Отчеты по спаму и фишингу

Спам в первом квартале 2010

Основные итоги квартала

  • Доля спама в почтовом трафике составила в среднем 85,2%.
  • Ссылки на фишинговые сайты находились в 0,57% всех электронных писем.
  • Графические вложения находились в 11,7% спам-писем.
  • В тройку лидеров стран — источников спама вошли США, Индия и Россия.
  • Спамеры переносят домены из зоны .cn в зону .ru.

Долевое распределение спама

Доля спама в почтовом трафике

Доля спама в почтовом трафике в первом квартале 2010 года составила 85,2%. Эта цифра совпадает итоговым показателем 2009 года. Заметное снижение количества спама в почте можно было наблюдать в первой половине марта. Возможно, это связано с закрытием в конце февраля 277 доменов, связанных со спамерским ботнетом Waledac. Однако, Waledac — не самый активный участник спам-рынка и столь заметного снижения количества спама, как в случае с отключением McColo, не наблюдалось.

В целом же, количество спама в почтовом трафике по-прежнему остается в пределах 84 — 87%. Мы уже писали о том, что рынок спама сформировался. Теперь можно говорить о том, что стабилизируется количество спама в почтовом трафике. Наблюдавшаяся в прошлом году тенденция к замедлению роста процента спама в почтовом трафике сохраняется. Это свидетельствует о том, что доля спама в почте близка к предельному показателю. Своего максимального значения за квартал доля спама достигла 21-го февраля — 90,8%, а 5-го марта почта была замусорена меньше всего, на 78%.

Откуда рассылается спам

Распределение источников спама по регионам

Распределение источников спама по регионам

Регионом, лидирующим по рассылке спама, остается Азия (31,7%), из нее рассылалось больше всего спама и в прошлом году. Впрочем, Европа ненамного отстала от лидера — с территории европейских стран в целом было разослано 30,6% спама. При этом если причислять Россию к европейским странам, то данный регион выйдет на первое место в рейтинге (36,6%).

Уменьшилось количество спама, рассылаемого из Южной Америки. В 2009 году оно достигало 15% и в первом полугодии вышло на второе место в рейтинге регионов. Сейчас же Южная Америка набрала 10,5%, приблизившись к показателям 2008 года (11%).

В то же время увеличилось количество спама, рассылаемого из стран Восточной Европы (16,4% всего спама). Легко прослеживается динамика роста количество спама, рассылаемого из данного региона в течение первого квартала 2010 года:

Динамика рассылки спама из стран Восточной и Центральной Европы

Распределение источников спама по странам

Страны — источники спама

Радикальных изменений в рейтинге стран — источников спама не произошло: неожиданных лидеров не появилось, список традиционно возглавляют США; на втором и третьем местах соответственно Индия и Россия. Далее идут преимущественно восточные и восточно-европейские страны; почти все давние участники рейтинга остались в «десятке» и лишь поменялись местами.

Заметно улучшилась ситуация в Бразилии: она переместилась с 3-го на 6-е место. Покинули первую десятку Турция и Китай. В Китае это связано, видимо, с ужесточением правительственной политики в области регистрации доменов. Украина и Германия, напротив, опять оказались в десятке лидеров по рассылке спама. В 2008 году они также вошли в TOP 10, а по итогам 2009 года не поднялись выше второй десятки стран, из которых распространялся спам.

Отметим, что язык спама, рассылаемого из определенной страны, часто не совпадает с государственным языком данной страны. Так, например, из Индии рассылается много русскоязычного спама, из Бразилии — спама на немецком языке, а из Германии — на испанском. Это происходит потому, что язык спама определяется не принадлежностью IP к географическому региону, а принадлежностью компьютеров к определенному ботнету.

Размеры спамовых писем

Распределение размеров спамовых писем

Все чаще спамеры прибегают к рассылкам сообщений, размер которых не превышает 1Кб. Объясняется это тем, что такие письма фактически состоят из одной ссылки и, соответственно, представляют определенную трудность для контент-ориентированных фильтров. Кроме того, для распространения таких «легких» писем потребуется меньше ресурсов. Кроме того, большинство современных пользователей сразу удаляют письмо, видя, что это спам. Поэтому спамеры пытаются вместить всю рекламную информацию в одну фразу, чтобы пользователь успел ее прочитать до того, как нажмет кнопку «Delete». В первом квартале 2010 года короткие письма составили почти треть всего спама (31,3%). Больших писем, размер которых превышает 50 Кб, напротив, было мало (2,9%).

Типы вложений в спамовых письмах

Распределение типов вложений в спамовых письмах

Большинство спам-писем в первом квартале содержали html-часть. Отметим, что письма небольшого размера с html-частью могут состоять из одной ссылки. В 8,7% спамовых сообщений были вложения в формате jpeg, в 6,4% — в формате gif. Некоторые письма содержали как jpeg часть, так и gif: в jpeg было основное содержание письма, в gif —форма отписки.

Суммарное количество графического спама (то есть писем, содержащих картинки) составило 11,7% от общего числа спам-писем. Больше всего писем с картинками было разослано в феврале:

Доля писем, содержащих графические вложения, в спаме

Фишинг

В первом квартале 2010 года доля фишинговых писем в почтовом трафике в среднем составила 0,57%. При этом, если в январе и феврале доля фишинговых писем приблизительно равнялась среднему показателю прошлого года, то в марте она резко сократилась и составила всего 0,03% почтового трафика. Трудно объяснить, с чем связано такое уменьшение количества фишинговых писем в марте — мы будем следить за развитием событий.

Доля фишинговых писем в почте

По-прежнему наиболее часто и настойчиво фишеры атакуют платежную систему PayPal: больше половины (!) фишинговых атак в этом квартале были нацелены именно на нее. Второе место осталось за другим неизменным лидером — аукционом eBay (13,3%).

TOP 10 организаций, атакуемых фишерами

На 4-м месте в TOP 10 неожиданно оказалась социальная сеть Facebook. За время наших наблюдений это первый случай, когда атаки на какую-либо социальную сеть были бы столь активны. В настоящее время Facebook — одна из самых популярных сетей, число ее пользователей превышает 400 миллионов и непрерывно увеличивается. Получив в свое распоряжение краденые аккаунты, злоумышленники получают и возможность рассылать спам владельцам украденных аккаунтов и их сетевым друзьям. Такой способ рассылки спама позволяет охватить огромную аудиторию и использовать дополнительные возможности социальной сети, — рассылать (как внутри сети, так и на почтовые ящики пользователей) различные запросы ссылки на фотографии, приглашения, добавляя в рассылаемые сообщения рекламу. Кроме того, при регистрации аккаунтов в них заносятся различные пользовательские данные, например, адреса электронной почты, которые спамеры могут внести в свои базы для рассылки спама.

В этом контексте примечательным выглядит тот факт, что, российская социальная сеть ВКонтакте заняла в марте 25-е место среди атакуемых организаций. Сеть сейчас вышла за пределы Рунета и продолжает расширяться.

Вредоносные вложения в спаме

В первом квартале 2010 года вредоносные файлы содержались в 0,68% электронных сообщений, что на 0,3% меньше, чем в последнем квартале 2009 года.

География попыток заражений компьютеров пользователей через почту в первом квартале 2010 года выглядела следующим образом:

География заражений компьютеров через спам

Пользователям Германии, Великобритании, Италии, Франции и Испании (то есть стран, входящих в Евросоюз) было разослано более 35% всех писем, содержащих вредоносные вложения. 7,6% всех зараженных писем было адресовано жителям Японии, еще 13% было отправлено в другие азиатские страны: Тайвань, Индию и Китай. Почти 7% вредоносных сообщений пришло на адреса пользователей, живущих на территории Соединенных Штатов Америки.

Десятка наиболее распространенных в почте вредоносных файлов в первом квартале 2010 года выглядит следующим образом:

Десятка наиболее распространенных в почте вредоносных файлов

Первую строчку рейтинга занял упаковщик Packed.Win32.Krap.x. В прошлом квартале он также входил в TOP 10, но тогда он находился на 4-м месте. В начале 2010 года Krap.x встречается в электронных сообщениях уже в два раза чаще, чем в конце 2009. Это не единственный упаковщик в рейтинге: Packed.Win32.Katusha.j (6-е место) по сути является новым поколением упаковщика Packed.Win32.Krap.ah, — самой распространенной программы, рассылавшейся почтой в прошлом квартале.

Напомним, что Krap.ah (Katusha.j) и Krap.x, как правило, используются для упаковки троянца-шпиона Zbot и фальшивых антивирусов. Кроме того, Krap.x используется для упаковки Iksmas — почтового червя с функционалом кражи данных и рассылки спама.

Интересно отметить, что более 55% всех писем с Packed.Win32.Krap.x во вложении были отправлены в развитые страны, в том числе 16,7% в Японию, 12,7% в Германию и еще почти 8% в Соединенные Штаты Америки.

Вредоносные программы, упакованные при помощи Krap.x, распространялись, в том числе, в письмах, в которых пользователям предлагалось установить обновление для Microsoft Outlook.

На втором месте десятки расположился троянец Trojan-Spy.HTML.Fraud.gen, основная задача которого — сбор личных и регистрационных данных пользователя. В январе и марте 2010 года этот зловред был на первом месте среди вредоносных программ, распространяемых в почте.

Более 70% детектирования Trojan-Spy.HTML.Fraud.gen (как и Packed.Win32.Krap.x) приходится на развитые страны. 39% всех случаев детектирования этого троянца нашим почтовым антивирусом приходятся на Великобританию.

Trojan-Downloader.Win32.FraudLoad.gmx находится на третьей строчке рейтинга. Этот троянец загружает на компьютер-жертву другие вредоносные программы, в том числе поддельный антивирус, вымогающий деньги жертвы. Чаще всего его получали пользователи в странах, где государственным языком является английский: в Великобритании, Соединенных Штатах, Австралии и Канаде. На эти страны приходится более половины случаев детектирования данного зловреда почтовым антивирусом. Особенно активно Trojan-Downloader.Win32.FraudLoad.gmx распространялся в течение марта в поддельной рассылке от Facebook.

Тематические особенности спама

Распределение тематик спама

В первом квартале 2010 года в спаме преобладали те же тематические рубрики, что и в последнем квартале 2009: «Образование», «Медикаменты; товары/услуги для здоровья» и «Отдых и путешествия».

Необычно много в первом квартале было спама, относимого нами к категории «Компьютерное мошенничество». Как правило, доля этого спама колеблется в пределах 3-8% от общего числа спамовых писем. В этом квартале она составила 9,1%.

В частности, активно рассылались мошеннические письма с просьбами пожертвовать деньги в помощь пострадавшим от землетрясения на Гаити. Мошенники называли себя представителями уважаемых международных организаций, таких как UNICEF, или World Vision, или даже администрации президента Гаити. Желающим сделать пожертвование предлагалось написать по указанному в письме адресу электронной почты — разумеется, на самом деле этот адрес не имел отношения к UNICEF и World Vision.

Самый внимательный читатель заметит в этом сообщении еще одно знакомое слово — Нигерия. Действительно, и структура, и особенности оформления, и характерная небрежность в отношении английской грамматики, и адреса вида «что-нибудьнанужнуютему@бесплатныйхостинг.com», и некоторые особенности служебных заголовков очень напоминают нигерийские письма. Весьма вероятно, что нигерийские письма и подобные просьбы о пожертвованиях рассылаются одними и теми же группировками мошенников.

SMS-мошенничество: приняты меры

Не первый год мы пишем о распространенном в спаме мошенничестве с использованием дорогих премиум-номеров, когда под разными предлогами пользователя подталкивают к отправке дорогого SMS-сообщения на короткий номер. Сначала для этого использовались стандартные приемы социальной инженерии, — запугивание или обещание призов. В 2009-м году мошенники стали практиковать уже более изощренные предлоги, — «Звуковые наркотики», «GPS-пеленгаторы» и прочие несуществующие товары. В первом квартале 2010-го года в почте обнаружились новые изобретения, например, сканер в телефоне, позволяющий «раздеть» любую девушку, и «антирадар», предупреждающий водителя о присутствии сотрудников ГИБДД на трассе.

Однако, несмотря на эти новинки, объемы подобного мошенничества снизились. В чем причина?

Во-первых, любая подобная афера теряет эффективность после огласки. А об SMS-мошенничестве написано и сказано уже довольно много, и пользователи интернета перестают серьезно относиться к подобным предложениям.

Во-вторых, со стороны «большой тройки» операторов сотовой связи (МТС, Мегафон, Билайн) начались действия, регулирующие деятельность биллинг-партнеров. Сейчас у любого оператора сотовой связи можно легко узнать реальную стоимость отправки SMS на короткий номер, упрощены процедуры по возврату денег обманутым клиентам. МТС ввел для дорогих коротких номеров практику дополнительной проверки того, действительно ли пользователь хочет послать SMS: после отсылки сообщения на короткий номер, связанный с тем или иным сервисом, абоненту приходит встречное сообщение с предложением подтвердить желание воспользоваться данной услугой. В сообщении также указывается точная сумма, которая будет списана со счета абонента в случае его согласия.

Однако мошенники продолжают придумывать новые схемы с использованием SMS. Так, последнее время стали популярны подписки на платные входящие SMS. Пользователь получает письмо с завлекательной ссылкой на сайт. При регистрации на этом сайте он вводит свой номер телефона, после чего в SMS-сообщении получает числовой код, который также необходимо ввести. Пользователь думает, что код нужен для регистрации, однако ввод кода активирует платную SMS-подписку. При этом возможность напрямую отписаться от нее отсутствует. В результате мошенники получают от пользователя деньги за каждую принятую им SMS до тех пор, пока он не обратится за отпиской к оператору сотовой связи.

В первом квартале 2010 года подобная подписка стала причиной первого судебного разбирательства. Арбитражный суд Магаданской области признал виновным сотового оператора МТС в неправомерном списании средств со счета абонента при использовании коротких SMS-номеров. Обычно в таких случаях виновными признают контент-провайдеров или биллинг-партнеров, операторы же сотовой связи, несмотря на то, что они тоже получают огромную прибыль, ответственности не несут. В данном случае истец опирался на то, что договор о предоставлении услуг был заключен с оператором, и именно он должен нести ответственность.

Перенос спамерских доменов в зону .ru

В прошлом году спамеры активно использовали китайские домены для размещения сайтов с рекламой виагры и другими видами традиционного спамерского контента. Рассылалось колоссальное количество спама со ссылками на такие домены. После ужесточения правил регистрации доменных имен в Китае в конце прошлого года ссылок на китайские домены в спаме стало значительно меньше. К сожалению, сам спам никуда не делся — спамерские домены переместились из зоны .cn в зону .ru. Это свидетельствует о том, что российские домены не защищены должным образом от злоумышленников и привлекают спамеров своей доступностью.

С другой стороны, действия китайских властей привели к тому, что в марте в Китае прекратили работу крупнейшие регистраторы доменных имен — компании Go Daddy и Network Solutions. Причиной для остановки регистрации новых доменных имен в КНР компаниями Go Daddy и Network Solutions стало предъявленное им властями КНР требование предоставить фотографии и идентификационные документы ряда клиентов — продавцов интернет-адресов.

Заключение

2010 год в спам-индустрии начался относительно спокойно. Количество спама в почтовом трафике перестало расти и в первом квартале не превысило показателей прошлого года. И, судя по динамике последних лет, можно уже говорить о насыщении почтового трафика спамом. Анализ доли спама в почтовом трафике за последние 10 лет показывает, что ее рост происходил по параболе.

В начале 2000 доля спама увеличивалась каждый год в 2 раза: 15% в 2001 году, 30-40% в 2002, 50% в середине 2003, к концу 2003 года цифра достигала 70-80%. К 2004 году спам-бизнес в целом сформировался, и дальнейший рост доли спама в почтовом трафике был не столь стремительным: с 2004 до 2009 года она увеличилась с 75% до 85%. Прекращение роста доли спама в электронной почте может быть также связано с появлением новых интернет-площадок для спамеров, таких как блоги и социальные сети.

Хотя количество спама в трафике в целом стабильно, мигрируют по регионам его источники. Так, в этом квартале уменьшилось количество спама, рассылаемого из Латинской Америки, зато больше спама стало рассылаться из Центральной и Восточной Европы.

Спамеры не изобретают новые технологии и делают ставку на короткие письма, которые можно быстро распространить в большом количестве.

Активно применяют спам-технологии мошенники и вирусописатели. Последние для рассылки вредоносных программ продолжают использовать социальные сети.

Приятно отметить, что становится меньше SMS-мошенничества с использованием коротких номеров. Причина состоит в противодействии этому явлению операторов мобильной связи. Если бы со спамом в России более активно боролись на законодательном уровне, его стало бы меньше, и мы не наблюдали бы таких негативных явлений, как перенос спамерского контента с китайских доменов в Россию.

Спам в первом квартале 2010

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике