Отчеты по спаму и фишингу

Спам и фишинг в 2019 году

Цифры года

  • Доля спама в почтовом трафике составила 56,51%, что на 4,03 п. п. больше, чем в 2018 году.
  • Больше всего спама в этом году исходило из Китая — 21,26%.
  • 78,44% спамовых писем были меньше 2 Кб.
  • Чаще всего вредоносный спам детектировался с вердиктом Exploit.MSOffice.CVE-2017-11882.
  • Было зафиксировано 467 188 119 срабатываний системы «Антифишинг».
  • 15,17 % пользователей столкнулись с фишингом.

Тенденции года

Осторожно: новинки

В 2019 году для получения доступа к финансам или персональным данным пользователей злоумышленники активнее, чем обычно, использовали громкие события в сфере спорта и киноиндустрии: премьеры сериалов, фильмов и спортивные трансляции служили приманкой для тех, кто решил сэкономить и посмотреть видео на «неофициальных» ресурсах.

По запросу «Смотреть бесплатно онлайн последнюю серию «Мстителей» (последний сезон «Игры престолов», трансляцию финала Кубка Стэнли, USOpen и т. п.) в поисковой выдаче пользователь мог увидеть ссылки на сайты, предлагающие искомое. Если он переходил на эти ресурсы, трансляция действительно начиналась, но только для того, чтобы прекратиться через пару минут. Для продолжения просмотра нужно было создать учетную запись (бесплатно, необходимо лишь указать адрес электронной почты и придумать пароль). Однако при нажатии на кнопку «Продолжить» сайт требовал дополнительного подтверждения.

В качестве такового предлагалось ввести данные банковской карты, включая трехзначный код безопасности (CVV) с обратной стороны. Администраторы сайта гарантировали, что денежные средства с указанной карточки списываться не будут. Якобы эти данные нужны лишь для подтверждения того, что пользователь находится именно в том регионе, где веб-ресурс получил лицензию для распространения контента. Однако желанного продолжения трансляции жертва не получала, мошенники достигали своей цели — личные данные и информация о банковской карте оказывались в их распоряжении.


Новые гаджеты также становятся приманкой, которую мошенники используют для привлечения жертв. Киберпреступники создавали поддельные страницы, имитирующие страницы официальных сервисов Apple. Количество фейковых сайтов особенно увеличивалось после презентаций новой продукции компании. И пока Apple еще только готовилась к выпуску очередного гаджета, мошенники уже предлагали «купить» желанное устройство самым нетерпеливым. Для этого требовалось перейти по ссылке и ввести учетные данные AppleID, кража которых и являлась целью злоумышленников.

Цена популярности: злоумышленники используют крупные ресурсы в своих целях

В 2019 году мошенники нашли новые способы использования популярных ресурсов и социальных сетей для распространения спама и продажи несуществующих товаров и услуг. Они активно использовали комментарии на Youtube и в Instagram для размещения рекламных предложений и ссылок на потенциально опасные страницы, а также создавали многочисленные аккаунты в социальных сетях и комментировали посты популярных блогеров, чтобы раскрутить эти аккаунты.

Для придания мошенническим страницам достоверности злоумышленники оставляли много фейковых комментариев под своими постами, а сами публикации могли быть на актуальные темы. После того как аккаунт удавалось раскрутить, в нем начинали публиковать сообщения об акциях. Например, о продаже брендовых товаров по невероятно низким ценам. Участники таких акций либо получали дешевый аналог, либо просто оставались без денег.

Похожая схема раскрутки использовалась для продвижения видеороликов о быстром заработке в сети, только при этом положительные отзывы «разбогатевших» клиентов подкреплялись активным продвижением видео.

Еще один способ «работы» мошенников с Instagram — фейковые аккаунты звезд шоу-бизнеса. «Знаменитости» предлагали пройти опрос и получить за это достаточно крупную сумму денег или просто поучаствовать в розыгрыше. Естественно, все предложения призов, «надежного» заработка и опросов сводились к одному: от жертвы требовалось оплатить небольшую комиссию за участие. После того как преступник получал денежные средства, аккаунт просто исчезал.

Помимо распространения ссылок через комментарии в соцсетях мошенники освоили еще один способ доставки — с помощью сервисов Google: приглашение на встречу, рассылаемое через Google Calendar, или оповещение от Google Photos, что кто-то поделился фотографией, сопровождались комментарием от злоумышленников со ссылками на фейковые акции, опросы и розыгрыши призов.

Кроме этого, использовались и другие сервисы Google: злоумышленники рассылали ссылки на файлы в Google Drive и Google Storage — спам-фильтры не всегда могут определить, является ли такая ссылка мошеннической. По ссылке может открыться файл с рекламой (например, поддельной фармацевтической продукции), фишинговой ссылкой или формой для сбора персональных данных.

Отметим, что представители всех вышеуказанных ресурсов (как и многих других) постоянно работают над тем, чтобы оградить пользователей от мошенников, однако те все время ищут новые лазейки. Поэтому главная защита пользователя от подобных схем — внимательное отношение к сообщениям от незнакомых отправителей.

Вредоносные транзакции

В первом квартале жертвами мошенников стали пользователи американской системы электронных платежей Automated Clearing House (ACH): мы зафиксировали рассылки поддельных уведомлений, включающих в себя упоминание платежной системы о статусе оплаты или наличии задолженности. Перейдя по ссылке из такого письма или попытавшись открыть приложенный к нему документ, пользователь рисковал заразить свой компьютер вредоносным ПО.

Биткойн заказывали?

Как и раньше, криптовалюта продолжает интересовать мошенников. Помимо привычных подделок известных сайтов-обменников криптовалют киберпреступники стали создавать и собственные обменники: такие ресурсы завлекают выгодными курсами, однако, погнавшись за выгодой, можно потерять не только свои персональные данные, но и деньги.


Криптовалюты и шантаж

Если в 2018 году пользователей пытались шантажировать от имени неких хакеров, получивших на жертву компромат с помощью вредоносного ПО, то в 2019 году письма стали приходить от агента ЦРУ (имя его менялось от письма к письму), у которого есть доступ к делу, якобы заведенному на получателя сообщения. Последний, по «данным дела», хранил и распространял цифровые порнографические материалы с участием несовершеннолетних.

Далее сообщалось, что это дело является частью международной операции по аресту более 2000 подозреваемых в педофилии в 27 странах мира. Однако «агенту» известно, что получатель является состоятельным человеком, который заботится о своей репутации, и за 10 тысяч долларов в биткойнах его данные (вся информация, которая могла быть приведена в письме для придания ему достоверности, собирается мошенниками в социальных сетях и на форумах) можно изменить или удалить. Страх перед разглашением персональных данных, опасения за репутацию и высокая должность автора письма должны были заставить пользователя отдать шантажисту требуемую сумму.

В еще более отчаянном положении оказывались юридические лица, которым также приходили письма с подобными угрозами. Правда, речь шла не о «порновымогательстве», а о рассылке спама. На публичные адреса компании или через форму обратной связи на сайте приходило письмо, в котором шантажисты требовали перевести им определенную сумму в биткойнах. В случае отказа злоумышленники грозились разослать миллионы спам-писем от лица компании. По заверениям киберпреступников, после такой агрессивной рассылки проект Spamhaus непременно признает ресурс спамерским и заблокирует его навсегда.

Корпоративный сектор под прицелом

Новая тенденция роста атак на корпоративный сектор отражается не только в попытках кибершантажа компаний. Репутация многих фирм оказывалась под угрозой из-за рассылок спама, организованных через форму обратной связи. Если раньше злоумышленники использовали эти формы для атак на почтовые ящики сотрудников компании, то в 2019 году их методы эволюционировали.

Теперь сообщения о регистрации на сайте компании приходили людям, которые даже не слышали о ресурсе: отыскав брешь в безопасности сайта, спамеры с помощью скриптов обходили CAPTCHA-тесты и массово регистрировали пользователей через формы обратной связи. В поле «Имя пользователя» злоумышленники вставляли свое сообщение или ссылку. В результате жертве, чей почтовый адрес был использован, приходило письмо с подтверждением регистрации (от легитимного отправителя), содержащее послание от мошенников. При этом сама компания не подозревала о массовых рассылках от ее имени.

Гораздо более серьезную угрозу представляли рассылки, замаскированные под автоматические уведомления от сервисов, используемых для создания легитимных почтовых рассылок: письма злоумышленников были тщательно замаскированы под уведомления о новых голосовых сообщениях (в ряде бизнес-продуктов есть функции для обмена голосовыми сообщения) или под извещения о входящих письмах, «застрявших» в очереди на доставку. Для доступа к ним от сотрудника требовалось пройти процесс аутентификации, и, естественно, данные от корпоративного аккаунта оказывались в руках злоумышленников.

Мошенники придумывали все новые приемы для того, чтобы выманить конфиденциальные данные сотрудников компании. Например, с помощью сообщений о необходимости срочно подтвердить данные корпоративной учетной записи (или платежную информацию) со ссылкой на страницу, где это нужно сделать. Если пользователь попадался на удочку, аутентификационные данные его рабочего аккаунта попадали в руки злоумышленников.

В другой атаке, нацеленной на корпоративный сектор, использовалась более сложная схема: злоумышленники старались оформить сообщение так, чтобы прочитавший его человек был уверен — руководство настоятельно рекомендует ему пройти переаттестацию, а бонусом за это станет существенное повышение зарплаты.

Письмо приходило якобы от HR и содержало подробную инструкцию со ссылкой на сайт с формой аттестации. Но перед тем как пройти процедуру, получатель должен был ввести свои данные (в большинстве случаев подчеркивалось, что почту необходимо указывать корпоративную). После нажатия кнопки SignIn («Войти») или Appraisal («Аттестация») введенные адрес электронной почты, логин и пароль отправлялись злоумышленникам. Таким образом преступники получали доступ к деловой переписке, персональным данным и, с большой вероятностью, к конфиденциальной информации, которая впоследствии могла быть использована для шантажа или продана конкурентам.

Более простая схема предусматривала рассылку фишинговых писем от имени крупных ресурсов, услугами которых пользовалась компания. Самыми распространенными были подделки под извещения от платформ, занимающихся подбором персонала.

Статистика: спам

Доля спама в почтовом трафике

Доля спама в почтовом трафике в 2019 году увеличилась на 4,03 процентных пункта и составила в среднем 56,51%.

Доля спама в мировом почтовом трафике, 2019 г. (скачать)

Самый низкий показатель зафиксирован в сентябре — 54,68%, самый высокий — в мае (58,71).

Страны — источники спама

В 2019 году лидером среди стран — источников спама, как и в прошлом году, остался Китай. Его доля существенно выросла (на 9,57 п. п.) и составила 21,26%. Он по-прежнему опережает США (14,39%), доля которых увеличилась на 5,35 п. п. На третьем месте расположилась Россия (5,21%).

Четвертое место заняла Бразилия (5,02%), хотя ее доля и сократилась на 1,07 п. п. Пятое место в 2019 году принадлежит Франции (3,00%), а шестое — Индии (2,84%), которая занимала ту же ступень пьедестала в прошлом году.  Вьетнам (2,62%), бывший в прошлом отчетном периоде на четвертом месте, переместился на седьмое.

Десятку замыкают Германия, опустившаяся с третьего места на восьмое (2,61%, минус 4,56 п. п.), Турция (2,15%) и Сингапур (1,72%).

Размеры спамовых писем

В 2019 году доля очень маленьких писем продолжила расти, хотя в этот раз не так стремительно, как в прошлом году, — всего на 4,29 п. п. В итоге она составила 78,44%. А вот доля писем размером от 2 до 5 Кб, наоборот, уменьшилась: по сравнению с 2018 годом она стала меньше на 4,22 п. п. и составила 6,42%.

Размеры спамовых писем, 2019 г. (скачать)

Доля писем большего объема (от 10 до 20 Кб) изменилась несущественно — уменьшилась на 0,84 п. п. А вот мусорной корреспонденции от 20 до 50 Кб стало больше: доля таких писем составила 4,50% (+1,68 п. п.). Кроме того, почти на 1 п. п. выросло количество писем от 50 до 100 Кб (1,81%).

Вредоносные вложения в почте

Семейства вредоносных программ

Количество срабатываний почтового антивируса, 2019 г. (скачать)

Всего за 2019 год наши защитные решения обнаружили 186 005 096 вредоносных почтовых вложения. Чаще всего почтовый антивирус срабатывал в ноябре — 19 млн срабатываний, а наиболее «спокойным» месяцем стал декабрь — на 7 млн меньше.

ТОР 10 семейств вредоносных программ, 2019 г. (скачать)

Как и годом ранее, в 2019 году наиболее часто встречающимися в почте зловредами стали вредоносные объекты, объединенные вердиктом Exploit.Win32.CVE-2017-11882 (7,24%). Они эксплуатировали уязвимость в Microsoft Office, которая позволяет выполнить произвольный код без ведома пользователя.

На втором месте расположилось семейство Trojan.MSOffice.SAgent (3,59%), представители которого тоже атакуют пользователей офисного пакета от Microsoft. Они представляют собой документы со встроенным VBA-скриптом, который при открытии файла скрытно с помощью PowerShell загружает другое вредоносное ПО.

Семейство Worm.Win32.WBVB (3,11%), в которое входят исполняемые файлы, написанные на языке Visual Basic 6 и не являющиеся доверенными в KSN, поднялось с четвертой строки рейтинга на третью.

Backdoor.Win32.Androm.gen (1,64%), находившийся в прошлом отчетном периоде на втором месте, переместился на четвертое. Этот модульный бэкдор чаще всего используется для загрузки вредоносного ПО на машину жертвы.

Пятое место в 2019 году заняло семейство Trojan.Win32.Kryptik (1,53%). Этот вердикт присваивается троянцам, использующим антиэмуляцию, антиотладку и обфускацию кода для затруднения их анализа.

Шестое место досталось троянцу Trojan.MSIL.Crypt.gen (1,26%), а на седьмое место поднялся Trojan.PDF.Badur (1,14%) — PDF, отправляющий пользователя на потенциально опасный сайт.

Восьмое место досталось еще одному DOC/DOCX-документу с вредоносным VBA-скриптом внутри — Trojan-Downloader.MSOffice.SLoad.gen (1,14%), который при открытии может загрузить на компьютер жертвы шифровальщик.

На девятом месте расположился еще один вердикт Backdoor.Win32.Androm а на последнем — Trojan.Win32.Agent (0,92%).

Страны — мишени вредоносных рассылок

Как и прошлом году, первое место в 2019-м занимает Германия. Ее доля практически не изменилась — 11,86% от всех атак (+0,35 п. п.). Второе место, как и в прошлом отчетном периоде, занимает Россия (5,77%), а на третьем с такой же долей оказался Вьетнам (5,77%), поднявшийся в тройку лидеров с шестого места.

За Вьетнамом с отставанием 0,2 п. п. следует Италия (5,57%), на пятом месте расположились ОАЭ (4,74), на шестом — Бразилия (3,88%), а на седьмом — Испания (3,45%). Десятку замыкают следующие друг за другом с минимальным отрывом Индия (2,67%), Мексика (2,63%) и Малайзия (2,39%) .

Статистика: фишинг

В 2019 году на компьютерах пользователей продуктов «Лаборатории Касперского» было зафиксировано 467 188 119 срабатываний системы «Антифишинг» при попытках перехода на фишинговые сайты; это на 15 277 092 меньше, чем в 2018 году. Всего было атаковано 15,17% наших пользователей.

Организации — мишени атак

Рейтинг атакованных фишерами организаций основывается на срабатываниях эвристического компонента системы «Антифишинг» на компьютерах пользователей. Этот компонент детектирует все страницы с фишинговым контентом, на которые пользователь пытался пройти по ссылкам в письме или в интернете, в тех случаях, когда ссылки на эти страницы еще отсутствуют в базах «Лаборатории Касперского».

Рейтинг категорий атакованных фишерами организаций

В отличие от 2018 года, в этом отчетном периоде наибольшая доля срабатываний эвристического компонента пришлась на категорию «Банки». В 2019 году ее доля увеличилась на 5,46 п. п. и составила 27,16%. Категория «Интернет-порталы» — прошлогодний лидер — переместилась на второе место. При этом в сравнении с 2018-м ее доля уменьшилась на 3,60 п. п. (21,12%). Категория «Платежные системы» осталась на третьем месте, ее доля в 2019 году составила 16,67% (минус 2,65 п. п.).

Распределение организаций, чьи клиенты были атакованы фишерами, по категориям, 2019 г. (скачать)

География атак

Страны по доле атакованных пользователей

Лидером по проценту атакованных уникальных пользователей от общего количества пользователей в этот раз стала Венесуэла (31,16%).

TOP 10 стран по доле атакованных пользователей

Страна %
Венесуэла 31,16
Бразилия 30,26
Греция 25,96
Португалия 25,63
Австралия 25,24
Алжир 23,93
Чили 23,84
Реюньон 23,82
Эквадор 23,53
Французская Гвиана 22,94

TOP 10 стран по доле атакованных пользователей

Бразилия (30,26%) — прошлогодний лидер — в этом году оказалась на втором месте, потеряв 1,98 процентных пункта и уступив первое место Венесуэле (31,16%), которая переместилась с девятого места на первое, набрав 11,27 п. п. На третьем месте расположился новичок TOP 10 — Греция (25,96%).

Итоги года

Телепремьеры, громкие спортивные события и выпуски новых моделей гаджетов использовались мошенниками для кражи персональных данных пользователей или денежных сумм с их счетов.

Поиски новых путей обхода спам-фильтров вынуждают злоумышленников придумывать новые способы доставки своих сообщений. В этом году они активно использовали для этих целей различные сервисы Google, а также популярные социальные сети (Instagram) и видеохостинги (Youtube).

Киберпреступники продолжают использовать тему финансов в своих схемах, нацеленных на получение доступа к персональным данным пользователей, заражение компьютеров вредоносным ПО или кражу средств со счетов жертв.

В 2019 году основной тенденцией стал рост количества атак на корпоративный сектор. Мошеннические схемы, до этого неоднократно применявшиеся в атаках на обычных пользователей, изменили направленность, что привнесло новые нюансы в тактику злоумышленников.

Спам и фишинг в 2019 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике