Downloader, Backdoor и прочим троянским программам.

Злоумышленники прибегали к различным уловкам, чтобы заставить пользователя пройти на сайт или открыть вложение, содержащее вредоносную программу. Доставка вредоносных программ в личный почтовый ящик в виде архивированных файлов – один из известных и популярных спамерских приемов. А вот некоторые методы, с помощью которых пользователя «уговаривали» распаковать вредоносное вложение, оказались просто шокирующими.

Например, в числе англоязычных рассылок зафиксированы сообщения о том, что ребенок получателя похищен, и для выкупа требуется крупная сумма денег. Для просмотра фотографии «жертвы киднеппинга» пользователям предлагалось открыть прикрепленный к посланию файл, который на самом деле являлся вредоносной программой Trojan-Downloader.Win32.Delf.bfc.

We have hijacked your baby
Hey We have hijacked your baby but you must pay once to us $50 000. The details we will send later…
We has attached photo of your fume

Перевод письма:

Мы похитили вашего ребенка
Эй Мы похитили вашего ребенка но вы можете заплатить нам всего $50 000. Подробности мы вышлем позже…
Мы приложили волнующее вас фото

В русскоязычном спаме с вредоносными вложениями преступники не прибегали к столь жестокому методу и стремились вызвать любопытство получателя:

Привет!
Сколько лет сколько зим! После окочания нашего института даже не встретились! По тебе и сокурсникам скучаю! Предлагаю организовать встречу!
Место и время определим вместе!С нетерпением жду твоего ответа! ?В придложении (vipusknik.doc)самый последний перечень наших выпускников.
Связывайтесь!
С уважением!

Письма, содержащие ссылки на страницы с вредоносными файлами

Самый массовый способ распространения вредоносных программ в 2008 году – письма со ссылками на зараженные страницы. Явное предпочтение этому приему отдавали «летние» спамеры. В англоязычных рассылках для обмана получателей использовались подделки под рассылки известных новостных компаний (например, MSNBC, CNN). При попытке пользователя просмотреть «горячие» новости на экран монитора выводилось сообщение о том, что версия флеш-плеера, установленная на компьютере, устарела, и предлагалось скачать новую версию плеера в формате .exe. Однако вместо программы для просмотра на компьютер загружался Trojan-Downloader. Вредоносное ПО располагалось на взломанных сайтах в различных доменных зонах.

msnbc.com: BREAKING NEWS: London named top literary destinationFind out more at http://breakingnews.msnbc.com
======================================================
See the top news of the day at MSNBC.com, and the latest from Today Show and NBC Nightly News.

=========================================
This e-mail is never sent unsolicited. You have received this MSNBC Breaking News Newsletter newsletter because you subscribed to it or, someone forwarded it to you.

To remove yourself from the list (or to add yourself to the list if this message was forwarded to you) simply go to

http://www.msnbc.msn.com/id/********, select unsubscribe, enter the email address receiving this message, and click the Go button.

Microsoft Corporation — One Microsoft Way — Redmond, WA 98052 MSN PRIVACY STATEMENT
http://privacy.msn.com

Русскоязычные спамеры также проявили изобретательность. Под предлогом того, что имя адресата фигурирует в неком документе, якобы размещенном в интернете, они старались перенаправить получателя на ресурс в доменной зоне tk, где в виде doc-файла хранился Trojan-Downloader.

Ну и что это за документ у Вас на сайте?да еще с Вашим именем
http://motoman.ru.documents.{site}.tk/hr.doc
C Уважением Семен. Prian.ru

Еще одним предлогом, под которым пользователя заманивали на сайт, стало предложение бесплатно скачать программное обеспечение или антивирусы. На компьютеры не заподозривших обмана пользователей загружалась одна из разновидностей Trojan-PSW.Win32, а спектр предлагаемых «услуг» варьировал от программы для автоматического ввода логина и пароля при входе в социальную сеть www.odnoklassniki.ru до новейшего антивируса, который может работать только при отключении уже установленной на компьютере защиты.



Рассылки с интригующими темами, напоминавшими заголовки желтой прессы, содержали только ссылку на сайт. Для просмотра этих «новостей» не требовалось закачивать специальные программы — она начинала загружаться при переходе на страницу.

Спамерские методы и трюки

Html-спам

Если 2006 год можно назвать годом графического спама, 2007 – годом экспериментов с вложениями, то 2008 стал годом html-спама. Многие старые трюки были использованы спамерами, но сама «концепция» переосмысливалась так, чтобы задействовать особенности html-кода.

В ряду использованных приемов было зашумление текста случайными фразами, на этот раз помещенными в тэги, незаметные для пользователя. Метод очень похож на классический «белый текст». Особенность трюка состоит в том, что спамеры добавляют случайные последовательности с помощью html-тэгов, которые большинство почтовых клиентов считают вспомогательными и не показывают пользователям. Это тэги-комментарии, тэги-цвета и т. д. Таким образом, пользователь видит только рекламный текст, являющийся лишь небольшой частью письма.

Письмо в html-представлении Письмо как его видит получатель
<html>
<!— случайная последовательность букв или слов—>
<body>
Привет! <br>
<!— другая случайная последовательность букв или слов—>
Зайди на мой супер-сайт <br>
<a
href=»http://www.spammersite.com»>supersite.com</a>

<!— еще одна случайная последовательность букв или слов—>
</html>

Привет!
Зайди на мой супер-сайт
{site}.com

Также спамеры использовали псевдо-теги – случайные последовательности символов, оформленные в html-тэги, на самом деле таковыми не являющиеся. Большинство почтовых клиентов воспринимают такие «неправильные» теги как ошибку и не показывают их пользователю.

Встречался метод, получивший когда-то название «Мона Лиза». Суть его заключается в том, что контактная информация показывается пользователю в виде картинки, состоящей из символов. Раньше символами выступали буквы и пробелы – теперь спамеры комбинировали черные и белые ячейки html-таблицы.

В примере адрес сайта на самом деле представляет собой html-таблицу:

Табличная форма применялась и для того, чтобы «разбить» ключевые слова в письме, и тем самым обмануть фильтры:

Письмо в html-представлении Письмо как его видит получатель
<table>
<tr>
<td align=right>VI</td>
<td align=left>AGRA</td>
</tr>
<tr>
<td align=right>CIA</td>
<td align=left>LIS</td>
</tr>
</table>
VI AGRA
CIA LIS

Кроме перечисленных приемов, спам-технологи использовали следующую особенность браузера: символы внутри URL можно закодировать различными способами (16-ричная ASCII, 8-ричная ASCII, ASCII для html и т.д.). При этом браузер будет открывать сайт корректно, если он представлен в виде гиперссылки в письме. Браузер будет открывать правильный сайт, даже если в одной ссылке использованы различные кодировки или если допущены некоторые ошибки.

Вот, к примеру, как можно написать narod.ru:

%6e%61%72%6f%64%2e%72%75

Или так:
narod.r&#x000075

Количество нулей может быть любым, а любая буква может быть написана в «нормальном» виде – сайт откроется.

Размещение рекламы на бесплатных веб-хостингах

Еще один популярный прием, применявшийся для рассылки спама в этом году, — использование общедоступных бесплатных веб-сервисов. Метод заключается в том, что спамерская страничка (или редирект на нее) располагается на известном хостинге или блоге, а ссылка в письме ведет на эту страницу.

Такой подход нацелен в первую очередь на обход фильтров, основывающихся на репутационной базе, и рассчитан на то, что фильтры не будут блокировать подобный, поскольку ссылка ведет на известный легальный сервис. Использовались такие крупные сервисы, как Google Docs, Microsoft SkyDrive, Microsoft Livefilestore, и другие.

На многочисленных бесплатных сервисах, созданных почтовыми провайдерами и другими крупными интернет-ресурсами, контент отслеживается без особой тщательности. Заметим, что различные старые хостинги и блоги, у которых данный сервис является единственной и главной функцией (такие как LiveJournal и LiveInternet), спамерским атакам не подвергались. Видимо, проблема безопасности и защиты от спама решена там значительно лучше, в отличие от новых дополнительных сервисов, доступность и незащищенность которых позволили спамерам их использовать.

Тематический состав спама




Распределение тематик спама в Рунете в 2008 году

Несмотря на то, что тематики спама, как правило, относительно постоянны, в этом году тематический состав претерпел сильные изменения, — в течение года возникали новые рубрики и менялись тематики-лидеры. Особенно хорошо это видно при сравнении распределения тематик по полугодиям:




Распределение тематик спама в первом и втором полугодии 2008

Отметим сокращение во втором полугодии на 6,4% доли спама рубрики «Другие товары и услуги», которая характеризует количество заказов, получаемых спамерами из реального сектора экономики.

В марте появилась русскоязычная реклама копий элитных товаров. Рубрика сразу вошла в тройку лидеров. Относительный объем этого спама, достигнув своего пика в мае, начал постепенно уменьшаться. Однако можно ожидать, что данный вид незапрошенной корреспонденции займет свою нишу в русскоязычном спаме (так же как, в свое время, в англоязычном) и останется на уровне 5-6% от общего количества спама.


распределение тематики «Реплики элитных товаров»

Число русскоязычных писем со ссылками на порносайты начало увеличиваться в июле. Во втором полугодии доля спама «для взрослых» увеличилась более чем на 15%. Отметим, что один из способов заработка с помощью такого спама – так называемая «накачка трафика». Быстрый рост числа писем данной тематики привел к тому, что в сентябре она обогнала постоянного лидера – рубрику «Медикаменты; товары/услуги для здоровья» – и продержалась на первом месте 3 месяца.




Соотношение спама «для взрослых» и «медицинского» спама

В ноябре количество спама «для взрослых» сократилось. Это может быть связано как с закрытием хостинг-провайдера McColo и трудностями спамеров по перемещению управляющих центров бот-сетей, так и с тем, что спам данной тематики в большинстве своем носил мошеннический характер. На порносайтах, куда пользователь попадал по ссылке в письме, ему предлагали в качестве платы за просмотр контента послать SMS-сообщение на короткий номер. Мошенники обещали, что цена данного сообщения будет низкой (5-7 рублей), однако реальная стоимость SMS оказывалась совсем другой (около 300 р.). Возможно, уменьшение количества подобного спама связано с тем, что пользователи распознали обман и перестали попадаться на удочку мошенников.

Появление новых тематик, как и массовые рассылки, проводимые в течение долгого времени, говорит о том, что в российской спам-индустрии заняты крупные игроки, обладающие необходимыми для такой деятельности мощностями.

Мировые события и спам

Общеизвестный факт: чтобы привлечь внимание пользователей к сообщению, спамеры часто используют события мирового значения. В этом году они не обошли вниманием чемпионат Европы по футболу, выборы президента в США, ну и, конечно, мировой финансовый кризис. Интересен тот факт, что вопреки ожиданиям большинство писем, затрагивающих кризисную тематику, не относилось к категории «личные финансы». В них не предлагалось воспользоваться кредитами, не рассказывалось о способах быстрого заработка. Большинство писем кризисной тематики рекламировало различные антикризисные семинары. Помимо этого, тема кризиса красной нитью проходила в рекламе любых товаров и услуг.

Выборы в США также масштабно использовались спамерами. Во время (а также до и после) президентской кампании спамеры прибегали к теме выборов для продвижения различных товаров и услуг, а также при попытках разослать вредоносные программы. В спаме практически любой тематики упоминалось имя Барака Обамы. Даже реклама виагры содержала такие заголовки, как «Obama didn’t receive free pass» и «Barack Obama’s Victory Speech». В спаме рекламировалась и сувенирная продукция с изображением Обамы. Мы писали про спам, рекламировавший бюсты Путина весной 2005, теперь же спамеры предлагали тарелки с портретом американского президента:

Заключение

Мировой финансовый кризис, затронувший практически все области экономики, влияет и на киберпреступность. Рубрики спама, связанные с реальным сектором экономики, теряют вес. В то же время спамеры все чаще используют технологии, направленные на быстрое получение денег — спам-мошенничество с использованием SMS, накачка трафика порносайтов и подобное.

Уменьшение доли спама, рекламирующего товары и услуги, говорит о том, что число заказов, поступающих спамерам со стороны реального бизнеса, уменьшилось. Усиление спам-атак криминального характера наглядно свидетельствует о том, что начавшие терять деньги киберпреступники ищут новые источники доходов.

Отметим, что спам – мировое явление, и изменения в его структуре, начавшиеся еще до начала кризиса в России, могут служить одним из индикаторов состояния экономики. Если корреляция между структурой спама и макроэкономическими процессами окажется достаточно выраженной, об окончании кризиса мы сможем «узнать» и по спаму.

Пока же пользователям нужно иметь в виду, что кризис создает предпосылки для расцвета фишинга, нацеленного на клиентов банков и пользователей электронных платежных систем. В рамках усиления всех криминальных тенденций в спаме можно ожидать и новой волны рекламы ресурсов для взрослых.

Мы предполагаем, что в 2009 году спама не станет меньше, а объем криминализированного спама увеличится. Кроме того, для большого числа предпринимателей в условиях кризиса спам может стать единственно доступным способом рекламы.

Прогноз, учитывая неопределенность мировой экономической ситуации, касается первого полугодия 2009 года. «Лаборатория Касперского» продолжит свои наблюдения.

Kaspersky Security Bulletin. Спам в 2008 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике