Отчеты по спаму и фишингу

Спам во втором квартале 2008

Основные тенденции:

  • Доля спама в почтовом трафике по сравнению с первым кварталом 2008 года понизилась и составила 82,5%.
  • Доля фишинговых писем во втором квартале в среднем составила 1,77%. 0,41% электронных сообщений содержали вредоносные вложения и ссылки на вредоносные сайты.
  • В спаме Рунета утвердилась новая тематика: реклама копий элитных товаров.
  • Спамеры стремятся сделать рекламу более качественной.
  • Для размещения рекламы используются популярные ресурсы Сети.
  • Тематики почтового спама появились в ICQ-спаме.

Долевое распределение спама

Во втором квартале 2008 года доля спама в почтовом трафике в среднем составила 82,5%. Напомним, что в первом квартале на долю спама приходилось 88% всех электронных писем. Максимальный долевой показатель был зафиксирован 9 апреля и составил 93,9%, минимальный — 64,2% — наблюдался 3 мая.

В конце апреля – начале мая доля спама в почтовом трафике значительно уменьшилась. В середине июня долевые показатели спама несколько увеличились, но на уровень начала апреля все же не вышли. Несколько лет назад наблюдалось снижение долевых показателей спама в конце весны и их возврат к прежним значениям в начале осени. Но с 2006 года такой динамики не было, резкое снижение доли спама отмечалось только в новогодние праздники. Возможно, сейчас такое снижение носит сезонный характер, и если это действительно так, то все лето мы сможем наблюдать пониженный уровень спама в почте.

Доля фишинговых писем во втором квартале в среднем составила 1,77%. Вредоносные вложения и ссылки на вредоносные сайты содержали 0,41% электронных сообщений.

Тематические особенности спама

Лидирующие тематики спама:

  1. «Медикаменты; товары/услуги для здоровья» — 22,7%
  2. «Образование» — 14,3%
  3. «Реплики элитных товаров» — 11,3%
  4. «Отдых и путешествия» — 9,6%
  5. «Реклама спамерских услуг» — 4,9%

Постоянный лидер тематик спама – рубрика «Медикаменты; товары/услуги для здоровья» – заметно сдала свои позиции: по сравнению с прошлым кварталом ее доля понизилась почти на 10% и составила 22,7%. Зато новая рубрика «Реплики элитных товаров» заметно набрала популярность и вышла на третье место в пятерке лидирующих тематик с показателем 11,3%. В тематическом распределении спама по другим рубрикам таких скачков и падений не наблюдается.

Реклама копий элитных часов на английском языке в спаме существует давно, но в Рунете ее было довольно мало. Идея продавать дешевые подделки, которые спамеры в рекламе деликатно называют «репликами», показалась привлекательной и для российских бизнесменов. С появлением аналогичного бизнеса в России доля соответствующего спама на русском языке настолько возросла, что в марте 2008 года нам пришлось добавить в категории спама тематику «Реплики элитных товаров». Надо заметить, что российские бизнесмены по-своему стараются заинтересовать покупателя, например, предлагают купить «часы как у Путина» или «телефон как у Билла Гейтса».

Разнообразие криминального спама

Во втором квартале 2008 года реклама различных криминальных услуг, мошеннические и фишинговые письма продолжали поражать разнообразием содержания. В спаме можно встретить, например, письма с предложением обучить пользователей взлому почты и ICQ, письма, в которых спамеры пытаются обманом привлечь пользователей к отмыванию денег, и, конечно, фишинговые письма, с помощью которых мошенники пытаются украсть деньги или персональные данные пользователей.

Предложение обучить пользователей взлому сайтов:

Попытка украсть деньги:

Попытка украсть персональные данные пользователей:

В мошеннических письмах спамеры ссылаются на всем известные имена, придумывают все новые причины, чтобы спровоцировать пользователей переслать им деньги:

Хочется еще раз предупредить пользователей: если в письме под каким-либо предлогом вас просят осуществить некие действия, связанные с переводом денег, то велика вероятность того, что это письмо — мошенническое. Тем более следует насторожиться, если деньги требуют срочно, грозя удалением аккаунта или другими санкциями. Не стоит также беспечно вводить или пересылать свои персональные данные по первому же письменному запросу.

Спамеры уделяют больше внимания качеству рекламы

В последнее время российские спамеры стремятся делать рассылаемую рекламу разнообразной и внешне привлекательной. Наиболее заметно это в рассылках, предлагающих услуги самих спамеров. Так, в июне прошла довольно мощная рекламная кампания неких московских спамеров: в одно и то же время рассылались письма, содержащие только текст, спам в виде таблиц, а также спам в виде картинок, сделанных качественно и красиво. Иностранные же коллеги российских спамеров не стремятся поразить своих потенциальных клиентов: англоязычная реклама спамерских услуг чаще всего представляет собой короткие текстовые сообщения без лишних атрибутов.

Помимо разнообразного оформления, спамеры используют различные трюки: например, маскируют рассылаемые письма под личную переписку, эксплуатируют интерес получателей к значимым событиям, происходящим в мире.

Ниже приведен один из ярких примеров реакции спамеров на события, вызывающие интерес большого количества пользователей: в период Евро-2008 футбольная тема активно использовалась спамерами для привлечения внимания к их рекламе.

Стремление к качественному оформлению рекламы влияет и на используемые спамерами технические методы. Для спамеров остается актуальной задача сделать каждое письмо в рассылке уникальным — это повышает вероятность обхода спам-фильтров. Раньше стремление обойти спам-фильтры нередко приводило к тому, что текст писем становился практически нечитаемым. Однако в последнее время спамеры пытаются не портить внешний вид рекламы и реже используют такие традиционные приемы, как искажение текста, удвоение букв и т.п. Об одном из альтернативных методов создания уникальных писем, не влияющих на восприятие рекламы пользователями, – добавлении случайных html-тэгов-комментариев — мы уже рассказывали. Но это не единственный метод.

Чтобы добиться уникальности писем в рассылке и не исказить текст письма, спамеры заменяют некоторые символы в ссылке, ведущей на рекламируемый сайт, на их Unicode-значения. Символы на замену выбираются случайным образом, поэтому каждая ссылка получается уникальной, а при нажатии все они ведут на один и тот же сайт. Некоторые почтовые клиенты отображают Unicode-значения в виде соответствующих букв, так что у получателей, пользующихся таким клиентом, при открытии писем ссылки будут выглядеть, как обычный адрес/название сайта.

Ссылка в письме, где символы в адресе заменены на Unicode-значения: Адрес сайта без замены символов:
http://%62%65s%74erot%69%63%2enam%65

http://besterotic.name

Использование популярных ресурсов Сети для размещения рекламы

Почтовый спам уже вышел за рамки электронной почты. Раньше к такого рода спаму можно было отнести только уведомления с форумов, содержащие различные спамерские ссылки. Сейчас круг задействованных ресурсов стал гораздо шире.

Блоги и бесплатные офисные веб-приложения

В настоящее время крупные почтовые системы, чтобы повысить свою популярность, создают различные дополнительные бесплатные сервисы для своих пользователей: блоги, офисные веб-приложения, доски объявлений и т.д. Во втором квартале 2008 года спамеры стали размещать рекламу на страницах таких бесплатных служб и рассылать письма, которые содержали только ссылки на такие страницы. Спамеры надеялись, что спам-фильтры не будут блокировать письма со ссылкой на известные ресурсы (например, Google docs или blogs.mail.ru).

В основном спамеры использовали новые, не так давно возникшие сервисы, у которых еще были дыры в защите. Такие известные блоги, как livejournal или liveinternet, практически были проигнорированы спамерами, поскольку на этих ресурсах сложно автоматически регистрировать аккаунты, а созданные спам-журналы быстро закрывают.

Социальные сети

Социальные сети – еще один популярный ресурс, который выводит спам за границы почтовых систем. Cпамеры размещают рекламу в социальных сетях и рассылают спамовые письма с соответствующей ссылкой.

Появление еще одной разновидности спама обусловлено политикой администрации некоторых социальных сетей, пользователи которых могут повысить собственный рейтинг или получить бонусы, если приглашенный им человек зарегистрируется в сети. В этом случае почтовый спам используется, чтобы разослать приглашение как можно большему числу людей. Ссылка в таких письмах ведет на страницу, где получатель может зарегистрироваться в сети как приглашенный заказчиком спам-рассылки.

Помимо этого, популярность социальных сетей стали использовать злоумышленники. Они рассылают письма, имитирующие различные уведомления от администрации социальных сетей. Пользователи пока не знают , что такие уведомления могут быть поддельными, и, ничего не подозревая, кликают по ссылкам, указанным в письме. Ссылки в таких письмах-подделках могут вести на зараженные сайты или на фишинговые страницы, где пользователя попросят ввести его персональные данные. Например, во втором квартале 2008 г. была зафиксирована рассылка писем, имитирующих сообщения с сайта «Одноклассники.ru». Письма содержали ссылку, которая вела на сайты с похожими названиями (odnoklass.ru и odnoklassniks.ru вместо odnoklassniki.ru), с которых на компьютер пользователя пыталась загрузиться троянская программа Trojan.Win32.Agent.qxk.

Популярность сетей используется и для того, чтобы красть у пользователей деньги. В приведенном ниже письме мошенники от имени администрации социальной сети предлагают получателю принять участие в розыгрыше призов и отправить «бесплатное» SMS на короткий номер.

В дальнейшем можно ожидать увеличения числа спам-рассылок, использующих растущую популярность подобных ресурсов.

Спам в ICQ: появление тематик, характерных для почтового спама

В последнее время в рекламе спамерских услуг наряду с предложениями рассылок по электронной почте регулярно встречаются предложения разослать рекламу в ICQ. Однако спам в ICQ имеет свою специфику, обусловленную как техническими особенностями системы, позволяющей рассылать только короткие текстовые сообщения, так и целевой аудиторией, на которую могут рассчитывают спамеры.

ICQ традиционно не относится к каналам бизнес-коммуникаций. Пользователями ICQ в основном являются молодые люди, не обремененные серьезными проблемами и много времени проводящие в Сети. Поэтому в ICQ-спаме преобладает реклама развлечений разного рода: спам категории «для взрослых» (25,9%); предложения посетить сайты развлекательного содержания (18,9%); а также спам, рекламирующий браузерные онлайн-игры и игровые серверы (8,9%). В целом на долю такой рекламы в ICQ приходится более 60% всех спамовых сообщений.

По итогам второго квартала 2008 года кроме вышеперечисленных тематик в пятерку лидеров в ICQ попали предложения заработка в Сети («клики» по рекламе, посещение сайтов, другие способы заработать) и спамовые сообщения, имеющие отношение собственно к ICQ (агитация за ICQ 6.x, предложения покупки и/или продажи UIN’ов и т.п.).

Тематики спама, лидирующие в электронной почте, — «медицинский» спам и реклама различных товаров/услуг — оказались в конце рейтинга. Еще в начале 2008 года реклама медицинских препаратов встречалась в ICQ крайне редко, а предложения товаров и услуг были ограничены рекламой мобильных телефонов и компьютерных услуг. Однако с наступлением весны число предложений медицинских препаратов и различных товаров/услуг стало расти (предложения мобильных и компьютерных товаров/услуг в ICQ относятся к отдельным рубрикам и в данном случае не учитываются). В июне 2008 года на долю этих двух тематик пришлось уже более 9% всех спамовых сообщений.

«Медицинский» спам и реклама товаров и услуг составляют до 90% почтового спама и обеспечивают основной доход спамеров. Судя по динамике, хорошо видной на диаграмме, профессиональные спамеры, рассылающие спам по электронной почте, начали осваивать системы мгновенного обмена сообщениями, постепенно расширяя спектр услуг, предлагаемых своим клиентам. Укоренится ли «серьезный» спам в ICQ, зависит от того, насколько эффективны будут его рассылки с точки зрения рекламодателей. В любом случае в ближайшие месяцы «почтовые» спамеры, вероятно, продолжат свои эксперименты по захвату новой «территории», и в ICQ будут расти долевые показатели спама, тематика которого ранее была характерна только для электронной почты.

Заключение

Итоги второго квартала 2008 года свидетельствуют о том, что в войне со спамом наступил период относительного затишья. Спам-фильтры справляются с основным потоком мусорной почты, а спамеры не могут предложить принципиально новых технологических решений, способных пробить антиспамовую защиту, и довольствуются существующей эффективностью рассылок. Именно поэтому в последнее время спамеры наращивают конкурентные преимущества на рынке спамерских услуг не столько за счет новых приемов, обеспечивающих обход спам-фильтров, сколько за счет повышения качества рассылаемой рекламы.

Кроме того, спамеры продолжают осваивать новые каналы распространения рекламы. Различные форумы используются ими довольно давно, уже не является новинкой и спам в социальных сетях. Теперь к этому прибавились офисные веб-приложения (Google docs) и блоги почтовых систем, на которых спамеры публикуют рекламу, а в почтовой рассылке дают на нее ссылку. Активно развивается ICQ-спам, наметилась тенденция к сближению его содержания с тематиками почтового спама.

Спамеры часто используют новые, только появившиеся сервисы. Такая любовь к новинкам обусловлена не только популярностью у пользователей такого рода сервисов, но и несовершенной защитой последних.

Несмотря на относительную стабильность ситуации, спам по-прежнему представляет серьезную угрозу, особенно для беспечных пользователей. Мошенники всех мастей, фишеры и вирусописатели умело используют спам для достижения своих целей.

Уже с наступлением осени можно ожидать увеличения доли спама в электронной почте. Несомненно, что после летнего затишья спамеры с новыми силами возобновят свои технологические эксперименты. Будем надеяться, что спам-фильтры будут по-прежнему надежно защищать пользователей от нежелательной рекламы.

Спам во втором квартале 2008

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике