Май в цифрах
- Доля спама в почтовом трафике в мае уменьшилась на 2,5% и составила 69,7%.
- Доля фишинговых писем в почтовом потоке по сравнению с апрелем незначительно увеличилась и составила 0,0024%.
- Вредоносные вложения содержались в 2,8% всех электронных сообщений, что на 0,4% выше показателя прошлого месяца.
Особенности месяца
Май оказался довольно разнообразным на творческие поделки спамеров. В мошеннических и рекламных рассылках спамеры активно использовали имена известных людей и компаний. В Рунете рассылались предложения дополнительного заработка на любой вкус: одни спамеры рекламировали написание платных отзывов о товарах и услугах, другие не тратили время на мелочи и сразу предлагали стать ‘элитой проекта’, якобы разработанного соратниками небезызвестного Сергея Мавроди. Количество ‘праздничного’ спама уменьшилось, но нам по-прежнему встречались рассылки, эксплуатирующие основные праздники месяца — Праздник весны и труда и День Победы.
Заработай в Рунете
Тематика сетевого маркетинга и ‘легкого’ заработка в интернете в последнее время пользуется популярностью у спамеров. В период летних каникул такие рассылки особенно актуальны, поскольку многие школьники и студенты стараются найти подработку. В мае мы зафиксировали массовые рассылки с предложениями заработать крупные суммы денег без каких-либо затрат и первичных вложений со стороны работника. Выбор продвигаемых спамерами способов заработка был достаточно широк, среди наиболее популярных: рассылка SMS, создание контекстной рекламы для сайтов с высокой долей просмотров, копирайтинг и продвижение товаров через социальные сети.
Как правило, рекламирующие сетевой маркетинг письма содержат ссылку для регистрации пользователя или подтверждения подписки для получения конкретных заданий. Отклик на такое письмо или прохождение по предложенным ссылкам ведут к раскрытию адреса электронной почты, на который в дальнейшем могут поступать незапрошенные письма из других массовых рассылок. Трудоустройство при этом вовсе не гарантировано.
Для возбуждения интереса получателей к рекламируемым вакансиям создатели подобных рассылок используют типичные приемы: яркое оформление, короткие многообещающие фразы, примеры уже состоявшихся богачей, ссылки на их вдохновляющие видеообращения, а также приглашения на бесплатные онлайн мастер-классы и ссылки на электронные обучающие пособия.
Среди сомнительных вариантов сетевого заработка, таких как участие в SMS-партнерках и дорвеях, часто встречается предложение поучаствовать в онлайн-опросах. Пользователю обещают определенную сумму денег за заполнение электронных анкет и написание отзывов о различных товарах и услугах. Хотя такое предложение может выглядеть привлекательным, надо помнить, что услугами спамеров часто пользуются мошенники. Для того чтобы начать зарабатывать на анкетировании, пользователь также должен пройти регистрацию, то есть предоставить ‘работодателю’ персональные данные. А это значит, что заказчикам сомнительной рассылки становятся доступны имя пользователя, его адрес электронной почты, а также номер банковского счета или интернет-кошелька, куда должно быть перечислено обещанное вознаграждение. Гарантия оплаты за участие в анкетировании при этом отсутствует.
Организаторы еще одной примечательной рассылки, рекламирующей заработок в сети, представляются Сергеем Мавроди, учредителем компании ‘МММ’ — в прошлом крупнейшей в России финансовой пирамиды. Для рассылки корреспонденции используются бесплатные сервисы электронной почты, а содержимое письма включает привлекательный заголовок и ссылку для регистрации в некой финансовой системе.
Текст таких сообщений зачастую содержит типичные спамерские приемы для обхода фильтров: слитное написание нескольких слов, одновременное использование кириллических и латинских символов в одном фрагменте текста, а также выделение крупным шрифтом фраз, несущих основную смысловую нагрузку, для привлечения к ним внимания. В роли последних, как правило, выступают словосочетания вроде ‘лучший проект’, ‘не упустите шанс’ и прочие.
Microsoft под прицелом спамеров
В мае спамеры организовали рассылку фишинговых писем от имени службы поддержки клиентов компании Microsoft. В сообщении, пришедшем со вполне легитимного на первый взгляд адреса в домене microsoft.com, сообщалось, что действие учетной записи пользователя ‘Microsoft Window’ будет приостановлено в связи с отсутствием обновления записи, которое якобы было рекомендовано выполнить в предыдущих сообщениях. Чтобы избежать блокировки, получателю необходимо немедленно перейти по указанной в письме ссылке. Клюнувший на приманку пользователь в результате оказывался на мошеннической фишинговой странице, созданной специально для кражи персональной информации.
Если внимательно посмотреть на письмо, то можно заметить, что название операционной системы написано как Microsoft Window (без буквы s на конце). Кроме того, в письме в качестве разделителя используются знаки ‘=’, нет ссылок на официальный сайт компании и контактов службы поддержки, что не свойственно легитимным письмам.
Также нам попадались мошеннические уведомления о выигрыше в несуществующую лотерею, якобы организованную компанией Microsoft. Победителем лотереи, естественно, стал получатель письма.
В одних рассылках мошенники сообщали о победе в лотерее и просили жертву связаться с ними для получения детальной информации, в других — обещали огромную сумму в качестве выигрыша и просили перечислить им незначительные денежные средства на покрытие различных расходов на оформление выигрыша.
Стива Джобса увековечат на монетах
Более года прошло со дня смерти легендарного основателя корпорации Apple Стива Джобса, но его поклонники продолжают искать новые способы почтить его память, а заодно и заработать. Например, украинские почитатели таланта Джобса решили увековечить своего кумира на монетах с говорящим названием iCoin. В мае новость о грядущем старте продаж и предложение стать обладателем монеты распространялись создателями подарка посредством спам-рассылки. Сообщение включало красочное описание созданной монеты, рассказ о возможности гравировки на ней индивидуального номера и ссылку на сайт, где можно заказать монету. В качестве отправителя писем спамеры указали ‘Apple Corp’, хотя ни рассылка, ни сама монета не имеет отношения к компании Apple.
Майский ‘праздничный’ спам
В первой половине месяца в Рунете мы зафиксировали рассылки, посвященные Празднику весны и труда (1 мая) и Дню Победы (9 мая). Хотя в отличие от аналогичного периода прошлого года количество спам-сообщений, эксплуатирующих тематику 9 мая, заметно снизилось. Поздравления с наступающим праздником, добавленные в тему и тело письма, по замыслу спамеров должны были привлечь внимание получателей к продвигаемым товарам и услугам. В ‘праздничном’ спам-трафике встречалась реклама туристических поездок в майские выходные, предлагались скидки на различные товары и услуги.
Географическое распределение источников спама
По итогам мая первая тройка стран — источников спама, распространяемого по всему миру, осталась без изменений. Лидирующую позицию по-прежнему занимает Китай, на долю которого приходится 21,4% рассылаемого спама, что на 2,5% меньше, чем показатели прошлого месяца.
Страны — источники спама в мире
На 2-м месте США, которые стали источником 16,3% мирового спама. Замыкает первую тройку Южная Корея — количество спама, рассылаемого из этой страны, в мае продолжило увеличиваться и достигло отметки 12%. В целом на три первые страны приходится почти половина всего мирового спама.
Сохранили свои места в первой пятерке Тайвань (5,9%) и Вьетнам (5%). На 6-ом месте разместилась Украина с долей спама 4,8%. Казахстан (4,3%), занимавший по итогам апреля 8-ю строчку, поднялся на пункт выше, прибавив почти целый процент. Показатель России (2,2%) снизился на 1,1%, и в результате страна переместилась на 10-ю позицию.
Стоит также отметить, что на 1% увеличилось количество спама, распространяемого из Канады (1,8%), которая переместилась с 20-го места в рейтинге сразу на 11-е.
Ситуация с источниками спама в Рунете по итогам мая выглядит следующим образом:
Страны — источники спама в Рунете
Лидером среди стран — источников спама в Рунете остается Тайвань (12,5%), за которым по-прежнему следуют Вьетнам (11,2%) и Украина (10,5%). Суммарная доля спама, разосланного из этих трех стран, увеличилась незначительно. Также наблюдается увеличение спам-потоков из Казахстана (9,7%) и Беларуси (7,6%), которые переместились с 7-й и 8-й строчки на 4-ю и 5-ю соответственно. Потоки спама из Германии (1,4%) и Китая (1,2%), наоборот, уменьшились, поэтому эти страны переместились с 9-й и 10-й позиций на 13-ю и 14-ю соответственно.
Среди регионов лидером по распространению спама в мае осталась Азия (56,1%) — по сравнению с прошлым месяцем ее доля увеличилась на 0,4%. В первую тройку, как и в предыдущем месяце, вошли Северная Америка (18,1%) и Восточная Европа (14,6%).
Вредоносные вложения в почте
Доля вредоносных вложений в почте в мае увеличилась на 0,4% и составила 2,8% почтового трафика.
TOP 10 вредоносных программ, распространявшихся по электронной почте
На 1-м месте рейтинга вредоносных программ, распространяемых по почте, по-прежнему находится Trojan-Spy.HTML.Fraud.gen. Программа представляет собой фишинговую страничку для ввода данных, которые отправляются напрямую злоумышленникам.
На 2-й и 3-й (а также 8-й и 9-й) позициях разместились программы семейства ZeuS/Zbot. Этот печально известный троянец давно не занимал такие высокие места в рейтинге, однако ранее, в 2009-2010 году он был очень популярен. Целью программ ZeuS/Zbot является кража различной конфиденциальной информации с компьютеров пользователей, включая данные кредитных карт. Доля троянцев этого семейства среди вредоносных программ в почте в мае составила 26,2%.
Интересно, что на 5-е место в мае вышел Exploit.MSWord.Agent.di. Эксплойты редко распространяются посредством вложений — их авторы предпочитают добавлять в спам-сообщения ссылки, по которым жертвы перенаправляются на вредоносные сайты, где на их компьютеры незаметно скачиваются эксплойты. Владельцы Exploit.MSWord.Agent.di действуют по-другому: они рассылают документ Microsoft Word с вредоносным кодом, использующим уязвимость CVE-2012-0158 для заражения компьютера.
Новичок в TOP-10 — бэкдор Worm.Win32.Luder.anmw, предназначенный для скрытого управления компьютером. Также в десятку вошли уже известные по прошлым месяцам этого года бэкдор семейства Androm и троянец-шпион семейства Tepfer.
Распределение срабатываний почтового антивируса по странам
В мае США остались на 1-м месте по количеству срабатываний почтового антивируса. По сравнению с апрелем их доля увеличилась на 1,8% и составила 14,2%. На 1,2% уменьшился показатель Германии (9,5%), но эта страна сохранила за собой 2-е место рейтинга. Замыкает тройку Великобритания с результатом 6,1%.
Вместо замыкающих TOP-10 в прошлом месяце Китая и России в десятку вошли Гонконг (2,9%) и Канада (2,4%).
На Россию в мае пришлось 2,2% всех срабатываний почтового антивируса.
Особенности вредоносного спама
Популярность поддельных сообщений, рассылаемых от имени известных интернет-магазинов, в мае осталась высокой. В преддверии лета нами была получена рассылка, имитирующая официальное уведомление от интернет-магазина Amazon. Злоумышленники благодарили получателя письма за несуществующий заказ и сообщали, что для внесения изменений в заказ и отслеживания его статуса нужно посетить сайт компании или нажать на присланные в письме ссылки. Ссылки в письме действительно вели на официальный сайт интернет-магазина, а не на фишинговые страницы или вредоносные файлы. Однако в том же письме сообщалось, что дополнительная информация о заказе содержится во вложении. Текст с этим сообщением был выделен синим цветом, чтобы пользователь мог без труда его заметить. В отличие от многих аналогичных писем, спамеры не пугали получателя аннулированием заказа, чтобы заставить его открыть вложение. Наоборот, они привели в письме информацию об условиях отказа от совершенного заказа.
Во вложенном архиве YourOrderDetailswithAmazon.zip находился исполняемый файл YourOrderDetailswithAmazon.PDF.exe, детектируемый ‘Лабораторией Касперского’ как Backdoor.Win32.Androm.qp. По итогам мая одна из вредоносных программ этого семейства заняла 7-е место среди самых распространенных в почте зловредов, а в апреле программа данного семейства входила в тройку лидеров. Попав на компьютер жертвы, Backdoor.Win32.Androm может, например, незаметно загружать другие вредоносные файлы, отправлять различную информацию с компьютера пользователя или сделать его частью ботнета.
В мае спамеры продолжили рассылать вредоносные письма-подделки от имени известных логистических компаний: в наши ловушки попали сообщения, якобы написанные представителем почтовой службы UPS. В них сообщалось, что курьер почтовой службы не смог доставить посылку получателю из-за неправильного адреса доставки и теперь ее необходимо получать в офисе компании. А для обращения в офис следует распечатать приложенный к письму документ.
Вместо обещанного документа во вложенном архиве UPS_Label_23052013.zip находился исполняемый файл UPS_Label_23052013.exe, детектируемый ‘Лабораторией Касперского’ как Trojan-PSW.Win32.Tepfer.kxdh. В апреле одна из вредоносных программ этого семейства заняла 4-е место среди самых распространенных в почте вредоносных программ, а в мае — 10-е место. Этот троянец крадет пароли от FTP-клиентов и почтовых программ, а также введенные в браузере логины и пароли. Для того чтобы убедить жертву в легитимности сообщения, в него добавили информацию о том, что данное письмо прислано с общего адреса и на него не надо отвечать, а также предупреждение о конфиденциальности.
Троянец Tepfer.kdkq встретился нам и в другой майской рассылке. Вредоносный файл назывался wupos_digital_cert_{DIGIT[19]}.exe и был упакован в zip-архив, приложенный к письму, которое якобы было отправлено службой безопасности компании Western Union.
Из письма получатель узнавал, что для совершения денежных переводов в интернете ему выдан новый цифровой сертификат, для установки которого необходимо открыть вложение.
В письме также говорилось, что в случае возникновения вопросов пользователь может обратиться в службу поддержки Western Union — с помощью этого приема спамеры рассчитывали развеять сомнения пользователя относительно легитимности письма.
Фишинг
В мае доля фишинговых писем в глобальном почтовом потоке незначительно увеличилась и составила 0,0024%.
Распределение TOP 100 организаций, атакованных фишерами, по категориям
Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.
По итогам мая лидирующую позицию в рейтинге организаций, атакуемых фишерами, продолжают удерживать социальные сети, их показатель увеличился на 0,4% и составил 35,93%.
В первой тройке финансовые поисковые системы (14,95%) и платежные организации (14,93%) поменялись местами и теперь занимают 2-ю и 3-ю строчку соответственно.
4-ю позицию продолжают удерживать ИТ-вендоры (9,93%), на 5-е место вышли онлайн-магазины (8,68%). Телефонные и интернет-провайдеры (8,39%) опустились на строчку вниз и занимают по итогам мая 6-е место.
Заключение
Спамеры по-прежнему используют имена известных людей и компаний, как для мошенничества, так и для рекламы товаров и услуг. Так, в мае новость о выпуске монеты с изображением Стива Джобса была доведена до поклонников основателя Apple (и всех остальных) при помощи спам-рассылки, а имя известной IT-компании Microsoft активно использовалось мошенниками для обмана пользователей.
Спам с предложениями дополнительного заработка мы постоянно регистрируем в потоках Рунета, и число таких писем прогнозируемо возрастает в преддверии летних каникул, когда школьники и студенты начинают искать в сети дополнительный источник доходов. Спам этого типа часто используются мошенниками для обмана пользователей и пополнения баз действующих электронных адресов.
В мае большая часть мирового спама по-прежнему распространялась из двух стран — Китая и США. Однако показатель Южной Кореи, занимающей 3-е место, продолжил расти, и страна стала еще ближе ко 2-й позиции. В то же время почти половина европейского спама рассылается из Южной Кореи, занимающие 2-е и 3-е места США и Вьетнам следуют за ней с огромным отставанием. В спам-потоках Рунета в тройке лидеров не произошло изменений: по-прежнему лидирует Тайвань, далее с небольшим отставанием идут Вьетнам и Украина.
Как и прогнозировалось, по итогам мая социальные сети сохранили лидирующую позицию по количеству фишинговых атак, их показатель вырос незначительно, как и показатель интернет-магазинов. А вот показатель онлайн-игр наоборот снизился, хотя в июне — в первый месяц летних каникул — мы ожидаем увеличения фишинговых атак на сайты этой категории.
В настоящее время у злоумышленников популярны поддельные письма от различных онлайн-сервисов. Поэтому, получив уведомление от какого-либо сервиса, будьте особенно внимательны. Помните, что официальные сервисы никогда не требуют от своих клиентов ввода и подтверждения персональной и банковской информации по ссылке из письма и тем более никогда не угрожают клиентам блокировкой счета или аккаунта. Никогда не переходите по ссылкам, блокируемым антивирусом или браузером. Обращайте внимание на написание ссылки в сообщении. Если в письме для перехода указана ссылка на неофициальный сайт или в тексте письма указан адрес официального сайта, а ссылка на самом деле ведет на другой сайт, это первые признаки фишингового письма. Если у вас возникли сомнения в подлинности сообщения, свяжитесь с соответствующей службой поддержки организации, от имени которой пришло письмо, и выясните, была ли такая рассылка на самом деле.
Спам в мае 2013