Апрель в цифрах
- Доля спама в почтовом трафике по сравнению с мартом увеличилась на 2,2% и составила в среднем 77,2%.
- Доля фишинговых писем в почтовом потоке по сравнению с мартом снизилась вдвое и составила 0,01%.
- В апреле вредоносные файлы содержались в 2,8% всех электронных сообщений, что соответствует показателю прошлого месяца.
- Более 20% фишинговых атак в апреле были нацелены на пользователей Facebook.
Главные темы спама
Новые трюки в мошенническом и вредоносном спаме
Спамеры, распространяющие вредоносный код и фишинговые сообщения, продолжают искать кратчайший путь к компьютерам пользователей. Вредоносный спам развивается быстро: злоумышленники систематически пополняют арсенал трюков как техническими новшествами, так и новым приемами социальной инженерии.
Wikipedia и Amazon — неудачный опыт?
В апреле мы зафиксировали спам, на первый взгляд мало отличающийся от обычной вредоносной рассылки — подделки под официальное сообщение Facebook. В сообщении, разосланном якобы от социальной сети, сообщалось, что пользователь хочет добавить получателя в друзья. Как и большинство распространяемых последний год сообщений, имитирующих официальные уведомления от Facebook, эта рассылка была сделана качественно и, на первый взгляд, не вызывала сомнений в подлинности. По плану злоумышленников, при переходе по любой из содержащихся в сообщении ссылок, пользователь попадал вовсе не на сайт социальной сети, а на страничку, зараженную вредоносным кодом. Знакомый сценарий, не правда ли? Отличает его лишь то, что ссылки в письмах вели не на взломанные домены или только что зарегистрированные сайты в доменной зоне .in или .co.cc, а на странички на сайтах Wikipedia или Amazon.
Злоумышленники, видимо, разместили вредоносные скрипты на вновь созданных ими страницах Wikipedia, а также под видом рекламы секонд-хенд товаров на сайте Amazon.com. Почему «видимо»? Потому что трюк не сработал: команды по разрешению инцидентов обоих сервисов среагировали быстро, и уже во время распространения рассылки ссылки были нерабочими.
Diablo III — фишинг до релиза
В начале июня увидит свет ожидаемая многими геймерами планеты игра Diablo III. С этой игрой у экспертов в области безопасности связаны определенные опасения — компания Blizzard официально разрешила торговлю игровыми предметами в новой MMORPG. Нетрудно предположить, что пользователи Diablo III быстро станут объектом внимания фишеров. Но мало кто ожидал, что злоумышленники начнут использовать эту игру в своих целях еще до ее выхода.
В спам-потоках появились фишинговые сообщения, играющие на нетерпении геймеров, ожидающих заветный релиз. В них сообщается, что они получили право в течение определенного периода играть в бета-версию Diablo III, для чего нужно войти под своей учетной записью на сайт battle.net (ресурс, на котором хранятся учетные записи игроков Blizzard). Ссылка, указанная в письме, ведет, разумеется, не на указанный сайт, а на фишинговую страничку. Текст от сообщения к сообщению незначительно меняется, однако смысл его остается прежним.
Получив регистрационные данные пользователя от battle.net, злоумышленники получают доступ к его аккаунтам в таких популярных игровых системах, как Warcraft и Starcraft, которые по-прежнему пользуются спросом на черном рынке.
Политический спам
В России постепенно утихают митинги и протестные движения. Вместе с ними сходит на нет и политический спам, который последние шесть месяцев часто привлекал к себе наше внимание.
В спам-потоках остаются в небольших количествах сообщения экстремистского характера, хотя и они стали более умеренными по сравнению с аналогичными письмами зимнего периода. Основной темой таких сообщений в апреле стали события, которые разворачивались вокруг группы Pussy Riot. Спамеры призывают пользователей обратить внимание на сложившуюся ситуацию и добиться освобождения девушек.
В то же время активизировался политический спам, нацеленный на американскую и французскую аудиторию. Упоминания Барака Обамы в спаме стали почти столь же частыми, как в первый год после его избрания. При этом его имя используется не только в политических сообщениях, содержащих «разоблачение его политического курса» или указания на то, что президент США «боится проиграть грядущие выборы», но и в рекламе различных традиционно спамерских товаров. Например, в спам-рассылке, предлагающей пользователям покупку виагры.
С приближением выборов в США интерес пользователей как к самой теме борьбы за президентское кресло, так и к личностям кандидатов и нынешнего президента будет только расти. Спамеры, бесспорно, будут не только подогревать этот интерес, поддерживая в рассылках ту или иную сторону, но и продолжат использовать этот интерес в своих целях. В ближайшие месяцы мы ожидаем увеличение количества сообщений, содержащих ссылки, якобы ведущие на страницы с сенсационной информацией о том или ином кандидате или выборах в целом. Пройдя по ссылке, пользователь в лучшем случае обнаружит рекламу медикаментов для увеличения потенции, как в предложенном выше примере, а в худшем — вредоносную программу.
Активизировался и французский политический спам, хотя в разгар президентской гонки мы ожидали большего объема политических рассылок во Франции. Рассылки, зафиксированные нами, были немногочисленны. Среди них мы отметили предложения о покупке футболок с текстом, агитирующим за Николя Саркози.
Другие актуальные темы
Нашла свое отражение в спаме и сложная ситуация в Сирии. «Нигерийские» спамеры активно рассылают сообщения от имени «юристов и банковских служащих, работающих на территории страны». В конце месяца мы зафиксировали также сообщение от «жены Асада», о чем писали в нашем блоге.
Все активнее рассылается спам, эксплуатирующий тему Чемпионата Европы по футболу. Это событие все ближе, и интерес пользователей к нему растет день ото дня. Многие спамерские рассылки предлагают любителям футбола, не забронировавшим заранее места в отелях, оставшиеся места в гостиницах Польши и Украины. Надо отметить, что ассортимент, предлагаемый спамерами, скуден, а цены, разумеется, завышены в несколько раз.
Летняя Олимпиада в Лондоне находится в фокусе внимания «лотерейных» мошенников. Практически ежедневно мы фиксируем письма, сообщающие о выигрыше в лотерею, якобы проводимую Олимпийским фондом.
Статистический обзор
Страны — источники спама
Страны — источники спама в апреле 2012 г. (TOP 20)
В апреле состав TOP 20 стран — источников спама претерпел значительные изменения по сравнению с предыдущими месяцами.
Самый заметный итог месяца — перемещение США с двадцатой строчки рейтинга распространителей спама сразу на вторую. Доля спама, распространенного с территории этой страны, выросла более чем на 7%. На 5% увеличилась доля спама, распространенного с территории Китая, в результате чего Китай занял пятую строчку рейтинга. Одновременно на 5,2% уменьшилась доля мусорной почты, идущей из Индонезии. Эта азиатская страна сместилась на 10 строчек вниз и заняла 12-е место в ТОР 20.
Мы полагаем, что такое изменение «ландшафта» связано с перераспределением мощностей спамерских ботнетов и перемещением части из них в регионы, где спам-активность последний год была пониженной. Отметим, что и США, и Китай (и особенно Гонконг) в первом квартале 2012 года были одними из основных мишеней спамеров, распространяющих вредоносные рассылки. Заражение новых компьютеров в этих странах, видимо, и привело к построению там новых зомби-сетей.
Остальные изменения в рейтинге стран — источников спама находятся в пределах 2,5%.
Вредоносные вложения в почте
В апреле вредоносные файлы содержались в 2,8% всех электронных сообщений, что соответствует показателю прошлого месяца.
Распределение срабатываний почтового антивируса по странам
Срабатывание почтового антивируса в апреле 2012 г.
Соединенные Штаты, как и в течение всего первого квартала 2012 года, занимают первую строчку рейтинга стран по срабатыванию почтового антивируса. Доля срабатываний Kaspersky Mail Antivirus на территории США незначительно увеличилась — на 0,64%.
Австралию (-3,9%) и Гонконг (-2%), занимавшие по итогам марта вторую и третью строчки соответственно, обошел Вьетнам, поднявшийся с четвертой строчки на вторую. Доля срабатываний почтового антивируса на его территории увеличилась на 2,4%.
Доли остальных стран рейтинга изменились в пределах 2%.
ТОP 10 вредоносных программ, распространенных в почте
ТОP 10 вредоносных программ, распространенных в почте в апреле 2012 г.
13,7% всех детектирований Kaspersky Mail Antivirus приходится на традиционного лидера нашего рейтинга — Trojan-Spy.HTML.Fraud.gen, что на 1,6% больше, чем в прошлом месяце. Эта вредоносная программа, выполнена в виде html-странички, имитирующей регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам.
Завсегдатаи нашего рейтинга — почтовые черви Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.Mydoom.m и Email-Worm.Win32.NetSky.q — занимают в рейтинге третье, пятое и девятое места соответственно. Напомним, что функционал почтовых червей семейств Mydoom и Netsky ограничен сбором электронных адресов с зараженных машин и рассылкой по ним самих себя. Bagle.gt — единственный червь из десятки, который помимо этого может также обращаться к интернет-ресурсам для загрузки оттуда вредоносных программ.
Хотелось бы отметить появление в рейтинге скриптового троянца Trojan-Downloader.JS.Iframe.cvq. Его доля составила почти 2% от всех срабатываений почтового антивируса. Еще около 10% всех срабатываний почтового антивируса в апреле пришлись на скриптовые вредоносные программы, задетектированные проактивными методами. Это довольно тревожные данные, поскольку скриптовые зловреды в HTML-сообщениях начинают свою деструктивную активность, как только пользователь открывает сообщение.
Фишинг
Доля фишинговых писем в почтовом потоке по сравнению с мартом уменьшилась вдвое и составила 0,01%.
Распределение TOP 100 организаций, атакованных фишерами,
по категориям
апрель 2012 года
Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.
В апреле произошло заметное изменение в рейтинге категорий организаций, наиболее интересных фишерам: впервые за четыре месяца финансовые организации (23,61%) уступили первую позицию социальным сетям (28,8%). Доля социальных сетей среди мишеней атак фишеров увеличилась почти на 6%. Причиной такого увеличения стали многочисленные атаки на социальную сеть Facebook: более 20% фишинговых атак в апреле были нацелены на ее пользователей.
По сравнению с мартом уменьшилась доля атак на финансовые организации; сократилась доля атак на онлайн-магазины и поисковые системы, IT-вендоров и организации, входящие в категорию «другие». Все эти изменения находятся в пределах 1,5%.
Таким образом, можно отметить небольшое смещение вектора фишинговых атак в сторону пользователей социальных сетей.
Тематические направления в спаме
Тематические категории спама в апреле 2012 г.
Образовательный спам снова занял первую строчку нашего рейтинга (доля рубрики «Образование» увеличилась на 8,8%, что равно февральскому показателю).
Увеличилась доля рекламы недвижимости (+3,8%) и услуг и товаров, связанных с ремонтом и благоустройством (+8,2%). Увеличение долей этих рубрик напрямую связано с приближением дачного сезона. Целевая аудитория спамеров — владельцы загородного жилья и те, кто еще только собирается такое жилье приобрести.
В целом доля заказного спама в апреле превысила 60%. Однако в то же время вопреки нашим предположениям уменьшилась доля спама, рекламирующего отдых и путешествия (-3,2%). Тем не менее, мы ожидаем, что в ближайший месяц процент такой рекламы увеличится — не за горами сезон летних отпусков и спамеры постараются это использовать.
Кроме того, к показателям февраля вернулась и доля спама, относящегося к категории «Другие товары и услуги». Доля писем этой тематики, которая в Рунете состоит в основном из рассылок малого и среднего бизнеса, уменьшилась по итогам апреля вдвое (-7%).
Доля партнерского спама в Рунете сократилась почти на 10%. Доля рубрики «Медикаменты», лидировавшей в марте, сократилась на 4,5%. На 3% сократилась доля рекламы реплик элитных товаров.
Доли остальных тематик изменились в пределах 2%.
Заключение
По итогам месяца в спаме в Рунете прослеживаются две тенденции: спам становится все опаснее, и — одновременно — в спам-потоках сохраняется реклама товаров и услуг, заказанная малым и средним бизнесом.
То, что заказчики рекламы не брезгуют соседством с опасными рассылками — это в конечном итоге результат недостаточной информированности пользователей. Спам не был бы столь привлекательным способом рекламы, если бы на него не было отклика, а отклика не было бы, если бы пользователи были осведомлены о том, какая опасность угрожает работоспособности их компьютеров, их личным данным и даже деньгам, когда они открывают спамерское сообщение.
В ближайшие месяц-два мы прогнозируем некоторое уменьшение доли заказного спама, которое, к сожалению, будет исключительно сезонным.
Вектор фишинговых атак, вероятно, продолжит смещаться в сторону социальных сетей и, возможно, онлайн-игр: впереди время летних каникул, когда основным источником онлайн-активности будут школьники и студенты, которые не имеют счетов в банках, но зато активно пользуются различными социальными и развлекательными онлайн-сервисами.
Спам в апреле 2012 года