Отчеты по спаму и фишингу

Спам в I квартале 2007 года

Основные тенденции

  1. Доля спама в Рунете оставалась стабильной: 70 – 80% от всей почты.
  2. Уменьшилась доля тематики «Личные финансы».
  3. Наметилась тенденция снижения доли «графического» спама.

Доля спама в почте

В первом квартале 2007 года доля спама в Рунете оставалась стабильной и составляла от 70 до 80% общего объема почты. Минимальное значение спама было зафиксировано 7 февраля (69,8%), максимальное – 11 февраля (86,0%).

Первые три месяца 2007 года продемонстрировали, что сезонные колебания доли спама, обусловленные рекламным характером рассылок, постепенно «сглаживаются» и могут уйти в прошлое. В первом квартале 2007 года не зафиксировано ни серьезных «падений» доли спама в январские и весенние праздники (8-е марта), ни резкого роста доли спама непосредственно перед праздниками, характерных в прошлом. Причина такой равномерности — в меняющемся характере спама. Все большая его часть криминализируется и отходит от традиционного рекламного жанра. Криминализированный спам не подчиняется законам рекламного рынка и практически не подвержен колебаниям, зависящим от спроса/предложения в тот или иной период.

Тематический состав спама

В первом квартале 2007 года состав тематических лидеров спама выглядел следующим образом:

  1. «Образование» (15,2% от всего спама).
  2. «Медикаменты; товары и услуги для здоровья» (14,0%)
  3. «Личные финансы» (10,7%)
  4. «Услуги по электронной рекламе» (9,0%), «Компьютеры и Интернет» (9,0%)

В статистике Рунета большую долю спама занимают рассылки тематики «Образование» (15,2%). Доля спама данной тематики росла в течение трех месяцев (январь – 10,3%; февраль – 16,2%; март – 18,6%), и по итогам квартала тематика вышла в лидеры. Спам тематики «Образование» — это предложения купить дипломы/аттестаты; реклама семинаров, тренингов, курсов. В первом квартале 2007 года наиболее популярными темами тренингов и семинаров были: годовая бухглатерская отчетность, налоговая отчетность, проверка на налоговую «чистоту» и прочие темы, связанные с годовой отчетностью предприятий и организаций.

Традиционно велика доля спама тематики «Медикаменты; товары и услуги для здоровья» — реклама дешевых медикаментов (виагра, циалис и т.п .), которые представяют из себя агрессивные и массовые рассылки, использующие графические технологии.

Четвертое место поделили сразу две тематические категории. По-прежнему высокие показатели тематики «Услуги по электронной рекламе» — признак того, что спамеры продолжают искать все новых клиентов.

Доля спама тематики «Личные финансы» сократилась с 13,3% в январе до 6,9% в марте.

Напомним, что спам данной тематики в основном используется для создания исскуственного спроса на рекламируемые акции при реализации схемы «накачки и сброса» и в большей части представлен письмами с графическими вложениями. Причиной падения доли «финансового» спама является снижение его эффективности, обусловленное, с одной стороны, насыщением спроса со стороны пользователей, с другой – успешной фильтрацией «графического» спама спам-фильтрами различных производителей.

Тематические особенности I квартала 2007

В первом квартале 2007 года активизировался русскоязычный спам тематики «Недвижимость» (предложения риэлтерских услуг, предложения сдать/снять квартиру и т.п.). Спам такого содержания типичен именно для Рунета и достаточно давно появился среди других видов спама. Но только в последнее время реклама, связанная с недвижимостью, заняла стабильную долю в потоках «мусорной почты» (около 2-4%) (подробнее см. отчет за март 2007 года).

Наметились изменения в рекламе собственно спамерских услуг. Теперь спамеры предлагают рассылку спама и по специализированным базам (например, по базе адресов «деловая Москва», база адресов физических или юридических лиц). Максимальный размер предлагаемой базы адресов Рунета (общей) составляет более 14 миллионов адресов.

Сбор адресов и подготовка адресных баз явно выделены в отдельную отрасль спамерского бизнеса. Базы собирают и продают независимо от проведения спам-рассылок. В первом квартале 2007 года спам-аналитики обнаружили предложение по подготовке целевой базы адресов для рассылки спама — «Собeрeм для Вас по ceти интepнeт бaзу дaнных Bашиx потeнциальных клиентoв» — с учетом сферы деятельности предпринимателей и мест, где могут находится потенциальные клиенты (т.е. заказчик может указать список специализированных форумов, откуда надо собрать адреса).

Также в первом квартале 2007 года была зафиксирована попытка фишинга по отношению к российскому банку. Это редкость, т.к. обычно мишенями фишеров становятся западные банки, обладающие бОльшим числом клиентов, использующих доступ к счетам online. Мишенью атаки, прошедшей в 20-х числах февраля 2007 года, стал Альфа-банк. Фишеры, по сути, скопировали новостное сообщение Альфа-банка об усилении системы безопасности, но ссылка, размещенная в теле фишингового письма только на первый взгляд должна была привести пользователя на сайт Альфа-банка. В действительности она вела на сайт злоумышленников (в домене …co.kr), где пользователя просили ввести персональные данные. Надо отметить, что Альфа-банк оперативно отреагировал на случаи мошенничества, разместив у себя на сайте предупреждение для своих пользователей.

Спамерские приемы и методы

В первом квартале 2007 года спамеры вновь предприняли несколько попыток обновить технологии генерации графических вложений в спаме (спам в «картинках»). В частности, в феврале они пытались реанимировать технику анимированной графики.

Но были испробованы и другие приемы, в частности, спамеры пытались использовать разные, причем далеко не самые распространенные, шрифты:

Тем не менее, попытки разнообразить графический спам не принесли успеха спамерам, и доля спама с графическими вложениями начала постепенно снижаться. В январе доля такого спама составила 33% от всего спама, но уже в феврале этот показатель снизился до 27,4%, а в марте – до 25,7%.

С содержательной точки зрения современный «графический» спам, в котором используются анимация или специфичные приемы по зашумливанию бэкграунда и пр., чаще всего содержит предложения медикаментов, софта, а также продвигает различные акции. В основном это спам на английском языке, хотя бывают и исключения. Например, русскоязычная спам-рассылка, рекламирующая услуги по настройке компьютеров и установке программ (содержит вложенный анимированный gif со случайным шумом на заднем плане информативного кадра):

Спам в I квартале 2007 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике