Отчеты по спаму и фишингу

Спам в мае 2011 года

Май в цифрах

  • Доля спама в почтовом трафике по сравнению с апрелем увеличилась на 2,1% и составила в среднем 82,9%.
  • Доля фишинговых писем в общем почтовом потоке по сравнению с апрелем уменьшилась на 0,01% и составила 0,02%.
  • В мае вредоносные файлы содержались в 4,1% всех электронных сообщений, что на 0,45% больше, чем в прошлом месяце.

Обзор главных событий месяца

Спам и закон. Россия

Во многих отчетах по спам-активности за предыдущие месяцы мы писали о том, как власти различных государств противодействуют спаму. В основном речь шла о том, как тот или иной закон в действии привел к обнаружению и наказанию злоумышленников, занимающихся рассылкой нежелательной корреспонденции.

При этом мы не устаем напоминать, что борьба со спамом является максимально эффективной именно в том случае, когда спамеров можно привлечь к ответственности. Также мы считаем очень важным подчеркнуть, что особенностью криминального спам-бизнеса является его интернациональность. Чтобы эффективно бороться с несанкционированными рассылками, необходимы сильные законы во всех странах мира.

В данный момент Россия относится к тем странам, где спамеры могут безбоязненно укрыться от правосудия и продолжать свои рассылки. Закона против спама как такового в нашей стране просто не существует. Привлечь спамеров к ответственности можно, лишь используя некоторые смежные законы (как, например, законы «О рекламе», «О персональных данных» или Статью 273 УК РФ. (Создание, использование и распространение вредоносных программ для ЭВМ)), что неэффективно.

Однако эта ситуация вскоре должна измениться. 13 мая в Государственной Думе РФ прошло заседание рабочей группы по закону о спаме, на котором был представлен законопроект «О внесении изменений в некоторые законодательные акты Российской Федерации в целях противодействия заказу, производству и распространению несанкционированных электронных сообщений (спама)». В рабочую группу входят эксперты по информационной безопасности из различных российских компаний, в том числе из «Лаборатории Касперского».

Разумеется, законопроект — это лишь первый шаг к полноценному, работающему закону. Впереди еще слушанья в Госдуме, которые, как надеются участники рабочей группы, будут назначены на начало лета. Предполагается, что принятие закона произойдет не ранее, чем через год. Мы будем внимательно следить за продвижением закона о спаме, поскольку именно этот закон станет основным орудием борьбы со спамерами.

О подробностях и итогах заседания можно узнать на сайте РАЭК: http://raec.ru/times/detail/461/.

Смерть террориста №1 в спаме

Смерть Усамы бен Ладена спамеры с энтузиазмом использовали в качестве очередной жареной темы.

Первыми на сообщение о смерти террориста №1 отреагировали распространители вредоносных программ. В нашем блоге подробно рассказывается, как злоумышленники использовали любопытство пользователей, чтобы заставить их пройти по вредоносной ссылке или скачать вредоносное вложение. Также в одном из майских спам-патрулей мы рассказывали о том, что вторыми на сенсацию традиционно отреагировали распространители фармацевтического спама.

Мы зафиксировали и несколько других рассылок, использующих эту тему, но уже менее ожидаемых в ее контексте.

Чтобы заставить пользователей скачать платное ПО, злоумышленники часто рассылают спам, в котором предлагается посмотреть при помощи сервиса Google Earth, например, на место посадки инопланетян или на засекреченный военный объект, верно рассчитывая, что обыватели падки на такое. Вместо ссылки на сервис Google Earth в таких письмах размещаются ссылки на сайт, предлагающий скачать платное ПО. В одной из последних рассылок спамеры предлагали пользователям взглянуть на особняк бен Ладена, где он скрывался последние годы.

Новость о смерти бен Ладена использовали и «нигерийские» спамеры. В одном из разосланных писем «остроумные» спамеры сообщают пользователю, что в ближайшее время ему грозит арест, поскольку его подозревают в сотрудничестве с террористами. Причиной подозрений стала немаленькая сумма денег, которая якобы была переведена на банковский счет пользователя. Сумма, по утверждениям спамеров, была обнаружена, когда после смерти бен Ладена спецслужбы начали поиски пособников террористов по всему миру. Разумеется, «нигерийцы» обещают освобождение от всех обвинений и несколько миллионов долларов в придачу, в случае если пользователь выйдет с ними на связь.

В связи с тем что последние месяцы были урожайными на события, всколыхнувшие мир, хотелось бы напомнить пользователям, что спамеры активно используют любую горячую тему в мошеннических целях. Будьте осторожны, не поддавайтесь на их уловки!

Традиционные темы

Не обошли спамеры вниманием и традиционные для майских рассылок темы.

9 мая

Ежегодно в начале мая наблюдается волна спама, тема которого День Победы. По большей части в спаме рекламируется различная атрибутика, связанная с праздником, а также подарки для ветеранов. Май 2011 года не стал исключением.

В спаме встречалась также реклама путешествий на время длинных выходных, предложения создать логотипы или сувенирную продукцию с символикой 9 мая, купить диски с караоке песен о Победе, подарки к празднику и многое другое.

Конец учебного года

Конец мая — время окончания школьного учебного года. Для спамеров же это время распространения рекламы услуг, связанных с проведением последнего звонка и выпускного бала. В этом году мы также регистрируем большое количество рассылок, предлагающих услуги ведущего праздника и/или рекламирующих места для проведения мероприятия.

Последние годы помимо мелкого бизнеса, использующего спам как средство не вполне законной рекламы в преддверии конца учебного года, тему выпускных в спаме стали использовать и мошенники. Как мы и предполагали, рассылки, эксплуатирующие тему единого государственного экзамена, появились уже в мае. Спамеры в основном предлагают пользователям скачать ответы на ЕГЭ или шпаргалки, которые позволят легко сдать экзамен.

Однако школьник, лелеющий надежду сдать ЕГЭ с помощью шпаргалок из спама, в лучшем случае получит просто набор формул, которые можно найти в любом учебнике. В худшем — потратит деньги, но никакого файла не получит.

Мы предполагаем, что в июне спама, посвященного ЕГЭ, прибавится. Велика вероятность того, что, помимо выдаваемых за ответы на вопросы ЕГЭ формул, перепечатанных из школьного учебника, в Сети под видом тех же ответов скоро появятся вредоносные программы. И, разумеется, распространяться такие «шпаргалки» будут через спам.

Статистический обзор

Доля спама в почтовом трафике

Доля спама в почтовом трафике по сравнению с апрелем увеличилась на 2,1% и составила в среднем 82,9%.

Как мы и предсказывали, доля спама в мае достигла среднего показателя первой половины 2010 года — почти 83%. Самый низкий показатель месяца был зафиксирован 7 мая — в этот день доля спама в почте составила 72,4%. Больше всего спама было получено пользователями 29 числа — 91,4%.

Страны — источники спама

В мае лидером среди стран — источников спама снова стала Индия. С территории этой страны было распространено 11,35% (-1,41%) всей мусорной почты.


Страны — источники спама в мае 2011

Россия продолжает сдавать свои позиции в рейтинге стран — источников спама. В мае с ее территории было распространено почти на полпроцента меньше спама, чем в апреле, и Россия опустилась в рейтинге еще на одну строчку ниже. В целом же изменения долей спама, распространяемого из разных стран, не превышают одного процента, что говорит о стабилизации этого показателя.

Вредоносные вложения в почте

В мае вредоносные файлы содержались в 4,1% всех электронных сообщений, что на 0,45% больше, чем в прошлом месяце.

Две страны, лидирующие в последнее время по количеству срабатываний почтового антивируса, снова поменялись местами. На первую строчку вновь вернулась Россия, на территории которой доля срабатываний почтового антивируса увеличилась более чем на 4%. США же сместились на строчку вниз, а показатель этой страны уменьшился почти на 3,5%.


Распределение срабатываний почтового антивируса по странам в мае 2011 г.

Индия и Вьетнам вновь набирают обороты по количеству детектирований вредоносных программ в почте. Вьетнам опередил по этому показателю Великобританию и замкнул майскую тройку лидеров. Более 8% всех срабатываний почтового антивируса в мае было зафиксировано на территории этой страны. Индия (5,21%) опередила по количеству срабатываний почтового антивируса Германию и Италию.

В то время как показатель Вьетнама увеличился на 2,2%, а Индии на 0,92%, доля срабатываний почтового антивируса в Австралии уменьшилась на 1,66%, в Германии на 0,94%, а в Великобритании на 0,5%. Таким образом, мы снова видим знакомую нам картину: когда доля срабатываний почтового антивируса уменьшается в развитых странах, она увеличивается в странах развивающихся.

Несмотря на изменения в распределении мишеней вредоносных рассылок по миру, рейтинг наиболее часто детектируемых в почте вредоносных программ в мае практически полностью состоит уже из знакомых нам зловредов:


ТОP 10 вредоносных программ, распространенных в почте в мае 2011 г.

Чуть более 10% срабатываний почтового антивируса приходится на долю хорошо знакомой нам вредоносной программы Trojan-Spy.HTML.Fraud.gen.

Trojan.HTML.Fraud.fc, впервые вошедший в TOP10 в апреле этого года, занял третью строчку рейтинга. Этот зловред представляет собой фишинговую HTML-страничку, нацеленную на кражу финансовых данных у пользователей одного из бразильских банков.

Почтовые черви черви Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt и Email-Worm.Win32.NetSky.q прочно обосновались в нашем рейтинге, занимая вторую, четвертую и восьмую строчки соответственно. Как мы уже писали в предыдущих отчетах, вредоносные программы Mydoom.m и NetSky.q выполняют только две функции: осуществляют сбор электронных адресов на зараженных машинах и рассылают по ним самих себя. Bagle.gt в дополнение к этому обычному функционалу почтовых червей обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.

На пятой и седьмой строчках рейтинга расположились вредоносные программы Trojan-Downloader.Win32.FraudLoad.zerc и Trojan-Downloader.Win32.FraudLoad.zept. Эти модификации являются новичками в рейтинге наиболее распространенных в почте вредоносных программ. Однако представители семейства, к которому они принадлежат, довольно часто входили в рейтинг в 2010 году. В конце 2010 — начале 2011 программы семейства FraudLoad практически исчезли из TOP 10. Напомним, что основным их функционалом является загрузка на компьютер пользователя поддельных антивирусов. Впервые после долгого перерыва представитель Trojan-Downloader.Win32.FraudLoad попал в ТОР 10 вредоносных программ, детектируемых почтовым антивирусом, в апреле.

Фишинг

Доля фишинговых писем в общем почтовом потоке по сравнению с апрелем уменьшилась на 0,01% и составила 0,02%.

Среди наиболее часто атакованных фишерами организаций традиционно лидирует PayPal (+23,28%), а на второе место после апрельского перерыва вернулся eBay(+2,5%).


ТОР 10 организаций, атакованных фишерами

Самым удивительным перемещением месяца стало появление в десятке наиболее часто атакованных фишерами организаций популярной бесплатной онлайн игры RuneScape (4,67%). Этот сервис попал сразу на третью строчку рейтинга, опередив традиционных лидеров Facebook (-1,82%, 5-е место), Habbo (-1,36%, 6-е место) и различные популярные у фишеров системы онлайн-банкинга, такие как Santander (-0,13%), HSBC (-1,25%) и LloydsTSB (-0,03%).

Значительно обошла RuneScape и своего платного собрата — World of Warcraft (-1,24%). Вероятно, рост интереса фишеров к этому сервису связан с ростом популярности бесплатных онлайн-игр. При этом в любой, даже бесплатной онлайн-игре фишерам есть чем поживиться. Ведь создателям игры нужно на чем-то зарабатывать, и они предлагают игрокам, например, платные предметы для их персонажей. А такая вещь, как торговля «прокачанными» персонажами тоже всегда была в чести у мошенников. Неясным остается вопрос, почему так значительно снизился интерес фишеров к WoW, ведь по всем оценкам именно эта игра является самой популярной в мире. Вероятно, это связано с усилиями команды Blizzard, направленными на защиту своих пользователей.

Тематические направления в спаме


Распределение спама по тематическим категориям в мае 2011 г.

Как и в прошлом месяце, доля русскоязычного спама в Рунете составляет порядка трех четвертей всей мусорной почты. По-прежнему бОльшая часть мусорной корреспонденции на русском языке — это незапрошенная реклама от представителей малого и среднего бизнеса. Соответственно, доля рассылок, связанных с партнерскими программами, в российском сегменте интернета по-прежнему крайне мала.

Пятерка лидирующих тематических категорий в спаме:

  • Образование — 57,1% (-3,8%)
  • Недвижимость — 8% (+1,1%)
  • Отдых и путешествия — 6,2% (+0,8%)
  • Услуги по ремонту и благоустройству — 4,4% (+2,1)
  • Юридические услуги и аудит — 2,7% (+0,2)

Из лидирующей пятерки спамерских тематических категорий интересно выделить «Услуги по ремонту и благоустройству» (ранее «Интерьер»). Мы видим, что доля этой категории увеличилась вдвое по сравнению с апрелем. Какой же «ремонт» так активно рекламируется в преддверии лета? Большинство писем — это реклама установки кондиционеров. Знойным летом 2010 появилось огромное количество компаний, занимающихся установкой кондиционеров — спрос породил предложение. В прошлом году мы уже наблюдали спамерские рассылки от таких компаний и ожидали, что летом 2011 они появятся вновь. Спамеры не обманули наших ожиданий.

Заключение

В мае самым важным в России событием, касающимся спама, на наш взгляд, стали первые серьезные шаги к созданию крепкой законодательной базы в отношении спама. Возможно, некоторые скептически относятся к этой инициативе. Но хотелось бы напомнить скептикам о событиях конца 2010 года, когда именно слаженные действия правоохранительных органов и компаний, занимающихся компьютерной безопасностью, привели к значительному снижению объема мусорного трафика. Разумеется, мы далеки от мысли, что одно только принятие закона против спама приведет к исчезновению спам-сообщений в Рунете. Однако возможность бороться со спамерами на уровне правоохранительных органов, бесспорно, со временем приведет к уменьшению объема спама в Сети.

Заметим, что сами спамеры сочли смерть Усамы бен Ладена самым важным информационным поводом месяца — и моментально им воспользовались для своих рассылок. И тем не менее, этот информационный повод стал этой весной лишь одним из многих, использованных спамерами. Практически все трагические события с начала 2011 года до сих пор остались в арсенале мошенников. В связи с чем хочется в очередной раз призватьпользователей быть осторожными и внимательными в Сети.

Мы ожидаем, что в следующем месяце увеличится количество рассылок, с предложением летнего отдыха и установки кондиционеров, а также спама, посвященного проблемам выпускных и вступительных экзаменов. При этом в целом объем спама несущественно уменьшится — грядет традиционное летнее затишье, во время которого уменьшается объем рассылок, а спамеры активнее занимаются саморекламой.

Спам в мае 2011 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике