Отчеты по спаму и фишингу

Спам в третьем квартале 2008

Основные тенденции

  • Доля спама в почтовом трафике в среднем составила 80,5%.
  • Доля фишинговых писем в среднем составила 0,61%.
  • 0,69% электронных сообщений содержали вредоносные вложения.
  • Значительно возросло количество спама «для взрослых».
  • Спамеры продолжают использовать возможности HTML для обхода фильтров.

Долевое распределение спама

Доля спама в почтовом трафике в третьем квартале 2008 года составила 80,5% — на 2% меньше, чем в предыдущем квартале. Уменьшение доли спама было вполне ожидаемым, мы прогнозировали снижение спамерской активности в период летних отпусков. Наш прогноз оправдался: в летние месяцы мы действительно могли наблюдать относительное затишье. В сентябре доля спама начала расти, и в первой половине месяца обогнала все летние показатели.

Доля спама в Рунете в третьем квартале 2008 г.

Максимальный долевой показатель был зафиксирован 13 сентября и составил 95% почтового трафика, минимальный — 66,2% — наблюдался 16 июля.

Доля графического спама была постоянной в течение всего квартала и составила 9%.

Доля фишинговых писем в третьем квартале в среднем составила 0,61%. В Рунете атаки на банки по-прежнему крайне редки, чаще всего встречаются фишинговые письма, замаскированные под уведомления крупных почтовых систем. В них пользователя под разными предлогами просят ввести на фальшивой странице логин и пароль, которые впоследствии попадают к мошенникам.

Вредоносный спам

В течение трех месяцев квартала доля писем с вредоносными вложениями росла, и в сентябре превысила 1%. По итогам квартала вредоносные вложения содержались в среднем в 0,69% электронных сообщений — на 0,28% больше, чем во втором квартале.

Доля писем с вредоносными вложениями

Спам-сообщений со ссылками на вредоносные страницы было значительно больше. В начале августа в результате проведения нескольких крупных рассылок доля писем со ссылками на зараженные страницы достигала 6,4% всех спамовых писем.

Чтобы заставить пользователя открыть вредоносные вложения или скачать вредоносные программы хакеры использовали различные приемы.

Письма в одной из рассылок копировали новостные сообщения известных новостных сайтов (BBC, CNN и других). Ссылка якобы на новостной сайт на самом деле вела на различные взломанные сайты, с которых на компьютер пользователя загружалась вредоносная программа.

В другой массовой рассылке получателям обещали интригующее видео со знаменитостями. Перешедшему по ссылке пользователю предлагалось установить новый флеш-плеер, без которого видео якобы было невозможно посмотреть. Однако вместо плеера пользователь скачивал Trojan downloader.

Также пользовались популярностью фальшивые предложения скачать бесплатный антивирус. При попытке скачивания пользователь получал очередную разновидность Trojan-Downloader.

В русскоязычном спаме аналогичной направленности пользователя к тому же просили отключить работающий на компьютере антивирус:

Пожалуй, особым цинизмом отличалось спамовое письмо, в котором получателю сообщали, что его ребенок якобы похищен. Злоумышленники требовали выкуп за похищенного и предлагали посмотреть его фотографию, пройдя по ссылке. Расчет был на то, что впавший в панику родитель поспешит открыть файл с «фото», который на самом деле содержал Trojan-Downloader.

We have hijacked your baby
Hey We have hijacked your baby but you must pay once to us $50 000. The details we will send later…
We has attached photo of your fume

Тематические особенности спама



Тематическое распределение спама в третьем квартале 2008 г.

Лидирующие тематики спама:

  1. «Медикаменты; товары/услуги для здоровья» — 19,8%
  2. «Спам для взрослых» — 19,0%
  3. «Образование» — 9,4%
  4. «Отдых и путешествия» — 9,1%
  5. «Реплики элитных товаров» — 6,9%

В летние месяцы понизилась доля рубрики «Образование», но в сентябре она вернула свои позиции (12,1%). Также уменьшилось количество спама рубрики «Реплики элитных товаров».

Неожиданно популярной темой в этом квартале стала рубрика «Спам «для взрослых». В сентябре доля спама, рекламирующего различные порносайты, даже превысила долю тематики «Медикаменты; товары/услуги для здоровья», стабильно занимающей первое место в рейтинге спам-тематик с апреля 2007 года.

Рассмотрим спам «для взрослых» и причины его популярности подробней.

Спам «для взрослых»

Своего рода сенсацией третьего квартала стал стремительный рост количества спама «для взрослых» — различных рассылок, рекламирующих порнографию в Сети. Еще в предыдущем квартале на долю такого спама приходилось всего 3,7%, а под конец третьего квартала она достигла 27,9% всех спамовых писем. Следует отметить, что такой высокий процент рубрика набрала за счет русскоязычных рассылок.

Доля писем, рекламирующих сайты «для взрослых», в спаме

Спам-письма этой рубрики отличаются небольшим размером и представляют собой короткий текст, завлекающий пользователя на порносайт, и ссылку. Ссылки, как правило, практически не повторяются в письмах одной рассылки и являются редиректами на основной сайт. Основных сайтов довольно много, но все они имеют очень похожую структуру и особенности. Кроме того, контент на этих сайтах часто повторяется. Это позволяет предположить, что владельцами различных сайтов являются одни и те же люди.

На рекламируемых порносайтах пользователя старательно вводят в заблуждение. Посетителям предлагается получить за небольшую плату (в большинстве случаев она составляет 5-7 рублей) доступ к порноархивам. Предложения оформлены крупным шрифтом, с использованием анимации и таких рекламных фраз как «только сегодня», «цены снижены» и т.п. Для получения кода доступа необходимо послать SMS на короткий номер (как правило, 3649 или 7733). На некоторых сайтах посетителю требуется послать дополнительное SMS-сообщение на тот же короткий номер, чтобы подтвердить свое совершеннолетие.

Однако, послав SMS, пользователь обнаружит, что с его телефонного счета снята сумма, значительно превышающая указанную в рекламном предложении на сайте. Она зависит от региона и оператора сотовой связи и составляет около 300 рублей.

Конечно, пользователь справедливо будет чувствовать себя обманутым. Однако вернуть деньги даже с помощью судебного иска ему вряд ли удастся. Дело в том, что на каждом таком сайте есть раздел «Правила», в котором написано, в частности, что указанная сумма (5-7 рублей) дает доступ к сайту на одни день, а, отправив SMS, пользователь получает доступ на 2 месяца.

Проблема в том, что раздел «Правила» на сайте непросто найти, текст в нем написан очень мелким шрифтом и зачастую светло серым цветом на белом фоне. На некоторых сайтах в «Правилах» даже не указана стоимость доступа, есть только ссылка на партнеров, предоставляющих услуги SMS-биллинга.

Вот характерный пример того, как выглядит раздел «Правила»:



Там же, в разделе «Правила», можно прочитать, что контент сайта автоматически собран из открытых ресурсов интернета. То есть фактически владельцы таких сайтов с помощью специальных скриптов собирают с других ресурсов бесплатный контент и предлагают пользователям заплатить за его просмотр. При этом ни на главной странице сайта, ни на странице, где посетителям предлагают заплатить за коды доступа, не указывается реальная цена услуги и не упоминается, что контент сайта вторичен.

Популярность такой аферы объясняется легко: при минимальных вложениях она позволяет получать довольно высокую прибыль за счет легковерных пользователей. Также аферистам помогает то, что пользователи вряд ли будут жаловаться на них в силу специфичности услуги. Очевидно, количество порноспама снизится, когда пользователи поймут, что их пытаются обмануть, и перестанут платить деньги. Судя по популярности запроса «короткий номер 3649/7733» в поисковых системах, можно предположить, что среднестатистический пользователь уже становится более осторожным, и, прежде чем платить, пытается выяснить, что за номер используется для осуществления оплаты.

Спамерские методы и трюки

В третьем квартале спамеры продолжили эксперименты с HTML-кодом. Были использованы как старые методы – добавление в каждое письмо рассылки тегов-комментариев со случайным содержанием, — так и новые трюки.

Особенной популярностью у спамеров пользовались HTML-таблицы. В них спамеры вставляли ключевые слова и контактную информацию (телефоны, адреса сайтов). В приведенном ниже письме каждая буква слова Viagra вставлена в отдельную ячейку таблицы. Цвет ячеек и их размеры менялись в письмах из одной рассылки, — с помощью этого приема спамеры пытались добиться, чтобы спам-фильтры воспринимали каждое такое письмо как уникальное.

html Как видит пользователь
<table cellspacing=3D»6″ width=3D»156″>
<tr>
<td align=3D»center» valign=3D»baseline» nowrap=3D»nowrap»
bordercolor=3D»=
#51A918″ bgcolor=3D»#BCF0E9″>
<i>V</i><font
color=3D»#BCF0E9″>n</font> </td>
<td valign=3D»top» nowrap=3D»nowrap»
bgcolor=3D»#BCE1F0″ bordercolor=3D»#C=
706F4″> <strong>I</strong>
</td>
<td bgcolor=3D»#F0BCCF» align=3D»center»
valign=3D»middle» bordercolor=3D»=
#6F7F6E»>A<font color=3D»#F0BDCF»>1</font>
</td>
<td bgcolor=3D»#F0D9BC» nowrap=3D»nowrap»
align=3D»center»> G</td>
<td bordercolor=3D»#0C53B7″ nowrap=3D»nowrap»
bgcolor=3D»#C1BCF0″><strong>R
</strong><font color=3D»#C1BDF0″>i</font>
</td>
<td bordercolor=3D»#13D5F3″ align=3D»center»
valign=3D»middle» bgcolor=3D»=
#CBBCF0″> A
</td>
</tr>
</table>

Еще один старый метод, который вспомнили спамеры, – составление букв и цифр, входящих в контактную информацию, из отдельных фрагментов. Но если раньше это была последовательность символов и пробелов между ними, которая складывалась в слово, то теперь это последовательность черных и белых ячеек в HTML-таблице.

html (фрагмент) Как видит пользователь
<table height=3D»30″>
<tbody>
<tr>
<td bgcolor=3D»#000000″></td>
<td></td>
<td bgcolor=3D»#000000″></td>
<td></td>
<td bgcolor=3D»#000000″></td>
<td bgcolor=3D»#000000″></td>
<td bgcolor=3D»#000000″></td>
<td></td>
<td bgcolor=3D»#000000″></td>
<td bgcolor=3D»#000000″></td>
<td bgcolor=3D»#000000″></td>
<td></td>
<td></td>
<td></td>

Белый текст на белом фоне также вернулся в арсенал спамерских приемов. Раньше «невидимый» текст использовался для зашумления писем и вставлялся в дополнение к основному тексту. Теперь спамеры решили делать все наоборот: основной текст был оформлен белым шрифтом, а дополнительный зашумляющий текст в конце письма – черным. Расчет делался на то, что спам-фильтры не анализируют белый текст, и тем самым каждое письмо будет для них уникальным. Заголовки писем, в которых использовался этот трюк, как правило, содержали фразу «выдели чтоб прочитать».



По тому же принципу инверсии спамеры стали добавлять основной текст в теги-комментарии: ранее, чтобы сбить с толку спам-фильтры, в такие теги помещался мусорный текст, теперь в комментариях находится основной текст в расчете на те фильтры, которые не рассматривают теги-комментарии. Однако, у этого метода есть большой недостаток: комментарии показываются далеко не всеми почтовыми клиентами, и рекламная информация просто не дойдет до части пользователей.

Еще одним реанимированным спамерами приемом стали подделки спам-писем под уведомления почтового робота. В них, помимо стандартных фраз про временное отсутствие на рабочем месте, пользователю предлагалось зайти на какой-нибудь сайт.

I shall reply to you shortly
This is an automatic reply. I am unable to read my email at present. In the meantime please go to {SITE} and discover how I m@ke monthly residual income. I will read your message when I return.
Thank you.
Richard

Заключение

Хотя доля спама в почтовом трафике в третьем квартале немного уменьшилась, он по-прежнему опасен. Письма с вредоносными вложениями, большое количество спама со ссылками на вредоносные страницы, фишинговые письма, спам, заманивающий пользователей на сомнительные сайты аферистов, и другие разновидности криминализированного спама могут нанести пользователям немалый ущерб.

Интенсивная рассылка спама «для взрослых» сейчас находится на пике. Но вряд ли подобные рассылки продлятся дольше нескольких месяцев. Такие схемы перестают приносить прибыль, как только пользователь узнает о подвохе. Возможно, именно поэтому количество подобного спама сейчас так велико – спамеры пытаются получить максимальную прибыль, пока детали их деятельности не преданы огласке.

Спамерские методы и трюки в третьем квартале, хоть и отличаются оригинальностью, но базируются на старых методах и не выдерживают серьезной критики. Контактная информация в таблице делает письмо слишком длинным, «утяжеляет» его. Текст, заключенный в теги-комментарии, показывается не во всех почтовых клиентах. А выделять «невидимый» текст, чтобы ознакомиться с содержанием письма, большинство пользователей не станет.

Скорее всего, в следующем квартале количество спама возрастет, но не значительно. Спамеры постараются придумать новые методы обхода фильтров. Тематическое распределение спама вероятно изменится в связи с уменьшением количества порноспама. Кроме того, спамеры наверняка попытаются воспользоваться финансовым кризисом для осуществления мошеннических операций, поэтому мы призываем пользователей быть бдительными и не доверять информации в спаме.

Спам в третьем квартале 2008

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике