Спам в июле 2012 года

Июль в цифрах

• Доля спама в почтовом трафике по сравнению с июнем уменьшилась на 0,1% и составила в среднем 71,8%.
• Доля фишинговых писем в почтовом потоке по сравнению с июнем осталась неизменной и составила 0,01%.
• В июле вредоносные файлы содержались в 4,4% всех электронных сообщений, что в полтора раза выше показателя прошлого месяца.

Главные темы спама

Опасные купоны

Купонные сервисы — интернет-проекты, предоставляющие пользователям коллективные скидки, — пользуются огромным спросом, как в России, так и в других странах мира. Мы уже поднимали тему использования купонов в спаме в

Интересно, что все ссылки в письмах с вредоносными вложениями вели на сайт Groupon, на котором никаких опасных объектов не было. Очевидно, это был трюк, использованный злоумышленниками, чтобы вызвать доверие пользователя.

Мы уже писали, что тема купонов стала использоваться спамерами для привлечения внимания к своим традиционным рассылкам, таким как реклама виагры или реплик элитных товаров. Существует также купонный спам, распространяемый небольшими купонными сервисами, – они рассылают свои предложения не подписавшимся на рассылки пользователям, чтобы увеличить охват аудитории. Появление вредоносного спама, использующего тему купонов, было вполне ожидаемо, поскольку такие сервисы пользуются большой популярностью.

Кризисный спам

В середине лета заметно увеличилось количество писем, эксплуатирующих тему кризиса. На данный момент подавляющее большинство фиксируемых нами предложений этой рубрики – реклама различных семинаров для бухгалтеров и руководителей предприятий. В сообщениях говорится, что во время семинара будут рассмотрены вопросы антикризисного управления делами.

Также в спам-потоках встречается множество сообщений, эксплуатирующих тему кризиса для привлечения внимания к тому или иному товару по «антикризисной цене». Особенно активно «скидки против кризиса» используются для рекламы реплик элитных товаров.
Интересно отметить появление в испанском спаме сообщений, предлагающих инвестиции в недвижимость как средство сохранения денег в кризисный период.

Сложной экономической ситуацией продолжают пользоваться и мошенники. Уже сейчас в англоязычных спам-потоках небывало большое количество предложений сомнительного заработка. Предложения «быстрого кредита» фиксируются нами практически на всех европейских языках. Количество таких сообщений в ближайшие месяцы будет только увеличиваться, чему способствует растущий уровень безработицы в Европе.

События месяца в спаме

Трагедия в Крымске

В начале июля в Краснодарском крае произошла страшная трагедия: в результате наводнения в городе Крымске погибли десятки человек, тысячи людей пострадали, многие лишились крова.

Для оказания помощи пострадавшим в Крымск отправлялись волонтеры со всей страны, многие благотворительные фонды начали целевой сбор средств. В течение июля мы фиксировали рассылки, призывающие пользователей перевести деньги в качестве помощи жителям Крымск. Интересно, что большинство таких рассылок были действительно от благотворительных фондов или сочувствующих им. Неизвестно, сами ли фонды решили привлечь дарителей с помощью спама, или какие-то доброжелатели избрали такой сомнительный способ, но компания, в которой оказались благотворители – не самая хорошая. Дело в том, что помимо сообщений с верными номерами счетов для перевода денег встречались и письма–подделки, с фальшивым номером счета.

Мы в любом случае не рекомендуем пользователям переводить деньги на счета, указанные в спамерских письмах. Если вы хотите помочь пострадавшим, а не «подкормить» спамера, пытающегося нажиться на чужом горе, лучше воспользуйтесь более авторитетным источником информации. В частности, все крупные фонды имеют свои интернет-странички, где указываются данные их счетов.

Олимпиада

В спам-потоках присутствовал и олимпийский спам. Большинство рассылок, эксплуатировавших тему игр, – это мошеннические сообщения о выигрышах в лотерею. Цель этих сообщений – получить от пользователя деньги под видом комиссии за перевод баснословного выигрыша или налогов с него.

Еще один вид олимпийского спама – предложение билетов на соревнования. В подавляющем большинстве случаев эти сообщения рассылались мошенниками – с тем, чтобы заполучить финансовые данные пользователя. В некоторых случаях билеты могли оказаться настоящими, однако цена на них была завышена в несколько раз.

Рамадан

Во второй половине июля в мусульманском мире начался священный месяц Рамадан. Традиционно в это время в трафике появляется множество соответствующих рассылок. В основном свою рекламу стараются распространять мусульманские рестораны, приглашающие гостей после вечернего намаза. Кроме того мы зафиксировали сообщения, предлагающие различные мусульманские товары, в том числе «мобильный Коран» – для верующих, не желающих нигде и никогда расставаться со священным писанием.

Статистический обзор

Страны – источники спама

Ниже представлен рейтинг стран – источников спама в русскоязычном сегменте интернета. Неизменной в нем осталась пара лидеров. На первом месте — Индия, хотя доля спама, распространенного в Рунете из этой страны, снизилась наиболее значительно (-3,5%). На втором месте Вьетнам, вклад которого, напротив, заметно вырос (+4%).

Страны — источники спама в русскоязычном сегменте интернета, июль 2012 г. (TOP 20)

На третьем месте неожиданно оказалась Германия. Доля спама, распространенного в Рунете с территории этой страны, увеличилась на 4,1%, что было самым крупным прорывом июля. Германия потеснила Южную Корею, откуда в июле было распространено 4,85% спама — на 0,6% меньше, чем в предыдущем месяце.

На пятое место в рейтинге поднялся Китай, доля спама, приходящаяся на эту страну, выросла на 1,9%. На столько же – 1,9% — уменьшилась доля спама, распространенного с территории Бразилии, занимавшей в июне четвертую строчку рейтинга, а в июле переместившейся сразу на пять позиций вниз.

Доли мусорной почты, разосланной из других стран — источников спама в русскоязычном сегменте интернета, по сравнению с июнем изменились незначительно — в пределах 1%.

Казахстан сместился с восьмого места на десятое, показатель этой страны уменьшился на 0,8%. Россия передвинулась на одну строчку вниз, хотя доля спама, полученного пользователями Рунета с территории этой страны, увеличилась на 0,4%.

В мировом масштабе лидерство среди стран — источников спама перешло к США (25,6%), хотя лидер предыдущих месяцев Китай отстал чисто формально — 25,2%. Третье место занимает Индия (10%).

Вредоносные вложения в почте

В июле вредоносные файлы содержались в 4,4% всех электронных сообщений, что на 1,4% выше показателя прошлого месяца.

Распределение срабатываний почтового антивируса по странам

Распределение срабатываний почтового антивируса по странам в июле 2012 г.

В рейтинге стран по срабатыванию почтового антивируса, как и предыдущие полгода, лидируют США. В июле доля срабатываний Kaspersky Mail Antivirus на территории этой страны увеличилась на 0,75%.

Германия третий месяц подряд занимает вторую строчку нашего рейтинга (+0,7%), следом неотступно идет Великобритания (+0,3%).
Наиболее заметным по итогам июля стало перемещение Италии с седьмой на десятую строчку. Доля срабатываний почтового антивируса на территории этой страны уменьшилась на 1,4%.

Изменения долей остальных стран рейтинга не превышают 1%.

Распределение ТОP 10 вредоносных программ, распространенных в почте

ТОP 10 вредоносных программ, распространенных в почте в июле 2012 г.

По итогам июля доля детектирований почтовым антивирусом традиционного лидера нашего рейтинга Trojan-Spy.HTML.Fraud.gen уменьшилась на 1,7%. То есть доля сообщений, используемых для распространения фишинговых html-страниц, имитирующих регистрационные формы финансовых организаций или каких-либо онлайн-сервисов, несколько сократилась.

На втором месте в рейтинге – вредоносная программа Trojan.JS.Iframe.aaz. Он опасен тем, что к заражению компьютера ведет уже само открытие спамерского письма. Эта программа представляет собой скрипт, который исполняется прямо из письма, если письмо открыто в html-формате. Мы настоятельно рекомендуем пользователям побороть свое любопытство и не открывать спамерские письма.

Располагавшийся в прошлом месяце на второй строчке рейтинга зловред-упаковщик Packed.Win32.Katusha.o в июле был менее популярен у злоумышленников. На его долю пришлось почти вдвое меньше срабатываний почтового антивируса, чем в прошлом месяце. Напомним, что упаковщики этого семейства используются для обхода детектирования антивирусными средствами других вредоносных программ и чаще всего содержат поддельные антивирусы.

Почтовые черви по-прежнему представлены в рейтинге. В июле, однако, лишь три самых стойких программы вошли в ТОР 10 – это Mydoom.m, NetSky.q и Bagle.gt. Функционал первых двух червей ограничен двумя функциями: сбором почтовых адресов на зараженном компьютере и рассылкой самих себя по почте. Bagle.gt кроме того может обращаться к интернет-ресурсам для загрузки оттуда вредоносных программ.
Две программы семейства Trojan.Win32.Androm, впервые попавшие в рейтинг в прошлом месяце, вновь представлены в десятке наиболее часто детектируемых почтовым антивирусом программ. Эти зловреды, установившись в систему пользователя, загружают из интернета другие вредоносные программы.

Фишинг

Доля фишинговых писем в почтовом потоке по сравнению с июнем осталась неизменной и составила 0,01%.

Распределение TOP 100 организаций, атакованных фишерами, по категориям, июль 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Увеличение доли атак на социальные сети на фоне уменьшения доли атак на финансовые организации продолжается. По итогам июля атаки на социальные сети составили 25,8% от всех зафиксированных нами фишинговых атак, а на финансовые организации — лишь 22,2%. В то же время доля фишинговых атак на интернет-магазины снизилась почти на 1% и составила 18,4%.

В фокусе внимания фишеров по-прежнему остается самая популярная социальная сеть – Facebook. Это является отличительной особенностью категории «социальные сети». Если в категорию «банки» входит множество организаций, на каждую из которых приходится не более 1,5% от всех фишинг-атак, то в категории «социальные сети» есть явный лидер. Это неудивительно, ведь большинство пользователей социальных сетей пользуются Facebook. В то время как среди банковских организаций нет банка, которым пользовалось бы абсолютное большинство клиентов.

Заключение

В период летнего затишья заказов у спамеров меньше. Как следствие, спамеры активнее распространяют партнерский спам, в том числе вредоносный. В связи с этим, а также под влиянием сложной экономической ситуации мусорный трафик становится все опаснее. Доля вредоносных вложений в почте увеличилась за последний месяц в полтора раза. При этом среди популярных в почте вредоносных программ на второй строчке располагается скриптовый зловред, исполняющийся уже при открытии письма. Подчеркнем, что помимо 4,4% почты с вредоносными вложениями, существует также вредоносный спам, который содержит вредоносные ссылки.

Не менее опасны и мошеннические сообщения, которых в трафике становится все больше. Речь идет как о нигерийских сообщениях, так и о предложениях сомнительного заработка и быстрых кредитов – все эти сообщения нацелены на выманивание денег у пользователей или на вовлечение их в преступные схемы.

Август рискует стать пиковым месяцем по уровню опасности спама. В прошлом году в последнем летнем месяце доля сообщений, содержащих вредоносные вложения, составила почти 6%. В этом году все идет к тому, что такой мощный всплеск рассылки вредоносного кода вполне может повториться.

Мы настоятельно рекомендуем пользователям не открывать спамерские письма. Эта рекомендация актуальна всегда, но именно сейчас на фоне очевидной тенденции к увеличению степени опасности мусорного трафика к ней стоит отнестись с особой серьезностью.