Отчеты по спаму и фишингу

Спам в третьем квартале 2007 года

Основные тенденции

  • Доля спама растет: средний долевой показатель за квартал составил 79%.
  • Сочетание новых и старых методов в продвижении акций.
  • Спамеры наращивают скорость рассылок.
  • Фишеры заинтересовались Рунетом: целевые атаки.

Долевое и тематическое распределение спама

В третьем квартале 2007 года показатель доли спама уверенно приближался к отметке в 80% от общего объема электронной почты в Рунете: в среднем, за квартал доля спама составила 79%. Минимальное значение — 68,1% — было зафиксировано 6 сентября, максимальное — 89,0% — 2 сентября. Возрастание активности спамеров в начале осени традиционно и наблюдается не первый год.

Пятерка тематических лидеров спама в третьем квартале 2007 года выглядит следующим образом:

  1. «Медикаменты; товары и услуги для здоровья» — 28,5%.
  2. «Компьютеры и Интернет» — 10,5%.
  3. «Образование» — 9,6%.
  4. «Отдых и путешествия» — 7,8%.
  5. «Услуги по электронной рекламе» — 6,6%.

Состав пятерки лидирующих спам-тематик остался прежним за одним исключением: рубрику «Компьютерное мошенничество» сменила «Услуги по электронной рекламе», вышедшая на пятое место с долевым показателем в 6,6%.

Первое место в пятерке лидеров по-прежнему занимает тематика «Медикаменты; товары/услуги для здоровья». Ее доля в спаме по сравнению со вторым кварталом 2007 года увеличилась на 8% и вдвое превысила показатели первого квартала. Столь бурный рост вызван массовыми рассылками рекламы виагры, которая в настоящее время составляет подавляющее большинство спамовых писем данной тематики.

Доля спама категории «Личные финансы», напротив, продолжает уменьшаться и теперь составляет всего 2,7%. Этот спад не прекращается с начала года, несмотря на усиленные попытки спамеров придумать новые трюки и реанимировать хорошо забытые старые способы обхода спам-фильтров, которые они тестируют именно на «финансовом» спаме.

Pump-and-dump stock spam. Спамерские трюки

Уже более года усилия спамеров по освоению новых приемов обхода спам-фильтров и доставки спама пользователям сконцентрированы вокруг спама, продвигающего акции (он же stock spam, он же pump-and-dump). Третий квартал 2007 года не стал исключением — все свои «новинки» спамеры отрабатывали именно на этой разновидности спама.

Напомним, что в июне в арсенале спамеров появился новый способ доставки пользователю спамерских «картинок» — в pdf-файлах. Как и прогнозировали аналитики «Лаборатории Касперского», спам в pdf-формате достаточно быстро исчерпал свои ресурсы — в конце июля доля сообщений с pdf-вложениями составила всего 0,1-1% от всего спама.

В третьем квартале спамеры продолжили эксперименты по использованию вложений в спамовые письма. В июле появился инвестиционный спам с вложенными архивами формата zip, в августе спамеры стали рассылать сообщения с вложенными файлами формата fdf. В теле писем с вложениями текста не было. С содержанием fdf-спама пользователи могли ознакомиться, открыв вложенный файл с помощью Acrobat Reader (это были типичные для спама «в картинках» «зашумленные» изображения с различными цветами фона, текстом разного цвета и размера и т.п).

В сентябре спамеры в очередной раз реанимировали известный с 2003 года прием — рассылку простых писем с plain text, буквы в которых заменены на небуквенные символы, а буквы ключевых слов разделены небуквенными символами. Как уже неоднократно случалось, результатом спамерских упражнений стали практически нечитаемые сообщения наподобие этого:

Быстрые рассылки

Традиционно в начале осени спамеры начинают проявлять большую активность. В этом году она выразилась не только в разнообразии спама, но и в активации старой технологии, которая применялась и ранее, но никогда активно не использовалась. Речь идет о так называемых быстрых рассылках: если среднестатистическая рассылка идет примерно 2 дня (а в некоторых случаях этот срок доходит до двух недель), то вся быстрая рассылка при идентичном количестве рассылаемых писем проходит за 15-30 минут. Спамеры рассчитывают на то, что спам-фильтры просто не успеют обнаружить и обезвредить угрозу за это небольшое время.

Быстрые рассылки имеют особенности, обусловленные требованиями большой скорости распространения:

  • как правило, это рассылки писем маленького объема, часто в plain text; если такое письмо и содержит картинку, то маленькую и плохого качества;
  • при рассылке используются только те спамерские трюки, которые не «утяжеляют» письмо, то есть спамеры могут варьировать текст письма и URL, но не вставляют дополнительных зашумляющих фрагментов текста и т.п.

Спамеры начали осуществлять быстрые рассылки в середине сентября. Число таких рассылок хотя и медленно, но растет — в конце сентября доля быстрых рассылок в некоторые дни составляла до 10% от количества всего спама.

Почему же подобные рассылки приобрели у спамеров такую популярность именно сейчас? Скорее всего, дело в том, что количество компьютеров у пользователей увеличивается, благодаря чему разрастаются и зомби-сети. К тому же доступ в Интернет становится все более быстрым: dial-up уступил место выделенным каналам и ADSL.

Большинство быстрых рассылок представляют собой англоязычный спам, рекламирующий акции и различную фармацевтику типа виагры. Русскоязычные спамовые письма с рекламой различных товаров и услуг также рассылаются с использованием данной технологии, однако их значительно меньше. Российские спамеры, в отличие от своих иностранных «коллег», пытаются отправлять в рамках быстрых рассылок достаточно большие письма. Пока это единичные случаи, но в будущем, возможно, спамеры научатся включать в быстрые рассылки сообщения любого размера.

Продолжающаяся криминализация спама

Несмотря на формальное уменьшение доли мошеннических писем в спаме, которая снизилась с 9% во втором квартале до 5,3% в третьем, в целом криминализация спама продолжается. Типичной для спама является реклама контрафактных и нелицензионных товаров. Не гнушаются спамеры и откровенными подделками. И если часы, имитирующие продукцию известных марок, преподносятся именно как «копии», то о сомнительном происхождении большей части предлагаемых медицинских препаратов спамеры умалчивают. Покупатель таких «лекарств» может получить в лучшем случае пустышку, а в худшем — небезопасное для здоровья снадобье.

Что касается собственно спама категории «Компьютерное мошенничество», то он по-прежнему представлен главным образом «нигерийскими» письмами, фальшивыми сообщениями о выигрыше в лотерею и фишинговыми письмами. Хотя доля спама данной категории уменьшилась, атаки мошенников становятся таргетированными, а значит, более опасными.

Целевые атаки «нигерийских» спамеров

«Нигерийские» спамеры обосновались на русскоязычных сайтах знакомств. Пользователи, разместившие анкету на таких сайтах, рискуют получить трогательное сообщение от «нигерийской» невесты или жениха — в некоторых случаях буквально через несколько минут после публикации своей анкеты.

Схема мошенничества остается прежней: за весьма приличное вознаграждение отправитель просит помочь ему получить миллионы долларов, выманивая у доверчивой жертвы тысячи в качестве предварительных расходов. Однако мошенники изменили сюжеты писем-ловушек, которые в данном случае рассылают не вдовы погибших диктаторов, секретари опальных миллионеров или человеколюбивые сотрудники банков, а попавшие в беду осиротевшие наследницы/наследники миллионных состояний, обуреваемые внезапно вспыхнувшей любовью к человеку, ставшему мишенью атаки «нигерийцев». Мошенники действуют достаточно тонко: предложение «спасти» миллионы и беззащитную экзотическую красавицу присылается не сразу, а, как правило, в третьем-четвертом письме, после того, как потенциальная жертва прониклась симпатией к неожиданной корреспондентке/корреспонденту.

Типичное «нигерийское» письмо из этой серии приведено ниже (подобные письма пользователям Рунета приходят как на английском языке, так и в автоматически сделанном переводе).

Самый дорогой, Как была ваша ночь там в вашей стране и дне, я полагаю, что Вы имели хорошую ночь и что arthmosphere там в вашей стране является очень хорошим сегодня? Мой был немного теплым здесь в Дакарском Сенегале.
Меня зовут Сесилия Ома я — (23yrs), но возраст не имеет значения в реальных отношениях, таким образом я — confortable с вашим возрастом, я из Руанды в Африке, 5.4ft высок, справедлив в цвете лица, единственном, (никогда женатый), и теперь я проживаю здесь в Дакаре в результате гражданской войны, против которой боролись в моей стране несколько лет назад.
Мой ДОКТОР умершего отца ФРЕДРИК D. OMA был управляющим директором ОТРАСЛЕЙ ПРОМЫШЛЕННОСТИ КАКАО OMA (Ltd) в КИГАЛИ (столица РУАНДЫ, моя страна) прежде, чем мятежники напали на наш дом один рано утром и убили мою мать и моего отца хладнокровно.
Это был только я, который является живым теперь, и я сумел пробиться к соседней стране СЕНЕГАЛ, где я уезжаю теперь как беженец под заботой отца Revrend, и я использую его компьютер, чтобы послать им сообщение Вам.
Я хотел бы знать больше о Вас. Ваш любит и не любит, ваши хобби и что Вы делаете теперь. Я скажу Вам больше обо мне непосредственно в моей следующей почте. Приложенный вот — моя картина. Надежда, чтобы получить известие от Вас как можно скорее Ваши навсегда, Сесилия Ома

Dearest Love,
 I am more than happy of your reply to my mail. How is your day today, My name is Miss Andaline single and never been married, i am from Sudan in East Africa, 23 yrs, at earlier i was residing in Darfur s refugee camp in Chad on January 2005, at a time, there is a division and dispatch of some of the refugees due to the over population of the people in Chad, i was taken to Senegal West African on 10th August 2006 where I’m presently residing in N’dioum refugee camp here in Senegal where i am seeking political asylum due to the civil war in my country. I am in sufferings and pains here in this camp and i really need to have a man by my side to encourage me and give me good advice in life and help me to come out from this situation.

 My late father Dr Col Nathaniel Mbarote was the Industrial Managing director of (MBAROTE AND INDUSTRIAL COMPANY LTD) in the federal capital of Sudan (KHARTOUM) the economy capital of my Country, and he was also the personal adviser to the former head of state, before the rebels attacked our house one early morning and killed my mother and father in a cold blood. It is only me that is alive now and i managed to serve my life here in Senegal where i am living now as a refugee. This Refugee Camp is headed by a Reverend Father, i used his office computer to send you this email and i only enter his office when he is less busy in his office.

 I would like to know more about you, your likes and dislikes, your hobbies and what you are doing presently. i like to meet understanding, loyal, sincere, truthful, kindly and friendly and more to that, a man of vision and truth. I will tell you more about myself in my next mail. Attached here is my picture, Hoping to hear from you soonest.

 Miss Andaline

Фишеры заинтересовались Рунетом

Ранее пользователи Рунета мало интересовали фишеров, поскольку электронные платежные системы в России были не столь распространены, как в западных странах. В третьем квартале 2007 года русскоязычные фишеры активизировались.

В частности, летом были атакованы пользователи почтовой службы Mail.ru, сервиса WebMoney и системы «Яндекс.Деньги». В последнем случае мошенники воспользовались типичным приемом иностранных «коллег» — ссылка, по которой предлагалось пройти пользователю, была очень похожа на оригинальный URL. Вот несколько примеров ссылок, полученных пользователями службы «Яндекс.Деньги»: http://www.passport-yandex.ru, http://yanclex.ru, http://yandcx.ru/.

Тема: Ввод дополнительных мер безопасности

Уважаемый пользователь,

В связи с участившимися случаями мошенничества, связанными с несанкционированным доступом к сервисам Яндекса, опираясь на пункт 9.1. пользовательского соглашения, уведомляем вас о введении дополнительных мер безопасности , которые позволят вам получать сообщения о попытках доступа в ваш аккаунт с незарегистрированных IP-адресов и своевременно принимать меры по пресечению похищения личной информации (контактные данные, переписка ), средств в системе «Яндекс.Деньги», показов в системе «Яндекс.Директ».
Согласно пункта 9.1.1. Пользовательского соглашения , вы должны в трехдневный срок, после получения данного уведомления, зарегистрировать свой IP-адрес в системе.

Для регистрации проследуйте по линку: http://www.passport-yandex.ru/?mode=GETIP&sauth=retire&uid=O&retpath=http://yandex.ru

и следуйте инструкциям.

В конце лета — начале осени фишеры провели несколько таргетированных атак, нацеленных на корпоративных пользователей Рунета. Мишенями стали клиенты «Альфа-Банка». Видимо, фишеры посчитали, что среди сотрудников солидных компаний легче найти потенциальных жертв. Это первый зафиксированный случай целевых фишинговых рассылок.

Очевидно, в зависимости от эффективности атак, фишеры в дальнейшем либо продолжат подобные рассылки, либо будут ждать лучших для себя времен. Проблема в том, что русскоязычные пользователи, в отличие от западных, еще не имеют иммунитета к фишинговым письмам и могут легко попасться на удочку фишеров. Успеху фишинг-афер зачастую также способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени администрации которых действуют мошенники. Далеко не все пользователи знают, что солидные компании (сюда входят все почтовые системы, электронные платежные системы, системы онлайн-банкинга и интернет-аукционы) никогда не присылают пользователям писем с просьбой отправить по электронной почте конфиденциальную информацию.

Скорее всего, фишеры продолжат атаковать пользователей Рунета, и доля русскоязычных фишинговых писем в почтовом трафике в дальнейшем будет увеличиваться.

Заключение

В конце лета и начале осени спамеры традиционно проявляют повышенную активность, тестируют новые спамерские технологии и трюки. Как правило, именно этот период определяет те тенденции, которых спамеры будут придерживаться в течение следующих 12 месяцев.

Не стал исключением и третий квартал 2007 года. Судя по его итогам, нас ждет дальнейший рост объемов спама, увеличение скорости рассылок, новые эксперименты спамеров с графическим спамом, более активное освоение Рунета фишерами и интернет-мошенниками.

Спам в третьем квартале 2007 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике