Отчеты по спаму и фишингу

Спам и фишинг в 2018 году

Цифры года

  • Доля спама в почтовом трафике составила 52,48% что на 4,15 п.п. меньше, чем в 2017 году.
  • Больше всего спама в этом году исходило из Китая — 11,69%.
  • 74,15% спамовых писем были меньше 2 Кб.
  • Чаще всего вредоносный спам детектировался с вердиктом Win32.CVE-2017-11882.
  • Было зафиксировано 482 465 211 срабатываний системы «Антифишинг».
  • 18,32% уникальных пользователей столкнулись с фишингом.

Мировые события в спаме

Политика GDPR

Уже в течение первых месяцев года мы фиксировали в спам-трафике большое количество писем, так или иначе связанных с GDPR. В основном это был B2B-спам, большую часть которого составили приглашения на различные платные семинары, вебинары и воркшопы, с обещаниями разъяснить положения нового регламента и их влияние на бизнес.

В этот период активизировались и легитимные рассылки. Следуя требованиям регламента, компании рассылали уведомления о переходе на политику GDPR и просили подтвердить согласие на хранение и обработку персональных данных. Этим пытались воспользоваться и мошенники: для получения доступа к персональным данным клиентов известных компаний они рассылали фишинговые письма, в которых, ссылаясь на GDPR, просили обновить информацию о владельце аккаунта. Для этого необходимо было пройти по ссылке из письма и ввести требуемые данные, которые сразу же попадали в руки мошенников. Стоит отметить, что злоумышленников интересовали данные клиентов финансовых организаций и компаний, предоставляющих услуги в ИТ-сфере.


Фишинговые письма, эксплуатирующие тему GDPR

Чемпионат мира по футболу 2018

Чемпионат мира стал одним из главных событий года в медийном пространстве и затронул не только спорт, но и другие сферы. Мошенники использовали тему мундиаля во множестве классических приемов, основанных на социальной инженерии. Преступники создавали поддельные сайты партнеров чемпионата для получения доступа к банковским аккаунтам и счетам жертв, проводили целевые атаки и создавали фальшивые страницы входа в аккаунт на сайте fifa.com.


Примеры писем с розыгрышем билетов и поездок на чемпионат

Выход нового iPhone

Традиционно, перед презентацией новых устройств Apple нами был зафиксирован всплеск спама от китайских фабрик с предложениями аксессуаров для «яблочной» техники, а также реплик самих гаджетов. Такие письма отправляют получателя в типовые, недавно созданные интернет-магазины, которые хоть и принимают деньги, но «забывают» отправить товар.

Кроме этого незначительно увеличилось количество фишинговых сообщений от имени компании Apple (и ее сервисов) и сообщений с вредоносными вложениями:

Вредоносные программы и корпоративный сектор

Количество вредоносных писем в спаме в 2018 году было в 1,2 раза меньше, чем в 2017-м. Всего за 2018 год почтовый антивирус сработал у клиентов «Лаборатории Касперского» 120 310 656 раз.


Количество срабатываний почтового компонента антивируса у клиентов «Лаборатории Касперского» в 2018 г.

В 2018 году во вредоносном спаме сохранилась тенденция к максимальной проработке оформления писем. Злоумышленники имитировали деловую переписку, текст и тематика которой соответствовали профессиональной области компании: мошенники использовали реальные реквизиты компаний-отправителей, подписи и логотипы. Для обхода защитных решений (и убеждения пользователей в безопасности файлов) применялись нетипичные для спама вложения форматов ISO, IQY, PIF, PUB.

Одной из наиболее популярных мишеней злоумышленников по-прежнему остаются кредитные организации, и в 2019 году эта тенденция, скорее всего, сохранится. Также мы ожидаем увеличения количества атак на корпоративный сектор в целом.

Новые каналы распространения

Мы уже не раз писали о том, что распространение фишингового и другого мошеннического контента вышло за рамки почтовых рассылок. Мошенники не только пробуют новые средства доставки, но и вовлекают самих жертв в распространение вредоносного контента. В этом году одни из самых массовых атак были зафиксированы нами в мессенджерах и социальных сетях. «Самораспространяемые» фишинговые сообщения больше всего походят на уже давно забытые «письма счастья»: в них идет речь о несуществующих розыгрышах или бесплатных выгодных предложениях, а правила «акции» включают в себя условие переслать сообщение друзьям или опубликовать его на страницах социальной сети. В начале года мошенники «разыгрывали» бесплатные авиабилеты, а затем переключились на рассылки от имени популярных розничных сетей, ресторанов, магазинов и кофеен. Чаще всего для распространения таких сообщений использовался WhatsApp.

Криптовалюты в спаме

В 2018 году интерес спамеров к криптовалюте не снизился, наоборот, писем, эксплуатирующих эту тему, стало больше. В том числе и мошеннических, с помощью которых злоумышленники пытались заставить потенциальных жертв перевести деньги на криптовалютные кошельки.

Одним из самых популярных типов обмана ушедшего года стал «порнокомпромат». Эта разновидность вымогательства строится на утверждении, что у мошенников есть приватная информация интимного характера. Чтобы избежать ее разглашения, жертве нужно перевести деньги на указанный в письме криптокошелек. При этом само сообщение составлено очень убедительно: используются реальные персональные данные жертвы: имя, пароли, номера телефонов и т. п. На фоне многочисленных новостей об утечках персональных данных, такие угрозы, подкрепленные нужными деталями, заставляли жертв поверить злоумышленникам и отправить им деньги. Суммы «откупа» варьировались от нескольких сотен до нескольких тысяч долларов.

Изначально рассылки были нацелены на англоговорящую аудиторию, но в конце третьего квартала мы зафиксировали волну писем на других языках: немецком, итальянском, арабском, японском, французском, греческом и др.

Не забывали мошенники и о других способах обмана: в течение года мы фиксировали рассылки от имени крупных благотворительных организаций, рассылки с просьбами помочь детям, путем приобретения неких данных и т. п. Объединяло все эти схемы одно: деньги предлагалось переводить в криптовалютном эквиваленте. Надо отметить, что количество таких писем было очень маленьким по сравнению с вышеописанными рассылками.

В 2019 году тема криптовалют в спаме будет по-прежнему актуальна. Мы ожидаем, что мошеннические рассылки, нацеленные на выманивание как криптовалюты, так и доступа к личным кабинетам различных криптовалютных сервисов, продолжатся.

Фишинг

Криптовалюта

Криптовалюта остается одной из самых популярных тем и у фишеров: в 2018 году наша система «Антифишинг» предотвратила 410 786 попыток перехода пользователей на фишинговые сайты, имитирующие популярные криптовалютные кошельки, биржи и платформы. Мошенники активно подделывают страницы логинов криптовалютных сервисов в надежде заполучить учетные данные пользователей.

Еще одна тема ушедшего года — поддельные ICO. Мошенники предлагали инвестировать в первичное размещение новых монет не только в почте: рекламные посты можно было увидеть и в социальных сетях. Принять участие предлагалось в проектах на любой вкус: одна из подделок, например, относилась к криптовалюте от российской певицы Ольги Бузовой — бузкойн. Мошенники смогли заполучить списки адресов получателей почтовой рассылки проекта и за день до старта ICO отправили подписчикам фальшивое приглашение на предпродажу. До того как организаторы приняли меры, злоумышленники успели собрать около $15 000.

Но наибольшего количества подделок «удостоился» в начале года блокчейн-проект Павла Дурова — TON. Учитывая криптовалютный бум и слухи об ICO от создателя Telegram, поползшие по рынку в конце 2017 года, зерна упали в благодатную почву: многие поверили призыву мошенников и, несмотря на предупреждения самого Павла в социальных сетях, перевели деньги злоумышленникам.

Лотереи и опросы

Еще один способ заставить жертву самостоятельно перевести мошеннику деньги — пообещать ему гарантированный выигрыш в лотерее или вознаграждение за прохождение опроса. За 2018 год нашими защитными решениями было заблокировано 3 200 180 попыток перехода на мошеннические сайты, связанные с лотереями или опросами.

Чтобы принять участие в розыгрыше, пользователю предлагают сделать взнос, от размера которого часто зависит сумма приза: чем он больше, тем больше денег обещают жертве. Схема с опросами работает похожим образом: жертву просят перевести какое-то количество средств для оплаты комиссии (обработки чека и т. п.), после чего она якобы получит обещанное вознаграждение.

Университеты

Фишеры охотятся не только за деньгами, но и за знаниями: за последний год мы зафиксировали фишинговые атаки на 131 университет в 16 странах мира. Больше половины из них — 83 высших учебных заведения — находятся в США, 21 — в Великобритании, по 7 в Австралии и Канаде. Одним из результатов деятельности мошенников стало громкое похищение большого количества документов (в том числе исследований в области атомной энергетики) из нескольких университетов Великобритании.

Налоги

В первом квартале (в конце фискального года во многих странах) мы наблюдали большое количество фишинговых страниц, имитирующих сайты HM revenue customs, IRS, налоговых служб других стран. Мошенники пытались выманить у пользователей персональные данные, ответы на секретные вопросы, информацию о банковских аккаунтах и т. п. Некоторые поддельные сайты налоговых служб распространяли вредоносное ПО.


Поддельные страницы налоговых служб

HTTPS

Как мы писали годом ранее, количество фишинговых страниц, располагающихся на доменах, имеющих сертификат безопасности, выросло. Иронично, что поспособствовало этому повсеместное внедрение HTTPS: страницы с сертификатом (и отметкой) вызывают куда больше доверия. При этом получить простой сертификат довольно легко, чем с успехом пользуются злоумышленники. Проблема достигла таких масштабов, что с сентября 2018 года браузер Chrome перестал выделять HTTPS-сайты зеленой плашкой в адресной строке и помечать их как «защищенные». Вместо этого отметки Not secure теперь удостаиваются сайты без HTTPS.

Период распродаж

Каждый год в ноябре стартует сезон распродаж. Сначала проходят распродажи, посвященные всемирному дню шопинга, за ними следует «черная пятница». Злоумышленники готовятся к таким событиям заранее и начинают массовые атаки задолго до старта самих распродаж: согласно нашей статистике, число попыток перехода пользователей на мошеннические сайты, эксплуатирующие распродажную тематику, начинает расти с конца октября:

Мошенники используют стандартные способы выманивания персональных данных и денег жертв: создаются поддельные сайты популярных онлайн-магазинов, участвующих в распродажах, предлагаются огромные скидки на дорогие товары.

Статистика: спам

Доля спама в почтовом трафике

Доля спама в почтовом трафике в 2018 году сократилась на 4,15 п.п. и составила 52,48%.


Доля спама в мировом почтовом трафике, 2018 г.

Самый низкий показатель зафиксирован в апреле 2018 года — 47,70%. Самый высокий (57,26%) — в декабре.

Страны — источники спама

В 2018 году лидером среди стран — источников спама стал Китай (11,69%), поменявшийся местами с США и отправивший прежнего лидера на второе место с показателем 9,04%. На третьей позиции оказалась Германия (7,17%), поднявшаяся в тройку лидеров с шестого места.

Вьетнам, занимавший в прошлом году третье место, опустился в этом на четвертое (6,09%). За ним следуют Бразилия (4,87%), Индия (4,77%) и Россия (4,29%).

На восьмом месте, как и в 2017 году, расположилась Франция (3,34%), а Иран и Италия покинули первую десятку. Вместо них последние места в TOP 10 заняли Испания, поднявшаяся с 16-го на 9-е место (2,20%, +0,72 п.п.), и Великобритания (2,18%), прибавившая 0,59 п.п.


Страны — источники спама, 2018 г.

Размеры спамовых писем

В 2018 году доля очень маленьких (до 2 Кб) писем значительно выросла: несмотря на ежеквартальное падение, годовой показатель составил 74,15%, что на 30,75 п.п. выше показателя прошлого отчетного периода. Доля писем размером от 2 до 5 Кб также увеличилась (10,64%, +5,56 п.п.).


Размеры спамовых писем, 2018 г.

Количество спама большего размера существенно упало по сравнению с 2017 годом. Так, доля писем от 5 до 10 Кб (7,37%) сократилась на 1,77 п.п., а от 10 до 20 Кбайт (3,66%) на 12,6 п.п. Больше всего сократилась доля спам-корреспонденции размером от 20 до 50 Кб (2,82%) — на 18,41 п.п.

Вредоносные вложения в почте

Семейства вредоносных программ


ТОР 10 семейств вредоносных программ, 2018 г.

В 2018 году наиболее часто встречающимися в почте зловредами стали вредоносные объекты, объединенные вердиктом Exploit.Win32.CVE-2017-11882, эксплуатирующие уязвимость в Microsoft Office, которая позволяла выполнить произвольный код без ведома пользователя.

На втором месте оказался бот Backdoor.Win32.Androm, функциональность которого зависит от дополнительных модулей, загружаемых по команде с серверов управления. Чаще всего используется для загрузки вредоносного ПО.

С пятого на третье место поднялось семейство Trojan-PSW.Win32.Fareit. Его основной целью является похищение данных (файлы cookie, пароли от различных сервисов, FTP, почтовых программ). Собранная информация отправляется на сервер злоумышленников. Некоторые представители семейства умеют загружать и запускать другие вредоносные программы.

Семейство Worm.Win32.WBVB, в которое входят исполняемые файлы, написанные на языке Visual Basic 6 (как в режиме P-code, так и в режиме Native) и не являющиеся доверенными в KSN, осталось на четвертом месте.

На пятом расположилось семейство Backdoor.Java.Qrat — кросс-платформенный мультифункциональный бэкдор, написанный на языке Java и продающийся в Darkweb в формате «зловред как услуга» (malware as a service, MaaS). Как правило, распространяется по электронной почте в виде JAR-вложений.

Шестое место занял Trojan-Downloader.MSOffice.SLoad — документ формата DOC/DOCX, содержащий скрипт, который может исполняться в MS Word. Как правило, скачивает и устанавливает на компьютер пользователя программы-шифровальщики.

На седьмом месте оказался троянец-шпион Trojan-Spy.Win32.Noon.

Зловред Trojan.PDF.Badur, представляющий собой PDF-документ, содержащий внутри ссылку на потенциально опасный сайт, опустился на одну позицию и расположился на восьмом месте.

Девятое место заняло семейство Trojan.BAT.Obfus — эти вредоносные объекты представляют собой обфусцированные BAT-файлы, которые используются для запуска вредоносного ПО и изменения настроек безопасности ОС.

На десятом месте, как и в прошлом году, оказалось семейство троянцев-загрузчиков Trojan.Win32.VBKrypt.

Страны — мишени вредоносных рассылок

По итогам 2018-го первую позицию занимает, как и в прошлые годы, Германия. На долю этой страны пришлось 11,51% всех атак. Второе место заняла Россия (7,21%), а на третьем расположилась Великобритания (5,76%).


Страны — мишени вредоносных рассылок, 2018 г.

Далее, с отрывом в десятые доли, следуют Италия (5,23%), Бразилия (5,10%) и Вьетнам (5,09%). На седьмом месте, отстав от Вьетнама на 1,35 п.п., расположились ОАЭ (3,74%). Замыкают десятку Индия (3,15%), Испания (2,51%) и Тайвань (2,44%).

Статистика: фишинг

В 2018 году на компьютерах пользователей продуктов «Лаборатории Касперского» было зафиксировано 482 465 211 срабатываний системы «Антифишинг» при попытках перехода на фишинговые сайты; это на 236 233 566 больше, чем в 2017 году. Всего было атаковано 18,32% наших пользователей.

Организации — мишени атак

Рейтинг атакованных фишерами организаций основывается на срабатываниях эвристического компонента системы «Антифишинг» на компьютерах пользователей. Этот компонент детектирует все страницы с фишинговым контентом, на которые пользователь пытался пройти по ссылкам в письме или в интернете, в тех случаях, когда ссылки на эти страницы еще отсутствуют в базах «Лаборатории Касперского».

Рейтинг категорий, атакованных фишерами организаций

Наибольшая доля срабатываний эвристического компонента в 2018 году пришлась на категорию «Глобальные интернет-порталы». По сравнению с прошлым годом ее доля увеличилась на 11,23 п.п. и составила 24,72%. На втором месте находится банковский сектор (21,70%), потерявший 5,3 п.п. Платежные системы (14,02%) в 2018 году замыкают тройку лидеров.


Распределение организаций, чьи клиенты были атакованы фишерами, по категориям, 2018 г.

TOP 3 организаций, используемых в атаках

В этот рейтинг вошли организации, названия которых чаще всего использовались фишерами (согласно эвристической статистике срабатываний на компьютерах наших пользователей). Его состав с прошлого года остался неизменным, но на первом месте в 2018 году оказалась Microsoft.

Microsoft 6,86%
Facebook 6,37%
PayPal 3,23%

География атак

Страны по доле атакованных пользователей

Лидером по проценту атакованных уникальных пользователей от общего количества пользователей в стране остается Бразилия (28,28%).

TOP 10 стран по доле атакованных пользователей

Страна %
Бразилия 28,28
Португалия 22,63
Австралия 20,72
Алжир 20,46
Реюньон 20,39
Гватемала 20,34
Чили 20,09
Испания 20,05
Венесуэла 19,89
Россия 19,76

TOP 10 стран по доле атакованных пользователей

Бразилия (28,28%), несмотря на небольшое падение (–0,74 п.п.), остается лидером по количеству атакованных пользователей. А вот Португалия (22,63%) поднялась на второе место (+5,87 п.п.), вытеснив Австралию (20,72%, –1,79 п.п.).

Итоги

2018 год продемонстрировал, что злоумышленники не перестают следить за мировыми событиями и использовать их в своих целях. Мы наблюдаем стабильный рост фишинговых атак на ресурсы, связанные с криптовалютой, и ожидаем, что в 2019 году мошенники продолжат изобретать новые схемы: несмотря на падение курсов и непростое время для криптовалютного рынка в целом, фишеры и спамеры постараются выжать максимум из этой темы.

Прошедший год также показал, что спамеры и мошенники продолжат использовать события, повторяющиеся из года в год, — презентации новых смартфонов, сезоны распродаж, даты подачи налоговых деклараций, получение вычетов и другие регулярные события.

Сохраняется и тенденция к переходу на новые каналы распространения контента: в 2018 году злоумышленники активно использовали новые способы коммуникации с «аудиторией»— мессенджеры и социальные сети, запуская в них волны «самораспространяющихся» вредоносных сообщений. Вместе с этим, как показывает история с атакой на учебные заведения, мошенники ищут не только новые каналы, но и новые цели.

Спам и фишинг в 2018 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике