Ноябрь в цифрах
- Доля спама в почтовом трафике по сравнению с октябрем увеличилась на 1,4% и составила в среднем 80,6%.
- Доля фишинговых писем в почтовом потоке по сравнению с октябрем увеличилась вдвое и составила 0,02%.
- В ноябре вредоносные файлы содержались в 3% всех электронных сообщений, что на 0,5% больше, чем в прошлом месяце.
Обзор главных событий месяца
Мошенничество предновогоднее и не только
Мошенники стараются использовать предпраздничную суету и в преддверии Рождества и Нового года рассылают особенно много сообщений, призванных спровоцировать пользователя оставить свои финансовые или персональные данные на фишерском сайте. Расчет их понятен: пользователи в этот радостный и хлопотный период менее внимательны, чем обычно, и чаще, чем обычно, совершают покупки через интернет, — поэтому фальшивые сообщения о блокировке банковских карт или аккаунтов производят на них особенно сильное впечатление, — ведь именно эти деньги должны были пойти на покупку подарков.
В англоязычном спаме, по сравнению с русскоязычным, мошеннических писем больше — и вообще, в среднем за год, и накануне праздников — особенно.
Подарки заказывали?
В ноябре мы зафиксировали несколько крупных рассылок, подделанных под уведомления от интернет-магазинов. Бренды конкретных интернет-магазинов не использовались — в письмах пользователю предлагалось ознакомиться со счетом или проверить по ссылке зарегистрированный в системе заказ. Надо сказать, что в канун праздников пользователи часто относятся к таким сообщениям без должной критики, поскольку во многих случаях они действительно оформляли заказ. На самом же деле такие сообщения содержали ссылки на вредоносный код.
Как видно на приведенном примере, одна из таких рассылок распространялась не только на английском, но и на других европейских языках. В частности, мы зафиксировали письма, нацеленные на пользователей, говорящих на немецком, итальянском и голландском языках.
Фальшивые уведомления от социальных сетей
Социальные сети давно являются прикрытием для распространителей медикаментов и вредоносного кода, а аккаунты пользователей в соцсетях стали постоянными целями фишинговых рассылок. В ноябре мы зафиксировали множество рассылок, так или иначе эксплуатировавших популярные социальные сети.
Flickr
Рассылки, эксплуатирующие социальную сеть Flickr, в спаме встречаются довольно редко. Однако в ноябре даже эта сеть не осталась без внимания спамеров. Сообщения, полученные пользователями, были разосланы с аккаунтов Flickr с использованием функции «пригласить друга». Спамеры «пригласили» множество людей, при этом в тексте приглашения были размещены ссылки, ведущие на сайт, торгующий фармацевтической продукцией. Рассылая рекламу фармацевтического сайта таким способом, спамеры рассчитывали обойти спам-фильтры: с технической точки зрения сообщения выглядели как легитимные, поскольку отправлялись с использованием законной функции приглашения в соцсеть.
Как видно на скриншоте, ссылка в письме содержит упоминание медикаментов для мужчин.
Тем же способом спамеры использовали и микроблоги Twitter — с них также были разосланы приглашения присоединиться к соцсети. Приглашения были снабжены довольно откровенным текстом и ссылкой, перенаправляющей пользователя на сайт с порнографическим содержанием. Интересно отметить, что в сообщении используется сервис коротких ссылок, расположенный в доменной зоне cn.
Поддельные сообщения от Twitter также были зафиксированы в этом месяце. Фальшивые уведомления от этой соцсети рассылаются уже не в таком количестве, как это было летом 2010 года, когда интернет переживал настоящий бум таких подделок, — но они все еще не вышли из спамерской моды. Как и прежде, по ссылке, указанной в сообщении, пользователь попадает на сайт, где содержится и реклама виагры, и вредоносный код.
С сетью LinkedIn у спамеров в ноябре поизошел курьезный случай. Помимо традиционных подделок под уведомления от этой соцсети, содержащих ссылки на фармацевтические сайты, в ноябре была зафиксирована необычная рассылка.
Заголовок полученных пользователями сообщений гласил: «So now you’re on LinkedIn: What’s next?». Поле «From» также было оформлено так, чтобы имитировать официальное сообщение от LinkedIn. Да вот незадача: открывший письмо пользователь с удивлением обнаруживал сообщение, что транзакция с его счета, совершенная недавно через электронную платежную систему, отменена!
Сообщения, подделанные под уведомления от платежной системы Nacha, поступают в почтовые ящики пользователей уже не первый месяц и обычно имеют более логичные заголовки и поле «From», связанные с платежной компанией. Почему спамеры все перепутали — трудно сказать.
Отметим, что подобные уведомления от LinkedIn в ноябре фиксировались не единожды.
Праздники продолжаются
Спамеры продолжили распространять письма, посвященные различным праздникам. На ноябрь приходится День Благодарения, широко отмечаемый в США и некоторых других странах, а в мусульманских странах последние три года в этом месяце празднуется Курбан-байрам.
Зафиксированные нами рассылки, посвященные празднику Курбан-байрам, были в основном на турецком языке и предлагали религиозный туризм. В рассылках, связанных с Днем Благодарения, в основном содержалась реклама подарков.
Также продолжились рассылки, приуроченные к Рождеству и Новому году.
Отметим, что в спам-потоках Рунета увеличилось число рассылок, рекламирующих отдых и путешествия (+3,6%). Это обусловлено приближением длительных новогодних праздников.
Статистический обзор
Страны — источники спама
Страны — источники спама в ноябре 2011 г. (TOP 20)
В ноябре первые четыре страны в рейтинге стран — источников спама остались прежними (только Бразилия и Индонезия поменялись местами). Показатели этих стран выросли: Индия (+1,86%), Корея (+2,31%), Индонезия (+2,29%), Бразилия (+0,12%). Пятое место занял Вьетнам (+0,25%%). В целом доля мусорной почты, исходящей из стран TOP 5, увеличилась на 7,2%.
Доля Италии, замыкавшей в октябре ТОР 5, уменьшилась (-0,76%), и эта страна сместилась на шестую строчку.
Россия в рейтинге стран — источников спама заняла 15-е место. Доля спама, разосланного из этой страны, по сравнению с октябрем уменьшилась на 0,7%.
Вредоносные вложения в почте
В ноябре вредоносные файлы содержались в 3% всех электронных сообщений, что на 0,5% больше, чем в прошлом месяце.
Пара стран, лидирующих по срабатываниям почтового антивируса, в ноябре не изменилась: Россия остается на первом месте, опередив США на 6%. Показатели обеих стран выросли по сравнению с предыдущим месяцем на 3,39% и 2,77% соответственно.
Доля срабатываний почтового антивируса на территории Великобритании уменьшилась почти в два раза и составила 4,8%. Также почти в два раза этот показатель уменьшился на территории Австралии (3,1%). В результате эти страны сместились в рейтинге на четвертую и десятую строчку соответственно.
Изменения в доле срабатываний почтового антивируса на территории остальных стран, входящих в ТОР 10, колеблются в пределах 1%.
Распределение срабатываний почтового антивируса по странам в ноябре 2011 г.
В списке вредоносных программ, которые наш антивирус чаще всего детектировал в почте, пара лидеров также осталась неизменной.
На первом месте вновь Trojan-Spy.HTML.Fraud.gen. На его долю приходится 12% срабатываний почтового антивируса, что лишь на 1% меньше, чем в прошлом месяце. Trojan-Spy.HTML.Fraud.gen — традиционный лидер нашего рейтинга. Такой вердикт получают вредоносные программы, представляющие собой html-странички, подделанные под регистрационную форму финансовой организации или какого-либо онлайн-сервиса.
На втором месте —Email-Worm.Win32.Mydoom.m, почтовый червь, выполняющий только две функции: сбор электронных адресов на зараженных машинах и рассылку по ним самого себя. Тем же нехитрым набором функций оснащен и другой завсегдатай нашего рейтинга — Email-Worm.Win32.NetSky.q, замыкающий TOP 10. Еще один почтовый червь —Email-Worm.Win32.Bagle.gt — оказался на восьмом месте. В дополнение к функционалу своих более древних собратьев этот зловред обращается также к интернет-ресурсам для загрузки из Сети вредоносных программ.
ТОP 10 вредоносных программ, распространенных в почте в ноябре 2011 г.
В ноябре в ТОР 10 программ, которые наш антивирус чаще всего детектировал в почте, осталась лишь одна модификация Trojan.Win32.Yakes — Trojan.Win32.Yakes.jyh. Напомним, что программы этого семейства являются классическими троянцами-загрузчиками. Эти зловреды после установки на компьютер пользователя обращаются к определенному сетевому ресурсу и получают ссылки для скачивания других вредоносных программ.
Занимающие пятую и седьмую строчки троянцы семейства Trojan.Win32.Pakes являются программами упаковщиками, которые используются для обхода детектирования антивирусными средствами других вредоносных программ.
Фишинг
Доля фишинговых писем в почтовом потоке по сравнению с октябрем увеличилась вдвое и составила 0,02%.
ТОР 10 организаций, атакованных фишерами*
* Рейтинг составляется на основе доли фишинговых URL, распространенных в Сети. Рейтинг не является показателем уровня безопасности упомянутых организаций, а отображает популярность различных сервисов у фишеров. Отметим, что фишеры предпочитают атаковать сервисы, наиболее популярные и авторитетные среди пользователей.
Рейтинг атакованных фишерами организаций вновь претерпел заметные изменения по сравнению с предыдущим месяцем.
Главной неожиданностью стало появление на второй строчке рейтинга социальной сети Habbo, в октябре выпавшей из рейтинга. Доля атак на Habbo выросла в 10 раз. Незначительно увеличилась и доля атак на Facebook, занявшую в ноябре четвертую строчку.
Онлайновые игры покинули ТОР 10 организаций, атакованных фишерами.
При этом банковские организации остались в фокусе внимания фишеров: половина всех входящих в ТОР 10 организаций — это банки.
Интересно отметить, что к концу года по традиции активировались фишинговые рассылки, направленные на налоговую организацию IRS, что связано с порой подачи налоговых деклараций.
Тематические направления в спаме
Тематические категории спама в ноябре 2011 г.
В ноябре спокойная ситуация в экономике и приближение новогодних праздников подстегнули малый и средний бизнес вновь обратиться к услугам спамеров. В результате доля заказного спама увеличилась по сравнению с октябрем еще на 10%.
На фоне увеличения количества заказного спама «Реклама спамерских услуг» выпала из пятерки лидирующих категорий, оказавшись на шестом месте. «Медикаменты; товары/услуги для здоровья» остались единственной тематикой в пятерке лидирующих тематических категорий в спаме, не относящейся к заказным рассылкам.
Пятерка лидирующих тематических категорий в спаме:
- Образование 24,9% (-2,5%)
- Недвижимость 16,5% (+2,0%)
- Отдых и путешествия 11,0% (+3,6%)
- Медикаменты; товары/услуги для здоровья
8,9% (-5,9%) - Другие товары и услуги 7,9% (+3,4%)
Выше уже отмечалось, что в преддверии новогодних праздников стало больше сообщений категории «Отдых и путешествия». С приближением праздников в спаме появляется все больше рекламных сообщений, в которых рекламируется сувенирная продукция. Это видно по увеличению доли тематики «Другие товары и услуги».
Заключение
В ноябре распределение исходящих спам-потоков, а также распределение срабатываний почтового антивируса по странам не принесло никаких сюрпризов — оба рейтинга претерпели лишь небольшие изменения.
Внимание фишеров в данный момент довольно равномерно распределено между реальными и виртуальными деньгами, которые они пытаются выманить у пользователей. Возвращение в TOP мишеней фишеров социальной сети Habbo говорит о том, что внимание фишеров вновь привлекает виртуальная среда.
В декабре потоками спама, безусловно, будет управлять новогодняя лихорадка: мы увидим дальнейший рост предложений новогоднего отдыха и корпоративных праздников, а также сообщений тематики «Другие товары и услуги», включающей разнообразнейшие предложения подарков на Новый год. Расти будет и доля мошеннических сообщений. Несмотря на то что в Рунете она традиционно не слишком высока, мы призываем пользователей быть осторожными и не открывать спамерских писем — тем более, что Россия второй месяц подряд уверенно лидирует в рейтинге по количеству срабатываний почтового антивируса.
К концу декабря и на период новогодних каникул в России будет наблюдаться традиционное и значительное снижение спам-активности. В этот период основу спам-потоков составят партнерские сообщения с вредоносным кодом и рекламой виагры.
Спам в ноябре 2011 года