Отчеты по спаму и фишингу

Спам в июне 2013

Июнь в цифрах

  • Доля спама в почтовом трафике в июне увеличилась на 1,4% и составила 71,1%.
  • Доля фишинговых писем в почтовом потоке по сравнению с маем незначительно увеличилась и составила 0,0032%.
  • Вредоносные вложения содержались в 1,8% всех электронных сообщений, что на 1% ниже показателя прошлого месяца.

Особенности месяца

В июне спамеры особенно активно рассылали рекламу товаров и услуг, спрос на которые резко возрастает в летние месяцы. Мы зафиксировали огромное количество рассылок от туристических агентств с предложениями горящих туров и заманчивыми обещаниями недорогого отпуска для всей семьи.

В связи с экзаменационным периодом в школах и вузах немалую долю июньского спама составили рассылки с предложением готовых дипломов и аттестатов, а также сертификатов на обучение. Такой спам рассылался не только на русском, но и на английском языке.

Мастер-классы «со знаменитостью»

Мы уже привыкли к тому, что спамеры используют имена известных людей для привлечения внимания пользователей к своим письмам, в первую очередь к так называемым «нигерийским». Но в июне 2013 года мы обнаружили несколько рассылок, авторы которых решили использовать имена популярных персон немного по-другому — для рекламы различных обучающих курсов и мастер-классов.

25 июня, в очередную годовщину смерти Майкла Джексона, спамеры не стали удивлять пользователей сообщениями о том, что король поп-музыки жив, или рассылать «нигерийские» письма с просьбой помочь перевести на свои счета его многомиллионное состояние. Вместо этого они использовали имя певца в рекламе мастер-классов по быстрому заработку, разместив фразу «ОН ПРИНЕС МИРУ БОЛЬШЕ ПОЛЬЗЫ, ЧЕМ MICHAEL JACKSON» в теме письма. По всей видимости, расчет был на то, что получатель захочет узнать, кто же этот необыкновенный человек, и откроет письмо. А внутри его будет ждать реклама бесплатного мастер-класса по быстрому заработку без дополнительных вложений – причем без какого-либо упоминания о Майкле Джексоне.

iPhone в спаме

Огромная популярность смартфонов и планшетов Apple у пользователей всего мира стала причиной появления большого количества компаний, специализирующихся на продаже «яблочных» аксессуаров и подозрительно дешевых официальных устройств. Для многих из этих компаний спам стал вполне приемлемым средством рекламы товаров, и в июне 2013 года мы обнаружили несколько рассылок такого рода.

В Рунете спамеры активно рассылали сообщения с рекламой аксессуаров для продуктов Apple, услуг печати фотографий и других изображений на чехлах iPhone и iPad, а также с предложениями купить iPhone по низкой цене.

В англоязычном сегменте интернета нам часто встречался спам с предложением купить устройства Apple c огромной скидкой. Для придания рассылке легитимности спамеры подставляли в поле «From» название компании, хотя электронный адрес отправителя никакого отношения к Apple не имел. Авторы таких писем особо подчеркивали, что количество товара невелико и время на его покупку ограничено — эта старая уловка использовалась для того, чтобы пользователь не тратил времени на раздумья, а сразу перешел по ссылке и заказал товар.

Горящий отдых

В июне мы зафиксировали значительное увеличение доли спама, содержащего рекламу курортов, отелей, баз отдыха и прочих туристических комплексов. Малоизвестные турагентства активно рассылали предложения с горящими турами, чтобы успеть продать их до обозначенной даты.

Кроме того, в спам-рассылках часто встречалась реклама проката оборудования и аренды площадей для организации индивидуального и корпоративного отдыха: аренда теплоходов, загородных клубов и ресторанов и прочие услуги.

Сообщения от турагентств зачастую приходят с бесплатных почтовых ящиков, которые спамеры могут создавать в большом количестве. Некоторые письма даже содержат указание на то, что адреса получателей были взяты из открытых источников, что является одной из характеристик нелегитимных рассылок.

Для привлечения внимания получателей к содержимому писем спамеры используют яркое оформление и короткие броские фразы в теме письма, такие как «отдых по лучшим ценам», «очень горящие туры», «отдых по лучшим мировым стандартам» и др.

Большинство таких сообщений содержат ссылку, направляющую пользователя на официальный сайт отеля или турфирмы, но не напрямую, а через промежуточный ресурс. Таким образом, на один рекламируемый сайт может вести множество ссылок, что в итоге затрудняет идентификацию отдельных писем как частей единой спам-рассылки. Переадресация также позволяет скрыть некоторые данные: название компании-рекламодателя, ее контактную информацию и т.д. Но даже в тех случаях, когда контактная информация содержится непосредственно в сообщении, она представляет собой номер мобильного телефона или адрес электронной почты, которые легко изменить, что и происходит от письма к письму.

Спамеры за доступное образование

Лето — не только пора отпусков, но и время выпускных экзаменов в школах и вступительных испытаний в вузах. В июне мы фиксировали значительное увеличение спам-рассылок с предложениями купить поддельные аттестаты и дипломы, подтверждающие наличие высшего Аобразования. Адреса получателей таких рассылок зачастую брались из открытых источников, различных баз данных или  автоматически генерировались при помощи электронного словаря.

Как правило, письма с рекламой поддельных документов содержат краткую информацию о предлагаемых услугах, а также адрес электронной почты или номер телефона для связи потенциальных клиентов с компанией, занимающейся изготовлением дипломов и аттестатов. Координаты для связи зачастую меняются от письма к письму, но содержимое остается неизменным. Вот, например, два совершенно одинаковых письма, отличающихся лишь темой и адресом электронной почты.

Не следует забывать, что использование поддельных документов, в том числе аттестатов и дипломов, преследуется по закону. И попытка устроиться на работу с помощью фальшивого диплома может принести его владельцу серьезные неприятности, вплоть до уголовного наказания.

Еще одним распространенным предложением в спаме образовательной тематики является продажа сертификатов на обучение по программам высшего и второго высшего образования в определенном вузе. Сообщения с подобными предложениями приходят, однако, не с официальных электронных адресов вузов, а с бесплатных почтовых ящиков, адреса которых могут представлять собой случайный набор букв и цифр.

Письма могут содержать ссылку с говорящим названием, включающим слова «сертификат» и «обучение». Пройдя по такой ссылке, пользователь попадает на сайт, где может оформить заявку на получение сертификата, указав свои контактные данные. Но поскольку письмо приходит не от официального подразделения университета, велика вероятность, что данный сертификат окажется недействительным, если вообще дойдет до заказчика после оплаты требуемой суммы.

Методы и трюки

В июне спамеры использовали хорошо известные, но не теряющие актуальность трюки. В частности, мы зафиксировали несколько рассылок с рекламой сигарет, обычных и электронных, их организаторы использовали возможности сервиса Google Translate для обработки спамерских ссылок. Плюс к этому, спамеры добавили в конец ссылки случайный набор букв и имена принадлежащих корпорации Google доменов на разных языках. Для обратной связи в письме указан адрес электронной почты, зарегистрированный на бесплатном почтовом сервисе: спамеры создают множество таких адресов и постоянно меняют их в своих письмах, чтобы усложнить работу спам-фильтра.

В июне спамеры активно использовали зашумление текста. В частности, авторы рассылок образовательной тематики разбивали фразы в письме беспорядочным набором символов. Благодаря этому письмо в целом читается  сложно, но смысловую  часть(название программы обучения, университета или факультета, а также стоимость обучения и необходимые контакты) человеческий глаз легко выхватывает.

Спамеры, предлагающие продукцию Apple по бросовым ценам, использовали еще один хорошо известный прием. Для замусоривания содержимого рассылки и обхода спам-фильтров они добавили в письмо текст реальных новостей об Apple и ссылку на сайт новостного агентства.

В спам-рассылках, рекламирующих отдых в России и за рубежом, мы фиксировали одновременное использование кириллицы и латиницы в пределах одного слова. Похожая техника использовалась авторами объявлений о продаже недвижимости: часть цифр в тексте была заменена на схожие по написанию буквы, умышленно пропускались пробелы, вставлялись дополнительные символы.

Географическое распределение источников спама

По итогам июня первая тройка стран — источников спама, распространяемого по всему миру, осталась без изменений. Тем не менее, доля спама, рассылаемого  из каждой из трех этих стран, увеличилась. Лидирующую позицию занимает Китай, на который приходится 23,9% рассылаемого спама, что на 2,5% больше, чем показатели прошлого месяца.



Страны – источники спама в мире

На 2-м месте США (17,2%), прибавившие 0,9% по сравнению с майскими показателями. Замыкает первую тройку Южная Корея — количество спама, рассылаемого из этой страны, продолжило увеличиваться и в июне достигло отметки 14,5%.

4-е место сохранил за собой Тайвань (5,8%), его показатель практически не изменился. А вот Вьетнам (3,3%) больше не входит в первую пятерку: доля спама из отсюда уменьшилась на 1,7%, и он переместился на 6-е место. На 5-м месте расположилась Украина (3,7%).

На 7-м и 8-м местах разместились Беларусь (2,8%) и Казахстан (2,7%) соответственно. В июне мы наблюдали небольшое уменьшение спам-потоков из двух этих стран, а именно на 0,6% в случае Беларуси и на 1,6% – в случае Казахстана.

Показатель России (2,1%) уменьшился на 0,1%, и в результате страна вышла из первой десятки и переместилась на 11-ю позицию. На 1% увеличилось количество спама, распространяемого из Италии (2,1%).


Страны – источники спама в Рунете

Лидером среди стран — источников спама в Рунете остается Тайвань (13,3%), показатель которого увеличился на 0,8%. Далее, как и в прошлом месяце, следуют Украина (9,2%) и Вьетнам (8,2%), только поменявшиеся местами. В целом доля спама, разосланного из каждой из этих двух стран, заметно сократилась: на 1,3% в случае Украины и на 3% в случае Вьетнама. Беларусь (7,4%), несмотря на незначительные изменения в объеме спам-потока, поднялась на одну строчку и заняла 4-е место. Замыкает первую пятерку Казахстан (7,2%), доля этой страны как источника спама в Рунете уменьшилась на 2,6%.

В июне мы также наблюдали небольшое увеличение спам-потоков из Индии (6,6%) и Южной Кореи (1,3%). Увеличилась и доля Аргентины  (1,2%), которая в этом месяце вошла в наш список, заняв 15-е место.


Регионы – источники спама

Среди регионов лидером по распространению спама осталась Азия (57,3%) — по сравнению с прошлым месяцем ее доля увеличилась на 1,2%. В первую тройку, как и в предыдущем месяце, вошли Северная Америка (18,7%) и Восточная Европа (13,2%). Однако доля спама из Северной Америки увеличилась на 0,6%, тогда как показатель Восточной Европы снизился на 1,4%.

Вредоносные вложения в почте

Доля вредоносных вложений в почте в июне снизилась на 1% и составила 1,8% почтового трафика.


TOP 10 вредоносных программ, распространявшихся по электронной почте

На 1-м месте рейтинга вредоносных программ, распространяемых по почте, по-прежнему находится Trojan-Spy.HTML.Fraud.gen. Программа представляет собой фишинговую страничку для ввода данных, которые отправляются напрямую злоумышленникам.

2-е место занимает зловред Email-Worm.Win32.Bagle.gt. Этот вирус-червь рассылает себя по всем адресам электронной почты, найденным на зараженном компьютере. Также зловред может без ведома пользователя загружать файлы из интернета.

На 3-й позиции в июне находится программа Email-Worm.Win32.Mydoom.I. Как и положено червю, она осуществляет поиск адресов электронной почты на зараженном компьютере, а затем  рассылает себя в виде вложения (файлы с расширениями .doc, .htm, .html и .txt). При этом адрес отправителя подделывается под один из найденных на компьютере адресов.

Еще один представитель семейства червей Mydoom — Mydoom.m — расположился на 6-й позиции.  Задачей этого червя, помимо саморазмножения, является отправка скрытых запросов таким поисковым системам, как Google, Yahoo, Altavista, Lycos. Червь сравнивает адреса сайтов на первой странице результатов поиска со списком адресов, который он предварительно загрузил с серверов злоумышленников. Найдя совпадение, червь открывает ссылку на странице поисковой системы, накручивая таким образом посещаемость сайтов и повышая их рейтинг в поисковой выдаче.

На 4-й позиции расположилсяTrojan-Dropper.Win32.Dorifel.aewv. Основной задачей троянца является выполнение команд удаленного сервера, скачивание и запуск других зловредов.

Замыкает первую пятерку представитель семейства ZeuS/Zbot, а именно программа Trojan-Spy.Win32.Zbot.Ibda. Целью троянца является кража различной конфиденциальной информации с компьютеров пользователей, включая данные кредитных карт. В этом месяце мы обнаружили более 1300 модификаций троянца семейства Zeus/Zbot, суммарно на их долю пришлось около 7% всех вредоносных программ в почте.

Также в десятку вошел получивший широкое распространение в этом году троянец-шпион семейства Tepfer.


Распределение срабатываний почтового антивируса по странам

Среди стран 1-е место по количеству срабатываний почтового антивируса в июне заняла Россия, на ее долю пришлось  29,4% срабатываний. Это в 13 раз больше по сравнению с прошлым месяцем, когда показатель России составлял всего 2,2%. Столь заметный рост связан с увеличением количества писем, зараженных червями, в первую очередь Net-Worm.Win32.Kido.ih, Worm.Win32.AutoRun.dtbv и IM-Worm.Win32.Sohanad.bm.

США, лидер прошлого месяца, переместились на 2-ю позицию. По сравнению с маем их доля уменьшилась на 4,7% и составила 9,6%. 3-е место занимает Германия (7,9% — на 1,6% меньше, чем в прошлом месяце). 4-ю и 5-ю позицию занимают Индия (5,9%) и Австралия (4,9%).

На 2,7% — сократилось число срабатываний почтового антивируса в Великобритании (3,3%), которая заняла 8-е место. Италия (2,4%) заняла предпоследнее место в десятке, ее показатель уменьшился по сравнению с маем на 2,8%.

Вместо замыкающей TOP-10 в прошлом месяце Канады в десятку вошел Китай (1,7%).

Особенности вредоносного спама

Крупная вредоносная рассылка была зафиксирована нами в июне:  под прицел спамеров попали организации, сотрудничающие с американской компанией LexisNexis, предоставляющей онлайн-доступ к различным базам данных. В письме-подделке, пришедшем с легитимного, на первый взгляд, адреса einvoice.notification@lexisnexis.com, сообщалось, что для компании сформирован счет за оказанные LexisNexis услуги. Для ознакомления с более подробной информацией по счету и его оплаты необходимо открыть вложенный в письмо архив и распечатать PDF-файл. В архиве LexisNexis_Invoice_06212013.zip на самом деле находился троянец Tepfer, используемый для кражи логинов и паролей пользователей.

Мошенники приложили заметные усилия для придания подделке вида официального письма: были использованы логотип и достоверные контактные данные компании LexisNexis. Однако если провести подсчет, то в письме в трех разных предложениях пользователю предлагается открыть вложение, что должно насторожить получателя.

Фишинг

В июне доля фишинговых писем в глобальном почтовом потоке незначительно увеличилась и составила 0,0032%.


Распределение по категориям TOP 100 организаций, атакованных фишерами

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

По итогам июня лидирующую позицию в рейтинге организаций, атакуемых фишерами, продолжают удерживать социальные сети (31,3%), хотя их показатель уменьшился на 4,6%.

2-е и 3-е места, как и в мае, занимают поисковые системы (15,6%) и финансовые и платежные организации (14,3%). В прошлом месяце их показатели были практически равны, а в этом доля поисковиков увеличилась на 0,61%, а доля финансовых и платежных организаций, наоборот, на столько же уменьшилась.

Почтовые сервисы поднялись на 4-ю строчку – их показатель вырос почти в 3 раза и по итогам июня составил 13,2%. ИТ-вендоры (9,5%) опустились на 5-е место. Телефонные и интернет-провайдеры (8,2%) продолжают удерживаться на 6-й строчке, а онлайн-магазины (5,7%) спустились на две строки вниз и занимают по итогам июня 7-е место.

В июне нами было зафиксировано несколько рассылок поддельных уведомлений от имени известной электронной платёжной системы PayPal. В одном из таких писем сообщалось, что система  зарегистрировала подозрительные платежи с банковской карты пользователя, привязанной к аккаунту PayPal, и в связи с этим доступ к личному счету приостановлен. Для восстановления доступа к электронному счету пользователю необходимо открыть файл из приложенного к письму архива AccountVerification.zip. Находящийся в архиве файл Verify Account.html открывается в браузере и является поддельной страницей обновления профиля PayPal. По замыслу мошенников, пользователь должен ввести на этой странице данные кредитной карты, данные аккаунта PayPal и другую персональную информацию, которая в итоге попадет в их руки. В результате мошенники получат доступ не только к аккаунту PayPal своей жертвы, но и к ее банковской карте.

Заключение

В начале лета прогнозируемо выросло количество «образовательного» спама, а также участились рассылки с предложениями отдыха и туристических поездок. Кроме того, в июне спамеры продолжили использовать имена известных людей для рекламы товаров и услуг. А популярность продукции компании «Apple» спамеры использовали для рекламы аксессуаров и предложений скидок на известные электронные гаджеты.

В июне более половины мирового спама по-прежнему распространялась из трех стран: Китая, США и Южной Кореи. При этом показатели каждой из стран-лидеров продолжили расти. В спам-потоках Рунета в первой тройке не произошло изменений: по-прежнему лидирует Тайвань, далее идут поменявшиеся местами Украина и Вьетнам. На 4-м месте расположилась Беларусь, а замыкает первую пятерку Казахстан.

Вопреки прогнозам количество фишинговых атак на социальные сети в июне снизилось, однако они сохранили лидирующую позицию по этому показателю. Зато резко увеличилось количество атак на электронную почту и программы мгновенного обмена сообщениями. Это можно объяснить тем, что в период летних отпусков и каникул увеличилось число пользователей электронной почты и таких программ, как ICQ‎, Jabber, Skype и др. Отметим, что аккаунты этих сервисов пользуются спросом на черном рынке, что стимулирует активность фишеров.

Спам в июне 2013

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике