Спам в октябре 2011 года

Октябрь в цифрах

  • Доля спама в почтовом трафике по сравнению с сентябрем увеличилась на 1,4% и составила в среднем 79,9%.
  • Доля фишинговых писем в почтовом потоке по сравнению с сентябрем уменьшилась втрое и составила 0,01%.
  • В октябре вредоносные файлы содержались в 2,5% всех электронных сообщений, что на 2% меньше, чем в прошлом месяце.

Обзор главных событий месяца

Горячие темы месяца

В октябре у спамеров была возможность выбирать инфоповоды для привлечения внимания к своим рассылкам в соответствии со своими вкусами, настроениями и спецификой сообщений. Месяц оказался не только богат на различные громкие события, но и ознаменовался приближением сразу двух международных праздников.

Для спамеров они все еще живы

Как известно нашим читателям, для спамеров нет ничего святого. Смерть знаменитостей для них такой же повод привлечь внимание к своим рассылкам, как и любое другое громкое событие.

Стив Джобс

5 октября умер основатель компании Apple Стив Джобс. Реакция спамеров последовала на удивление поздно. Мы уже писали в нашем блоге о том, что прошли почти сутки после смерти Джобса, прежде чем активизировались вредоносные рассылки, в которых сообщалось, что основатель Apple все еще жив, а также предлагалось узнать подробности того, как его компания перенесла трагическое известие.

В течение всего месяца мы регистрировали новые рассылки, эксплуатировавшие тему смерти Джобса. В основном, это были сообщения, содержащие ссылки на вредоносный код.

Встретилось нам и мошенническое письмо, предлагающее пользователю за 30 USD приобрести «обновление для iTunes», якобы выпущенное специально в память об основателе этого сервиса.

Из сообщений, «посвященных» смерти основателя Apple и не содержавших вредоносный код и признаков мошенничества, мы встретили лишь рассылку, в которой пользователям предлагалось купить руководство по медитации.

Вопреки нашим ожиданиям, в спаме, эксплуатирующем тему смерти основателя Apple, в октябре не встречались традиционные рассылки с рекламой медикаментов.

Каддафи

20 октября по миру разнеслось сообщение о смерти ливийского лидера Муаммара Каддафи. Как и следовало ожидать, в спаме тут же появилось множество сообщений от «родственников Каддафи» и «военных, служивших у Каддафи». Каждому из этих людей «досталась часть несметных сокровищ покойного ливийского лидера». Если сложить суммы, упомянутые в нигерийских письмах, получится, что у Каддафи действительно были несметные сокровища — в самом скромном письме пользователю сообщают о доступных к «распилу» 12,5 миллионах американских долларов.

Интересно, что самой настырной «родственницей Каддафи» стала «его вторая жена», от имени которой написано несколько вариантов нигерийских писем.

Напомним пользователям, что нигерийские письма являются чистой воды мошенничеством, и мы настоятельно рекомендуем не отвечать на них. Для нигерийских спамеров смерть любой заметной личности в странах со сложной политической обстановкой является поводом для новой волны атак. Они считают, что упоминание реального человека, задействованного в реальных событиях, придает их письмам правдоподобность. Надеемся, однако, что спамеры ошибаются, и ни один здравомыслящий человек не сочтет правдоподобным полученное по электронной почте сообщение от «второй жены погибшего полковника Каддафи» с предложением получить изрядную долю от полученных ею в наследство 12,5 миллионов долларов.

Праздник к нам приходит

Широко отмечаемые праздники — от Хэллоуина до Нового года — также стали заметной темой в спамерских сообщениях в октябре.

Halloween

В нашем блоге мы уже писали о том, что спамеры вновь живо отреагировали на приближение отмечаемого в конце октября праздника Хэллоуин.

Хэллоуиновский спам имеет две небезынтересные особенности. Во-первых, это в основном англоязычный спам. Это понятно: в Америке и Европе Хэллоуин — традиционный праздник, который принято отмечать с размахом и весельем. В России же прижились лишь полюбившиеся молодежи костюмированные вечеринки в ночь с 31 октября на 1 ноября. Соответственно, немногочисленные русскоязычные рассылки, посвященные Хэллоуину, в основном рекламируют события Хэллоуиновской ночи и костюмы, которые можно надеть на этот карнавал.

Англоязычный же спам Хэллоуиновской тематики отличается разнообразием. Тут и костюмы, и подарки, и открытки, и даже специальные акции продавцов фармы и дешевого ПО. Объединяет эти рассылки одно — все это плоды работы партнерских программ. Это и является второй особенностью Хеллоиуновского спама, которую хотелось бы отметить.

Новый год и Рождество УЖЕ стучатся в двери

Спам-рассылки, тематически связанные с Новым годом и Рождеством, традиционно стартуют в октябре, когда активная подготовка к праздникам начинается и в реальном мире. Полученные нами «новогодние» сообщения были, в основном, англоязычными. Рекламировались в них новогодние подарки и лакомства, а также различные виды отдыха в период рождественских каникул.

В ноябре таких сообщений станет намного больше, т.к. предновогодний ажиотаж уже разгорится не на шутку. Помимо рекламы рождественских подарков, праздничных поездок, открыток и прочего, обязательно появятся «специальные предложения» от распространителей товаров, напрямую не связанных с Рождеством и Новым годом. В том числе, разумеется, новогодние акции от распространителей виагры и предложения реплик дорогих часов.

Политический спам

Мы уже писали о том, что в преддверии выборов в России, которые состоятся в начале декабря этого года, растет количество политически-окрашенных сообщений. В октябре эта тенденция сохранилась.

Интересно отметить, что сообщения, носящие политический характер, не всегда связаны с выборами. От имени отделения партии ЛДПР в Новосибирске было разослано спам-письмо, в котором бизнесменам предлагалось обращаться в отделение партии в случае, если они терпят притеснения от властей. Как всегда, когда речь идет о «партийных» рассылках, нельзя исключить черный пиар.

Не первый месяц мы наблюдаем спам-сообщения, содержащие ярко выраженный протест против партии власти. Степень радикальности спамеров варьирует от предложений прогулять выборы или голосовать за любую другую партию до призывов к революции. Были и сообщения, призывающие пользователей интернета стать кандидатами-самовыдвиженцами в президенты. Интересно, что автор этой рассылки утверждает, что рассылку проводит первый и последний раз и делает это, поскольку не видит иного дешевого метода быстрого распространения информации.

Активизация политической жизни в стране, вероятно, приводит к тому, что граждане занимают более активную гражданскую позицию и в случаях, не имеющих прямого отношения к политике. Это находит отражение в спаме. В октябре нами была зафиксирована рассылка писем с обращением к премьер-министру РФ В. В. Путину от жителей Брянска — с просьбой наказать виновных в ДТП, в результате которого погибла маленькая девочка. Кроме того, зафиксирована рассылка от жителей Калужской области, сетующих на невыполнение местными депутатами обещаний по газификации одного из поселков.

Отметим, что на данный момент интернет полон площадок (социальные сети, форумы, дневниковые сервисы), где понравившаяся и стоящая внимания информация распространяется «вирусным» путем: ее подхватывают и начинают публиковать на своих страницах сами пользователи. В то же время спам-рассылки вызывают не желание «переслать письмо другу», а недоверие, что, безусловно, выводит их из перечня «хороших и быстрых способов передачи информации».

SMS-мошенничество возвращается

В последнее время фраза «отправь SMS на короткий номер» практически стала в России синонимом мошенничества. Опытные пользователи интернета, увидев такое предложение на интернет-странице, первым делом знакомятся с написанными мелким шрифтом правилами оплаты, или попросту покидают сайт.

Волна мошенничества с применением премиальных номеров началась в период кризиса 2008-2009 гг. Тогда ежедневно фиксировалось несколько рассылок, в которых использовались различные приемы социальной инженерии. Разнообразие предложений — от «сканера одежды» до «звуковых наркотиков» — ограничивалось только фантазией спамеров. Пользователи же с готовностью отправляли SMS-сообщения стоимостью в несколько сотен рублей в качестве оплаты за несуществующие на самом деле товары/услуги или за премиальный контент сайта.

В прошлом отчете мы отмечали, что в настоящее время, когда в экономике наблюдаются признаки возможного будущего кризиса, в спаме заметны изменения, связанные с этой нестабильностью. В октябре мы зафиксировали рассылки, напомнившие нам о SMS-мошенничестве в почтовом спаме во время прошлого кризиса.

В первой такой рассылке содержались заманчивые предложения по аренде недвижимости и ссылки на сайт. При переходе по ссылке пользователь попадал на главную страницу сайта, откуда можно было перейти на странички с более подробным описанием предлагаемых квартир. Однако кликнувшего по ссылке «подробнее» пользователя ждало разочарование — вместо описания заинтересовавшей его недвижимости он видел форму, в которую ему предлагалось ввести номер своего мобильного телефона. Введя свой номер, пользователь не только получал доступ к контенту, но и подписывался на SMS-рассылку c этого сайта. После введения номера в соответствующее поле пользователь получает SMS с подтверждением регистрации на сайте. В результате небольшая сумма со счета его мобильного телефона регулярно перечисляется умельцам.

Как видим, эта схема несколько отличается от предыдущей. «Прелесть» схемы с точки зрения злоумышленников налицо: сумма, списываемая ежедневно, действительно невелика — порядка 10 рублей. Правила подписки опубликованы ниже по ссылке, которую не сразу заметишь. Если пользователь вовремя с ними не ознакомится, мошенники могут получить довольно большую прибыль, прежде чем жертва заметит исчезновение денег.

В правилах подписки также указывается, что, приняв их, пользователь соглашается на передачу своих личных данных (номера телефона) третьим лицам. В таком случае не стоит удивляться, если денег на мобильном телефоне убудет, а незапрошенных SMS прибудет.

Несмотря на заметные различия между представленной выше схемой и той, что использовалась злоумышленниками раньше, основная идея осталась прежней: со счета мобильного телефона пользователя списываются средства взамен на возможность попасть на премиальную часть сайта. Отметим, что «премиальный контент» с большой вероятностью может оказаться вовсе не эксклюзивным, а скопированным с бесплатного сайта объявлений.

Один из первых способов мошенничества с помощью «смс на короткий номер» — реклама программ, с помощью которых якобы можно читать чужие SMS-сообщения. В октябре нами была зафиксирована рассылка, авторы которой пытались поймать пользователей на тот же крючок, что и два года назад, — на возможность читать чужие SMS.

Интересно, что объявления с теми же контактами, что и в спамерском письме, заполонили и многие доски объявлений. Почтовый ящик, куда предлагается писать любителям покопаться в чужих SMS, находится на пустующем домене, зарегистрированном 10 октября 2011. Возможно, в данном случае спамер использует иную схему, нежели отправка сообщений на премиальный номер для оплаты, однако разосланные спам-сообщения напоминают нам о буме SMS-мошенничества в период прошлого экономического кризиса.

Все это заставляет нас напомнить пользователям о том, что главное оружие в борьбе с мошенниками в Сети — это внимательность и осторожность. Всегда читайте правила регистрации или пользования сервисом, если вас просят отправить SMS на короткий номер или предоставить тем или иным способом ваши персональные данные.

Вероятнее всего, такого мощного всплеска мошенничества с применением премиальных номеров, как тот, что произошел во время прошлого кризиса, уже не будет, поскольку вызванный в свое время резонанс заставил включиться в борьбу с этим явлением не только компании, занимающиеся интернет-безопасностью, но и мобильных операторов.

Статистический обзор

Страны — источники спама


Страны — источники спама в октябре 2011 г. (TOP 20)

В октябре исходящие потоки спама распределились по миру довольно равномерно. Напомним, что в третьем квартале 2011 года почти 50% всего спама рассылалось из стран, входивших в ТОР 5 нашего рейтинга. В октябре же на эти страны пришлось всего 33,4%. При этом больше спама стало распространяться из всех остальных стран, в том числе тех, которые попадают в категорию «другие» (+7,3%).

Первые четыре страны в рейтинге остались прежними, они лишь поменялись местами. Это Индия (-4,7%), Южная Корея (-0,7%), Бразилия (-4,1%) и Индонезия (-3,4%).

Перу, занимавшая в сентябре пятую строчку, в октябре едва удержалась в ТОР 20, заняв девятнадцатое место (-3,6%).

На смену Перу в ТОР 5 пришла Италия (+2,47%). Стоит отметить, что западноевропейские страны вообще хорошо представлены в первой десятке октябрьского рейтинга, в то время как в предыдущие месяцы из стран этого региона в TOP 10 попадала лишь Италия.

Россия осталась на 13-й строчке рейтинга, однако доля спама, разосланного из страны, по сравнению с сентябрем немного увеличилась (+0,4%).

Напомним, что в течение трех месяцев мы наблюдали синхронную рассылку спама из двух групп стран: Индия — Бразилия и Украина — Индонезия — Перу — Таиланд. В то же время из Росси и Вьетнама спам рассылался в противофазе. Однако в октябре такой корреляции зафиксировано не было. Мы продолжаем наши наблюдения и в ближайшие месяцы опубликуем новые данные по совпадению в изменениях объемов исходящего спама в разных странах. В настоящее время можно лишь с уверенностью сказать, что спамеры сохраняют тактику, согласно которой мощности спам-ботнетов не сосредотачиваются в одной стране или регионе, а распределяются по нескольким странам, обычно находящимся в разных регионах.

Вредоносные вложения в почте

В октябре вредоносные файлы содержались в 2,5% всех электронных сообщений, что на 2% меньше, чем в прошлом месяце.

Страны, входящие в тройку лидеров по срабатыванию почтового антивируса, в октябре не изменились, однако поменялись местами. Россия со значительным отрывом вышла на первое место. Доля срабатываний почтового антивируса в этой стране увеличилась по сравнению с сентябрем почти в два раза (+8,26%). Доля срабатываний почтового антивируса в США и Великобритании также увеличилась, однако не столь заметно (+2,1% и +1,2% соответственно).

Из заметных изменений можно отметить рост доли срабатываний почтового антивируса на территории Вьетнама (+2,7%) и Австралии (+1,65%), а также уменьшение на 1,8% этого показателя на территории Индии.

Кроме того, в рейтинг на десятое место попала ЮАР (+1,2%), ранее не входившая в ТОР 10.


Распределение срабатываний почтового антивируса по странам в октябре 2011 г.

В октябре список вредоносных программ, которые наш антивирус чаще всего детектировал в почте, в целом выглядит достаточно традиционно.


ТОP 10 вредоносных программ, распространенных в почте в октябре 2011 г.

На первую строчку TOP 10 вновь вернулся Trojan-Spy.HTML.Fraud.gen. На долю лидера нашего рейтинга приходится 13% срабатываний почтового антивируса. Напомним, что Trojan-Spy.HTML.Fraud.gen — вредоносная программа, представляющая из себя html-страничку, подделанную под регистрационную форму финансовой организации или какого-либо онлайн-сервиса.

На второй строчке расположился Email-Worm.Win32.Mydoom.m — единственный почтовый червь, который оставался в нашем рейтинге в сентябре. В октябре же ему вновь составили компанию другие почтовые черви: на пятой строчке разместился Email-Worm.Win32.Bagle.gt, следом за ним на шестом месте — Email-Worm.Win32.NetSky.q.

Напомним, что Mydoom.m и NetSky.q выполняют только две функции: осуществляют сбор электронных адресов на зараженных машинах и рассылают по ним самих себя. Bagle.gt в дополнение к этому обычному функционалу почтовых червей обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.

Занимающий третью строчку рейтинга червь Worm.Win32.Mabezat.b также рассылает сам себя по обнаруженным на компьютере электронным адресам; кроме того, он создает свои копии на локальных дисках и доступных сетевых ресурсах зараженного компьютера.

Количество модификаций Trojan.Win32.Yakes снова немного уменьшилось: если в сентябре три программы из ТОР 10 были представителями этого семейства, то в октябре таких программ в рейтинге только две. Они занимают четвертое и девятое места. Так же как и занявший четвертую строчку Trojan-Downloader.Win32.Agent.gxwf, Yakes являются классическими троянцами-загрузчиками. Эти зловреды после установки на компьютер пользователя обращаются к определенному сетевому ресурсу и получают ссылки для скачивания других вредоносных программ.

Фишинг

Доля фишинговых писем в почтовом потоке по сравнению с сентябрем уменьшилась втрое и составила 0,01%.


ТОР 10 организаций, атакованных фишерами*

* Рейтинг составляется на основе доли фишинговых URL, распространенных в Сети. Рейтинг не является показателем уровня безопасности упомянутых организаций, а отображает популярность различных сервисов у фишеров. Отметим, что фишеры предпочитают атаковать сервисы, наиболее популярные и авторитетные среди пользователей.

Рейтинг атакованных фишерами организаций заметно изменился по сравнению с предыдущими месяцами. Основные отличия — значительное уменьшение доли атакованных социальных сетей и онлайн-игр с одной стороны, и рост доли атакованных банковских организаций — с другой.

Так, доля Facebook уменьшилась вдвое, в результате чего эта социальная сеть опустилась на третью строчку. Социальные сети Habbo и Orkut, занимавшие в сентябре четвертое и пятое места соответственно, в октябре вовсе не попали в рейтинг. Доля атак на Orkut уменьшилась на 3,9%, а на Habbo на 6,3%. Вдвое снизилась доля атак на онлайн-игру RuneScape (c 4,6% до 2,3%).

Зачастую снижение доли атак на организации, входящие в ТОР 10, происходит за счет роста интереса фишеров к лидерам рейтинга — платежной системе PayPal и интернет — аукциону eBay. Однако в октябре доля атак на PayPal и eBay по сравнению с сентябрем также уменьшилась на 1,3% и 0,4% соответственно. При этом доля атак на банковский сектор в целом выросла на 1,2%, а рост показателей отдельных банков составил от 1,5% до 2,6%. Таким образом, доля атак на социальные сети и онлайновые игры уменьшилась именно за счет роста атак на банковские организации.

Вероятно, такая тенденция связана с неутешительными прогнозами финансовых экспертов относительно экономической ситуации в мире. Похоже, фишеры пытаются «наудить» как можно больше реальных денег, ценность которых по сравнению с виртуальными в данный момент возросла.

Тематические направления в спаме


Тематические категории спама в октябре 2011 г.

В октябре, вопреки нашим прогнозам, доля партнерского спама и саморекламы спамеров уменьшилась, а доля заказного спама — возросла. Тем не менее, «Реклама спамерских услуг» и традиционная партнерская тематика «Медикаменты; товары/услуги для здоровья» остались в пятерке лидирующих тематических категорий в спаме. И если доля саморекламы спамеров при этом уменьшилась более чем вдвое, то доля медицинской тематики даже выросла. В итоге доля партнерского спама в Рунете сократилась лишь на 1,4%.

Пятерка лидирующих тематических категорий в спаме:

  • Образование: 27,4%; +6%
  • Медикаменты; товары/услуги для здоровья: 14,8%; +3,7%
  • Недвижимость: 14,6%; -0,5%
  • Отдых и путешествия: 7,4%; +5,9%
  • Реклама спамерских услуг: 6,6%; -7,5%

Второе место занимает тематика «Недвижимость». Заметим, что, как мы и прогнозировали в прошлом отчете, в спам-потоках появилось много предложений аренды офисных помещений. Это связано как с сезонным «обострением» офисных переездов, так и с нестабильной ситуацией в экономике.

Писем тематики «Отдых и путешествия» стало заметно больше. Безусловно, это связано с приближением новогодних каникул, а также сезона офисных корпоративных торжеств. Среди предложений, попавших в эту категорию, встречалась как реклама туристических поездок, так и предложения по организации праздника.

Заключение

В заключении хотелось бы отметить, что, несмотря на рост доли заказного спама, его объем так и не достиг весенних показателей. В период традиционного летнего спада деловой активности объем заказного спама объяснимо падает. Осенью, как правило, наблюдается рост соответствующих показателей и возвращение доли заказного спама на уровень, соответствующий концу весны. На этот раз мы также наблюдаем рост доли заказного спама, но темпы роста значительно ниже, чем обычно. Доля партнерского спама при этом уменьшилась незначительно.

Если экономическая ситуация в мире стабилизируется, то вероятно в ближайшее время показатели партнерского и заказного спама останутся на существующих позициях. В случае же роста кризисных настроений сбудется наш сентябрьский прогноз, и доля партнерского спама заметно возрастет.

Интересно отметить изменения в рейтинге организаций — целей фишеров. Как уже отмечалось выше, ценность реальных денег по сравнению с виртуальными в глазах злоумышленников растет. Пока трудно с уверенностью сказать, как дальше будет развиваться эта ситуация, однако рискнем сделать предположение, что в случае стабилизации финансовой ситуации фишеры все-таки вернутся в «тихую гавань» виртуальных денег.

Октябрь еще раз подтвердил, что спамеры используют любое заметное событие как повод для привлечения внимания к своим рассылкам. Напоминаем, что как бы заманчиво не звучала тема спамерского письма, его содержимое вряд ли сулит пользователю что-либо хорошее. Будьте внимательны и осторожны при серфинге в интернете! Не открывайте спамерских писем!

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *