Отчеты по спаму и фишингу

Спам в ноябре 2010 года

Ноябрь в цифрах

  • Доля спама в почтовом трафике по сравнению с октябрем уменьшилась на 0,6% и составила в среднем 76,8%.
  • Доля фишинговых писем составила 0,4% всех писем, что на 0,47% меньше, чем в октябре.
  • Вредоносные файлы содержались в 1,6% электронных сообщений, это на 0,13% больше, чем в прошлом месяце.

Обзор главных событий месяца

Борьба со спамом

Предыдущие месяцы были отмечены громкими событиями в мире спама. Так, были закрыты командные центры крупных ботнетов — Pushdo/Cutwail и Bredolab; объявлено о прекращении функционирования партнерской программы SpamIt, а также заведено уголовное дело против Игоря Гусева, по некоторым оценкам, — спамера номер один в мире.

Ноябрь, к сожалению, не порадовал борцов со спамом такими удачами, однако последствия событий месячной и более давности легко прослеживаются в особенностях ноябрьского спам-трафика.

Успех в цифрах

В ноябре доля спама в почтовом трафике снова уменьшилась. Лишь на первый взгляд изменения (-0,6%) кажутся незначительными. Дело в том, что на средние показатели двух последних месяцев осени повлияло закрытие командных центров Bredolab. В первые дни после выхода из строя этого доля спама в почте была аномально низкой и колебалась возле отметки 70-71%. Если сравнить долю спама октября и ноября без учета этих дней, то мы получим, что средняя доля спама в октябре (78,6%) на 1,1% выше среднего показателя ноября (77,5%).

Тенденция к снижению доли спама в почтовом трафике, наблюдаемая этой осенью, в значительной мере является результатом мировой борьбы с ботнетами.

С борьбой против ботнетов на территории США мы связываем и тот факт, что в ноябре, впервые за всю историю наших наблюдений, эта страна не попала в TOP 20 стран — источников спама. Еще в сентябре, по всей видимости, в результате закрытия Pushdo/Cutwail, доля спама, распространенного с территории этого государства, снизилась в два с половиной раза — с 15,5% до 6%. В октябре она снизилась в четыре раза — с 6% до 1,6%. В ноябре доля спама, распространенного из США, уменьшилась не столь значительно (-0,33%), однако именно ноябрьское снижение привело к тому, что Соединенные Штаты Америки покинули TOP 20 стран — источников мусорных сообщений.

Виагра в изгнании

Развитие ситуации со спамом, содержащим рекламу медицинских препаратов, уже не первый месяц привлекает внимание. Это не удивительно: закрытие SpamIt и громкое дело Игоря Гусева, которого многие связывают с широко известной партнерской программой ГлавМед, — события яркие и значительные. По всей видимости, спамеры, распространявшие фармацевтический спам преимущественно на территории США, Канады и Западной Европы, после этих событий предположили, что их деятельность не всегда будет оставаться безнаказанной, и переключились на участие в других партнерских программах. Это хорошо видно по чрезвычайно низкой доле фармацевтического спама на протяжении всего ноября:


Доля фармацевтического спама в октябре-ноябре 2010 года

Как видно на графике, доля спама, рекламирующего медицинские препараты, даже в самом начале ноября едва превышала 20%, а к концу месяца и вовсе сползла до отметки 8-12%.

Однако фармацевтический спам остается крайне выгодным способом получения денег для спамеров, не зря же он до сих пор был настолько распространен в Сети. Соответственно, спамеры, не решившиеся далее сотрудничать с фармацевтическими партнерками, последнее время пытаются найти им равноценную в финансовом отношении замену. Видимо, это оказалось непростой задачей, поскольку на протяжении октября и, особенно, ноября заметны взлеты долей то одной, то другой тематики партнерского спама, а затем столь же стремительное их снижение.


Изменения в тематиках партнерского спама в октябре-ноябре 2010 года

Так, взлет и падение пережила доля спама, рекламирующего онлайн-казино, превысившая в начале ноября отметку 15%, а уже к концу месяца практически полностью исчезнувшая из спама.

Пик доли спама, содержащего рекламу коллекций фильмов на DVD, пришелся как раз на конец ноября, а затем снова начался спад.

Спама, содержащего рекламу порно-сайтов и сайтов знакомств, стало больше на третьей неделе последнего осеннего месяца, а затем его доля в почтовом трафике также начала снижаться.

При этом заметно, что в конце месяца общее количество партнерских рассылок было значительно меньше, чем в начале.

Попытки спамеров вернуть утраченную прибыль не ограничились только «перебежками» из одной партнерской программы в другую. Попытки продать свои услуги представителям малого и среднего бизнеса также имели место и, по всей видимости, они увенчались успехом.

Такой вывод можно сделать, если посмотреть на следующий график:


Соотношение партнерского и заказного спама в ноябре 2010

Как видно на графике, на второй неделе ноября кривая развития партнерского спама и кривая, отражающая динамику доли спама, заказанного представителями малого и среднего бизнеса, пересеклись — впервые за полгода.

Разумеется, спамеры не сидели сложа руки в ожидании своих клиентов. Пока количество заказного спама было не слишком высоким, а в партнерском спаме происходили описанные выше изменения, спамеры активно рассылали рекламу собственных услуг. На графике выше можно заметить, что своих пиковых значений доля саморекламы спамеров в Сети достигла на первой и третьей неделях ноября. Это понятно: снижение доли партнерского спама наметилось с самого начала месяца. Спамеры, ранее сотрудничавшие с партнерками, начинали переходить к работе с мелким и средним бизнесовм, использующим спам как средство рекламы. Однако для того чтобы заполучить клиентов недостаточно просто выйти из партнерки и начать рассылать заказной спам, необходимо провести соответствующую рекламную кампанию. По всей видимости, первая из масштабных кампаний спамеров увенчалась успехом: уже через неделю после первого вброса спамерской саморекламы рост доли заказного спама превысил 10%. Однако к середине месяца доля заказного спама, вместо того, чтобы продолжить активно расти, слегка снизилась, что заставило спамеров с новой силой возобновить пошедшие было на спад рассылки с саморекламой. И снова трюк удался: конец ноября ознаменован приближением доли заказного спама к отметке 60%. Доля саморекламы спамеров при этом начала снижаться, приближаясь к своим обычным показателям (3-5%).

Как будет развиваться ситуация в дальнейшем, покажет время. Мы предполагаем, что доля рассылок, заказанных у спамеров представителями малого и среднего бизнеса, продолжит расти в преддверии новогодних праздников.

Борьба продолжается

Несмолкающий шум вокруг спама и спамеров, по всей видимости, подтолкнул российские законотворческие органы к тому, чтобы законодательно закрепить ответственность за рассылку спама.

В Российском «Законе о защите информации» в обозримом будущем должно появиться определение спама, а также будет определена ответственность за его рассылку. Ожидается, что закон будет довольно жестким: спамеры будут нести уголовную ответственность за рассылку непрошенных сообщений.

Такие меры должны облегчить борьбу со спамерами на юридическом уровне.

.РФ в спаме

Еще в нашем сентябрьском отчете мы предполагали, что в скором времени доменная зона .рф появится в качестве одной из тем, которую спамеры обыгрывают в своих сообщениях. Этот прогноз оправдался.

Спам против сквоттерства?

Итак, в минувшем месяце началась неприоритетная регистрация доменных имен в кириллической доменной зоне .рф. Спамеры спохватились еще до ее начала: 9-10 ноября пользователи начали получать сообщения следующего содержания:

В нем спамеры рекламировали услугу по подаче заявки на регистрацию домена в зоне .рф до официального начала регистрации. Сама по себе услуга вызывает большие сомнения, поскольку преждевременная подача заявления на регистрацию явилась бы нарушением правил использования новой доменной зоны. Пытаясь убедить пользователей воспользоваться их сомнительными услугами, заказчики спама спекулировали на теме сквоттерства, то есть практики скупки доменных имен, соответствующих названиям различных организаций, с целью их дальнейшей перепродажи или шантажа. Бесспорно, тема сквоттерства в связи с появлением новой доменной зоны стала более чем актуальной. В то же время, очевидно, что большинство пользователей, которым спамеры (или их заказчики) пытались сбыть эту услугу, реально не являлись потенциальными жертвами сквоттеров.

Или спам за сквоттерство?

Ближе к концу ноября появилась также рассылка, которую, по-видимому, заказали сами сквоттеры. Это была довольно мощная волна сообщений, предлагающих пользователям поучаствовать в закрытых торгах на право обладания несколькими кириллическими доменами второго уровня:

Собственно, выставление различных затребованных на рынке доменных имен на торги — это как раз один из приемов сквоттеров. Как видно на скриншоте, заказчики спама надеются сбыть зарегистрированные доменные имена за крупные суммы денег, во много раз превышающие стоимость регистрации доменов.

Спам: ссылки на .рф

Кроме того, мы уже писали в нашем блоге, что домены с кириллическими именами уже появились в спам-сообщениях не только как товар, но и как рабочие ссылки на спамерские сайты, в том числе посвященные обучению, оптимизации сайтов и саморекламе спамеров.

В нашем блогпосте также упоминалось, что отсутствие должного контроля за содержанием страниц в доменной зоне .рф приведет к ее скорому загрязнению. Пока спамеры включают ссылки на кириллические домены в единичные русскоязычные рассылки. Однако не за горами время, когда реклама виагры и казино будет столь же часто встречаться в доменной зоне .рф, как сейчас — в доменной зоне .ru.

Статистический обзор

Доля спама в почтовом трафике

Доля спама в почтовом трафике по сравнению с октябрем уменьшилась на 0,6% и составила в среднем 76,8%. Самый низкий показатель месяца был зафиксирован 1 ноября — 71%. Первые три дня месяца наблюдался спад спам-трафика, вызванный закрытием командных центров ботнета Bredolab, произошедшим в конце октября. Больше всего спама было получено пользователями 7 числа — 85,6%.


Доля спама в почтовом трафике в ноябре 2010 года

Страны — источники спама

В ноябре количество спама, распространенного из Индии, увеличилось на 2%, что позволило этой стране подняться на первое место в рейтинге стран — источников спама.


Страны — источники спама в ноябре 2010

На втором месте расположилось другое азиатское государство: Вьетнам. Доля спама, разосланного с территории этой страны, выросла на 5,8%. Вдвое увеличилась доля спама, распространенного с территории Индонезии. Однако, несмотря на рост доли спама, азиатского происхождения, большая часть мирового спама (более 45%) была распространена с территории Европы.

Наблюдался рост доли спама, распространенного с территории Великобритании (+1,35%) и Италии (+1%), и уменьшение доли спама российского (-5,7%) и украинского (- 3%) происхождения. Довольно большая часть европейского спама (20%) была распространена из Восточной Европы.

Как уже сказано выше, Соединенные Штаты Америки впервые за всю историю наших наблюдений не попали в TOP 20 стран — источников спама.

Вредоносные вложения в почте

В ноябре вредоносные файлы содержались в 1,6% всех электронных сообщений, что на 0,13% больше, чем в прошлом месяце.

Соединенные Штаты Америки, на протяжении предыдущих двух месяцев лидировавшие по количеству полученного пользователями вредоносного спама, уступили свое место России. Доля вредоносного спама, отправленного в США, уменьшилась на 4%, в то время как доля сообщений с вредоносными вложениями, полученная российскими пользователями, возросла в 4 раза и превысила 8%. Обогнали Штаты и азиатские государства — Индия и Вьетнам. Доля вредоносного спама, полученного пользователями в этих странах увеличилась вдвое.

Мы предполагаем, что увеличение количества вредоносного спама, рассылаемого в перечисленные выше страны, связано с попыткой построения в них новых крупных ботнетов., Такие попытки предпринимаются злоумышленниками в тех регионах, где борьба против криминального IT-бизнеса еще не ведется на государственном уровне, либо пока не приносит результатов.

Развитые страны, такие как США, Германия и Великобритания, значительно снизили свои позиции в нашем рейтинге, а Япония и вовсе покинула его.


Срабатывания почтового антивируса по странам в ноябре 2010


ТОP 10 вредоносных программ, распространенных в почте в ноябре 2010

В ноябре Trojan-Spy.HTML.Fraud.gen не изменил своих позиций и продолжает возглавлять наш рейтинг вредоносных программ, наиболее часто встречавшихся в почте с огромным отрывом от «преследователей». Напомним, что получивший эту вредоносную программу пользователь видит поддельную страничку известного банка или платежной системы, на которой требуется ввести логин и пароль. То есть, сообщение, содержащее Trojan-Spy.HTML.Fraud.gen, является по сути фишинговым.

На втором месте в рейтинге Trojan-Spy.Win32.Zbot.assl. Подробно о троянцах семейства Zbot можно прочитать здесь. Эта троянская программа предназначена для кражи конфиденциальных данных пользователя. В начале ноября возобновилась активная рассылка Zbot через почту на территории Великобритании и США. О практически полном прекращении рассылки Zbot через почту на территории этих государств мы писали в нашем октябрьском отчете.

Троянцы семейства Oficla также продолжают активно распространяться в почте. Программы этого семейства загружают из Сети другие вредоносные или рекламные программы, или обновления к ним, и запускают их на компьютере пользователя.

Лишь менее 5% вредоносных программ, распространенных в почте в ноябре, являлись неизвестными ранее угрозами.

Фишинг

Доля фишинговых писем составила 0,4% от всей почты, что на 0,47% меньше, чем в октябре.


ТОP 10 организаций, чаще всего подвергавшихся
фишинговым атакам в ноябре 2010

Заметной особенностью рейтинга наиболее часто атакованных фишерами организаций стало уменьшение на 27,1% доли атак на платежную систему PayPal. При этом, если в октябре на ближайшего «преследователя» PayPal — Facebook — приходилось лишь 8,4% всех фишинговых атак, то в ноябре эта цифра выросла вдвое и составила почти 17%. Доля атак на интернет-аукцион eBay возросла втрое по сравнению с октябрем.

Все это, а также рост доли атак на организации, не попавшие в TOP 10 (+5%), позволяет говорить о том, что фокус фишерских атак по сравнению с прошлым месяцем стал несколько шире. Часто атаковались держатели пластиковых карт MasterCard и Visa. Также возобновились атаки на держателей бонусных карт авиакомпании Delta.

Тематические направления в спаме


Распределение спама по тематическим категориям в ноябре 2010

Пятерка лидирующих спам-тематик ноября:

  1. Образование — 26% (+7,1%)
  2. Медикаменты; товары/услуги для здоровья — 12,5% (-11,3%)
  3. Реклама спамерских услуг — 8,3% (+1,1%)
  4. Азартные игры — 7,3% (+3,1%)
  5. Реплики элитных товаров — 7,3% (-6,5%)

Как уже отмечалось, ноябрь ознаменовался небывалым падением доли фармацевтического спама. По сравнению с октябрем доля такого спама снизилась почти вдвое, достигнув уровня марта 2010 года.

Первую строчку рейтинга занимают письма, объединенные в тематическую рубрику «Образование», — их доля в спам-трафике увеличилась на 7,1% по сравнению с октябрем. В течение всего месяца доля сообщений этой тематики постепенно возрастала, достигнув на последней неделе ноября отметки 29,5%.

В целом, пятерка лидеров нашего рейтинга не претерпела значительных изменений. Входившие в нее тематики лишь поменялись местами. О причинах, которые могут скрываться за колебаниями в тематическом составе ноябрьского спама можно прочитать выше, в части «Виагра в изгнании».

Заключение

Несмотря на то, что ноябрь не был отмечен яркими событиями в области международной борьбы со спамом, результаты акций, проведенных в сентябре и октябре, четко прослеживались — как в изменении объемов спама, так и в колебаниях его тематического состава.

Борьба с ботнетами принесла свои плоды — объемы спама постепенно сокращаются. По-видимому, эта тенденция сохранится в ближайшие несколько месяцев. Соединенные Штаты Америки, ранее являвшиеся лидером по рассылке спама, благодаря активной борьбе правоохранительных органов с ботнетами , выпали из двадцати стран, наиболее активно распространяющих спам. Злоумышленники же переключились на рассылку спама с ботнетов, расположенных преимущественно на территории Азии и Европы. По всей видимости, именно с их попыткой расширить эти зомби-сети связано увеличение количества вредоносного спама, полученного в ноябре пользователями в России, Индии и Вьетнаме.

Шумиха вокруг фармацевтических партнерок привела к заметному перераспределению в тематическом составе спама. Спамеры, отказывающиеся от рассылки фармацевтического спама, пробуют сотрудничать то с одной, то с другой партнерской программой, в поисках столь же прибыльного дела.

Трудно предположить, что именно предпримут спамеры в сложившейся ситуации. Вероятно, со временем жажда наживы победит осторожность, и злоумышленники вернутся к рассылке рекламы «медикаментов». Однако именно в декабре спамерам есть куда направить мощности ботнетов: уже сейчас в спаме все активнее рекламируются отдых и путешествия, т.е. услуги, спрос на которые растет в преддверии Нового года. Кроме того, набирают обороты рождественские партнерские программы, торгующие подаркам.

В декабре спамеры с большей охотой обратятся к теме праздников, ведь и пользователи наиболее активно закупают подарки на Рождество и Новый год именно в последний месяц года.

Спам в ноябре 2010 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике