Отчеты по спаму и фишингу

Спам в июне 2009 года

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с маем уменьшилась на 0,7% и составила в среднем 84%.
  • Ссылки на фишинговые сайты находились в 0,94% всех электронных писем, что на 0,25% больше, чем в мае.
  • Вредоносные файлы содержались в 0,31% электронных сообщений, это на 0,28% больше, чем в прошлом месяце.
  • Для привлечения внимания к письмам, содержащим вредоносные ссылки, злоумышленники использовали имя Майкла Джексона.
  • Мошенники играли на страхе перед возможным повышением процентной ставки на кредиты.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в июне 2009 года в среднем составила 84%. Самый низкий показатель отмечен 12 июня — 78,3%, больше всего спама зафиксировано 28 числа — 88,9%.


Доля спама в Рунете в июне 2009

Вредоносные вложения и ссылки

Вредоносные файлы содержались в 0,31% электронных сообщений, это на 0,28% больше, чем в прошлом месяце.

Для того чтобы завлечь пользователя на страницы с вредоносными объектами, чаще всего использовались темы дешевых медикаментов и различных способов выхода из сложной финансовой ситуации. Так, реклама ломбарда содержала в себе ссылки на страницу с программой Trojan-Downloader.JS.Iframe.azt:

Печальная новость о смерти Майкла Джексона, облетевшая мир 26 июня, стала удобным предлогом для распространения вредоносных файлов. Злоумышленники, рассчитывая на широкую аудиторию поклонников короля поп-музыки, осуществили рассылки с обещаниями пролить свет на его загадочную смерть. Заинтересовавшегося предлагаемой информацией ждало разочарование, а его компьютер подвергался опасности заражения. В приведенном ниже письме ссылка вела на страницу, которая отсылала к исполняемому файлу, троянской программе семейства Trojan-Spy.Win32.Zbot, ориентированной на кражу данных пользователя.

Who killed Michael Jackson?
Michael Jackson Was Killed…

But Who Killed Michael Jackson?

Visit X-Files to see the answer:

http://MJackson.site/x-files

Также была зафиксирована рассылка на итальянском языке. В ней предлагалось посмотреть шокирующее видео о последних минутах жизни американского поп-идола. В качестве дополнительной приманки в конце стояло предупреждение: «Детям до 16 не разрешается смотреть это видео!». Ссылка напоминала название популярного видеоресурса Youtube, но содержала в себе имя певца — youtubemichaelj. Вместо ролика на экране появлялось сообщение об ошибке, а пользователю предлагалось скачать кодек в формате exe, якобы позволяющий просмотреть видеосюжет. На поверку кодек оказался вредоносным червем Net-Worm.Win32.Kolab.cxa.

Фишинг и мошенничество

Ссылки на фишинговые сайты находились в 0,94% всех электронных писем, что на 0,25% больше, чем в мае.

На первом месте по числу фишинговых атак по-прежнему электронная платежная система PayPal. Доля атак, нацеленных на ее пользователей, в июне выросла на 8% и превысила 60% всех атак фишеров. На втором месте традиционно аукцион eBay, на его долю пришлось 9% атак фишеров — на 7% меньше, чем в мае.

Организации, подвергнувшиеся фишинговым атакам в июне 2009

Все новое — хорошо забытое старое. Фишеры рассылали письма от имени нескольких банков, предлагая клиентам пройти по ссылке в письме и ввести логин и пароль на открывшейся странице. Они мотивировали это тем, что с IP пользователя было зафиксировано несколько неудачных попыток ввести идентификационные данные.

Русскоязычные мошенники распространяли письма о том, что процентная ставка по кредиту якобы может быть увеличена. Получателям таких писем для уточнений предлагалось связаться с оператором банка по телефону. Главное, что должно было насторожить пользователей — отсутствие координат банка, а также подозрительно короткий номер (0935) для связи с оператором. В письме содержалась подробная инструкция, как осуществить звонок, но не сообщалось, что разговор с «оператором» платный, и минута разговора по короткому номеру стоит около 2 долларов. Такой способ мошенничества может быть более разорителен для пользователя, чем обычный спам с просьбой отправить SMS-сообщение, так как предсказать, сколько времени займет общение с фальшивым электронным оператором, сложно.

Уважаемый кредитор! Ваша процентная ставка на кредит возможно будет увеличина! Более подробную информацию по изменениям, коснувшихся Вас, прослушайте по новому и удобному для Вас банковскому телефону быстрой связи 0935 код 900 (консультационный отдел кредитования). По Вашим многочисленным просьбам, пишется инструкция по набору номера электронного секретаря: 0935 далее Вы набираете клавишу вызова после чего добавочный код 900 (отдела кредитования) и Вы попадаете на прямую линию к оператору. Звонки по телефону быстрой связи принимаются по будням с 9:00 до 18:00 и в субботу с 10:00 до 16:00

Тематический состав спама

Распределение тематик спама в Рунете в июне 2009

Пятерка лидирующих спам-тематик июня:

  1. Медикаменты; товары и услуги для здоровья — 21,1% (-11,3%)
  2. Реклама спамерских услуг — 15,2 % (-3,3%)
  3. Образование — 14,3% (+6,4%)
  4. Недвижимость — 6,9% (+2,9%)
  5. Спам «для взрослых» — 6,3% (-0,6%)

На первом месте, как и в мае, — «Медикаменты; товары и услуги для здоровья», однако доля этой рубрики уменьшилась на 11%. Преимущества продукта спамеры пытались передать минимумом средств:

Спам, тематически связанный с образованием, оправдал наши прогнозы, сделанные в мае, и занял третье место в рейтинге. Перед экзаменационной страдой встречалась реклама хитроумных устройств для успешной сдачи экзаменов. Устройство, по всей видимости, предназначается для «вечных студентов», так как в сообщении говорится о «пожизненной гарантии»:

Рубрика «Другие товары и услуги» значительно упрочила свои позиции (+6,1%), — в июне ее доля составила 11,7%. Оживление в рекламе малого бизнеса началось уже с первых недель лета. Большая часть писем содержала предложения бытовых и транспортных услуг, востребованных в период отпусков.

Рейтинг рубрики «Недвижимость» повысился почти на 3%, и она заняла четвертое место. В основном в этом спаме предлагалась аренда помещений. Возможно, это связано с концом полугодия и истечением срока договоров, заключенных на полгода.

Спамерские методы и трюки

Примеры забавной графической саморекламы спамеров мы не раз приводили в еженедельных спам-отчетах. В июне «веселые картинки» стали еще разнообразнее. Здесь и «Семечки» и «бабушки» и «Натаха, дура» и «засифонь друга» и даже «спам это мило». Кроме того, появились письма, оформленные в том же стиле, но адресованные узкой целевой аудитории: директорам санаториев, организаторам семинаров, бухгалтерам и представителям мелкого бизнеса.

При этом спамеры, пытаясь усложнить работу спам-фильтров, меняют контрастность, яркость и цветовую гамму картинок. Стоит отметить, что этот любопытный метод используется в рекламе именно спамерских (а не каких бы то ни было других) услуг.

Заключение

В июне не было отмечено значительных изменений в процентном соотношении спама и легитимной переписки. Начало лета отразилось на тематической составляющей незапрошенных рассылок: заметно увеличилась доля писем, связанных с образованием, недвижимостью, а также писем, рекламирующих товары и услуги мелкого бизнеса. Важно отметить, что как и в прошлом году в июне наблюдалось увеличение доли писем, содержащих вредоносные вложения. Даже мировые сенсации в этот период спамеры использовали прежде всего для привлечения внимания к письмам с вредоносными вложениями. Несмотря на небольшое количество нововведений в области техники проведения рассылок, трудно сказать, предпочитают ли спамеры отдыхать в период летних отпусков или готовятся к началу нового сезона.

Спам в июне 2009 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике