Отчеты по спаму и фишингу

Спам в ноябре 2012

Ноябрь в цифрах

  • Доля спама в почтовом трафике продолжает падать, в ноябре она уменьшилась на 5,1% и составила в среднем 62,9%.
  • Доля фишинговых писем в почтовом потоке по сравнению с октябрем сократилась вдвое и составила 0,015%.
  • Вредоносные программы содержались в 3,27% электронных сообщений, что на 0,02% больше, чем в прошлом месяце.

События месяца в спаме

Праздники и сенсационные события всегда на руку спамерам и мошенникам. Преддверие Рождества и Нового года дает спамерами дополнительные возможности для рекламы товаров и услуг в спаме. Катастрофы месяца были использованы мошенниками для вымогательства денег.

Сострадательные мошенники

Два трагических события произошли в мире в ноябре — ураган «Сэнди» в США, повлекший за собой человеческие жертвы, и наводнение в Доминиканской Республике. Эти события использовали фишеры, стараясь заполучить персональные данные и деньги пользователей.

В первом случае мошенники просили пожертвования на восстановление дорог, мостов, электроснабжения. Во втором — сообщали о затопленной школе, которой срочно требовалась гуманитарная помощь. В обоих случаях ссылки в сообщениях вели на сайт, на котором пользователям надо было ввести данные своих кредитных карт.

Новый сюжет в нигерийских письмах

Так называемые нигерийские письма — одна из категорий мошеннического спама. Как правило, они содержат просьбы о помощи в получении или переводе денег за вознаграждение и тематически привязаны к актуальным событиям, известным личностям или крупным компаниям. Часто в них используется легенда о смерти богатого родственника или клиента, после которого осталась крупная сумма денег, которую надо вывести из страны. Вымогатели стараются описать вымышленную ситуацию как можно более правдоподобно.

На этом фоне необычно выглядело письмо якобы от американского военного, которому удалось захватить деньги движения Талибан, полученные за продажу опиума. Спамеры предлагали совместно инвестировать «заработанные» деньги, так как у них не хватает опыта.

От пользователей, которые позарятся на деньги столь сомнительного происхождения, скорее всего, потребуется перевести определенную сумму на «организационные нужды».

И снова праздники

Традиционно в канун Нового года и Рождества растет число «праздничных» рассылок. Наиболее популярная услуга, предлагаемая в предновогоднем спаме — проведение праздников и корпоративов, в том числе с участием Снегурочки и Деда Мороза. Также достаточно распространены предложения изготовить подарочную продукцию с символикой компании (например, рекламируются сладкие подарки в эксклюзивной упаковке с фирменным логотипом).

Некоторые спам-рассылки оформлены в виде поздравлений, которые помимо пожеланий содержат еще и рекламу. Наиболее креативные письма оформляются в виде красивых рождественских открыток. Услуги, предлагаемые таким образом, — например, создание различных интернет- и мобильных приложений — могут не иметь никакого отношения к Новому году или Рождеству.

Отметим, что во многих «праздничных» рассылках ноября использовался графический спам — как для привлечения внимания пользователей, так и для обхода спам-фильтров.

Репутацию не купишь?

В ноябре любопытная рассылка была адресована компаниям и пользователям, желающим прославиться в социальной сети Facebook: в письмах спамеры предлагали купить «лайки».

Фармацевтический спам со «скандальной» ссылкой

Распространяющие рекламу различных медикаментов спамеры прибегают к новым форматам представления информации. В ноябре медицинские препараты рекламировали в таблице, где указывалось назначение лекарств.

Не забыли спамеры про громкий скандал, произошедший в России и касавшийся панк-группы Pussy Riot. Англоязычное письмо содержало ссылку, якобы ведущую на связанную с этой группой новость. При переходе по ссылке открывается сайт с рекламой виагры.

Географическое распределение источников спама

Среди стран — источников спама в мире на позиции лидеров по-прежнему остаются Китай (32,7%) и США (23,8%). Доля спама, рассылаемого из Китая, увеличилась на 2%, тогда как процент спама, распространяемого из США, уменьшился на 3,5%. В целом из этих двух стран в ноябре было разослано около 56% мирового спама.


Страны — источники спама в мире

В пятерке стран — лидеров по распространению мирового спама изменений почти нет, лишь Бразилия (2,0%) опустилась с 5-го места на 7-е, уступив свое место Германии (3,8%).

В Рунете Индия (14%) уступила первое место Вьетнаму (15,2%). Показатели обеих стран по сравнению с октябрем уменьшились: Индии — на 2,85%, Вьетнама — на 0,5%.


Страны — источники спама в Рунете

Существенно увеличился вклад Германии в спам-потоки Рунета — он составил 13,7%, что на 7% больше чем в октябре. В рейтинге эта страна поднялась с 11-го на 3-е место. Китай потерял около 2% и опустился на 4-ю позицию.

Практически не изменились доли спама, попадающего в Рунет из США и России, что позволило этим странам остаться на девятом и пятом местах рейтинга соответственно.

Среди регионов лидером по распространению спама остается Азия (51,9%, на 1,4% больше по сравнению с прошлым месяцем). В первую тройку, как и ранее, входят Северная Америка и Западная Европа.


Регионы — источники спама

Вредоносные вложения в почте

В ноябре вредоносные вложения содержались в 3,27% электронных сообщений, что на 0,02% больше, чем в прошлом месяце.


Распределение срабатываний почтового антивируса по странам

США (16,2%) и Германия (12,6%) остаются странами, куда направлено больше всего вредоносных писем. Однако, если доля Германии по сравнению с прошлым месяцем не изменилась, доля США продолжила увеличиваться (+3,6%), и в ноябре эта страна стала лидером по количеству срабатываний почтового антивируса. Доля остальных стран, входящих в рейтинг, существенно не менялась.


TOP 10 вредоносных программ, распространенных в почте

TOP 10 вредоносных программ, распространяемых в почте, по сравнению с предыдущим месяцем значительно изменился. На первое место вышел Trojan-PSW.Win32.Tepfer.cfwf — программа, ворующая пароли пользователя. В рейтинг вошли еще две программы этого семейства.

Ни лидер прошлого месяца Trojan-Spy.Win32.Zbot.fsfe, ни лидер года Trojan-Spy.HTML.Fraud.gen не появились в рейтинге. Однако семейство Trojan-PSW также нацелено на хищение пользовательских паролей, причем не только к аккаунтам онлайн-банкинга, но и к аккаунтам более широкого спектра. Также в десятке можно заметить Trojan-Spy.Win32.Zbot.ghzq — еще одну модификацию троянца Zbot/ZeuS.

На третьем и четвертом местах находятся почтовые черви, основной функционал которых — распространять себя по адресной книге пользователя. Черви Bagle, помимо этого, могут закачивать на компьютер пользователя другие вредоносные программы.

Фишинг

В ноябре доля фишинговых писем в почтовом потоке уменьшилась вдвое и составила 0,015%.


Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

На первое место по количеству фишинговых атак вышли социальные сети во главе с Facebook, их показатель вырос на 13,2%. Лидировавшие в октябре онлайн-магазины сместились на третье место (13,5%). Доля фишинговых атак на финансовые и платежные организации по сравнению с октябрем уменьшилась на 3%, но эта категория по-прежнему занимает в рейтинге второе место.

Продолжают терять позиции поисковики (-5,4%) — они переместились с третьего места на четвертое. Среди поисковых систем фишеры чаще всего атаковали Google и Yahoo.

Заключение

Как и ожидалось, в преддверии зимних праздников увеличилось количество новогоднего спама. В декабре рекламы различных товаров и услуг, тематически связанных с праздниками, станет еще больше. Возможно использование новогодней тематики и в разнообразных рассылках, рекламирующих вовсе не праздничные товары и услуги, а также заманивание клиентов праздничными скидками. Продолжит расти количество графического спама.

В праздничный период пользователям стоит быть внимательными при получении писем с уведомлениями от различных магазинов, банков и других финансовых систем. Не следует открывать подозрительные вложения, присланные незнакомыми отправителями, переходить на банковские страницы по ссылкам в письме, и уж, тем более, — вводить на них персональную информацию, особенно номера банковских карт, пароли и логины от платежных кабинетов.

Спам в ноябре 2012

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике