Отчеты по спаму и фишингу

Спам в мае 2010 года

Особенности месяца

  1. Доля спама в почтовом трафике по сравнению с апрелем увеличилась на 2,1% и составила в среднем 85,1%.
  2. Ссылки на фишинговые сайты, как и в предыдущем месяце, содержались в 0,02% всех электронных писем.
  3. Вредоносные файлы содержались в 1,69% электронных сообщений, что на 0,45% больше, чем в прошлом месяце.
  4. В мае количество англоязычного спама в Рунете заметно возросло, в то время, как спам на русском языке стал встречаться реже.
  5. Самые хитроумные трюки спамеры используют в саморекламе.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в мае 2010 года в среднем составила 85,1%. Самый низкий показатель месяца был зафиксирован 31 мая — 79,8%; больше всего спама было получено пользователями 9 мая, в День Победы, — 89,8%.


Доля спама в мае 2010 года

Страны — источники спама


Страны — источники спама

В апреле Индия и Вьетнам наступали на пятки Соединенным Штатам Америки, однако в мае из этих стран спама было разослано меньше: из Индии на 4,1%, а из Вьетнама — почти на 7%. В то же время количество спама, распространенного из США, увеличилось на 8,5% и вернулось к обычному уровню — 20,7%.

Количество спама, распространенного из России, увеличилось на 1,2%. Хотя это увеличение незначительно, Россия вновь вошла в тройку лидеров.

В мае значительные изменения в нашем рейтинге коснулись позиций Китая и Бразилии — обе эти страны медленно начинают отвоевывать свои позиции. Пока они не попали в пятерку лидеров, однако количество спама, распространенного из Китая, увеличилось на 2% по сравнению с апрелем, что позволило ему подняться на 6-ю строчку рейтинга. Количество бразильского спама увеличилось практически в половину (+1,2%), и в этом месяце он следует за Китаем, занимая 7-ю строчку.

Резко изменили свои позиции Германия и Италия, выпавшие из первой десятки рейтинга. Количество спама, распространенного из каждой из этих стран, уменьшилось на 2%.

Кроме того, интересно отметить появление в нашей двадцатке Аргентины. С территории этого государства было распространено 2,1% всего мирового спама.

Фишинг

Количество электронных писем, содержащих ссылки на фишинговые сайты, не изменилось по сравнению с апрелем и составило 0,02%.

Первая четверка организаций, наиболее часто подвергавшихся фишинговым атакам, также осталась неизменной: PayPal (50,4%, -4,2%), eBay (13,4%, +1,9%), HSBC (8,5%, -1,1%) и Facebook (6,9%, -1,8%). Да и в остальном десятка не претерпела серьезных изменений, за исключением «вылетевших» из нее социальной сети Habbo и американской службы по налогам и сборам IRS. Их место заняли банковская система NatWest и Bank Of America.


Организации, подвергнувшиеся фишинговым атакам в мае 2010 года

Одна из довольно крупных спам-рассылок была нацелена как раз на Bank Of America. Ничего оригинального, впрочем, фишеры придумывать не стали:

Как видите, использованная уловка вполне традиционна для этого вида мошенничества: пользователю предлагается перейти на сайт, где он должен «активировать» свой аккаунт онлайн-банкинга в связи с тем, что была введена новая система безопасности. Разумеется, данные, введенные на фишинговом сайте, отправятся прямо к мошенникам.

Клиенты банка HSBC, как уже было упомянуто, остаются одной из самых популярных мишеней для фишеров. В мае нами была зафиксирована рассылка сообщений, в которых клиентам этого банка вообще без объяснения причины предлагается открыть вложенный файл. При этом тема письма звучит коротко: «ВАЖНО».

Открывший вложение пользователь попадает на фишинговую страничку в интернете, где его просят ввести логин и пароль для входа в систему онлайн-банкинга.

В мае одна из фишинг-атак была нацелена на пользователей российской платежной системы Яндекс.Деньги. Сообщение представляет собой стандартный фишинговый текст, в котором мошенники пытаются запугать получателя: на вас была подана жалоба, возможна блокировка исходящих операций… Ссылка в письме, разумеется, ведет не на сайт Яндекс.Деньги, а на его копию, специально созданную для кражи паролей.

Вредоносные программы в почте

Вредоносные файлы содержались в 1,69% электронных сообщений, что на 0,45% больше, чем в прошлом месяце.

Рейтинг стран, в которых электронные письма чаще всего содержат вредоносный код, по сравнению с апрелем практически не изменился. Для злоумышленников развитые страны по-прежнему являются более интересными целями для распространения вредоносных программ.


Страны, с самым высоким уровнем распространения зловредов через почту

Наиболее заметным изменением в данном рейтинге является перемещение Испании с девятой на пятую строчку. Количество зловредов, задетектированных нашим почтовым антивирусом в этой стране, возросло по сравнению с апрелем почти вдвое.

Социальные сети остаются предметом живого интереса злоумышленников. Так, в мае нами были зафиксированы рассылки, использующие Facebook и Youtube как приманку для распространения вредоносного кода. При этом рассылка, эксплуатирующая Facebook, была создана по «общепринятым стандартам» фишеров и спамеров, распространяющих вредоносные программы. Пользователю предлагается прочитать некую важную информацию, якобы полученную им от администрации соцсети, для чего необходимо пройти по ссылке.

Если приглядеться повнимательнее, то внизу можно увидеть адрес страницы, на которую на самом деле будет перенаправлен пользователь, в том случае если он щелкнет по ссылке. После перехода на эту страницу на компьютер пользователя загружается вредоносный код. Хочется отметить, что спамеры научились очень ловко подделывать рассылки от Facebook. Так, вышеприведенное письмо по своему виду вполне может сойти за настоящее сообщение от соцсети.

Рассылка, эксплуатирующая Youtube, сделана куда более топорно. В ней пользователю предлагается скачать некий инструмент, позволяющий оптимизировать поиск видео на известном портале.

«Инструмент», разумеется, на самом деле оказывается троянской программой.

Самой изобретательной в мае была рассылка, нацеленная на российских пользователей, в которой им предлагалось скачать различное ПО. Среди предложенных программ были, например, 1С, Консультант, а также специальная программа для пользователей ТезТур. Вредоносные ссылки, по которым можно было «скачать программу», быстро менялись.

Тематический состав спама


Распределение тематик спама в Рунете в мае 2010

Пятерка лидирующих спам-тематик мая:

  1. Образование — 20% (+0,4%)
  2. Медикаменты; товары/услуги для здоровья — 16,9% (+3,2%)
  3. Отдых и путешествия — 13,9% (-7,2%)
  4. Компьютерное мошенничество — 9% (+1,2%)
  5. Личные финансы — 8,3% (+4,6%)

В мае расстановка сил в пятерке лидирующих спам-тематик изменилась. Интересно отметить, что в трех из пяти тематик-лидеров «Медикаменты», «Компьютерное мошенничество» и «Личные финансы» большую часть составляют англоязычные письма. Количество писем всех этих тематик по сравнению с прошлым месяцем увеличилось. В то же время писем, относящихся к традиционно русскоязычным тематикам, стало меньше. Особенно хорошо это заметно на примере лидера прошлых месяцев, тематики «Отдых и путешествия», доля которой уменьшилась на 7%.

Первую строчку в рейтинге заняла тематика «Образование», к которой относится, в основном, спам-реклама различных семинаров. Среди таких предложений в мае встречались довольно курьезные. Например такие, как представленные ниже варианты семинаров, целевая аудитория которых, очевидно, женщины:

Количество писем, рассылаемых мошенниками, возросло по сравнению с апрелем на 1,2%. В основном это нигерийские письма, письма, сообщающие о выигрышах в лотерею, и письма, предлагающие разнообразные сомнительные сделки. К последним относится и приведенное ниже письмо, в котором пользователю предлагают купить у добывающей компании золото по бросовой цене.

Схема действий мошенников в данном случае аналогична схеме, реализуемой в нигерийском спаме. У заинтересованного пользователя потребуют денег за банковские переводы, таможенную очистку несуществующего, но якобы отправляемого ему золота, за погрузочные работы и транспортировку груза. Разумеется, никакого золота покупатель никогда не получит, даже если переведет деньги.

В русскоязычном спаме также встречаются мошеннические письма, однако здесь мы наблюдаем уже совершенно иную схему: это все те же платежи при помощи дорогостоящих SMS-сообщений на короткие номера за сомнительный товар или услугу.

В данном конкретном случае спамеры предлагают скачать на мобильный телефон специальную программу, которая «возбуждает женщин при помощи бинауральных волн». Разумеется, в пользовательском соглашении мелким нечитаемым шрифтом написано, что никто не несет ответственности за качество произведенного эффекта. Цена за SMS-сообщение, а также тот факт, что сообщений нужно отправить не одно, а целых три, также упоминаются лишь в пользовательском соглашении, которое мало кто открывает. Радует, однако, что с недавнего времени один из участников большой тройки операторов, борясь против мошенничества, ограничивает своим пользователям возможность отправки SMS на короткие номера, используемые в сомнительных целях.

Продолжая говорить о нечестных рассылках, можно упомянуть еще одну, задетектированую нами и отнесенную к рубрике «Другие товары и услуги». Это рассылка, предлагающая пользователю купить кредитные карточки, а также подозрительно дешевые (с высокой вероятностью краденые) ноутбуки и мобильные телефоны.

Эта рассылка — лишнее напоминание честным предпринимателям о том, в какой компании они могут оказаться, если решат рекламировать свою фирму при помощи спама. Говоря же о рубрике «Другие товары и услуги», можно заметить, что количество писем в ней практически не изменилось по сравнению с апрелем и составило 10,9%.

Спамерские методы и трюки

Уже становится традицией в разделе, посвященном спамерским трюкам, писать о саморекламе спамеров. Даже по окончании кризиса самые интересные трюки спамеры оставляют для своих рассылок. В мае по почтовым ящикам Рунета прошла рассылка с темами «Анекдоты» или «Приколы». И действительно, в письме пользователь обнаруживал несколько невероятно «бородатых», однако забавных анекдотов. Увлекшийся чтением пользователь с удивлением обнаруживал, что письмо заканчивается рекламой электронных рассылок.

Еще один трюк, использованный спамерами для распространения рекламы своих услуг, не вполне удался. Письма, в которых он был использован, могут претендовать на звание самых нечитаемых писем мая.

Как видим, текст на фиолетовой картинке совершенно смазан, а телефон «съехал» в сторону. Однако, судя по тому, что заголовок и заключение спамерского текста видны четко, смазанный текст — это не техническая ошибка, а часть трюка.

Заключение

Количество фишинга по сравнению с прошлым месяцем осталось неизменным. Если раньше в числе наиболее часто атакуемых организаций стабильно присутствовали лишь два лидера — PayPal и eBay, то последние несколько месяцев практически не меняются организации, входящие в TOP 4.

Количество писем, содержащих вредоносный код, возросло незначительно, однако спамеры пытаются придумать новые приемы для распространения зловредов. Об этом, в частности, свидетельствует значительное уменьшение количества писем, подделанных под рассылки от почтовых систем DHL и UPS, что еще совсем недавно было основным трюком спамеров, распространяющих вредоносные программы.

Тематический состав спама несколько изменился, русскоязычные рассылки сдали свои позиции в пользу англоязычных. Это в первую очередь говорит о снижении деловой активности среди российского малого и среднего бизнеса, использующего спам как инструмент рекламы.

Спамеры по-прежнему используют самые хитроумные трюки для саморекламы.

Спам в мае 2010 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике