Отчеты по спаму и фишингу

Спам в январе 2012 года

 

Январь в цифрах

      • Доля спама в почтовом трафике по сравнению с декабрем не изменилась и составила в среднем 76,2%.
      • Доля фишинговых писем в почтовом потоке по сравнению с декабрем не изменилась и составила 0,02%.
      • В январе вредоносные файлы содержались в 4,3% всех электронных сообщений, что на 0,3% больше, чем в прошлом месяце.

 

Главные темы спама

День святого Валентина

В январе в спаме появляются рассылки, посвященные Дню святого Валентина. 2012 год не стал исключением — в прошлом месяце рассылки с различными предложениями ко Дню всех влюбленных наводнили интернет.

Большую часть сообщений, эксплуатирующих тему этого праздника, составляет и без того многочисленная реклама медикаментов и реплик элитных товаров. В спамовых письмах праздничная атрибутика используется для привлечения внимания пользователей: получателей призывают подарить любимым на праздник копию швейцарских часов или таблетки для «мужской силы».

Кроме того, в преддверии праздника активируются сезонные партнерские программы по продаже сувенирной продукции с символикой Дня всех влюбленных. Еще один вид «партнерок», активных в этот период времени, — это «цветочные» партнерки. Такие партнерские программы предлагают участникам рекламировать предложения по продаже цветов, получая отчисления за каждого приведенного покупателя. В преддверии Дня святого Валентина «цветочные» партнерские программы очень активны, их участники рассылают львиную долю всего «валентинова» спама.


Примеры спам-писем, приуроченных ко Дню святого Валентина

В этом году в спам-трафике были зафиксированы предложения отправить любимым электронные открытки. Зная, что зачастую под видом таких валентинок распространяются вредоносные программы, мы обратили пристальное внимание на одну из этих рассылок. Вопреки ожиданиям, по ссылке в письме не было вредоносной программы, однако и электронных открыток там тоже не было. Подробнее о результате исследования примененной в ней схемы можно прочитать в нашем блоге.

В 2011 году злоумышленники реже, чем прежде, распространяли вредоносные программы под видом электронных открыток. Однако не стоит забывать о такой опасности, особенно накануне праздников. Мошеннические трюки то уходят со сцены, то возвращаются вновь.

Политический спам

2012 год обещает быть богатым политическими событиями международной важности. В марте пройдут выборы президента РФ, затем в апреле-мае выборы президента ожидают Францию, и, наконец, в ноябре в США также будет избран новый президент.

Предыдущие годы, а в особенности 2011, показали, что политическая активность в той или иной форме не чужда и спамерам. В январе 2012 стало очевидно, что политического спама в наступившем году будет не меньше, чем в минувшем.

Радикальные сообщения, призывающие к революции в России, в январе сохранились в спам-потоках Рунета. Какие-либо «конструктивные» рассылки от сторонников тех или иных политический сил в течение января зафиксированы не были, однако мы прогнозируем их появление в феврале, когда до завершения президентской предвыборной кампании останется менее месяца.

Спамеры в США также активно проявляют свою гражданскую позицию, несмотря на то, что до выборов в этой стране еще почти год. В спам-потоках часто встречаются сообщения, содержащие ссылки на «шокирующее видео» о Бараке Обаме или пестрящие «ужасными фактами» о правящем президенте США. Кроме того, в американском спаме встречаются сообщения, агитирующие голосовать за других кандидатов — чтобы «закончить эру Обамы».

Интересно, что французский спам практически лишен политического окраса. В течение января нами не было зарегистрировано французских сообщений, эксплуатирующих тему выборов.

Пирамида и Олимпиада

В нашем блоге мы уже писали о том, что в декабре 2011 и январе 2012 мы наблюдали рассылки, эксплуатирующие тему возрожденной финансовой пирамиды МММ. Среди зафиксированных нами сообщений были как рекламные письма MMM, так и сообщения, явно носившие мошеннический характер.

Спортивная тема тоже стала информационным поводом для мошенников. Олимпиада 2012 эксплуатируется нигерийскими спамерами как приманка — они рассылают письма о выигрышах в лотереях, посвященных Олимпиаде. Такие сообщения без труда распознаются людьми с большим опытом интернет-серфинга как мошеннические, однако менее опытные пользователи легко могут стать жертвами такой незамысловатой схемы.

Статистический обзор

Страны — источники спама


Страны — источники спама в январе 2012 г. (TOP 20)

В январе в Top 10 стран — источников спама вернулась Великобритания, заняв 8-е место и вытеснив из первой десятки Колумбию. (Напомним, что в декабре Великобритания не вошла в ТОР 10, что, по-видимому, было связано с сезоном отпусков и отключением пользователями многих компьютеров, входящих в ботнеты.) В остальном Top 10 изменился незначительно, некоторые страны лишь поменялись местами.

Лидером рейтинга по-прежнему остается Индия, доля которой составила 11,5% мирового спама (-1%). Доля Индонезии уменьшилась по сравнению с декабрем почти на 3%, что не помешало этой стране занять вторую строчку в рейтинге. За Индонезией следует Южная Корея (+1,6%).

На четвертой и пятой строчках расположились страны латиноамериканского региона — Бразилия и Перу. Доля спама, распространенного с территорий этих государств, уменьшилась на 2,1% и 2,5% соответственно.

На шестой строчке, как и в декабре, — Вьетнам. Доля спама, распространенного с территории этого азиатского государства уменьшилась на 0,25%.

Таким образом, первые шесть строчек в рейтинге стран — источников спама — это страны азиатского и латино-американского регионов.

Лишь на седьмом и восьмом местах рейтинга расположились западноевропейские государства — это Италия (-0,25%) и Великобритания (+1,95%). Доля остальных стран рейтинга изменилась в пределах 1%.

Вредоносные вложения в почте

В январе вредоносные файлы содержались в 4,3% всех электронных сообщений, что на 0,3% больше, чем в прошлом месяце.


Распределение срабатываний почтового антивируса по странам в январе 2012 г.

Соединенные Штаты Америки вышли на первую строчку рейтинга стран по срабатыванию почтового антивируса. Однако этому способствовал не рост доли срабатываний Kaspersky Mail Antivirus на территории США (-2%), а ощутимое уменьшение доли срабатываний на территории лидера прошлых месяцев: на 11% сократилась доля срабатываний почтового антивируса на территории России.

Отметим, что уменьшение доли срабатываний почтового антивируса в России не было связано с периодом новогодних праздников. Напротив, в начале месяца количество детектирований вредоносных вложений в почте Рунета было в 3 — 4 раза выше, чем во второй его половине.

Очевидно, в период новогодних каникул, когда спамеры испытывали дефицит заказов, многие ботмастера отдали команду ботнетам рассылать спам-сообщения партнерских программ, отдавая при этом предпочтение «партнеркам» по распространению фармацевтической продукции и вредоносного кода. С восстановлением в России деловой активности спамеры попытались компенсировать отсутствие коммерческих заказов в первые две недели месяца. После новогодних каникул рассылки, заказанные малым и средним бизнесом, значительно возросли в объемах, в то время как доля партнерского спама, в том числе и вредоносного, сильно уменьшилась.

Из интересных изменений в рейтинге стран по срабатываниям почтового антивируса, кроме резкого уменьшения показателей России, отметим более чем двукратный рост доли срабатываний на территории Германии.

Доля остальных стран рейтинга изменилась в пределах 1,5%.


ТОP 10 вредоносных программ, распространенных в почте в январе 2012 г.

Более 14% всех детектирований почтового Антивируса Касперского приходится на традиционного лидера нашего рейтинга — Trojan-Spy.HTML.Fraud.gen. По сравнению с декабрем доля этого зловреда увеличилась на 3%.

Trojan-Spy.HTML.Fraud.gen — это вредоносная программа, выполненная в виде html-странички, подделанной под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам. Таким образом, использование этого зловреда фактически является одним из приемов в арсенале фишеров.

Почтовые черви Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.q и Email-Worm.Win32.NetSky.c расположились соответственно на втором, четвертом, шестом и десятом местах рейтинга вредоносных программ, задетектированных в почте. Три из них —Mydoom.m и оба зловреда семейства NetSky — выполняют только две функции: собирают электронные адреса с зараженных машин и рассылают по ним самих себя. Bagle.gt помимо этого нехитрого функционала также обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.

В январе в ТОР 10 вредоносных программ, которые наш антивирус чаще всего детектировал в почте, места с седьмого по девятое занимают программы семейства Trojan-Dropper.Win32.Injector. Программы с поведением Trojan-Dropper используются как для незаметной установки других вредоносных программ на компьютер пользователя, так и для предотвращения детектирования переносимой ими программы антивирусным ПО.

Фишинг


Распределение TOP 100 организаций, атакованных фишерами по категориям;
январь 2011 года, срабатывания компонета антифишинга

С этого года «Лаборатория Касперского» будет публиковать в своих отчетах новый рейтинг организаций, подвергшихся фишинговым атакам. TOP 100 организаций, клиенты которых были атакованы фишерами, мы сгруппировали по категориям. Рейтинг основывается на срабатываниях нашего антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Отметим, что по данным KSN порядка 65% переходов по фишинговым ссылкам производится из почтовых клиентов. То есть почта фактически остается основным каналом распространения фишинговых ссылок. Еще 26% переходов по фишинговым ссылкам происходит напрямую из интернет-браузеров. Сюда относятся, в том числе, переходы, совершенные из веб-интерфейса электронной почты, из социальных сетей, а также переходы на фишинговые сайты, поднятые с помощью технологий Black SEO в топы выдачи поисковых систем.

Организации, вошедшие в TOP 100, относятся к девяти категориям:

      1. Финансовые и платежные организации, банки. Эта категория, как следует из названия, включает в себя все банки, чьи клиенты стали мишенями фишинговых атак, зафиксированных «Лабораторией Касперского». Кроме того, в нее входят платежные системы, в том числе Visa, MasterCard, PayPal, а также организации, предоставляющие кредиты, паевые фонды, инвестиционные компании и т.д.В январе эта категория атакованных фишерами организаций заняла первое место в рейтинге. Почти четверть всех срабатываний антифишинга пришлось на фишинговые сайты, используемые для хищения банковских аккаунтов пользователей и аккаунтов в платежных системах.
      2. Онлайн магазины, интернет-аукционы. Как известно, акаунты пользователей во многих интернет-магазинах связаны с кредитными картами и содержат персональную информацию (например, имя, электронный адрес, адрес проживания, телефон и пр.). Совершая «покупку» на сайтах фальшивых онлайн-маагазинов, пользователь вводит всю необходимую для оплаты кредитной картой информацию, которая попадает к злоумышленникам. Поэтому неудивительно, что 20,38% срабатываний антифишинга пришлось на фишинговые атаки на различные магазины и аукционы.
      3. Социальные сети. Аккаунты пользователей в социальных сетях остаются для злоумышленников достаточно лакомым кусочком, поскольку на черном рынке на них находится множество покупателей. Доля срабатываний нашего продукта на фишинговых сайтах, нацеленных на кражу регистрационных данных от социальных сетей, немногим меньше аналогичного показателя онлайн-магазинов (20,05%).
      4. Поисковые системы. В этой категории объединены поисковые системы, на чьи сервисы были зафиксированы фишинговые атаки. Практически, каждая поисковая система предоставляет пользователям не только возможность быстрого поиска в интернете, но и другие сервисы, в число которых обычно входит электронная почта. Некоторые поисковые системы имеют также свои социальные сети и платежные системы. 14,6% срабатываний антифишинга пришлось на сайты, нацеленные на кражу регистрационных данных пользователей в различных сервисах, предоставляемых поисковыми системами. В этой категории лидируют поисковые системы и сервисы Google, Yahoo! и Yandex.
      5. IT-вендоры. Многие производители софта или железа для компьютеров имеют веб-сервисы, воспользоваться которыми — в том числе оплатить услуги и продукты или скачать обновления — можно только после регистрации. Чтобы облегчить пользователю процесс покупки, его финансовая информация (например, реквизиты платежной карты) часто сохраняется в аккаунте сервиса. Некоторые вендоры, в частности Microsoft, предлагают дополнительные сервисы — например, программу мгновенного обмена сообщениями, электронную почту. Аккаунты таких сервисов также интересны злоумышленникам. Таким образом, под прицелом фишеров оказались Microsoft и их детище Xbox, Apple и предоставляемые ими сервисы и Electronic Arts. Доля фишинговых срабатываний на сайты, используемые в атаках на IT-вендоров, составила 7,6% от всех срабатываний антифишинга в январе 2012 года.
      6. Электронная почта, программы моментального обмена сообщениями. Аккаунты этих сервисов также пользуются спросом на черном рынке, благодаря чему они интересны фишерам. 5,3% всех срабатываний антифишинга в январе пришлись на фишинговые атаки, нацеленные на пользователей электронной почты и IM. Отметим, что к этой категории не относятся почтовые сервисы, предоставляемые поисковыми системами. Дело в том, что, получая доступ к почтовому аккаунту, предоставляемому поисковым сервисом, злоумышленники получают и доступ к аккаунтам остальных сервисов той же компании. Определить, какой из сервисов на самом деле был конечной целью атаки, не предоставляется возможным.На каждую из следующих трех категорий пришлось менее процента всех срабатываний антифишинга в январе.
      7. СМИ. Фишинговые атаки с целью получить данные аккаунтов пользователей, зарегистрированных на сайтах различных новостных изданий. Вероятно, аккаунты в этих случаях связаны с аккаунтами социальных сетей, и злоумышленники таким образом пытаются получить доступ именно к ним. Не исключено, что такие атаки проводятся по заказу конкурентов, чтобы запятнать репутацию атакуемого портала. Кроме того, известны случаи, когда злоумышленники получали доступ к акаунтам пользователей, имеющих права на редактирование статей на сайте. Такие права использовались преступниками с целью размещения на новостных площадках какой-либо информации или вредоносных ссылок. Вероятно, аккаунты могли быть получены именно в итоге фишинговой атаки. Как бы то ни было, 0,8% всех срабатываний антифишинга пришлось именно на эту категорию сайтов.
      8. Онлайн-игры. 0,4% всех срабатываний антифишинга пришлось на попытки кражи регистрационных данных от аккаунтов онлайн игр.
      9. Правительственные организации. 0,4% атак пришлось на акаунты пользователей на сайтах правительственных организаций. Как мы уже писали, такие атаки носят сезонный характер. Большая их часть приходится на время подачи налоговых деклараций в США и в Великобритании, а организации по налоговым сборам этих стран являются самыми излюбленными мишенями фишеров среди всех государственных организаций.

В категорию «Другие» вошли, в основном, мобильные операторы, интернет-провайдеры и некоторые другие организации. В большинстве случаев аккаунты пользователей на таких сайтах также содержат финансовую информацию.

Тематические направления в спаме


Тематические категории спама в январе 2012 г.

Спам «образовательной» тематики, рекламирующий тренинги и семинары, в течение трех последних недель января лидировал в спам-потоках (как и в декабре). Однако во время новогодних каникул, т.е. в первую декаду месяца, его было очень мало (4,9%), и по итогам месяца эта тематика заняла лишь вторую строчку, пропустив вперед рассылки, рекламирующие медикаменты.

Еще две тематики в ТОР 5, как и «фармацевтический» спам, относятся к партнерским рассылкам. Это «Коллекции фильмов на DVD» и «Реплики элитных товаров», занявшие соответственно четвертую и пятую строчки рейтинга. Интересно, что спам первой из этих тематик распространяется только в России, в то время как спам второй тематики — международный.

Высокая доля партнерского спама, зафиксированная нами по итогам января, объясняется длительными выходными в России. В условиях дефицита заказов спамеры искали другие источники дохода и более активно участвовали в партнерских программах: 79% спама, разосланного на первой неделе января, распространили участники партнерских программ.

Отсутствие у спамеров коммерческих заказов в период праздников привело и к активному распространению спамерской саморекламы. По итогам месяца «Реклама спамерских услуг» оказалась на третьем месте среди наиболее популярных спамерских тематик.

Спад деловой активности в начале января повлиял и на показатели заказного спама: на 8% снизились доли тематик «Недвижимость» и «Отдых и путешествия».

Заключение

Вслед за периодом новогодних праздников в России, когда доля заказного спама была низкой, а процент партнерских рассылок в спам-трафике — предельно высоким, наступили серые спамерские будни. Во второй половине месяца спам-поток стал таким, каким он обещает быть в ближайшие месяц-два. Увеличилась доля рассылок, заказанных клиентами спамеров. Доля партнерского спама уменьшилась, хотя этот показатель по-прежнему остается на довольно высоком уровне — порядка 35%. Мы предполагаем, что такая расстановка сил между партнерским и заказным спамом сохранится в ближайшие месяцы.

Если же прогнозы финансовых аналитиков о новом финансовом кризисе сбудутся, есть вероятность того, что с середины весны доля партнерского спама будет расти.

Как показывает практика, рассылки, посвященные Дню святого Валентина, не так многочисленны, как новогодние. В 2011 году их доля в пиковый период (на второй неделе февраля) составила 0,21% от всех спамерских сообщений. Нет оснований предполагать, что в этом году «валентинова» спама будет больше. Тем не менее, в начале февраля стоит ожидать спамерских «валентинок».

Напомним, что одним из традиционных видов «валентинова» спама являются вредоносные рассылки, подделанные под открытки с поздравлениями. В последние годы такие рассылки не так часто встречались в спам-потоках, но их не стоит сбрасывать со счетов. Пользователям надо быть внимательными, получая «открытки» из неизвестных источников. Особенно опасно открывать ссылку на «поздравление», если эта ссылка заканчивается расширением .exe.

Спам в январе 2012 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике