Отчеты по спаму и фишингу

Спам в августе 2012 года

Август в цифрах

  • Доля спама в почтовом трафике по сравнению с июлем уменьшилась на 1,6% и составила в среднем 70,2%.
  • Доля фишинговых писем в почтовом потоке по сравнению с июлем осталась неизменной и составила 0,01%.
  • В августе вредоносные файлы содержались в 3,9% всех электронных сообщений.

Главные темы спама

Конец лета — самый опасный период

Летом в спам-бизнесе затишье: заказчики спама менее активны, так как многим из них невыгодно тратить средства на рекламу своих товаров и услуг в сезон отпусков.

Как следствие спам в летний период значительно криминализируется, доля рекламы нелегальных товаров, распространяемых через партнерские программы, в нем растет, равно как и доля мошеннических сообщений и писем, содержащих вредоносный код. Одновременно спамеры усиленно рекламируют свои услуги и услуги других представителей киберпреступного бизнеса. В августе криминальная спам-активность достигает своего пика.

Рост доли вредоносных вложений

Доля вредоносных вложений в почте заметно увеличилась еще в июле, — тогда такие сообщения составили 4,5% от всего почтового трафика. В августе этот показатель снизился, но ненамного — до 3,9%.

Для распространения вредоносных вложений злоумышленники использовали большой набор уловок. Обычно из всех трюков выделялись 2-3 наиболее активно используемые распространителями зловредов, в последний же месяц лета такие популярные трюки были весьма многочисленны.

Из новинок в спамерском арсенале отметим прием, который раньше использовали исключительно фишеры: спамеры угрожают пользователю блокированием банковской карточки, чтобы заставить его скачать вложение, в котором якобы указаны подробности.

К недавним «находкам» спамеров относится рассылка поддельных уведомлений о бронировании гостиницы. Этот прием появился в июне и использовался в течение всех летних месяцев. Отметим, что в августе в почтовом трафике практически не было поддельных электронных билетов на рейсы различных авиакомпаний.

Использовались и такие приманки, которые были рассчитаны на тревожное любопытство пользователя. К ним относятся короткие письма такого рода: «Ваша транзакция прошла успешно. Подробности во вложении», «Во вложении вы найдете отсканированный счет–фактуру». На самом же деле во вложениях находились зловреды.

Не остались без внимания и старые приемчики, такие как электронные открытки, сообщения о не доставленной крупной почтовой компанией посылке или поддельные письма от Google о получении резюме от соискателя.

При таком обилии приемов запутались и сами злоумышленники: на рисунке выше (правый нижний угол) можно заметить, что в письме, имитирующем сообщение о недоставке посылки компанией DHL, в поле From указан Booking.com, а в сообщении якобы от Bank of America (слева) в адресе отправителя указан Fedex. Такие конфузы часто встречались в спам-потоках августа.

Использование легальных сервисов

Злоумышленники уже давно используют легальные сервисы для проведения мошеннических рассылок. Но размещая свои материалы на легальных площадках, спамеры не могут не знать, что группы по разбору инцидентов реагируют быстро, после чего подозрительный контент удаляется. С другой стороны, у легальных бесплатных сервисов множество достоинств: они доступны и бесплатны абсолютно для всех, в том числе для спамеров; используя ссылки на легальные ресурсы, проще обойти антиспам защиту, а пользователь меньше колеблется, проходя по ссылке, если она ведет на знакомую ему площадку.

В августе мы вновь отмечали фишинговые сообщения, основной спамерский контент которых находился на сервисе google.docs. Появилась и новинка в этом сегменте мошеннических писем: нигерийские спамеры стали рассылать свои сообщения с использованием Yahoo-календаря.

Приведенное выше письмо не просто содержит ссылку на легальный сервис, но и отправлено с его помощью, в результате технические заголовки спамерского сообщения совершенно легальны. Надо отметить, что с технической точки зрения такой прием мало отличается от рассылки сообщений с открытых почтовых сервисов, таких как mail.google.com или mail.ru.

Реклама киберпреступников

Помимо саморекламы спамеров, в спам-потоках августа встречались сообщения, рекламирующие услуги и других представителей киберкриминального бизнеса. Особо отметим рассылку с предложением заработать на обналичивании копий банковских карточек. Мошенники прибегают к услугам третьих лиц, чтобы снять в банкомате наличность по поддельным картам. Заработок, предлагаемый в спаме, часто именно в этом и заключается, но, как правило, открыто об этом в спам-письме не говорится.

Часто встречались письма с предложениями купить базы адресов различных регионов: от европейских стран до Ирана. Предложения купить базы адресов для рассылки спама на территории тех государств, где спам редко используется, уже появлялись в потоках мусорной почты во время кризиса 2008-2009 годов. Можно говорить о том, что такие предложения косвенно свидетельствуют об экономических трудностях в сфере спам-бизнеса.

Политический спам

В то время как в Соединенных Штатах президент Барак Обама стал самой упоминаемой в спаме личностью, в России, напротив, в политическом спаме настало затишье.

После активного распространения политических спам-рассылок во время крупных протестных акций с конца 2011 года до весны 2012 нынешнее молчание спамеров приятно удивляет. Несмотря на то что политическая жизнь России насыщена событиями, в спаме они не нашли отражения. Единственное событие, которому в августе была посвящена спамерская рассылка, — выборы в Координационный совет протестного движения. Одно из политических объединений, чьи кандидаты баллотируются в Совет, разослало подробнейший манифест, содержащий информацию о том, за каких кандидатов и по какой причине должны проголосовать пользователи.

В остальном же имена политиков и политические события упоминались исключительно в традиционных рекламных спамерских рассылках. Так, для привлечения внимания имя действующего президента России было упомянуто в теме сообщения с рекламой реплик элитных часов. Интересно, что практически такая же рассылка распространялась и на английском языке с призывом купить «часы как у Обамы».

Статистический обзор

Страны — источники спама

В рейтинге стран — источников спама в русскоязычном сегменте интернета, представленном ниже, остались неизменными два лидера. На первом месте — Индия (+7,1%), на втором — Вьетнам (-0,15%).


Страны — источники спама в русскоязычном сегменте интернета, август 2012 г. (TOP 20)

Германия, располагавшаяся по итогам июля на третьем месте, спустилась сразу на пять строчек вниз (-2,7%). В результате Корея и Китай (по -0,3%), занимавшие в июле четвертое и пятое места соответственно, поднялись на более высокие позиции. Замкнула пятерку лидеров Индонезия, с территории которой было разослано 3,8% спама, что на 0,5% меньше, чем в прошлом месяце. Итак, пятерку лидеров среди стран — источников спама в Рунете составляют исключительно азиатские страны.

Вклад других стран в спам в русскоязычном сегменте интернета по сравнению с июлем изменился незначительно — в пределах 1%.

Позиция России в рейтинге осталась прежней, хотя доля спама, полученного пользователями Рунета с ее территории, уменьшилась на 0,8%. Казахстан сместился с десятого места на девятое, хотя показатель этой страны практически не изменился.

В мировом масштабе лидерство среди стран — источников спама вернулось к Китаю (31,5%). Второе место занимают США (15,7%), а на третьем остается Индия (12,4%).

Вредоносные вложения в почте

В августе вредоносные файлы содержались в 3,9% всех электронных сообщений, что на 0,5% ниже показателя прошлого месяца.

Распределение срабатываний почтового антивируса по странам


Распределение срабатываний почтового антивируса по странам в августе 2012 г.

В рейтинге стран по срабатыванию почтового антивируса уже восьмой месяц подряд лидируют США. Однако в августе доля срабатываний Kaspersky Mail Antivirus на территории этой страны уменьшилась почти на 3%.

Доля срабатываний нашего почтового антивируса на территории Германии практически не изменилась по сравнению с прошлым месяцем, и эта страна вновь занимает вторую строчку рейтинга.

Отметим значительный рост доли срабатываний почтового антивируса на территории Австралии (+2,8%) и Вьетнама (+2,4%). Эти страны заняли четвертую и пятую строчки рейтинга соответственно, опередив Великобританию, показатель которой практически не изменился по сравнению с июлем.

Изменения долей остальных стран рейтинга не превышают 1,5%.

ТОP 10 вредоносных программ, распространенных в почте


ТОP 10 вредоносных программ, распространенных в почте в августе 2012 г.

По итогам августа доля детектирований почтовым антивирусом традиционного лидера нашего рейтинга Trojan-Spy.HTML.Fraud.gen увеличилась более чем в полтора раза. Иными словами, среди детектируемых нами вредоносных программ по итогам августа в почте стало в полтора раза больше сообщений с вложенными фишинговыми html-страницами, имитирующими регистрационные формы финансовых организаций или каких-либо онлайн-сервисов.

На втором месте в рейтинге почтовый червь Email-Worm.Win32.Bagle.gt, снабженный помимо стандартного функционала почтовых червей (сбор электронных адресов на зараженном компьютере и рассылка по ним самого себя) возможностью обращаться в интернет и загружать на компьютер пользователя другие вредоносные программы. Его более простые «братья», ограниченные стандартным функционалом, — Mydoom.m и Mydoom.l — занимают четвертую и десятую строчки соответственно.

Появившиеся в рейтинге в июне программы семейства Androm по итогам августа буквально наводнили ТОР 10 самых детектируемых в почте вредоносных программ: пять из представленных выше зловредов относятся именно к этому семейству. Эти зловреды, установившись в систему пользователя, загружают из интернета другие вредоносные программы.

Фишинг

Доля фишинговых писем в почтовом потоке по сравнению с июлем осталась неизменной и составила 0,01%.


Распределение TOP 100 организаций, атакованных фишерами, по категориям, август 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Рейтинг категорий атакованных фишерами организаций не изменился по сравнению с прошлым месяцем. Все чаще атакуются социальные сети (+1%), снова начало расти число атак на финансовые организации (+1,5%). Доля фишинговых атак на интернет-магазины уменьшилась более чем на 1,5%.

Заключение

В августе, как мы и предполагали ранее, спам был сильно криминализирован. Сентябрь в этом отношении обещает быть более спокойным. Восстановление бизнес-активности приведет к уменьшению числа партнерских, в том числе и вредоносных, рассылок.

Незначительные изменения в распределении долей фишинговых атак по итогам августа объясняются тем, что август является для фишеров переходным месяцем: с одной стороны, под их прицелом остаются школьники и студенты, проводящие во время каникул много времени в Сети, и соответственно, интерес фишеров к социальным сетям все еще высок. С другой стороны, к концу месяца начинает восстанавливаться деловая активность, и в фокусе внимания злоумышленников снова оказываются финансовые организации.

Мы прогнозируем, что в сентябре рост процента атак на банковский сектор продолжится, в то время как интерес фишеров к социальным сетям несколько упадет.

Спам в августе 2012 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике