Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 467

В этом номере:


Новости

До 10% российских SMS – спам

По оценке исследовательской компании AC&M-Consulting, уровень SMS-спама в сетях «Билайн», «МТС» и «Мегафон» в настоящее время составляет порядка 8-10%. Причем за последний год количество незапрошенных сообщений выросло в несколько раз.

По данным AC&M-Consulting среди операторов «большой тройки» наибольшее количество номеров, распространяющих текстовый спам, выданы компанией «Билайн», которая предлагает SMS-пакеты по наиболее выгодным тарифам. Тем не менее, в первые месяцы текущего года оператору удалось с помощью специализированных фильтров снизить объем исходящего спама до 1,5 млн. единиц. По оценке «Билайн», за аналогичный период 2012 года ее абоненты разослали около 67 млн. незапрошенных SMS.

Компания «МТС» оценила долю спама в 2-10% - за последний год число вредоносных рассылок в сетях этого оператора увеличилось в два раза. В текущем году МТС уже заблокировала свыше 150 млн. спам-сообщений и запустила новый защитный сервис для абонентов.

Абоненты «Мегафон» в прошлом году получили около 9 млн. спамовых SMS – в разы больше, нежели годом ранее. Большинство сообщений было отправлено через специализированные SMS-сервисы. Мегафон тоже начал блокировать сторонние SMS, отправитель которых указан произвольным тестом (APTEKA, TAKSI, и т.п.). К сожалению, такая система фильтрации не позволяет отсеивать спам с телефонным номером в качестве отправителя, а также не предусматривает возможность отказа абонента от рассылки.

Самостоятельные усилия «большой тройки» по ограничению спама не дадут желаемого эффекта, пока у операторов нет права фильтровать SMS-сообщения и отказываться от доставки очевидного мусора. Остается надеяться, что с принятием новых поправок к федеральному закону «О связи» ситуация изменится к лучшему и российские абоненты получат необходимую защиту на законных основаниях.

Источник: The Russian Times

APWG о фишинге по итогам IV квартала 2012 года

По данным коалиции Anti-Phishing Working Group (APWG), количество фишинговых сайтов за последние три месяца минувшего года уменьшилось на 11% и в декабре составило немногим более 45,6 тысячи. Сокращение числа фишерских сайтов-ловушек произошло, в основном, за счет имитаций сервисов розничной торговли и финансовых институтов.

Тем не менее, финансовый сектор остается главной мишенью фишеров. В октябре-декабре на его долю пришлось 34,4% фишерских атак, на долю платежных систем – 32,1%. Количество атак на игровые сайты за четвертый квартал 2012 года увеличилось с 2,7% до 14,7%, на социальные веб-сервисы – с 3% до 6%. Число уникальных фишинговых рассылок за три месяца возросло с 23 до 28 тысяч. Наибольшее количество атакуемых брэндов было зафиксировано в ноябре – 430 штук.

Большинство фишинговых сайтов хостились на взломанных серверах легальных организаций. APWG отмечает, что компрометация веб-сервера обеспечивает фишерам не только надежный и мощный веб-хостинг, но также возможность единовременного создания сотен и тысяч поддельных страниц, которые трудно блокировать. Главным хостером фишеров остаются США, на долю которых в октябре-декабре 2012 года приходилось от 74% до 64% сайтов-ловушек. При этом 46% фишинговых сайтов, обнаруженных APWG за отчетный период, размещались в TLD-зоне .com.

Источник: APWG

Commtouch: количество спама удвоилось

Согласно статистике Commtouch, в марте 2013 года спамеры разослали на 98% больше нелегитимных сообщений, чем в минувшем декабре. Количество фишинговых писем за тот же период увеличилось на 74%, вредоносных – на 157%. Эксперты отмечают, что одновременный рост всех показателей по спаму весьма необычен: как правило, увеличение одного показателя происходит за счет других.

Суточная норма почтового мусора в течение I квартала, по данным Commtouch, в среднем составляла 97,4 млрд. сообщений, вредоносных писем – 973 миллиона. В марте объемы спама достигли рекордной отметки: 117,8 млрд. писем в сутки. В этом месяце по сравнению с предыдущим показатели по спаму возросли на 41%, по фишингу – на 8%, по вредоносным сообщениям на 75%. По итогам марта уровень спама в почтовой корреспонденции составил 78,1%, фишинговых писем – менее 0,1%, вредоносных – 4,5%.

Наибольшее количество спама в январе-марте было разослано с территории США (9,1% общего количества). В Тор 5 стран-источников мусорной почты вошли также Беларусь (6,5%), Испания (5,6%), Аргентина (5,0%) и Индия (4,3%).

В квартальных спам-потоках особо выделялись вредоносные письма, имитирующие новостные сообщения CNN или BBC. По наблюдениям Commtouch, спамеры использовали при этом однотипные шаблоны, быстро актуализируя тему, будь то назначение нового Папы Римского или финансовый кризис на Кипре. Все эти фальшивые новости работали по одной схеме: предлагали получателю узнать подробности, пройдя по ссылке, привязанной к взломанному сайту-редиректору. В результате систему пользователя атаковал целый набор эксплойтов, ориентированных на разные уязвимости.

Эксперты также отметили возврат так называемого биржевого спама, работающего по схеме «накачка и сброс» (pump and dump). Эта мошенническая схема продвижения неликвидных акций пользовалась большой популярностью у киберкриминала лет пять назад, а затем постепенно сошла на нет. В минувшем марте pump and dump спам составил 18% рейтинга Commtouch Тор 25 спам-рассылок, на долю которых в этом месяце пришлось 46% нелегитимных сообщений. Commtouch не выделяет биржевой спам в отдельную тематическую категорию, однако отметила, что он ответственен за рост категории «Other» («Прочее»), на долю которой в марте пришлось 53,0% спама, а в целом за квартал – 43,4%.

Нынешний квартальный отчет Commtouch впервые объединяет результаты собственного исследования компании и статистику ее недавнего приобретения – немецкой компании eleven, специализирующейся на защите почтового сервиса. Отныне все последующие отчеты Commtouch будут строиться по такому же принципу.

Источник: Commtouch

День рождения спама и подарок от Microsoft

Третьего мая исполнилось 35 лет с момента осуществления первой почтовой спам-рассылки. В 1978 году около 400 пользователей американской правительственной сети Arpanet – предшественника современного интернета – получили нежданное рекламное письмо от компании DEC, продвигающее новую модель миникомпьютера от этого производителя.

Необычная по тем временам практика вызвала бурю негодования у получателей непрошеной рекламы, однако благодаря такому маркетинговому ходу компании-разработчику удалось продать пару новых изделий. Успех воодушевил последователей инициативного сотрудника DEC, которые готовы были мириться с недовольством адресатов назойливой рекламы, лишь бы она стимулировала рост продаж. Эта мотивация жива и поныне, помогая спамерам получать финансовую выгоду с минимумом трудозатрат. Само же слово «спам» в применении к нелегитимным рассылкам прижилось гораздо позднее, когда название одного из агрессивно продвигаемых продуктов стало именем нарицательным. Впрочем, эта история хорошо известна всем обитателям «всемирной паутины»: ее вспоминают каждый раз, когда спамеры празднуют знаменательную для них дату.

Со временем рассылка спама превратилась в мощную теневую индустрию, существование которой стало создавать серьезные помехи деловому и частному общению и даже причинять убытки. Интернет-сообщество было вынуждено обороняться от назойливого «мусора» с помощью технических средств и законодательных мер, и эффективная борьба с этим всемирным злом помогает держать спамеров в узде по сей день. По данным «Лаборатории Касперского», в минувшем году доля спама в почтовой корреспонденции устойчиво снижалась на протяжении всего периода и в первом квартале 2013 года составила в среднем 66,55%.

Нынешний «праздник» спама не обошелся без приятного подарка. Компания Microsoft объявила о завершении многотрудного процесса перевода пользователей веб-почты Hotmail на платформу Outlook. Свыше 300 млн. почтовых аккаунтов, с папками, личными настройками, календарными записями, адресными книгами, поменяли прописку. Домен hotmail.com упразднен, и при попытке его набора в адресной строке веб-браузера пользователь попадает на страницу регистрации Outlook.com.

Источник: PC World

Kelihos наращивает потенциал

По данным исследователей из университета Алабамы в Бирмингеме, апрельские спам-рассылки, эксплуатирующие тему терактов в Бостоне и Техасе, были нацелены на расширение владений ботоводов Kelihos.

Ботнет Kelihos, он же Hlux, с февраля резко увеличил свою производительность и в настоящее время, по данным Trustwave, уверенно возглавляет список ведущих ботнетов-спамеров. В начале мая на его долю приходилось около 60% почтового мусора, распространяемого автоматизированными средствами. Ожившие спамботы Kelihos специализируются, в основном, на рассылке спама, продвигающего бесперспективные акции согласно мошеннической схеме «накачка и сброс» (pump and dump). Эту информацию подтверждают и последние наблюдения университетских исследователей.

По данным специалистов университета спам-рассылки, проведенные злоумышленниками 17 и 18 апреля с целью засева Kelihos, почти на 80% превысили объемы, обычно наблюдаемые в период всплеска вредоносной активности. Вскоре после этой атаки поток почтового спама с заголовками, призывающими покупать «перспективные» акции безвестных кампаний, вздулся до невероятных размеров. В начале мая эксперты насчитали свыше 8,4 тыс. заголовков, посвященных данной теме, и 93,5 тыс. IP-адресов отправителя, которые можно с известной долей уверенности ассоциировать с Kelihos.

Источник: Gary Warner blog

В Великобритании судят фишеров-гастролеров

В минувшем году киберполиция Лондона обезвредила интернациональную группу фишеров, укравших 1 млн. фунтов стерлингов (свыше $1,5 млн.) у британской подданной. Двое преступников уже получили тюремные сроки, остальные ожидают приговора.

Расследование деятельности группировки было начато по жалобе жертвы фишеров. В конце 2011 года проживающая в ЮАР гражданка Великобритании получила по электронной почте письмо, имитирующее извещение от ее банка. Недолго думая, женщина прошла по указанной ссылке на (поддельную) страницу регистрации и ввела на ней требуемые идентификаторы. Невнимательность дорого обошлась жертве фишинга, лишившейся всех своих сбережений. Как оказалось, большую часть награбленного мошенники спустили за 3 дня, с увлечением предаваясь новогоднему шопингу и скупая все подряд, от шампанского и чизбургеров до золота и дорогой электроники.

Полицейским, работающим в тесном взаимодействии с банкирами, удалось установить автора фишинговой рассылки – египтянина, продающего краденую информацию за рубеж. Проверив британский контакт фишера, силовики обнаружили целую группу «поддержки», состоящую преимущественно из африканцев. При обыске у местного покупателя краденого, уроженца Нигерии, были обнаружены данные 11 тыс. кредитных карт, из коих 8,5 тысяч принадлежали британцам. Сумма возможных потерь оценивается полицией в 2,5 млн. фунтов (свыше $3,8 млн.).

В ходе расследования в Лондоне и Западной Англии были проведены скоординированные аресты. Большинство задержанных оказались «дропами» - наемниками, помогающими фишерам выводить деньги с взломанных счетов. Двое из них, родные братья из Пакистана, уже оштрафованы и получили по 1 году с последующей депортацией. Египетский фишер задержан во время его визита в Великобританию и вместе с прочими ожидает приговора.

Источник: Daily Mail

Организатор pump and dump получил 6 лет

В США осужден один из ключевых фигурантов дела о биржевом мошенничестве с использованием автоматизированных спам-рассылок. Главарь преступной интернациональной группировки Кристофер Рэд (Christopher Rad) из Техаса лишен свободы на 6 лет без одного месяца. Согласно материалам дела, мошенники полтора года грабили американских инвесторов, обманом вынуждая их покупать неликвидные акции. Аферисты заранее приобретали эти акции у безвестных компаний, искусственно вздували цены, а затем, до падения курса, продавали весь пакет с большой выгодой для себя. Такая мошенническая схема известна как «накачка и сброс» (pump and dump). Для имитации повышенного спроса сообщники взламывали брокерские аккаунты, от имени их владельцев приобретали часть безнадежных акций и устраивали оживленные торги. Чтобы снять ограничение на куплю-продажу ценных бумаг, мошенники подделывали документы об истинном состоянии дел в продвигаемых компаниях. Большую роль в фальшивой рекламной акции играли спам-рассылки. Фальсифицированные заявления, распространяемые большим тиражом, помогали привлечь внимание потенциальных инвесторов к искусственно созданному рынку и убедить их в перспективности капиталовложений. Наймом спамеров занимался соотечественник и сверстник Рэда, проживавший в Тайланде, ― небезызвестный Джеймс Брэгг (James Bragg). Брэгг приобрел богатый опыт в таких делах, сотрудничая с вожаком аналогичной группировки Аланом Ральски (Alan Ralsky). В далекой России быстро отыскались ботовод и хакер, которые за определенную мзду согласились оказать помощь зарубежным «коллегам». Задействованные Брэггом спамботы были обнаружены в США, Западной Европе, России и других регионах. Командные серверы ботнета были размещены за пределами США, в частности, в России и Китае. Рэд общался со спамерами через Skype и оплачивал их работу, используя e-Gold и службы денежных переводов в разных странах. По оценкам ФБР, интернет-махинации с ценными бумагами принесли организатору преступной схемы около 2,8 млн. долларов. Помимо тюремного срока, осужденному вчинили денежный штраф в размере 30 тыс. долларов. Сумма компенсации потерпевшим пока не определена. По выходе на свободу техасец проведет 5 лет под надзором. Соратники Рэда, Джеймс Брэгг и Дойл Элиот (Doyle Scott Elliott), сознались в своих преступлениях и ожидают приговора.

Источник: United States Attorney's Office


Спам в первом квартале 2013 года

Дарья Гудкова,
эксперт «Лаборатории Касперского»

Квартал в цифрах

  • По сравнению с четвертым кварталом 2012-го года доля спама в почтовом трафике увеличилась на 0,5% и составила 66,5%
  • Доля фишинговых писем в почтовом потоке уменьшилась в 4,25 раза и составила 0,004%
  • Вредоносные вложения содержались в 3,3% всех электронных сообщений, что на 0,1% выше показателя предыдущего квартала

Особенности квартала

В первом квартале произошло несколько громких событий: умер президент Венесуэлы Уго Чавес, ушел в отставку Папа Римский Бенедикт XVI и официально взошел на Святой престол в Ватикане новый Папа Франциск. Как обычно, события такого масштаба не остались незамеченными спамерами. Интерес пользователей к важным мировым событиям использовался в первую очередь распространителями вредоносных ссылок и мошеннических писем. Впрочем, злоумышленники не забыли и про другие приемы социальной инженерии.

Горячие новости с вредоносными ссылками

После смерти венесуэльского лидера в спаме появились письма с провокационным заголовком "CIA "DELETED" Venezuela's Hugo Chavez?". Авторы письма намекали на причастность правительства США и ЦРУ к смерти Уго Чавеса и предлагали получателю кликнуть по ссылке для просмотра тематического видео.

Нажавший на ссылку неосторожный пользователь попадал на взломанный легитимный сайт, откуда перенаправлялся на вредоносный ресурс, содержащий обфусцированный javascript. Если операционная система потенциальной жертвы соответствовала определенным параметрам, то с помощью эксплойта (проактивно детектировался антивирусом Касперского как HEUR:Exploit.Java.CVE-2012-0507.gen) на компьютер пользователя устанавливалась вредоносная программа.

Но не только Уго Чавес привлек в этом квартале внимание спамеров. В другой рассылке с провокационным текстом и вредоносной ссылкой злоумышленники использовали имя нового Папы Римского для привлечения внимания получателей. Спам-рассылка имитировала сообщения BBC и CNN и предлагала адресату ознакомиться с новостями, касающимися нового Папы. Например, один из заголовков предлагал обсудить возможность осуждения понтифика за сексуальное насилие.

Схема заражения компьютера с использованием данной вредоносной рассылки копировала схему, использованную в рассылке с вредоносной ссылкой на «новость» о смерти Уго Чавеса: после нажатия на ссылку пользователь перенаправлялся на взломанный сайт, затем на его компьютер загружался эксплойт (чаще всего из набора эксплойтов Blackhole), с помощью которого и происходило заражение компьютера вредоносной программой.

Интересно, что при всей кажущейся тщательности изготовления подделок под новостные уведомления злоумышленники периодически путали заголовки: например, оставляли в поле «From» письма, замаскированного под сообщение CNN, слово «BBC».

Использование горячих новостей в сочетании со ссылками на якобы провокационные фотографии и видео - один из любимых приемов спамеров, распространяющих вредоносные программы. Ранее мы уже встречали подобные рассылки, предлагающие посмотреть фотографии Осамы бен Ладена, компромат на Барака Обаму и многое другое. Несмотря на многообразие используемых спамерами тем, результат перехода по ссылке в таких письмах один и тот же: на компьютер пользователя пытается загрузиться вредоносная программа.

События в Венесуэле и «нигерийский» спам

«Нигерийские» мошенники, которые всегда использовали фактор нестабильности в какой-либо стране, не пропустили и события в Венесуэле. Мы зафиксировали несколько эксплуатирующих эту тему рассылок на разных языках.

Сюжет англоязычного письма стандартен для «нигерийского» мошенничества: письмо написано якобы от близкой к правящей верхушке особы, которая просит помощи в обналичивании денег — пока их не отняло новое правительство.

«Нигерийские» письма с очень похожим содержанием, но другими именами мы фиксировали и после смерти ливийского лидера Муамара Каддафи, и после тюремного заключения египетского президента Хосни Мумбарака.

В рассылке на немецком языке автор пишет, что он был другом покойного Уго Чавеса и по его просьбе хранит 23 миллиона долларов США для тайной возлюбленной президента, которая так и не объявилась. Получателю предлагается поучаствовать в обналичивании этих денег — разумеется, за солидное вознаграждение.

Сценарий взаимодействия «нигерийских» мошенников с потенциальными жертвами хорошо известен. Если получатель ответит на письмо, то в ходе дальнейшей переписки его попросят перевести на некий счет небольшую по сравнению с обещанным гонораром сумму - на оплату работы юриста, выплату налогов и т.п. Получив деньги, мошенники прекратят всякие контакты со своей жертвой.

Социальные подделки

Спамеры - в особенности те, кто хочет заразить компьютеры пользователей вредоносными программами, - по-прежнему используют подделки под уведомления известных сервисов. В этом квартале к постоянно встречающимся в подобных рассылках Facebook, Twitter и многим другим прибавился сервис Foursquare. Сработало простое правило: чем выше популярность сервиса, тем с большей вероятностью спамеры будут рассылать от его имени фальшивые уведомления.

Чаще всего в подобных письмах злоумышленники рассылают ссылки на наборы эксплойтов, способные найти уязвимость на компьютере пользователя и использовать ее для установки различных вредоносных программ. Особой популярностью у спамеров пользуется набор эксплойтов Blackhole.

Интересно, что спамеры, посылая вредоносные письма под видом уведомления от того или иного сервиса, часто не следят за тем, чтобы заголовок письма или содержимое поля «From» соответствовали содержанию письма. Отметим, что эту же ошибку совершают злоумышленники, рассылающие поддельные сообщения от имени медиагигантов CNN и BBC. Это может указывать на то, что за все подобные рассылки ответственна одна группа злоумышленников.

Методы и трюки

Не секрет, что в последнее время спамеры не могут придумать ничего нового: все трюки уже были использованы когда-то в том или ином виде. В результате злоумышленники перешли на использование комбинаций из нескольких приемов, в том числе довольно известных, но со временем утративших популярность. Кроме того, спамеры изучили возможности легальных сервисов и теперь используют их для обхода спам-фильтров.

Использование легальных сервисов

В первом квартале 2013 года нам встретилась рассылка стандартной для спама рекламы медикаментов для мужчин, где были использованы следующие трюки:

  1. Заголовок «Instagram Account Delete» - типичный пример социальной инженерии. Для привлечения внимания пользователя используется тема удаления аккаунта на популярном сервисе. Если у получателя есть аккаунт в Instagram, то он, скорее всего, откроет письмо, вместо того чтобы сразу его удалить.
  2. Реальный адрес, на который ведет вредоносная ссылка, замаскирован с помощью сразу двух легальных методов. Сначала спамеры воспользовались сервисом коротких ссылок от Yahoo, а затем обработали полученную таким образом ссылку в онлайн-переводчике Google Translate. Этот сервис может выполнять перевод веб-страницы по указанной пользователем ссылке и генерировать собственную ссылку на результат перевода. Сочетание этих методов делает каждую ссылку в рассылке уникальной, а кроме того, использование двух всемирно известных доменов помогает сделать ссылку достаточно «авторитетной» в глазах получателя спама.

А чтобы еще сильнее запутать получателя, спамеры добавили в конец ссылки бессмысленный запрос, состоящий из случайных слов: «?/constitutional contextualization».

Спамеры часто пользуются сервисами коротких ссылок. Во-первых, таким образом они пытаются обмануть спам-фильтры, сделав ссылку уникальной в каждом письме. Во-вторых, использование сервисов коротких ссылок не накладывает на злоумышленников дополнительных затрат, как в случае с покупкой доменов или взломом легитимных сайтов. С другой стороны, крупные сервисы коротких ссылок стараются следить за контентом сайтов, на которые они перенаправляют пользователей, и быстро прекращать работу вредоносных ссылок.

«Белый текст» возвращается

Снова стал пользоваться популярностью простой прием замусоривания содержимого письма, известный как «белый текст». По сути, это добавление в письмо случайных кусков текста (в этом квартале это, в основном, были фрагменты новостей), оформленных светло-серым шрифтом на сером фоне и отделенных от основного рекламного текста большим количеством переносов строки. Такой прием, во-первых, рассчитан на то, что контентные спам-фильтры примут такое письмо за новостную рассылку, а во-вторых, использование случайных фрагментов новостей делает каждое письмо рассылки уникальным, что затрудняет детектирование.

Статистика

Доля спама в почтовом трафике

В течение первого квартала 2013 года доля спама в почтовом трафике заметно колебалась и в итоге составила в среднем 66,55%. Это на 0,53% пункта выше, чем в предыдущем квартале.

Одной из самых крупных рассылок этого квартала стала мошенническая рассылка по методу «накачка и сброс»;. Это одна из форм махинаций на фондовом рынке: спамеры покупают акции мелких компаний, искусственно раздувают цены на акции за счет распространения в своих рассылках ложной позитивной информации о состоянии этих фирм, а потом продают акции по новым, более высоким ценам. Именно из-за этой рассылки первая неделя марта стала рекордной по количеству спама за квартал (73,4%).

Пик подобного акционного спама пришелся на 2006-2007 годы, после чего он на несколько лет практически исчез и лишь изредка появлялся в спам-потоках. Интересно, что в годы популярности подобного спама рассылки тоже отличались масштабностью. Все дело в том, что подобные аферы мошенники пытаются провернуть как можно быстрее, за 1-2 дня, пока обман не раскрыли. И чем больше писем они успеют разослать за такой короткий срок, тем больше потенциальных жертв мошенничества могут купить предложенные акции.

Страны — источники спама

В первом квартале 2013 года Китай (24,3%) и США(17,7%) по-прежнему держат лидирующие позиции среди стран — источников спама. На 3-е место с довольно большой долей поднялась Южная Корея (9,6%).

Интересно, что спам из этих стран нацелен на разные регионы: большинство китайского спама рассылается в Азию, спам из США нацелен преимущественно на Северную Америку (т.е. большую его часть фактически можно считать внутренним спамом), а спам из Кореи направлен в основном на Европу.

Бразилия (2,2%), занимавшая по итогам прошлого года 5-е место в списке, опустилась на 9-е место: доля исходящего оттуда спама сократилась почти в два раза. Это связано с тем, что в конце 2012 года Бразилия на уровне страны закрыла 25 TCP порт, который является портом по умолчанию для исходящего SMTP-трафика. Именно через этот порт идет большинство исходящего спама с зараженных компьютеров пользователей. Закрытие порта 25 является стандартной практикой для интернет-провайдеров, но в данном случае проблема была решена на более высоком уровне.

В первую пятерку стран вошли также Индия (4,4%), занимавшая 3-е место по итогам прошлого года, и Тайвань — его результат вырос более чем в два раза, что позволило стране подняться с 10-го места на 5-е. Россия (3,2%) набрала 1,2% и в результате поднялась на одну строчку вверх - на 7-е место.

Регионы — источники спама

Азия по-прежнему является регионом, лидирующим по количеству рассылаемого спама — на нее приходится 51,8% всего исходящего спама. За ней идет Северная Америка с показателем 18,3%.

Выросла доля спама, рассылаемого из Восточной Европы (11,1%). Хотя в первую десятку стран-источников спама входит только одна восточноевропейская страна — Россия, — во второй десятке таких стран уже половина.

Вклад в мировые спам-потоки Латинской Америки уменьшился за счет Бразилии, Перу и Аргентины, доля которых в этом квартале снизилась настолько, что они не вошли в TOP 20.

Размеры спамовых писем

В первом квартале 2013 года в спаме преобладали очень короткие письма, размером не более 1Kb. Использование компактных сообщений позволяет спамерам рассылать больше писем с меньшими затратами трафика. Кроме того, используя короткие фразы, которые целиком меняются от письма к письму, такие письма проще сделать уникальными, что усложнит работу спам-фильтрам.

Вредоносные вложения в почте

Доля писем с вредоносными вложениями выросла по сравнению с прошлым кварталом на 0,1% пункт и составила 3,3%.

Наиболее популярной у злоумышленников по-прежнему остается вредоносная программа Trojan-Spy.HTML.Fraud.gen, которая представляет собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Она используется фишерами для хищения финансовой информации пользователей.

На втором месте почтовый червь семейства Bagle, который может не только рассылать свои копии по контактам адресной книги пользователя, но и принимать удаленные команды на установку других вредоносных программ.

На третье место в первом квартале 2013 года вышел Trojan-Banker.HTML.Agent.p. Как и Fraud.gen, данный зловред выполнен в виде html-страницы, копирующей регистрационные формы сервисов онлайн-банкинга или других интернет-сервисов.

Помимо нескольких старых почтовых червей, постоянно курсирующих в интернете, в TOP 10 распространяемых в письмах программ вошли Trojan.Win32.Bublik.aknd и несколько бэкдоров семейства Androm.

Bublik собирает с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты. Кроме того, троянец может просматривать формы в браузерах Mozilla Firefox и Google Chrome на предмет сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам.

Программы типа backdoor позволяют злоумышленнику незаметно управлять зараженным компьютером, например, загружать на него другие вредоносные файлы и запускать их, отправлять различную информацию с компьютера пользователя и т.д. Кроме того, нередко зараженные такими программами компьютеры становятся частью ботнета. В большинстве случаев бэкдоры семейства Androm распространялись в поддельных письмах, присланных от имени сервисов Booking.com, DHL, British Airways и других. Подобным образом распространяются и троянские программы семейства ZeuS/Zbot.

Наибольшее количество срабатываний почтового антивируса по-прежнему приходится на США (13,2%) и Германию (11,2%). Суммарно в эти две страны рассылается почти четверть всех вредоносных писем. На 3-е место в рейтинге вышла Италия (8,7%), которая не всегда входит даже в первую десятку. Все дело в том, что в феврале в Италию была направлена мощная рассылка, содержащая Trojan-Banker.HTML.Agent.p, в результате в феврале Италия даже заняла 1-е место в TOP 10.

В остальном рейтинг стран по срабатываниям почтового антивируса практически не претерпел изменений.

Фишинг

В первом квартале 2013 года доля фишинговых писем в почтовом потоке уменьшилась в 4,25 раза и составила 0,004%.

В этом квартале снова участились фишинговые атаки на социальные сети (37,6%), злоумышленники активно подделывали свои письма под уведомления Facebook и LinkedIn. На 2-м месте находятся поисковики (16,2%). Такую высокую позицию поисковых систем можно объяснить тем, что крупные компании - владельцы поисковиков, также предлагают множество других сервисов, предоставляющих функционал виртуального дискового пространства, почты, социальных сетей и многое другое. Часто ключом от всех сервисов является один аккаунт, поэтому поисковые системы представляют собой привлекательную мишень для киберпреступников.

На 3-м месте находятся финансовые и платежные организации (14,2%). Хочется отметить, что в отличие, к примеру, от социальных сетей, где большая часть атак приходится на одну-две организации, распределение атак на банки более равномерно: атакуется огромное число различных банков, как крупных и всемирно известных, так и небольших и локальных.

Что касается стран, в которых хостятся фишинговые сайты, то тут на первом месте находятся США (25,4%), на 2-м и 3-м — Великобритания (8,2%) и Германия (7,7%). Следом за ними идет Россия (6%), а замыкает первую пятерку Индия (5,2%).

Интересно, что в TOP 10 стран, в которых расположено больше всего фишинговых сайтов, вошли Канада (4,5%) и Австралия (3,9%). Обе эти страны считаются довольно безопасными в плане киберпреступности, а количество исходящего оттуда спама минимально (менее 1%).

Заключение

В 2012 году доля спама падала на протяжении всего периода. В первом квартале 2013 года доля нежелательной корреспонденции в почтовом трафике хоть и колебалась от месяца к месяцу, в среднем за квартал она практически не изменилась по сравнению с предыдущим кварталом. Мы ожидаем, что в дальнейшем доля спама останется на нынешнем уровне или даже немного возрастет, так как в последнее время участились случаи очень крупных многомиллионных рассылок.

Спамеры стараются привлекать внимание пользователей к своим сообщениям: используют громкие имена, мировые события, либо просто подделывают письма под уведомления популярных ресурсов. Многие подобные письма содержат ссылки на вредоносные программы, в том числе эксплойты. Мы хотим еще раз напомнить читателям, что не стоит кликать по ссылкам в письмах, даже если отправитель кажется знакомым. Гораздо безопасней вручную набрать в браузере адрес нужного ресурса.

Лидеры среди стран — источников спама — США и Китай — вряд ли в ближайшее время покинут занимаемые позиции, если только инициативные группы не закроют командные центры расположенных в этих странах ботнетов. В первом квартале 2013 года в тройку лидеров также вошла Южная Корея, из которой спам рассылается преимущественно в европейские страны.

Среди рассылаемых в спаме вредоносных вложений чаще всего нам встречались программы, используемые для кражи логинов и паролей пользователей. Особенно популярны у злоумышленников троянцы, нацеленные на хищение информации, необходимой для работы с сервисом онлайн-банкинга. Кроме того, многие спам-рассылки содержали ссылки на наборы эксплойтов — в первом квартале 2013 года наибольшей популярностью у злоумышленников пользовался Blackhole.

Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное