Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 525

В этом номере:


Новости

Обычный компьютер втайне от хозяина рассылает 30 Гб спама

Один компьютер, входящий в типичную домашнюю сеть, зараженный единственной вредоносной программой, может отправлять в общей сложности 30 Гб исходящей электронной почты на 5,5 млн почтовых адресов всего в течение семи дней, сообщает TechWeek Europe со ссылкой на исследование, проведенное компанией Sophos.

Такое гигантское количество спама, оказывается, способен рассылать обыкновенный компьютер, который может быть у вашего соседа или коллеги. Причем сами пользователи могут даже не подозревать о том, что их ПК стал частью ботнета и теперь получает указания от киберпреступника, засоряя почтовые ящики десятками гигабайтов рекламных писем.

Чтобы измерить такую активность, исследователи из компании Sophos в Венгрии создали так называемый honeybot — намеренно зараженный компьютер, который вел лог всех команд, отдаваемых ему сервером злоумышленников. Эксперты отметили, что в ходе эксперимента более четверти всех спам-сообщений содержали те или иные типы вредоносных программ. Эксперимент показал, что 26% писем несут в себе ссылку на вредоносные программы или имеют вредоносное вложение.

Кроме того, с помощью honeybot выяснилось, что один ПК в состоянии отправить 750 286 уникальных сообщений за одну неделю на 5,5 млн адресов. Однако в реальности эти показатели будут несколько ниже, так как не все почтовые адреса будут действительными, подчеркивают исследователи. Большинство писем (74%) рекламируют услуги фармацевтической отрасли, в основном это нелегальные онлайн-аптеки и предложения о продаже препаратов вроде виагры.

Если 10 000 подобных компьютеров будут соединены в единую сеть ботов, то она сгенерирует 50 млрд спам-сообщений в неделю, или 216,5 млрд в месяц. К тому же сеть будет постоянно пополняться новыми жертвами, поскольку в спаме рассылаются зараженные письма.

Источник: Threatpost

Спамеры используют сокращение ссылок Twitter для рекламы фарма-сайтов

Среди сервисов сокращения ссылок, которые используются спамерами для борьбы с фильтрами и скрытия финального адреса спам-сайта, наибольшему числу атак подвергается Twitter. Согласно анализу Cloudmark, на принадлежащий Twitter сайт t.co приходится 54% спам-ссылок, тогда как второе и третье место держат goo.gl и bit.ly с 21% и 10% соответственно.

Исследователи предполагают, что спамеры, ответственные за продвижение большой сети «фармацевтических» сайтов (большинство хостятся в домене .ru), нашли недочеты в службе проверки ссылок Twitter, что позволило им успешно сокращать имена спам-сайтов. В целом по анализу Cloudmark, всего 7% ссылок, сокращенных через t.com, и присланных по e-mail, переводят на «нормальные» сайты, тогда как все остальные являются спамом. Обманывать Twitter удается, сокращая ссылку на одну из страниц легитимного сайта и в последующем заражая этот сайт вредоносным кодом переадресации. Разумеется, сам промежуточный сайт должен быть уязвим к автоматизированному взлому, например, благодаря использованию устаревших версий CMS Wordpress или Drupal.

Источник: Cloudmark

10 миллионов спам-SMS ежедневно блокирует «Билайн»

26% всех SMS, поступающих из внешних сотовых сетей абонентам «Билайн», являются спамом, - отрапортовало ОАО ВымпелКом (бренд «Билайн»). Компания проводит бета-тестирование антиспам-платформы Cloudmark, которая была запущена в тестовую эксплуатацию в конце мая 2014 года. По итогам первого месяца бета-тестирования можно увидеть 50% снижение количества спама, пропускаемого другими фильтрами.

Антиспам-платформа представляет собой интеллектуальный алгоритм мониторинга рассылок, включающий в себя группировку похожих сообщений, адаптирующийся механизм идентификации спама, а также способность к идентификации сложных и распределенных атак. Интеллектуальные алгоритмы анализа трафика позволяют заблокировать порядка 95% нежелательных сообщений, это примерно 9,8 млн. Этот показатель в 12 раз ниже, чем осенью 2013 года, и «Билайн» намерен снизить его еще вдвое к октябрю 2014 года. До «Билайна» решением Cloudmark воспользовались AT&T, Verizon, Sprint и другие.

Источник: Content-Review

Microsoft сканирует электронную почту в поисках детского порно, передает данные в полицию

Недавнее обращение Microsoft на горячую линию National Center for Missing & Exploited Children (NCMEC) привело к аресту 31 июля 2014 20-летнего мужчины в Пенсильвании, США.

Тайлер Джеймс Хоффман был обвинен в получении и совместном использовании изображений жестокого обращения с детьми. Хоффман признался в полиции, что получил эти фотографии с помощью Kik Messenger, в дополнение к "торговле и получению фотографий детской порнографии" по его мобильному телефону.

Microsoft обнаружила две незаконных фотографии девочки, в момент когда они были загружены с помощью облачной учетной записи OneDrive. Офицер включил это доказательство в дело, подтвердив, что Microsoft по своей инициативе провела это исследование.

На прошлой неделе, подобное доказательство от Google так же привело к аресту 41-летнего техасца после того, как Google обнаружил оскорбительные изображения в его электронных письмах. Как и Microsoft, Google непосредственно не сообщал, что запрос управляется на основе каких-то внутренних документов и политик. Скорее всего компания связывалась с CyberTipline NCMEC, в который граждане и организации США могут обратиться при подозрении на сексуальную эксплуатацию несовершеннолетних.

Разумеется, идея, что кто-то просматривает изображения в почтовых ящиках пользователей, или что правительство обратилось в Microsoft (или Google) для поиска изображений детского порно, порождает тревогу о нарушении конфиденциальности.

Однако в действительности - NCMEC поддерживает базу данных цифровых отпечатков (хешей), которые соответствуют известным порно-изображениям. Любой провайдер может пользоваться базой для блокировки противозаконного контента. В этом нет ничего нового. Это продолжается с 2008, когда NCMEC впервые сделал список хешей доступным. Список в настоящий момент включает приблизительно 20 000 значений хеш, созданных ранее для подобных изображений, сообщили NCMEC ISP.

Использование хешей, которые действуют как цифровые отпечатки, NCMEC позволяет ISP и другим участвующим компаниям проверить большие объемы файлов. В марте 2013 года Verizon нашла изображения жестокого обращения с детьми в своем облаке.

Джон Шенэн, руководитель дочернего подразделения NCMEC, сказал что хеш первоначально создавался с помощью алгоритма MD5.

Несколько лет назад, однако, Microsoft передала для использования свой собственный алгоритм PhotoDNA. Он создает уникальную подпись для изображения, преобразовывая его в черно-белое, изменяя размеры и помещая изображение в сетку. В результате это позволяет распознать изображения, даже если они были изменены или обрезаны. Google также использует PhotoDNA, чтобы обнаружить оскорбительные изображения. Таким образом у невиновных в подобных преступлениях нет оснований бояться автоматизированного сканирования электронной почты.

Источник: BBC

Google взялась за «серые» рассылки

Компания Google, довольно эффективно фильтрующая спам для своих пользователей, взялась за наболевшую проблему «серых» рассылок, упрощая отписку от них.

«Серые» рассылки не являются спамом в полном смысле слова, поскольку пользователь когда-то подписался на них самостоятельно. Обычно подобная подписка происходит, когда при установке приложения или регистрации в веб-сервисе, человек забывает снять отметку «Подписаться на наши новости».

Потом сервисы меняют владельца, проходят ребрендиг, пробуют другие бизнес-модели, в итоге подписчик получает неожиданную информацию от бренда, который ему не знаком и считает рассылку спамом. По закону во многих странах, подобные рассылки должны снабжаться простым механизмом отписки, но найти нужную ссылку в теле сообщения бывает сложно. Теперь, когда отправитель включает ссылку «Unsubscribe» в тело письма, Gmail разместит эту ссылку прямо рядом с адресом отправителя. Если вы будете интересоваться содержимым сообщения, то это не будет мешать, а в противном случае - облегчит возможность отписаться без помех.

Источник: Google


СПАМ И ФИШИНГ ВО ВТОРОМ КВАРТАЛЕ 2014

Дарья Гудкова,
эксперт «Лаборатории Касперского»

Надежда Демидова,
эксперт «Лаборатории Касперского»

Спам: особенности квартала

Спам и законодательство

С 1 июля вступил в силу новый антиспамовый закон в Канаде - Canada's anti-spam legislation (CASL). Под юрисдикцию нового закона попадают коммерческие сообщения, включая рассылки по электронной почте, сообщения в социальных сетях и сервисах обмена мгновенными сообщениями, а также SMS. Теперь прежде чем рассылать письма, компания должна получить согласие получателя. Канадские компании отнеслись к будущему закону серьезно: во втором квартале мы видели множество писем от различных канадских компаний с просьбой подтвердить свое согласие на получение их рассылок. В таких письмах наряду с просьбой подтвердить свое согласие на получение массовой корреспонденции встречались даже предложения поучаствовать в розыгрыше призов, пройдя по ссылке в письме.

Отметим, что некоторые компании воспользовались законом как поводом для сбора адресов подписчиков. Мы видели запросы на согласие получать рассылки даже в ящиках-ловушках, адреса которых никогда не были подписаны ни на какие рассылки. Кроме того, многие пользователи, получив такое письмо-запрос, отмечали его как спам.

Из этого потока запросов видно, что многие канадские рассыльщики ранее не задумывались о желании пользователей получать их корреспонденцию, а просто рассылали свои письма по большим покупным адресным листам.

Интернет-сообщество восприняло закон двояко. С одной стороны, наличие антиспамового закона еще в одной стране несомненно принесет пользу в борьбе со спамом. С другой стороны, легальный канадский бизнес, использующий рассылки, опасается, что теперь они могут быть расценены как незаконные. Так, компания Microsoft сначала и вовсе решила отказаться от своих новостей по безопасности, но уже через несколько дней передумала, что в целом неудивительно: при всей строгости CASL в законе множество исключений, и рассылки Microsoft никак не подпадают под его юрисдикцию. Среди исключений CASL можно найти рассылки с различной информацией о продукте или услуге, которую пользователь приобрел у компании; рассылки, направленные на сбор пожертвований; некоммерческие рассылки и многое другое.

Снова биржевые акции!

Во втором квартале 2014 нам часто встречался спам, в котором рекламировались биржевые акции мелких компаний. Это хорошо известный вид биржевого мошенничества, который называется «накачка и сброс». Пик такого спама пришелся на 2006-2007 годы, однако злоумышленники по-прежнему его используют.

«Накачка и сброс» - одна из форм махинаций на фондовом рынке, когда спамеры покупают акции мелких компаний, искусственно раздувают цены на акции за счет распространения в своих рассылках ложной позитивной информации о состоянии этих фирм, а потом продают акции по новым, более высоким ценам.

Интересно, что помимо старых мошеннических трюков были использованы и старые трюки по обходу фильтров:

  • Случайный набор предложений, вставленный в конец каждого письма и оформленный цветом, близким к цвету фона (в данных рассылках были взяты случайные предложения из «Википедии»);
  • Графический спам: основная информация находится на картинке, причем от письма к письму в рассылке случайным образом изменяется цвет и размер текста, шрифт, цвет фона и угол поворота картинки.

Графический спам был также популярен в 2006-2007 годах, а потом практически сошел на нет, так как антиспамовые вендоры разработали графические анализаторы и научились успешно блокировать подобные письма. К тому же из-за излишнего замусоривания такой спам вряд ли привлечет много заинтересовавшихся пользователей. Видимо поэтому «акционные» рассылки все время идут гигантскими объемами: спамеры рассылают сотни миллионов писем, надеясь на минимальный отклик.

Спам и Чемпионат мира по футболу

Если в первом квартале 2014 года среди спортивных событий у спамеров была популярна Олимпиада, то во втором квартале – Чемпионат мира по футболу. Мы зафиксировали разнообразные рассылки, использующие эту тему. Подробно прочитать про фишинговые и вредоносные атаки, использующие тему Чемпионата, можно в нашем блоге. Но помимо опасных писем были и просто рекламные сообщения с предложениями по бронированию мест в отелях и на стадионе, различной рекламой околочемпионатной тематики, а также письма с предложением ставок на исходы матчей.

Как обычно в подобных случаях, тема Чемпионата была задействована и в спаме, тематика которого напрямую с данным событием не связана. К примеру, изобретательные немецкие спамеры использовали данную тематику для рекламы виагры.

Sent from iPhone: мобильная тема в почте

Продолжая тему интеграции почтового спама и мобильных устройств, отметим, что во втором квартале 2014 года пользовались популярностью спам-рассылки, подделанные под письма с устройств iPad и iPhone. Письма были довольно разнообразными – от рекламы медикаментов до сообщений с вредоносными вложениями. Все они в теле письма содержали одну и ту же строку - «Sent from iPhone/iPad».

В первом примере по ссылке через несколько редиректов открывался сайт с рекламой медикаментов для повышения потенции, во втором во вложении находилась вредоносная программа, детектируемая «Лабораторией Касперского» как Trojan-PSW.Win32.Tepfer.tmyd.

Скорее всего, рассылки были разосланы разными спамерскими группами, так как технические заголовки писем (такие как Data, X-Mailer, Message-ID) сильно отличались. Так, в некоторых письмах заголовки были проставлены весьма неаккуратно, а некоторые поля вообще не были прописаны. Собственно, общей с реальными письмами с устройств на платформе iOS у них была только фраза в теле письма. В других же письмах заголовки были не просто аккуратными, но и имитировали заголовки, которые проставляет настоящий почтовый клиент от Apple:

X-Mailer: iPhone Mail (9B206)
Message-Id: UNQC4G8K-NTOU-2PNZ-JUVC-WHRCD5GXS1QF@*****.**

Однако если посмотреть внимательней, то заголовки лишь выглядят похожими на реальные (по количеству символов и расположению дефисов). Дело в том, что у настоящих писем с мобильных устройств iOS для записи Message-ID используется шестнадцатеричный код. В шестнадцатеричный формат исчисления входят цифры от 0 до 9 и буквы abcdef. То есть ничего, кроме цифр и этих букв в Message-ID быть не должно. В поддельных же письмах мы видим просто случайный набор букв и цифр.

Редиректы

Для обхода фильтров злоумышленники часто пытаются скрыть адрес сайта, на который должен пройти пользователь. Способов сокрытия спамерских ссылок много, и один из весьма распространенных – когда ссылки в письмах ведут на взломанные сайты, с которых пользователь перенаправляется на целевой сайт. Этот сайт может быть рекламным и/или содержать вредоносный код. Обычно взломанные сайты включаются в систему редиректов просто потому, что именно их киберпреступники смогли взломать. Но иногда злоумышленники охотятся на них прицельно. Так, нам встретилась рассылка, в которой пользователь через взломанный сайт перенаправлялся на рекламу фармацевтических препаратов. При этом взломаны были сайты именно фармацевтической тематики (rxpharmacy*****.com). Такой таргетинг преступники используют, чтобы ссылка, по которой проходит пользователь, не вызывала у него подозрений.

Кроме того, последнее время среди взломанных сайтов нам часто встречаются сайты церковных обществ. Вряд ли в данном случае речь идет о таргетированном взломе и социальной инженерии, вероятно, защите подобных сайтов просто уделяется мало внимания.

Вредоносные вложения в почте

Самым популярным среди распространяемых в почте вредоносных программ по-прежнему остается Trojan-Spy.HTML.Fraud.gen. Напомним, этот зловред представляет собой фишинговую HTML-страницу, на которой пользователь должен ввести свои конфиденциальные данные. Затем вся введенная информация отправляется киберпреступникам. Заметим, что доля этого зловреда снизилась по сравнению с предыдущим кварталом (-1,67%).

На второе место вышел банкер Trojan-Banker.Win32.ChePro.ilc. Этот троянец нацелен на персональные данные клиентов бразильских и португальских банков.

На третье место первый раз за долгое время вышел эксплойт (Exploit.JS.CVE-2010-0188.f). Эксплойты в почте наиболее опасны, так как выполнены они не в виде исполняемых файлов, а в виде безобидных офисных документов. Данный эксплойт представляет собой PDF-файл и использует уязвимость в Acrobat Reader версии 9.3 и ниже. Надо отметить, что данная уязвимость известна довольно давно, и пользователям, регулярно обновляющим программное обеспечение на компьютере, этот эксплойт не страшен. Однако если версия Adobe старая, то после эксплуатации уязвимости на компьютер устанавливается и запускается исполняемый файл, который детектится «Лабораторией Касперского» как Trojan-Dropper.Win32.Agent.lcqs. Дроппер устанавливает и запускает javascript (Backdoor.JS.Agent.h), который собирает информацию о системе, отправляет ее на сервер злоумышленников и получает от сервера различные команды. Команды и результаты их выполнения пересылаются в зашифрованном виде.

На 4, 6, 7 и 8 места вышли троянцы семейства Bublik. Это классические троянские программы, целью которых является несанкционированная пользователем загрузка и установка на компьютер-жертву других вредоносных программ. Троянцы представляют собой EXE-файлы, но с помощью иконки маскируются под документы Adobe. Часто они загружают на компьютер пользователя небезызвестную вредоносную программу ZeuS/Zbot.

На пятом месте находится почтовый червь Email-Worm.Win32.Bagle.gt. Основная функция всех почтовых червей — собирать электронные адреса с зараженных компьютеров. Почтовый червь семейства Bagle также может принимать удаленные команды на установку других вредоносных программ.

На девятое место в этом рейтинге также попал эксплойт - Exploit.Win32.CVE-2012-0158.j. Он выполнен в виде документа Microsoft Word и эксплуатирует уязвимость в коде mscomctl.ocx в Microsoft Office. Результатом его работы является установка и запуск на компьютере пользователя вредоносного ПО.

На десятом месте расположился Trojan-Spy.Win32.Zbot.sivm. Вредоносные программы семейства ZeuS/Zbot способны выполнять различные вредоносные действия (их функционал со временем пополняется), но чаще всего они используются для воровства банковской информации. Также Zbot может устанавливать CryptoLocker – вредоносную программу, шифрующую данные пользователя и вымогающую деньги за их расшифровку.

Что касается наиболее популярных семейств, а не отдельных модификаций, то распределение за квартал несколько другое.

Bublik (который часто подгружает Zbot), а также сам Zbot, выходят на первые места с большим отрывом от остальных семейств, попавших в рейтинг. Суммарно на этих зловредов приходится более трети от общего количества срабатываний на вредоносные программы в почте. Это вполне объяснимо, ведь большинство вредоносных программ используются для кражи денег пользователей, а Zeus/Zbot – одна из самых известных и доступных таких программ.

На третьем месте располагается бэкдор семейства Androm. Такие программы позволяют злоумышленникам незаметно управлять зараженными компьютерами, которые часто становятся частью ботнета.

Страны - мишени вредоносных рассылок

В TOP 20 стран, куда рассылается больше всего вредоносного спама, по сравнению с первым кварталом произошли некоторые изменения. Доля вредоносного спама, нацеленного на пользователей в США, несколько сократилась (-3,5%), из-за чего США перешли с первого места на третье, пропустив вперед Великобританию и Германию. Из других заметных изменений – в 2,5 раза увеличилась доля вредоносного спама, рассылаемого в Бразилию, из-за чего эта страна поднялась в рейтинге с 15-го места на 5-е. Произошло это за счет банкера семейства ChePro, более 80% которого было разослано пользователям в Бразилии.

Особенности вредоносного спама

Злоумышленники очень часто маскируют спам с вредоносными вложениями под письма от известных организаций – служб доставки, магазинов, социальных сетей. Но, как правило, все подобные рассылки имитируют регулярно приходящие пользователям письма (счет за услуги, сообщение о статусе доставки и т.д.). В этом квартале мы заметили более креативную в плане социальной инженерии рассылку, которая была разослана якобы известной сетью кофеен Starbucks.

В сообщениях говорилось, что один из друзей получателя, пожелавший остаться неназванным, якобы сделал для него заказ в кофейне Starbucks. Ознакомиться с меню, а заодно узнать адрес и точное время празднования, можно, открыв вложение, — исполняемый файл, который киберпреступники даже не потрудились замаскировать.

Статистика по спаму

Доля спама

Доля спама в почте по итогам второго квартала составила 68,6%, что на 2,2% больше, чем в предыдущем квартале. Набольшее за квартал количество спама было разослано в апреле, далее доля нежелательных сообщений в трафике постепенно снижалась.

Страны – источники спама

Ранее мы считали статистику по странам - источникам спама по данным, полученным из собственных спам-ловушек, находящихся в разных странах. Но спам, который приходит в ловушки, все-таки отличается от спама, который идет реальным пользователям. К примеру, в ловушки не попадает таргетированный спам, нацеленный на профильные компании. Поэтому мы изменили источник данных и теперь с помощью KSN (Kaspersky Security Network) получаем статистику по тем сообщениям, которые приходят пользователям наших продуктов по всему миру. Поскольку данные для статистики по странам – источникам спама за этот квартал взяты из другого источника, сравнение полученных результатов со статистикой за предыдущий период было бы некорректно.

На первом месте среди стран - источников спама находятся США, 13,4% мусорной почты рассылается оттуда по всему миру. Это неудивительно, ведь США – страна с самым большим количеством интернет-пользователей. Даже при хорошей осведомленности пользователей об опасностях интернета, кому-то не удается избежать заражения компьютера, который в результате становится частью ботнета, рассылающего спам.

Дальнейшее распределение источников спама по странам довольно равномерное. В целом это оправдано: ботнеты распределены по миру, зараженные компьютеры пользователей есть практически в любой стране.

На втором месте идет Россия, из нее рассылается 6% мирового спам-трафика. На третье место вышел Вьетнам (5%).

По нашей статистике хорошо видно, что во многих странах изрядную долю приходящего пользователям спама составляет «внутренний спам», то есть спам, источником и адресатом которого является одна и та же страна. Так, во втором квартале среди спама, отправленного в Россию, 18% было отослано из России, а в США доля «внутреннего спама» составила 27,2%. Ту же тенденцию можно наблюдать и в некоторых других больших странах, из которых рассылается значительная часть мирового спама. В маленькие же страны спам приходит, в основном, извне.

Размеры спамовых писем

Распределение спамовых писем по размерам практически не поменялось по сравнению с первым кварталом. По-прежнему абсолютным лидером являются очень короткие письма размером до 1 Kb, что понятно - их проще и быстрее рассылать.

Можно отметить небольшое снижение доли писем размером от 2Кб до 5Кб (-2,7%) и увеличение писем в диапазоне 5-10Кб (+4,2%). Такое увеличение обычно происходит за счет повышения доли графического спама, что мы и наблюдали во втором квартале. Во-первых, было много очень крупных рассылок биржевого мошенничества с картинками (о них мы писали выше). Во-вторых, часто встречался графический русскоязычный спам тематик «похудение» и «поддельные брендовые товары».

Фишинг

Во втором квартале 2014 года на компьютерах пользователей продуктов «Лаборатории Касперского» было зафиксировано 60 090 173 срабатываний системы «Антифишинг».

Чаще всего фишеры атаковали пользователей в Бразилии – хотя бы раз в течение квартала система «Антифишинг» сработала на компьютерах 23,2% бразильских пользователей.

TOP 10 стран по проценту атакованных пользователей:

  1. Бразилия 23,2%
  2. Индия 19,2%
  3. Пуэрто Рико 18,6%
  4. Япония 17,1%
  5. Франция 17,0%
  6. Армения 16,8%
  7. Доминиканская Республика 16,2%
  8. Россия 16,1%
  9. Австралия 16,1%
  10. Великобритания 15,8%

Бразилия вышла в TOP 10 только в 2014 году. Активности фишеров, нацеленных на бразильских пользователей, могло способствовать проведение в Бразилии Чемпионата мира по футболу.

Организации - мишени атак

Статистика по мишеням атак фишеров основана на срабатываниях эвристического компонента системы «Антифишинг». Эвристический компонент системы «Антифишинг» срабатывает, когда пользователь переходит по ссылке на фишинговую страницу, а информация об этой странице еще отсутствует в базах «Лаборатории Касперского». При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или, например, в результате действия вредоносной программы. После срабатывания защитной системы пользователь видит в браузере предупреждающий баннер о возможной угрозе.

В предыдущих отчетах для анализа мишеней фишинговых атак мы использовали выборку TOP 100 атакованных организаций. В этом квартале мы анализируем статистику по всем атакованным организациям.

В ходе атак на организации категорий «Банки», «Платежные системы» и «Онлайн-магазины, аукционы» злоумышленники охотятся за персональной информацией пользователей, которая дает доступ к их электронным счетам. Исходя из этого, мы сгруппировали эти три категории в один блок – «Онлайн-финансы».

Как и в первом квартале 2014 года, во втором квартале категория «Глобальные интернет-порталы» занимает верхнюю строчку рейтинга категорий атакуемых фишерами организаций, ее показатель уменьшился всего на 1,7%. К данной категории мы отнесли порталы, объединяющие множество сервисов, включая поисковые и почтовые. Украв данные авторизации на таких порталах, мошенники получают доступ ко всем сервисам данного вендора. Чаще всего фишеры подделывают странички авторизации почтовых сервисов таких порталов.

На финансовый фишинг в целом пришлось 24,84% атак – на 1,8% больше, чем в первом квартале. Увеличилась доля срабатываний по категориям «Банки» (+0,93%) и онлайн-магазины(+0,85%).

«Социальные сети» по-прежнему на третьем месте.

В первом квартале на Facebook приходилось 79,5% об общего числа попыток перехода пользователей по ссылкам на поддельные страницы социальных сетей. Во втором квартале количество фишинговых атак на пользователей Facebook заметно уменьшилось (-23,54%). В то же время в этом распределении резко вырос процент попыток переходов пользователей на страницы-подделки под российские социальные сети - Одноклассники (+18,7%) и Вконтакте (+10,68%).

TOP 3 атакуемых организаций

Организация (% фишинговых ссылок)

  1. Yahoo! (30,96%)
  2. Google Inc (8,68%)
  3. Facebook (8,1%)

Во втором квартале фишинговые ссылки на поддельные страницы сервисов Yahoo! составили 30,96% всех атак.

Yahoo! стал лидером рейтинга мишеней фишинговых атак в первом квартале 2014 года с показателем 31,94% после резкого увеличения числа подобных мошеннических ссылок в начале января.

Во втором квартале детектирование фишинговых ссылок на поддельные страницы Yahoo! не выявило пиков атак.

Еще в январе этого года в своем блоге компания Yahoo! Объявила о введении HTTPS по умолчанию для своего почтового сервиса. Данная мера безопасности, помимо защиты передаваемых данных, может помочь в борьбе с фишерами: теперь в тех случаях фишинга, когда доменное имя в адресной строке остается неизменным (например, происходит подмена DNS-сервера), отсутствие в адресной строке значка защищенного соединения должно насторожить пользователя. Однако, напомним, что отсутствие защищенного соединения является только одним из признаков фишинговой странички, и его наличие не дает гарантии подлинности сайта.

В этом квартале на втором месте среди всех атакуемых организаций, потеснив Facebook, оказался Google (8,68%). Если раньше фишеры в основном имитировали страничку входа в почту Gmail, то сейчас все чаще встречаются подделки под общую для всех сервисов Google страницу аутентификации. Несомненно, это очень привлекательная цель для фишеров – «Один аккаунт. Весь мир Google!».

В этом квартале мы наткнулись на любопытный пример жадности фишеров, которым одного мира Google явно мало. На фишинговой страничке, которая имитирует страницу аутентификации всех аккаунтов Google, фишеры предусмотрели также возможность сбора паролей владельцев почтовых аккаунтов AOL, Hotmail и Yahoo!

Лидер прошлого года Facebook опустился еще на одну позицию и занял третье место по количеству срабатываний компонента «Антифишинг» (8,02%). Фишинговые атаки на пользователей социальных сетей значительно уступают атакам на посетителей глобальных интернет-порталов, однако они по-прежнему актуальны для фишеров, которые охотятся за аккаунтами пользователей по всему миру.

Горячие темы в фишинге

Основной «сезонной» темой для фишеров во втором квартале стал Чемпионат мира по футболу. Тему футбола мошенники эксплуатировали вплоть до окончания Чемпионата мира. Тематические рассылки появились еще в начале 2014 года и шли с завидной регулярностью в течение всего первого полугодия. Как правило, фишеры подделывали письма под сообщения от известных организаций (в основном, непосредственно FIFA), и предлагали пользователю пройти по ссылке на сайт, чтобы выиграть ценный приз. В качестве приза, как и в примере выше, часто выступали билеты на Чемпионат мира. На сайте от пользователя требовалось ввести свои персональные данные, в том числе данные кредитной карточки, за которыми и охотились мошенники.

Кроме того, фишерам в этом квартале приглянулось популярная сеть ресторанов быстрого питания McDonald’s: в апреле злоумышленники попытались выманить данные банковских карточек у говорящих на португальском языке посетителей сети. В поддельном письме сообщалось, что адресат может получить 150 евро от сети McDonald’s. Для этого ему необходимо пройти по ссылке, указанной в письме, и поучаствовать в опросе. На фишинговой странице, открывающейся по ссылке, пользователю предлагалось ответить на несколько вопросов, после чего ввести все данные банковской карты якобы для зачисления денежных средств. Именно за этими данными и охотятся злоумышленники, а доверчивые пользователи и не подозревают, что передают свою персональную информацию третьим лицам.

Отметим, что мошенническое письмо было написано на португальском языке и скорее всего, было рассчитано на жителей Бразилии и Португалии, однако текст опроса был на английском. Как правило, подобные «опросы» фишеры проводят на английском языке.

Заключение

Во втором квартале нам встречалось много рассылок от различных канадских организаций, которые хотели получить согласие пользователей на получение рассылок прежде, чем вступит в силу новый антиспамерский закон в Канаде. При этом недобросовестные компании, стараясь привлечь новых людей, часто рассылали такие запросы по спискам адресов пользователей, среди которых были не только получатели их рассылок. Тем не менее, закон начал приносить определенный эффект даже до своего вступления в силу.

Одной из популярных тематик спама во втором квартале стал биржевой спам, используемый в мошенничестве по схеме «накачка и сброс». Любопытно, что распространители спама этой старой тематики пытались обойти фильтры, используя старые методы: графический спам и «белый текст».

Мобильная тема в спаме продолжилась в этом квартале подделками под письма с устройств на платформе iOS. Большинство подделок были сделаны без учета деталей и специфики этой операционной системы, что позволило без проблем поймать эти рассылки.

На первом месте среди вредоносных программ, распространенных через почту во втором квартале 2014, остается Fraud.gen – шпион, ворующий банковские данные. На второе вышел бразильский троянец-банкер ChePro. Среди вредоносных семейств наиболее популярными оказались Bublik и Zeus/Zbot. Интересно, что в этом квартале в TOP 10 первый раз за долгое время вошли два эксплойта, причем один из сразу на 3-е место.

Тема Чемпионат мира по футболу активно использовалась как в рекламе обычных товаров, так и во вредоносном и фишинговом спаме. Доля вредоносного спама, отправленного в Бразилию во втором квартале, увеличилась по сравнению с первым кварталом в 2,5 раза (в основном за счет троянца-банкера семейства ChePro). Кроме того, Бразилия вышла на первое место среди атакованных фишерами стран. Среди наиболее популярных у фишеров организаций лидировали интернет-порталы.

По нашей статистике KSN на первом месте среди стран - источников спама оказались США, на втором – Россия, на третьем – Вьетнам. Интересно, что во многих больших странах значительная часть приходящего пользователям спама рассылается из этой же страны.

Примеры спамовых писем и диаграммы смотрите на сайте: Securelist.ru




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное