Отчеты по спаму и фишингу

Спам в первом квартале 2009

.tbor {border:solid 1px #000000;padding:5px;width:85%;};
.tbor2 {border:solid 1px #000000;padding:5px;};
.flink {color:blue;text-decoration:underline;};

Основные итоги квартала

  • Доля спама в почтовом трафике в первом квартале составила в среднем 86,6%.
  • Доля фишинговых писем составила 0,54 % от всего почтового трафика.
  • Доля графического спама выросла на 6,7% и составила 16,3%.
  • Доля тематики «Реклама спамерских услуг» возросла в три раза и составила 15% всего спама.
  • Больше 20% спама в Рунете приходит из стран восточного региона.
  • Спамеры активно используют старые трюки.

Долевое распределение спама

Доля спама в почтовом трафике в первом квартале 2009 года составила 86,8% — почти на 5% больше, чем среднестатистический показатель предыдущего года. Тем не менее, это не свидетельствует о росте количества спама в почте. Начало года традиционно характеризуется высокими показателями доли спама в почтовом трафике. Так, в первом квартале прошлого года доля спама составила 88%. Для первого квартала текущего года этот показатель даже несколько ниже.


Долевое распределение спама

Самый низкий долевой показатель спама наблюдался второго марта, он составил 78,8%; самая высокая доля спама была зафиксирована 22 февраля — 93% почтового трафика.

Существенно возросла доля графического спама, в среднем она составила 16,3% (для сравнения: в последнем квартале 2008 г. — 9,6%).

Страны-источники спама в Рунете




Страны-источники спама в Рунете

Среди стран — источников спама в Рунете по-прежнему лидируют Россия (14%) и США (10,3%). На третьем месте оказалась Бразилия (7,7%) (Испания, занявшая третье место в 2008 году, в первом квартале 2009 года даже не вошла в десятку).

Отметим, что распределение источников спама стало более равномерным. В прошлом году из России и США рассылалось 38% всего спама Рунета, а показатели всех остальных стран значительно отличались от показателей лидеров. В первом квартале 2009 года на долю России и США приходится 24,3% рассылаемого спама, а доли всех остальных стран распределены более равномерно.

Также увеличилась доля спама, который приходит к нам с Востока. Если в прошлом году из восточных стран в десятку лидеров попадали только Корея, Китай и Турция, которые вместе являлись источником 9% спама, то в первом квартале текущего года в десятку лидеров вошла также Индия. В сумме, из этих четырех стран рассылается 20,1% спама.

Языки спама в Рунете


Распределение языков спамовых писем

72% спамовых писем в Рунете — на русском языке. По сравнению с прошлым годом на 6% увеличилось количество англоязычных сообщений: они составили 20% спам-почты. Также в пятерку лидеров, как и в 2008 году, вошли португальский, французский и немецкий языки.

Размеры спамовых писем


<!—span class=small> Размеры спамовых писем</span—>

График распределения размеров спамовых писем практически повторяет распределение, наблюдавшееся в 2008 году. Спамеры по-прежнему предпочитают рассылать короткие сообщения, хотя изредка встречаются и тяжелые, превышающие 100Кб, письма (их общая доля составила в этом квартале 6,7%).

Типы спамовых писем


Типы спамовых писем

По сравнению с прошлым годом несколько снизилось количество писем в формате text/plain. В целом же график весьма традиционен. В качестве вложений в письмах фигурируют, в основном, картинки, — файлы в формате jpg и gif. Интересно, что сообщений с вложенными файлами других форматов было настолько мало, что они не набрали даже одного процента.

Фишинг

С начала 2009 года процент электронных писем, содержащих ссылки на фишинговые сайты, постепенно снижается. По итогам первого квартала на долю таких писем в среднем пришлось 0,54 % всего почтового трафика.


Доля фишинговых писем в почте

Растущая популярность оплаты услуг с помощью виртуальных денег сделала платежную систему PayPal лидером среди атакуемых фишерами организаций. Однако мошенники не потеряли интереса и к банковским системам, о чем говорит агрессивная январская фишинг-атака на Fifth Third Bank, обеспечившая этому банку третье место в рейтинге наиболее активно атакуемых фишерами организаций.




Топ атакованных фишерами организаций

В марте в тройку наиболее популярных мишеней фишинг-атак неожиданно вошла файлообменная система Rapidshare, — фишеры воровали у пользователей аккаунты с целью их дальнейшей продажи.

Несколько раз в начале года от имени различных банков спамеры рассылали сообщения о том, что в связи с крупной фишинговой атакой некоторые из финансовых учреждений были вынуждены ввести ограничения на проведение финансовых мероприятий. В письме утверждалось, что, пройдя по ссылке, можно ознакомиться со списком атакованных банков и узнать о мерах, принятых в этой связи Государственным казначейством США. На самом деле пользователь попадал на поддельную страницу с формой для ввода банковских логина и пароля. Эта атака была нацелена на клиентов целого ряда финансовых организаций, и фишеры явно рассчитывали на большой «улов».

FEDERAL RESERVE BANKImportant:
You’re getting this letter in connection with new directions issued by U.S. Treasury Department. The directions concern U.S. Federal Wire online payments.

On January 21, 2009 a large-scaled phishing attack started and has been still lasting. A great number of banks and credit unions is affected by this attack and quantity of illegal wire transfers has reached an extremely high level.

U.S. Treasury Department, Federal Reserve and Federal Deposit Insurance Corporation (FDIC) in common worked out a complex of immediate actions for the highest possible reduction of fraudulent operations. We regret to inform you that definite restrictions will be applied to all Federal Wire transfers from January 26 till February 6.

Here you can get more detailed information regarding the affected banks and U.S. Treasury Department restrictions:
LINK
Federal Reserve Bank System Administration

Тематические особенности спама




Распределение тематик спама в Рунете

Лидирующие тематики спама:

  1. Медикаменты; товары/услуги для здоровья — 19% (- 0,6%)
  2. Спам «для взрослых» — 16% (- 4,7%)
  3. Реклама спамерских услуг — 15% (+ 10%)
  4. Образование — 10% (+0,2%)
  5. Реплики элитных товаров — 7% (+ 1,6%)

Спамеры пытаются привлечь новых клиентов

В первом квартале 2009 в тройку лидеров вошла рубрика «Реклама спамерских услуг». По сравнению с предыдущим кварталом доля этой рубрики выросла в три раза и достигла 15% всего спам-трафика. В некоторые недели самореклама спамеров составляла более 20% спамовых писем, и рубрика выходила на первое место в рейтинге спам-тематик.

Вероятно, в условиях экономического кризиса некоторые заказчики спама разорились или отказались от спамерских услуг. Это вынуждает спамеров активней рекламировать собственные услуги, чтобы добиться притока новых клиентов. Скорее всего, такими клиентами могут стать компании, которые ранее считали невозможным использовать спам-рекламу, но в условиях кризиса и сокращения рекламных бюджетов могут решить воспользоваться услугами спамеров.

В письмах, предлагающих рассылку спам-рекламы, стало существенно больше попыток «обелить» этот нелегальный бизнес. Раньше спамеры привлекали клиентов посредством выгодных ценовых предложений, то есть рассчитывали на заказчика, знакомого со спам-бизнесом. Теперь же, обращаясь к «новичкам», спамеры пытаются убедить потенциального заказчика в том, что спам — это законно, что не соответствует истине.

В то же время обострение конкуренции между различными спамерскими группировками находит своеобразное отражение и в текстах рекламных писем: все чаще спамеры пытаются очернить конкурентов (в приведенном ниже фрагменте авторский стиль сохранен):

«К сожалению в нашем бизнесе работает немало мошенников, ничего не стоит взять денег и не слав ничего сказать что плохое письмо. Эти мошенники причиняют вред не только вам, но и честным спамерам, т.к. подрывают репутацию всего направления в целом».

Динамика рассылок спама двух тематик коррелирует

Интересная закономерность отмечена спам-аналитиками «Лаборатории Касперского». Сравнив активность, с которой в различные периоды времени рассылался спам тематик «Медикаменты; товары и услуги для здоровья» и «Реплики элитных товаров», можно заметить, что на графиках совпадают минимумы и максимумы.


Доля тематик «Медикаменты» и «Реплики» в первом квартале 2009

Письма обеих рубрик похожи по сути — в них рекламируются дешевые аналоги дорогой продукции. Построение рекламного текста в письмах двух этих видов спама почти идентично:

«Медикаменты» «Реплики»


Кроме того, в некоторых случаях видно, что сайты по продаже продукции находятся на одних и тех же доменах:

«Медикаменты» «Реплики»
GENERIC ViagraLevitraCializ FROM $1.20/tabPlease order from below links

http://.fvsmsseg.cn
http://.fvsmsseg.cn

99.99% Genuine look of Original Super
Expensive Watchesbrowse all makes & models on our site…

http://.fvsmsseg.cn
http://.fvsmsseg.cn

«Медикаменты» и «Реплики» — старейшие спамерские рубрики. На долю этих рубрик приходится почти треть всего спама. Это дает веские основания полагать, что основной заказчик такого спама — отнюдь не малый бизнес.

Можно предположить, что за этими двумя направлениями стоит одна большая теневая организация, располагающая своими службами рассылки, ботнетами и торговой сетью. Судя по всему, мощности, которыми располагает этот бизнес, огромны, — спам рубрики «Медикаменты; товары/услуги для здоровья» занимает лидирующие позиции во всем мире.

Спамерские методы и трюки

В первом квартале 2009 года в спамовых письмах наблюдалось сильное замусоривание текста. Особенно это касалось номеров телефонов и ICQ. Спамеры чередовали цифры и буквы, писали числа словами, и даже вставляли между цифрами телефонного номера различные смайлы. В результате этих ухищрений контактная информация зачастую становилась совершенно нечитаемой:

«I.C.Q» >:-E9Зl:cool:2Зl):-D
Моб 643 ):-p 29 8-o 35 ):-D
ICQ 36:»()86):-D17):-D865

В некоторых письмах телефонный номер описывался целыми абзацами:

«Изначально следуют на телефоне 7, потом 2 и 4.
Послеующими набирают цифры на телефоне — 7 и затем нолик.
Завершающими набирают ещё две цифры »

Периодически замусоренность текста спамовых писем нарастает, однако чрезмерное увлечение лишними символами проходит у спамеров довольно быстро. Очевидно, что подобные приемы не приживаются надолго, так как обход фильтров — не единственная задача спам-писем. Реклама должна привлекать клиентов, а для этого необходимо, чтобы сообщение легко читалось.

Кроме того, спамеры продолжают использовать различные уязвимости крупных интенет-порталов. Так, в этом квартале, в качестве редиректа на свой сайт, они использовали баннерный редиректор почтовой службы Mail.ru. Сам же сайт, как правило, находился на бесплатном хостинге, например http://rb.mail.ru/clbkjb/.narod.ru.

Заключение

Количество спама в почтовом трафике в первом квартале 2009 г. было весьма велико. Доля спама вновь достигла уровня, предшествовавшего закрытию провайдера McColo.

Похоже, что спамеры делают ставку на количество в ущерб качеству. Пытаясь разослать как можно больше спама, они меньше внимания обращают на оформление писем и новые приемы для обхода спам-фильтров.

Хотя процент спама в почте высок (86%), свыше 15% (в марте до 20%) спамовых писем пришлось на собственную рекламу спамеров. Для сравнения: в первом квартале 2008 года реклама спамерских услуг составила всего 3,7% общего потока спамовых писем. То есть, доля заказной рекламы сократилась, а это говорит о том, что в условиях кризиса заказчиков спама стало существенно меньше.

Пока неясно, удастся ли спамерам в ходе их агрессивной рекламной кампании привлечь новых клиентов, или российский бизнес уже осознал, что спам заведомо компрометирует рекламодателя и при этом не является настолько эффективным методом рекламы, как это утверждают спамеры.

В любом случае, вероятно, во втором квартале доля спама в почтовом трафике увеличиваться не будет. Можно ожидать даже некоторого ее уменьшения по сравнению с первым кварталом, так как в начале года, как правило, процент спама в трафике несколько выше, чем в среднем за год.

Что касается спамерских трюков, сейчас в этом отношении наблюдается некоторое затишье, однако, трудно сказать, долго ли оно продлится.

Спам в первом квартале 2009

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике