Электронный журнал "Спамтест" No. 535 В этом номере: Новости Записки спам-аналитиков Спам в сентябре 2014 года ВНИМАНИЕ! Следующая рассылка состоится 6 ноября. Новости По следам Shellshock: фишеры строят новый ботнет Исследователи из компании Lancope, специализирующейся на сетевом мониторинге и защите корпоративных сетей, обнаружили небольшой ботнет-спамер, созданный посредством эксплойта Shellshock-уязвимости в сетевых устройствах. Как оказалось, для проведения рассылок его боты используют отдельный сервер с внедренным PHP-мейлером и списком на 10 млн. адресов. Судя по логам, найденным на командном сервере (уже отключенном), данный ботнет использовался преимущественно для фишинга. С его помощью злоумышленникам удалось разослать свыше 100 тыс. испаноязычных сообщений со ссылками, нацеленных на сбор регистрационных данных клиентов Citibank. Lancope смогла идентифицировать 360 зараженных хостов, почти все они используют Linux. В 9% случаев ботоводам удалось скомпрометировать не серверы, а VoiP-устройства (Mitel 5000); в ответ на уведомление разработчик заявил, что патч для Shellshock уже выпущен и раздается через службу техподдержки. Около 40% входящих в ботнет устройств, по оценке Lancope, работают с root-доступом. Помимо C&C и мейлера, на ботнете обнаружены также хосты, используемые операторами для загрузки дополнительного кода, а также для сканирования на предмет уязвимых устройств и дальнейшего распространения инфекции. Источник: Lanscope Вирус Эбола: новая приманка скамеров Американская группа быстрого реагирования на компьютерные инциденты (US-CERT) опубликовала предупреждение о возможных рассылках фишеров и других сетевых мошенников, использующих новую горячую тему: вирус Эбола. Пользователям напоминают, что активировать распространяемые в спаме ссылки и вложения опасно, и призывают поддерживать антивирусную защиту в актуальном состоянии. Алерт US-CERT небезоснователен: эксперты уже неоднократно регистрировали спам-рассылки на тему эпидемии Эбола. Так, в начале сентября компания Proofpoint предупредила пользователей о поддельных письмах, распространяемых от имени Всемирной организации здравоохранения и сулящих новую информацию о вирусной инфекции. Фальшивки были снабжены ссылкой на страницу с Java-эксплойтом; целью данной рассылки являлась загрузка троянца-банкера ZeuS. Судя по публикациям в русскоязычных СМИ, аналогичные вредоносные письма циркулируют и в Рунете. В Казани уже зафиксированы случаи заражения через URL-спам с участием вредоносного Java-апплета. Одна из распространяемых таким образом вредоносных программ даже получила наименование «Эбола». По свидетельству Gazeta.ru, данный зловред «способен уничтожить большинство рабочих программ и зашифровать файлы с расширением .jpg .doc .xls .pdf». В середине октября полиция Испании через Twitter предупредила граждан о WhatsApp -рассылках на тему Эбола, угрожающих безопасности и даже здоровью. Дело в том, что эпидемия вируса Эбола породила много слухов и домыслов, а также спам-поток шутливых и доморощенных советов по профилактике опасной инфекции. К сожалению, предлагаемые спамерами панацеи иногда приводят к летальному исходу – как, например, горячие солевые ванны или хлорная известь, принятая внутрь. Источник: US-CERT 14 лет на четверых за роль сетевого ромео В Великобритании осужден криминальный квартет, промышлявший обманом посетительниц сайта знакомств Match.com. Прикинувшись богатым наследником, сообщники вступали в переписку с намеченной жертвой и выманивали у нее деньги, якобы для оплаты расходов по выводу многомиллионного состояния с территории Индии. Подельникам пришлось отвечать по девяти таким эпизодам, которые принесли им 220 тыс. фунтов стерлингов (около $355 тыс.). Согласно свидетельским показаниям, вымышленный персонаж мошенников не скупился на пылкие письма и SMS, а когда увлеченная жертва прочно садилась на крючок, начинал просить деньги. Чтобы оплатить услуги адвоката, якобы взявшегося отвоевать унаследованные 100 миллионов у индийских бюрократов, «Джеймсу Ричардсу» срочно требовалось 700 фунтов. Со временем аппетиты сетевого ромео начинали расти, однако его возлюбленные, как правило, долго отказывались верить в очевидное: их корреспонденту нужны были лишь их сбережения. Несмотря на эмоциональное потрясение, некоторые жертвы обмана согласились свидетельствовать против своих обидчиков, которых обвинили в преступном сговоре, мошенничестве и отмывании денег. В итоге главарь преступной группировки Эммануэль Око (Emmanuel Oko) получил 8 лет, его подельники с труднопроизносимыми африканскими именами – от неполного года до 3,5 лет. Сумма компенсации за причиненный ими ущерб будет определена позднее. Источник: Daily Mail Symantec: спам и фишинг по итогам сентября Согласно статистике Symantec, в минувшем месяце уровень спама в почтовой корреспонденции заметно снизился и составил 57,9% – против 62,6% в августе. Концентрация фишинговых сообщений в электронной почте продолжает уменьшаться: в сентябре ловушкой являлось 1 письмо из 2041, тогда как в предыдущем месяце – 1 из 1587. Вредоносная составляющая (аттач-спам), напротив, увеличилась с 1 письма на 270 до 1 на 351, то есть вернулась к июльскому уровню. Около 6% почтовой корреспонденции содержало вредоносный URL; в августе этот показатель составил лишь 3,2%. Дневная норма spear-phishing атак после рекордного спада вернулась к обычному уровню: в сентябре эксперты в среднем фиксировали 53 атаки в сутки. Более половины целевых писем фишеров были снабжены вложением в формате .doc. На долю EXE-аттачей в сентябре пришлось лишь 4,8% против 31,8% в августе. Намного чаще встречались вложения в форматах .scr и .dmp (15,4 и 9,2% соответственно), ранее достаточно редких. Основными адресатами spear-phishing рассылок в минувшем месяце являлись производственные предприятия (25% атак), представители сферы нетрадиционных услуг (гостиничный, туристический, ремонтный сервис – совокупно 17%), а также финансисты, страховщики и торговцы недвижимостью (совокупно 15%). Источник: Symantec Trend Micro предупреждает об экспансии Dyre Эксперты Trend Micro зафиксировали очередной всплеск спам-рассылок с ботнета Pushdo/Cutwail, нацеленных на распространение загрузчика Upatre. Связка Cutwail- Upatre обычно используется в рамках PPI-схем для засева разных зловредов; ранее такой полезной нагрузкой зачастую оказывался ZeuS и его производные, в частности, Gameover. Однако после недавней разгромной акции последний практически исчез из меню Upatre. В настоящее время освободившуюся нишу, по свидетельству Trend Micro, занял другой банкер – Dyre, он же Dyreza. Использующие Cutwail спамеры активно распространяют фальшивые инвойсы и прочие поддельные уведомления от разных организаций. С начала октября эксперты в среднем регистрируют более 18 тыс. вредоносных писем в сутки. Нацеленные на засев Upatre спам-сообщения, в основном, снабжены ссылками на некий документ, вместо которого на машину жертвы закачивается загрузчик, автоматически загружающий Dyre. Основной поток вредоносных писем, по данным Trend Micro, исходит с территории Вьетнама (17,4% Cutwail-сообщений), Индии (16,4%) и Франции (7,9%). Наибольшее количество кликов по зараженным ссылкам произвели жители США, Китая, Великобритании и Японии. Согласно статистике Trend Micro, в первом полугодии Upatre с большим отрывом обогнал других зловредов, раздаваемых в спаме; в августе на его долю приходилось порядка 17 тыс. вредоносных писем в сутки. Одновременно распространители Dyre пытаются использовать известные уязвимости. Так, эксперты Trend Micro обнаружили ряд спам-писем с вредоносными PDF-вложениями, также замаскированными под счет-фактуру. При активации вложенный файл атакует давно закрытую уязвимость CVE-2013-2729 в Adobe Reader/Acrobat. В случае успеха на машину жертвы устанавливается вариант банкера, который способен осуществлять HTML-инъекции не только на банковских сайтах, но также на биткойн-ресурсах. Наибольшее число заражений в результате данной спам-кампании зафиксировано в Ирландии, США, Канаде, Великобритании и Нидерландах. Источник: Trend Micro Жителей Приамурья пугают вызовом в суд Арбитражный суд Амурской области опубликовал предупреждение о вредоносных фальшивках, использующих его имя. Спамеры активно распространяют поддельные уведомления о неоплаченной госпошлине или о судебном процессе, якобы начатом в отношении получателя. Все эти подложные сообщения снабжены ссылкой, переходить по которой, по словам представителей арбитража, небезопасно. Вместо обещанной информации о (мнимых) поборах или судебном преследовании встревоженный пользователь рискует загрузить на свою машину зловреда. Следует отметить, что мошеннические письма, имитирующие судебные извещения, не редкость. Аналогичные спам-рассылки «Лаборатория Касперского» неоднократно фиксировала в прошлом году, а в минувшем августе обнаружила поддельные уведомления о начале административного делопроизводства, нацеленные на засев блокера-шифровальщика. Источник: Арбитражный суд Амурской области Проблема выбора: вирус Эбола или зловред? Татьяна Щербакова, эксперт «Лаборатории Касперского» В сентябре в сюжетах "нигерийских" писем нам встречались упоминания про больных вирусом Эбола жителей Африки и необычные приглашения на конференцию Всемирной Организации Здравоохранения (ВОЗ). Целью мошенников, как обычно, было выманивание денежных средств у доверчивых получателей, вступивших в переписку с авторами писем. В октябре пришел черед киберпреступников, которые использовали шумиху вокруг вируса Эбола для рассылки вредоносных писем. И снова в качестве отправителя была указана ВОЗ, что неудивительно, поскольку именно эта организация занимается различными заболеваниями и эпидемиями на мировом уровне. В тексте обнаруженных нами писем злоумышленники пытались убедить получателя, что ВОЗ подготовила файл с общей информацией и мерами предосторожности, которые помогут обезопасить пользователя и окружающих от смертельного вируса и других болезней. Кроме того, получателя письма также просят распространить эту информацию в целях оказания помощи организации. Для маскировки реальной ссылки использовался сервис сокращения ссылок, который в итоге перенаправлял пользователя на популярный сервис облачного хранения данных. Там преступники и разместили под видом документа от ВОЗ вредоносную программу Backdoor.Win32.DarkKomet.dtzn, предназначенную для кражи персональной информации. Отметим, что доступ к файлу был достаточно быстро заблокирован администраторами сервиса, и скорее всего, из-за этого мошенники решили изменить свою рассылку. На следующий же день в наши ловушки попало аналогичное сообщение от имени ВОЗ, только теперь архив с той же самой вредоносной программой был вложен в само письмо. Киберпреступники редко упускают возможность использовать громкие события и названия известных организаций для обмана получателей спам-рассылки. Поэтому поверив убедительному заголовку и потеряв бдительность даже на минуту, пользователь рискует скомпрометировать личные данные и передать контроль над своим компьютером злоумышленникам. Следует помнить, что современные антивирусные решения обеспечивают защиту, но именно обдуманные действия пользователя сохранят его данные в безопасности. Диаграммы и примеры спамовых писем смотрите на сайте Securelist.ru. Спам в сентябре 2014 года Татьяна Щербакова, эксперт «Лаборатории Касперского» Мария Вергелис, эксперт «Лаборатории Касперского» Надежда Демидова, эксперт «Лаборатории Касперского» Особенности месяца В сентябре "нигерийские" мошенники рассылали истории, воспользовавшись свежими новостями о вирусе Эбола. "Праздничный" спам в Рунете был посвящен зимним праздникам – уже встречалась реклама новогодней тематики. Немалая часть больших тематических рассылок была посвящена продвижению товаров и услуг с помощью популярных социальных сетей: спамеры гарантировали мгновенный приток новых клиентов и увеличение доходов. Поиск персонала от спамеров С окончанием сезона отпусков и восстановлением деловой активности спамеры вернулись к рекламному спаму. В сентябре спамеры предлагали пользователям Рунета различные услуги по подбору персонала. В рекламных сообщениях отправители обещали качественно подобрать не только офисный и домашний персонал, но и кадры с редкими профессиями. Новых клиентов заманивали высоким качеством услуг, низкими ценами, гарантией бесплатной замены работника и возможностью поиска по базам кандидатов. Также встречались и спам-сообщения с рекламой сервисов для поиска работы (для соискателей) и персонала (для работодателей). Все спам-предложения рассылались от имени компаний, однако в качестве имени отправителя указывались в основном лишь имена или фамилии, а сами электронные ящики были зарегистрированы на бесплатных почтовых сервисах. Вирус Эбола в "нигерийском" спаме В июле в СМИ появились первые сообщения о вспышке вируса Эбола, зарегистрированной в Африке. В то время как внимание мирового сообщества сосредоточилось на борьбе с лихорадкой и предотвращения ее дальнейшего распространения, мошенники использовали болезнь для создания новых сюжетов для "нигерийских" писем. В сентябре мы обнаружили несколько рассылок, в тексте которых упоминался вирус Эбола. Мошенники использовали не только популярные в "нигерийском" спаме легенды, написанные от имени людей, больных различными заболеваниями, но и достаточно необычные выдуманные истории. Так, в письме от некой богатой жительницы Либерии, умирающей от лихорадки Эбола, приводился многословный и до крайности слезливый рассказ о, том, что лихорадка унесла жизнь всех ее детей, а местный медицинский центр отказал ей в помощи. Автор готова передать получателю безвозмездно более 1,5 миллионов долларов с условием последующей передачи денег благотворительным организациям. В тексте послания было очень много подробностей, а также объяснение сложившейся ситуации, что достаточно редко встречается в "нигерийских" письмах. Однако такое детальное изложение истории - лишь очередная уловка для того, чтобы получатель поверил в достоверность рассказа и вступил в переписку с мошенниками. Автор другой мошеннической рассылки представлялся сотрудницей Всемирной организации здравоохранения и пытался привлечь внимание получателя необычным для "нигерийских" писем способом - приглашением на конференцию, в рамках которой будет обсуждаться в том числе и вирус Эбола. Получателю не только предлагали принять участие в конференции в качестве гостя, но и обещали сумму в 350 тысяч евро и автомобиль в качестве помощи для работы представителем ВОЗ в Великобритании. В случае согласия адресата просили прислать персональные данные. По-видимому, мошенники рассчитывали, что обещание денег и работы в международной компании придадут письму большую достоверность. Праздники в спаме Уже на протяжении нескольких лет подготовка спамеров к новогодним праздникам начинается в сентябре. Вот и в этом году мы зафиксировали в спам-трафике Рунета несколько рекламных рассылок с предложениями услуг по проведению праздничных банкетов и приобретению новогодней упаковки с логотипом компании. В отличие от полученных нами в 2013 году писем, в теме которых упоминалось название праздника, в письмах этого года спамеры предпочли совсем не раскрывать содержание сообщения, указав в качестве темы лишь "New message" ("Новое сообщение"). Заработок и реклама в социальных сетях Среди крупных тематических рассылок месяца можно выделить спам, рекламирующий различные способы заработка в интернете с использованием популярных социальных сетей. Чаще всего спамеры предлагали за определенную цену создать индивидуальный профиль или группу "ВКонтакте", Facebook или "Одноклассниках", оформить страничку согласно концепции фирмы и продаваемого ею товара, обеспечить первыми подписчиками, а также наполнить первичным контентом и начать активно продвигать. После такой комплексной настройки сообщества в социальной сети авторы рассылок обещали резкое увеличение клиентов и, соответственно, продаж для компании-заказчика. Чтобы обратиться за услугой, пользователям нужно было оставить заявку, пройдя по ссылке из письма. Не менее популярны у спамеров и услуги профессионального продвижения бизнеса при помощи размещения фото и видео в специализированных социальных сетях. Авторы таких рассылок также обещали обеспечить своих заказчиков необходимым числом подписчиков, например в сети Instagram, разместить фотоматериалы товаров и уже в течение трех дней добиться первых результатов такой рекламной кампании. Нередко получателям предлагалось создать видеоролик с презентацией компании или рекламой нужного товара и разместить его на популярном видеохостинге YouTube. С помощью YouTube спамеры также предлагали заработать "неприлично большие деньги", тратя всего 40 минут в день. Но такие рассылки представляли собой рекламу очередного авторского маркетингового курса, представленного в формате DVD. Приобрести диск с инструкциями по заработку можно было, перейдя на сайт заказа по ссылке из письма. В сентябре нам также встречались рассылки с приглашениями на тематические семинары и вебинары, посвященные "науке" администрирования групп и сообществ в социальных сетях. Авторы таких курсов обещали раскрыть все тонкости работы администратора, например группы "ВКонтакте", что в дальнейшем обеспечит слушателей стабильным ежемесячным заработком в сети. Записаться на вебинар можно было, пройдя по ссылке из письма. Спам для коллекционеров Среди интересных рассылок месяца можно также выделить спам, предназначенный для коллекционеров и рассылавшийся от имени коллекционеров. Так, пользователям Рунета предлагалось приобрести золотые и серебряные коллекционные монеты разных стран и эпох, оловянных солдатиков и другие коллекционные фигурки. Чтобы подробнее ознакомиться с предложенным ассортиментом и совершить покупку понравившейся вещи, получателям предлагалось позвонить по указанным в письмах телефонам. При этом письма приходили с ящиков, зарегистрированных на бесплатных почтовых хостингах, имя отправителя представляло собой случайную комбинацию букв, а в некоторых письмах контактные данные были замусорены. Иногда в сообщениях упоминалось название фирмы-продавца, но даже в этом случае письма были отправлены не с её официального адреса. Статистика Доля спама в мировом почтовом трафике В среднем доля спама в почтовом трафике в сентябре составляла 66,5% что на 0,7 процентных пункта меньше по сравнению с результатами предыдущего месяца. В течение сентября доля незапрошенных писем стабильно сокращалась – если в начале месяца процент спама был 69,3%, то в конце месяца он снизился до 63,1%. Доля спама в почтовом трафике Рунета В среднем доля спама в почтовом трафике Рунета в сентябре составила 66,2%, что на 2 п.п. меньше показателя прошлого месяца. Наибольший показатель спама наблюдался в самом начале месяца (69,4%), наименьший – в конце (62,7%). Страны – источники спама По итогам сентября 2014 года первая тройка стран — источников спама, распространяемого по всему миру, выглядит следующим образом. Лидирующую позицию сохранили за собой США (12%), однако по сравнению с прошлым месяцем показатель страны уменьшился почти на 4%. На второе место с четвертого переместился Вьетнам (9,3%), а доля разосланного из этой страны спама выросла на 4,6 процентных пункта. Третье место в сентябре принадлежит России (5,8%), в результате незначительного сокращения доли спама страна сместилась на одну позицию вниз. Далее в списке следует Китай (5,6%), замыкавший тройку лидеров по итогам августа. За прошедший месяц его показатель уменьшился почти на один процентный пункт. На 5-й позиции находится Индия (4,7%), замыкавшая в августе первую десятку стран – источников спама, её показатель вырос почти на 2 п.п. Увеличение доли спама наблюдалось также в Южной Корее (3,2%), которая по итогам месяца расположилась на 7-м месте, что на целых восемь позиций выше и на 1,3 п.п. больше её августовского результата. Напротив, сокращение показателей зафиксировано в Германии (2,9%) – страна переместилась с 6-й на 9-ю позицию, потеряв 0,7 п.п. Замыкает десятку Тайвань с показателем доли спама 2,5%. Также чуть больше 2% спама было разослано из таких стран, как Франция, Испания и Италия. Ситуация со спам-потоками в Рунете по итогам сентября выглядит следующим образом. Лидером среди стран – источников спама в Рунете в сентябре остается Россия (18,8%), чей показатель за месяц сократился на 3,6 п.п. Далее следует Вьетнам (12%), его показатель, напротив, увеличился на 4 п.п. Замыкает тройку Украина (10%), потерявшая 2,2 п.п. Напомним, что по итогам августа страна занимала второе место. Практически без изменений остался показатель США (7,7%) – в результате все та же 4-я позиция в списке. На 5-м месте находится Индия (5,1%), сместившая Казахстан (2,8%) на одну позицию вниз. На 0,6 п.п увеличился показатель доли спама, разосланного пользователям Рунета из Германии (2,7%), в результате чего страна поднялась на 7-ю строчку. Напомним, что в прошлом месяце она замыкала первую десятку. В сентябре же на 10-е место вышла Аргентина с показателем 1,8%. Далее следует Беларусь, ее показатель также составил 1,8%, но это на 1,4 п.п. меньше ее предыдущего показателя. Напротив, увеличение доли разосланного спама в сентябре наблюдалось в Индонезии (1,7%), Турции (1,6%), а также Бразилии (1,2%). Среди регионов лидером по распространению спама в сентябре стала Восточная Европа (34,5%). Далее лишь с незначительным отставанием следует Азия (34,1%). На третьем месте находится Западная Европа (8,2%). За ней, также с несущественным отставанием, идет Северная Америка (8,1%). Еще чуть меньше показатель у Латинской Америки (7,6%). На 6-м месте Ближний Восток (5,3%). На предпоследнем месте – Африка (1,8%). Замыкает список регионов – источников спама Австралия и Океания (0,3%). Вредоносные вложения в почте В сентябре TOP 10 вредоносных программ, распространяемых по электронной почте, выглядел следующим образом. Первую, шестую и девятую строки занимают представители семейства троянцев-загрузчиков Dofoil: Trojan-Downloader.Win32.Dofoil.dx, Trojan-Downloader.Win32.Dofoil.dy и Trojan-Downloader.Win32.Dofoil.dz. Зловреды этого типа закачивают другое вредоносное ПО на компьютер пользователя, а затем с его помощью крадут разнообразную пользовательскую информацию (в первую очередь пароли) и отправляют её злоумышленникам. На второй позиции – знакомый нам Trojan-Spy.HTML.Fraud.gen. Напомним, что он представляет собой поддельную HTML-страницу и рассылается по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, компаний-разработчиков ПО и т.д. Четвёртую строку занимает Trojan-Banker.HTML.PayPal.b – HTML-страница, имитирующая анкету PayPal. Получателю письма с этим вложением предлагают заполнить форму для актуализации своего PayPal-профиля в связи запуском новой системы онлайн-безопасности. В анкете присутствуют такие поля, как: E-Mail Adresse, PayPal passwort, Vollständiger Name, Nachname der Mutter (Fakultativ), Geburtsdatum, Telefonnummer, Adresse, Stadt, Land, Postzahl, Kartennummer, Verfallsdatum, Kartenprüfnummer, VBV Passwort / MasterCard. Судя по всему, мошенничество рассчитано на немецкоговорящих владельцев аккаунтов PayPal. На пятой и восьмой позиции разместились зловреды Trojan-Downloader.MSWord.Agent.ba и Trojan-Downloader.MSWord.Agent.bf соответственно. Они представляют собой .doc файл с встроенным макросом, написанным на Visual Basic for Applications (VBA), который выполняется при открытии документа. Сам макрос скачивает и запускает вредоносное ПО, например, представителей семейства Andromeda. Замыкает список Trojan.Win32.Vundo.adc. Этот зловред загружает различное вредоносное ПО, например Trojan-Banker.Win32.Fibbit - троянца, который крадет данные, проходящие через банковские клиентские приложения. Троянец перехватывает ввод с клавиатуры, копирует данные из буфера обмена, ищет файлы-сертификаты с расширением .jks, делает снимки экрана и пытается прочитать файл "keys.dat". Все полученные данные упаковываются в CAB-архив и отсылаются на сервер злоумышленника. В лидерах по количеству срабатываний почтового антивируса по-прежнему находятся Германия, Великобритания и США, которые то и дело меняются местами. В сентябре на первой строчке оказалась Германия (9,11%), на второй – Великобритания (8,45%) и США – на третьей (8,26%). Россия (2,59%) с четвёртой строки (на которой она так неожиданно оказалась в августе) переместилась на 13-ю позицию, потеряв 4,14 процентных пункта. Особенности вредоносного спама. В сентябре тематика приема на работу (и, напротив, увольнения) присутствовала и в рассылках, содержащих вредоносные вложения. Мы зафиксировали рассылку, в которой получателя информировали о приостановлении его трудового контракта с организацией (названия организаций менялись от письма к письму) в связи с нарушениями внутренней политики компании. В письмах приводились даже номера и даты регламентирующих документов компании, которые якобы были нарушены. В письме также указывалось, что получателю уже были вынесены письменные предупреждения, в последнем из которых указывалось на необходимость принять активные меры для исправления поведения. И поскольку меры приняты не были, это вызвало приостановление трудового контракта. Чтобы обжаловать данное уведомление, получатель должен был обратиться к юристам не позднее указанного срока. К письму прилагался архив, содержащий документацию по нарушенным регламентам, с которыми получателю предлагалось ознакомиться, открыв вложение. Но на деле во вложении находился представитель семейства Trojan-Downloader.Win32.Cabby. Этот зловред загружает на компьютер пользователя другое вредоносное ПО, включая различные модификации семейства Zbot. Фишинг По итогам сентября на компьютерах пользователей продуктов "Лаборатории Касперского" было зафиксировано 18 779 357 срабатываний системы "Антифишинг", что на 13 874 415 срабатываний ниже показателя августа. С окончанием периода летнего затишья, связанного с сезоном отпусков и восстановлением деловой активности, доля фишинга уменьшается. Также следует отметить, что на сентябрь приходятся различные презентации и другие крупные события в компаниях, и часто в преддверии этих событий растет активность фишеров, что приводит к временному росту количества попыток мошенничества в конце лета. В сентябре в рейтинге стран, атакованных фишерами, на первое место вновь вернулась Бразилия (17,8%), чей показатель уменьшился на 1,7 п.п. Австралия (11,1%) спустилась на третье место. Вторую строчку по итогам месяца занимает Индия (13,4%). На 4-м и 5-м местах расположились ОАЭ (10,5%) и Франция (10,4%) соответственно. TOP 10 стран по проценту атакованных пользователей: Страна % пользователей 1 Бразилия 17,8 2 Индия 13,4 3 Австралия 11,2 4 ОАЭ 10,5 5 Франция 10,4 6 Канада 9,9 7 Китай 9,9 9 Колумбия 9,4 8 Бангладеш 9,0 10 Великобритания 8,0 Организации - мишени атак Статистика по мишеням атак фишеров основана на срабатываниях эвристического компонента системы "Антифишинг". Эвристический компонент системы "Антифишинг" срабатывает, когда пользователь переходит по ссылке на фишинговую страницу, а информация об этой странице еще отсутствует в базах "Лаборатории Касперского". При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или, например, в результате действия вредоносной программы. В результате срабатывания в браузере пользователь видит предупреждающий баннер о возможной угрозе. По итогам сентября рейтинг атакованных фишерами организаций продолжают возглавлять почтово-поисковые порталы (24,7%), их показатель уменьшился на 6,1 п.п. Доля фишинговых атак на социальные сети (20,2%) увеличилась на 2,8 п.п. На финансовый фишинг в целом пришлось 36,9% срабатываний эвристического компонента системы "Антифишинг", что на 1,7 п.п. больше, чем в прошлом месяце. На долю категории "Банки" пришлось 18,9% срабатываний, их показатель увеличился всего на 0,5 п.п. Далее следуют "Онлайн-магазины" (11,4%, +1,4 п.п) и "Платежные системы" (7,3%, +0,5 п.п.). TOP 3 атакуемых организаций Организация % срабатываний 1 Facebook 11,16% 2 Yahoo! 7,10% 3 Google 6,31% В сентябре в TOP 3 организаций, атакуемых фишерами, на первое место поднялась социальная сеть Facebook (11,1%), ее показатель увеличился на 1,1 п.п. Вторую строчку с показателем 7,1% занимает поисковая система Yahoo!. Доля атак на сервисы Google (6,3%) уменьшилась в два раза, и по итогам месяца компания замыкает рейтинг атакуемых организаций. В сентябре в почтовом спам-трафике мы обнаружили фишинговые рассылки, направленные на кражу логинов и паролей от личного кабинета на популярной китайской торговой площадке Alibaba.com. В своих письмах мошенники пытались убедить получателей в необходимости обновить данные учетной записи или подтвердить ее использование, ссылаясь на новую систему защиты и текущее обслуживание аккаунта. В оформлении поддельных сообщений использовался официальный логотип и автоподпись компании Alibaba.com, цветовое выделение текста, а также стандартное сообщение антивируса об отсутствии в письме угроз. В качестве имени отправителя в поле From указывался Alibaba.com, а в его адресе использовались в основном легитимные доменные имена. Однако при внимательном рассмотрении в некоторых рассылках можно заметить орфографические ошибки в адресах отправителей и доменные имена, очевидно не принадлежавшие компании. Фишинговые страницы были вложены непосредственно в фальшивые письма и имели практически идентичное оформление. Получателю необходимо было заполнить поля не только с адресом электронной почты и паролем, но и c названием компании, страны, а также указать номер мобильного телефона. Таким образом мошенники собирали еще и дополнительную информацию о жертвах, которую впоследствии могут использовать для различных целей. Заключение Доля спама в мировом почтовом трафике в сентябре уменьшилась на 0,7 п.п. и составила 66,5%. В Рунете показатель доли спама также незначительно уменьшился (-2 п.п.) и составил 66,2%. Среди стран-источников спама, распространяемого по всему миру, лидерами в сентябре стали США (12%), Вьетнам (9,3%) и Россия (5,8%). Список вредоносных программ, распространяемых по электронной почте, в сентябре возглавил троянец-загрузчик из семейства Dofoil, используемый для загрузки на компьютер жертвы других вредоносных программ. По итогам сентября количество срабатываний системы "Антифишинг" составило 18 779 357 срабатываний. По статистике 17,8% всех атак пришлось на долю пользователей в Бразилии. Австралия, занимавшая в августе первую строчку, передвинулась на третье место (11,1%). Рейтинг организаций, атакованных фишерами, продолжают возглавлять почтово-поисковые порталы (24,7%). Показатель финансового фишинга в целом увеличился на 1,7 п.п. и составил 36,9%. В ТОП-3 рейтинга атакуемых фишерами организаций произошло перераспределение мест, и на первое место вышла социальная сеть Facebook (11,1%). В сентябре с политических событий на Украине "нигерийские" мошенники переключились на проблемы здравоохранения, в частности на вирус Эбола, сообщения о заражении которым постоянно появляются в СМИ. В рекламных рассылках встречались предложения товаров и услуг, посвященных Новому году и Рождеству. В течение следующих месяцев, вплоть до декабря, когда количество спама новогодней и рождественской тематики достигнет максимума, мы ожидаем увеличения доли спам-рассылок, посвященных этим праздникам. Диаграммы и примеры спамовых писем смотрите на сайте Securelist.ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013