Лаборатория Касперского: Спам в третьем квартале 2011

Источник: SecureList

Антиспам "Лаборатории Касперского" защищает пользователей по всему миру. В антиспам-лаборатории ежедневно обрабатывается более миллиона писем, попадающих в наши ловушки. Для защиты пользователей используется контентная фильтрация, анализ технических заголовков, уникальные графические сигнатуры, а также облачные технологии. Наши аналитики создают новые сигнатуры круглосуточно 7 дней в неделю.

Основные новости квартала

  • Доля спама уменьшилась на 2,7% и составила 79,8% почтового трафика.
  • Доля мошеннических писем в спаме увеличилась в 20 раз и составила 2%.
  • Среди источников спама продолжают лидировать Азия и Латинская Америка.
  • Доля "партнерского" спама увеличилась в 5,7 раза и достигла 29% всего спама.
  • Доля писем с вредоносными вложениями увеличилась на 1,17% и в среднем составила 5,03%.
  • Доля фишинговых писем в среднем составила 0,03%; в TOP 5 атакуемых организаций попали 3 социальные сети.

Социальная инженерия в почте: не попадитесь на удочку!

В третьем квартале 2011 года доля мошеннических писем в спаме по сравнению с предыдущим кварталом увеличилась в 20 раз и составила 2% от всех спамерских писем. Впечатляет не только количество мошеннических посланий, но и разнообразие приемов социальной инженерии, встретившихся в почте в третьем квартале: злоумышленники использовали как старые известные приемы, так и новые, не забывая при этом следить за мировыми событиями и активно эксплуатировать интерес пользователей к происходящему.

Уловки фишеров

Игры с игроками

Игроки онлайн-игр компании Blizzard давно стали мишенью фишерских атак. Мошенники рассылают пользователям письма, предлагая различными способами сделать их игру еще более интересной. Чтобы письмо выглядело легитимным, фишеры качественно подделывают технические заголовки сообщения. Кроме того, злоумышленники стараются, чтобы имя поддельного домена максимально напоминало оригинальное название сайта.

К появлению новых версий популярных игр мошенники готовятся основательно. Так, с выходом в этом квартале игры Diablo III мы зафиксировали множество фишерских атак, нацеленных на кражу логинов и паролей игроков. В письмах пользователям предлагали поучаствовать в бета-тестировании, проводимом компанией Blizzard.

Компания Blizzard действительно рассылала подобные официальные приглашения своим пользователям, поэтому распознать подвох было сложно. Разница была лишь в том, что в мошеннических письмах предлагалось пройти по предложенной ссылке (которая вела отнюдь не на легитимный сайт), а в официальных приглашениях вообще не было призыва пройти по ссылке, в них пользователей просили самостоятельно зайти на сайт и залогиниться.

Серьезные письма от серьезных организаций

Пользователи также могли получить письмо якобы от Федеральной корпорации по страхованию вкладов (федеральное агентство США, созданное для страхования депозитных вкладов, размещённых на счетах в банках).

В письме пользователям предлагалось пройти по ссылке, чтобы ознакомиться с важной информацией о банке или условиями кредитования. Ссылка вела на сайт, где фишеры пытались выманить конфиденциальную информацию у своих потенциальных жертв. Хочется верить, что не найдется настолько наивный пользователь, который захочет пройти по ссылке в письме якобы от серьезной организации, где отсутствует не только личное обращение, но и название конкретного банка.

Для пользователей в США рассылки поддельных сообщений от FDIC не в новинку. Однако на этот раз такие письма были разосланы и в другие страны. Это довольно странно, учитывая, что вне США организация FDIC не очень известна.

А кому фишбургер?

Встречались в третьем квартале и менее традиционные виды фишинг-атак. Так, мы обнаружили многоступенчатую фишинг-атаку. Для начала пользователь получал письмо якобы от McDonald"s, в котором сообщалось, что компания готова перевести на его кредитную карту $80, если он примет участие в опросе. Затем пользователю надо было перейти по ссылке и ответить на ряд вопросов. И только после этого он попадал на страницу, где надо было ввести данные карты, дабы получить обещанное "вознаграждение". Злоумышленников, конечно же, интересовали не результаты "опроса", а данные кредиток.

На самом деле в схеме была еще одна ступень: пройдя по ссылке в письме, пользователь сначала попадал на взломанный сайт, с которого с помощью javascript-кода его перенаправляли на страницу фальшивого опроса.

Не спешите открывать вложения

Зловреды с доставкой на дом

Мы уже писали про вредоносный спам, маскирующийся под сообщения от различных крупных служб доставки, таких как UPS и DHL. Отметим только, что в третьем квартале 2011 такой спам активно продолжал засорять ящики пользователей.

В приложении содержалась вредоносная шпионская программа Trojan-Spy.Win32.Zbot.ccvt, которая занимается кражей данных пользователей и передачей их злоумышленникам.

Секретный шифр

Как известно, в числе инструментов социальной инженерии есть и пряник, и кнут. И последнее совсем не редкость. В этом квартале мошенники разослали спам, состоящий из бессмысленного набора букв. Символы они расположили так, что псевдотекст был похож на письмо в неправильной кодировке или на зашифрованное сообщение. В теме письма стояли пугающие фразы про долги компании. В приложении находился zip-файл.

Расчет был на то, что пользователь, будучи не в состоянии понять содержание письма и напуганный заголовком, откроет вложение. Во вложении содержалась вредоносная программа Trojan.Win32.FraudST.atc, основным функционалом которой является рассылка фармацевтического спама с зараженного компьютера.

Еще об одном письме (от "заботливого киллера"), которое должно было напугать получателя, мы рассказали в нашем отчете за сентябрь.

Честные "нигерийцы"

Остались в арсенале мошенников и старые схемы. Мы давно не писали в отчетах о "нигерийском" мошенничестве, потому что, казалось бы, о нем уже всем известно. Но этот вид мошенничества по-прежнему используется, следовательно, он эффективен, и кто-то попадает в ловушки "нигерийцев".

Надо признать, что за долгие годы "нигерийцы" отработали свои приемы социальной инженерии и знают, какие из них действуют наиболее эффективно. Так, в этом квартале нам встретилось письмо, начало которого может растрогать почти любого: "Мне действительно жаль, что приходится связываться с вами таким способом. Я понимаю, что интернет наполнен мошенниками, которые пытаются лишить людей заработанных кропотливым трудом денег. Но я - мусульманка, и я не смогла бы соврать никому, так как это противоречит моей религии".

Далее в письме повествуется о тяжелой судьбе семьи врага Каддафи, а в итоге все сводится к просьбе обналичить 7 кредитных карточек с немалыми суммами на каждой.

Напомним, что такие схемы мошенничества используют один из трех следующих сценариев:

  1. у пользователя под разными предлогами попросят номер его счета, с которого мошенники снимут деньги;
  2. пользователя, согласившегося обналичить деньги, попросят переслать определенную сумму на "сопутствующие расходы", после чего общение прекратится;
  3. мошенники используют добровольного помощника так, чтобы ответственность за их денежные махинации оказалась на нем, что может грозить пользователю тюремным заключением.

Спамерские методы и трюки: как спрятать сайт

Взлом легитимных сайтов и размещение на них javascript-кода - не единственный способ, с помощью которого спамеры пытались избежать попадания адресов своих сайтов в черные списки.

В этом квартале нам встретились спамовые письма, ссылки в которых вели на легитимные веб-ресурсы, но содержали SQL-инъекцию. Кликнув по ссылке, пользователь оказывался на сайте, уязвимом к SQL-инъекциям, а уже оттуда попадал на сайт спамерского магазина.

Кроме того, спамеры продолжают активно использовать облачные сервисы Google для обмана фильтров. В приведенном ниже письме ссылка ведет на документ в "облаках", а уже в этом документе содержится ссылка на рекламируемый спамерами сайт.

Спам-статистика

Доля спама

Доля спама в третьем квартале 2011 года уменьшилась на 2,7% и составила 79,8%.

Количество спама в почте уменьшалось в течение всего квартала, за исключением последней недели сентября, когда этот показатель достиг 82,1%. Тенденция хорошо видна на диаграмме ниже:

Доля спама в почтовом трафике в третьем квартале 2011 г.

Скорее всего, аномально низкий показатель сентября не продержится долго, и уже в октябре количество спама в почтовом трафике вновь начнет расти.

Распределение источников спама по странам и регионам

В распределении источников спама по странам мы по-прежнему наблюдаем тенденцию 2011 года: все больше спама рассылается из развивающихся стран. Так, в тройку лидеров попали Индия (+0,7%), Индонезия (+4,7%) и Бразилия (+0,8%).


Страны - источники спама в третьем квартале 2011 г.

Отметим, что в TOP 10 не вошла ни одна западноевропейская страна. Россия и США тоже не попали в первую десятку рейтинга, а из стран Восточной Европы в нее вошли только Украина и Польша.

Кроме того, по-прежнему актуальна и еще одна тенденция 2011 года: стабильность. Доля разных регионов оставалась практически неизменной в течение всего квартала.


Динамика распределения источников спама по регионам (Q3 2011 г.)

Отметим, что доли всех регионов, кроме Азии и Латинской Америки, по сравнению со вторым кварталом уменьшились.


Распределение источников спама по регионам в Q2 и Q3 2011 г.

Доминирование Азии и Латинской Америки в распространении спама стало привычным и уже не вызывает удивления. Однако напомним, что еще год назад, в третьем квартале 2010 года, доля стран Западной Европы и США суммарно составляла 36%, то есть более трети всего рассылаемого спама. А на долю Латинской Америки тогда приходилось всего 10,7%.

Тематическое распределение спама

В третьем квартале распределение спама по тематическим категориям заметно изменилось.


Процентное соотношение тематических направлений в спаме Рунета. Q3 2011 г.

По сравнению с предыдущим кварталом в три раза (-39,9%) уменьшилась доля рубрики "Образование", сократилась доля и других рубрик "заказного" спама, например "Отдых и путешествия" (- 4,3%), "Другие товары и услуги" (-1,6%). В то же время заметно выросла доля категорий спама, распространяемого через партнерские программы - "Медикаменты; товары/услуги для здоровья" (+10,9%), "Реплики элитных товаров" (+5,2%), "Спам для взрослых (+4,1%), "Компьютерное мошенничество" (+1,9%).

Заметно увеличилась доля саморекламы спамеров (+9%). Отчасти это связано с тем, что некоторые спамерские рекламные кампании реализованы в виде мощных рассылок, в ходе которых письма распространяются многомиллионными тиражами и могут рассылаться несколько (5-10) раз на одни и те же адреса. Видимо, таким образом спамеры стараются пробить фильтры. Однако именно благодаря многочисленности писем такие рассылки легче всего заблокировать.

Соотношение заказного, партнерского спама и саморекламы спамеров в Q2 и Q3

Как можно видеть на диаграмме, доля спама, рассылаемого с использованием партнерских программ, увеличивается. А это означает, что в почте появляется все больше опасного и криминализированного спама. Ведь именно через партнерские программы рассылается порно-спам, спам с вредоносными программами и реклама поддельных товаров. Само устройство партнерок создает благоприятные условия для распространения криминализированного спама, так как позволяет всем участникам процесса сохранить анонимность: владелец партнерки, спамер и заказчик не знают друг друга.

Спам и политика

Отдельно выделим политический спам. В большинстве стран он не подпадает под антиспамовые законы, так как не является коммерческим, однако по классификации "Лаборатории Касперского" любая массовая незапрошенная рассылка считается спамом.

В конце 2011 года в России пройдут выборы в Государственную Думу, а в марте 2012 - выборы президента РФ. И хотя события эти будут относительно не скоро, политический спам уже набирает обороты. Как правило, в спаме, рассылаемом в ходе предвыборной борьбы, кандидаты стараются привлечь на свою сторону избирателей и очернить соперников. Однако в этом квартале мы зафиксировали несколько рассылок весьма экстремистского характера: в письмах, вместо призыва голосовать за ту или иную партию, предлагалось "сорвать антинародные псевдовыборы", а нынешняя власть в некоторых из них была названа "кровавой хунтой". Ниже мы приводим самое безобидное письмо из этих рассылок.

Письма с вредоносными вложениями

Доля писем с вредоносными вложениями

В третьем квартале 2011 года доля писем, содержавших вредоносные вложения, увеличилась на 1,17% и в среднем составила 5,03%. На диаграмме ниже представлено распределение этого показателя по месяцам третьего квартала 2011 года.


Доля писем с вредоносными вложениями в почте

Как видно на диаграмме, самый высокий процент писем с вредоносными вложениями в электронной почте (почти 6%) был в августе. В июле и сентябре этот показатель также был довольно высоким и превышал средний показатель предыдущего квартала.

Стоит подчеркнуть, что в условиях нестабильной экономической ситуации партнерские программы по установке вредоносного кода будут пользоваться большой популярностью, соответственно, доля рассылок, содержащих вредоносные вложения, будет расти.

Страны, ставшие мишенью вредоносных рассылок

В третьем квартале 2011 года распределение срабатываний нашего почтового антивируса по странам выглядело следующим образом:


Распределение срабатываний почтового антивируса по странам

Наибольшее количество срабатываний почтового антивируса, как и в первых двух кварталах 2011 года, пришлось на Россию (9,8%). При этом доля России по сравнению со вторым кварталом уменьшилась на 2,7%. На столько же уменьшился и показатель США, однако эта страна также сохранила свою позицию в рейтинге (2-е место). Вьетнам, в течение первого полугодия занимавший третью строчку рейтинга, по итогам квартала сместился на седьмую (-2,9%). На третьем месте оказалась Великобритания, на территории которой было зафиксировано 7,3% всех срабатываний почтового антивируса, что на 1,1% больше, чем в предыдущем квартале. Четвертое место вновь заняла Индия, показатель которой вернулся к значениям первого квартала (+1,5%).

Отметим две интересные тенденции последнего полугодия.

  1. Изменение доли срабатываний почтового антивируса на территории США и Индии происходят в противофазе. Когда в США детектируется больше вредоносных писем, в Индии процент таких писем уменьшается - и наоборот.


    Динамика срабатываний почтового антивируса в США и Индии Q2 - Q3 2011 г.

    Пока трудно с уверенностью сказать, с чем это может быть связано, но мы продолжим наблюдения.

  2. Изменения доли срабатываний почтового антивируса на территории США и Австралии происходят синхронно. Возможно, это обусловлено схожестью "интернет-ландшафта" этих стран.


    Динамика срабатывания почтового антивируса в США и Австралии Q2 - Q3 2011 г.

Рейтинг вредоносных программ в почте


TOP 10 вредоносных программ в почте в третьем квартале 2011 г.

В третьем квартале 2011 года первое место в рейтинге традиционно занимает Trojan-Spy.HTML.Fraud.gen, несмотря на то что в сентябре этот зловред уступил первенство другой вредоносной программе, речь о которой пойдет ниже. Напомним, что Trojan-Spy.HTML.Fraud.gen выполнен в виде html-страницы, копирующей регистрационную форму онлайн-банкингов или других интернет-сервисов. Регистрационные данные, введенные в такую "форму", будут отправлены злоумышленникам. Подробнее об этой программе можно прочитать здесь.

На третьем месте расположился тот самый зловред, который сместил Trojan-Spy.HTML.Fraud.gen с первой позиции в сентябре - Trojan.Win32.FraudST.atc. Эта вредоносная программа является спам-ботом, основной функционал которого - рассылка фармацевтического спама с зараженного компьютера.

Почтовые черви несколько сдали свои позиции. В TOP 10 вошли только три представителя этого семейства: Email-Worm.Win32.Mydoom.m (2-е место) и Email-Worm.Win32.Netsky.q (4-е место) и Email-Worm.Win32.Bagle.gt (6-е место). Напомним, что функционал первых двух зловредов ограничен сбором почтовых адресов с компьютера-жертвы и рассылкой по ним самих себя. Bagle.gt обладает более сложным функционалом: помимо сбора электронных адресов и рассылки по ним самого себя, он может загружать на компьютер пользователя другие вредоносные программы.

Фишинг

Доля фишинга в третьем квартале 2011 года незначительно увеличилась и в среднем составила 0,03% всего почтового трафика.


Процент фишинговых писем в почте в третьем квартале 2011 г.

Пара лидеров в рейтинге организаций, атакованных фишерами, в третьем квартале 2011 года не изменилась - это платежная система PayPal (-15,28%) и интернет-аукцион eBay (+4,23%). При этом на долю атак на PayPal пришлось более трети всех фишинговых атак за квартал.


TOP 10 организаций, атакованных фишерами в третьем квартале 2011 г.*

* Рейтинг составляется на основании доли фишинговых URL, распространенных в сети с целью получения регистрационных данных пользователей того или иного сервиса. Рейтинг не является показателем уровня безопасности упомянутых организаций. Рейтинг отображает популярность и авторитетность сервисов среди пользователей, которая напрямую отражается в их популярности у фишеров.

Отметим, что вслед за традиционными лидерами рейтинга следуют три социальные сети: Facebook (+4,94%), Habbo (+3,3%) и Orkut (+3,05%). Часть фишинг-атак на Google (+1,34), расположившуюся на восьмой строчке рейтинга, также была нацелена на социальную сеть - Google+.

Седьмое место заняла онлайн-игра Runescape (0,96%), давно обогнавшая по популярности у фишеров свою платную "коллегу" World of Warcraft, не вошедшую по итогам третьего квартала в первую десятку.

Лишь на шестой и девятой строчках рейтинга мы видим банки - Santander (-1,33%) и Halifax (+0,82%). Десятую строчку занимает компания Ciello S. A., ранее не появлявшаяся в наших рейтингах. Это крупнейшая платежная система Латинской Америки.

Третий квартал 2011 года очень ярко демонстрирует потерю интереса фишеров к традиционной банковской системе. Мы уже говорили об этой тенденции в наших предыдущих отчетах, но еще ни разу в TOP 10 не попадало всего два (!) банка. Это объясняется тем, что кража реальных денег для фишеров более опасна, чем кража денег "виртуальных". При этом ценность тех и других фактически одинакова.

Кроме того, в конце сентября появились рассылки, нацеленные на студентов, получающих гранты и ссуды.

Фишинговые странички, на которые могли попасть студенты, получившие такие письма, содержали форму, в которой необходимо было ввести регистрационные данные в финансовой системе для студентов Англии и некоторые персональные данные. Разумеется, никаким благим целям отправленные данные послужить не могли, а становились добычей злоумышленников.

Заключение

В третьем квартале силами "Лаборатории Касперского" и компании Microsoft был побежден еще один ботнет -Hlux/Kelihos. Как показала практика последних двух лет, именно деятельность по закрытию ботнетов дает наибольший результат в борьбе со спамерами.

Но несмотря на то что количество спама в почте снизилось, его содержание стало существенно опасней. Процент спама с вредоносными вложениями на протяжении всего квартала держался на высоком уровне. В итоге средний показатель за квартал достиг наибольшего значения за всю историю наблюдений (5,03%). Кроме того, повысилось количество мошеннических писем, а также спама "для взрослых". Такой рост мошеннических сообщений, писем, содержащих вредоносные вложения, а также спама порнографического содержания обусловлен летним периодом отпусков и пришедшей вслед за ним "второй волной" мирового экономического кризиса. Спамеры в момент вынужденного затишья, а также в непростой экономической ситуации ищут "работу", позволяющую им удержаться на плаву. Распространение вредоносного кода и ссылок на порносайты (на которых также можно "подцепить" компьютерную заразу) остается выгодным для участников партнерских программ: пользователи продолжают проходить по предложенным ссылкам с "пикантным видео" или скачивать подозрительные архивы независимо от состояния экономики.

В случае сохранения сложной ситуации в мировой экономике мы ожидаем дальнейший рост партнерского спама в следующем квартале. Это касается не только спама, содержащего вредоносные вложения, и спама "для взрослых", но и других видов "традиционного" партнерского спама - такого, как распространение рекламы фармацевтических товаров, копий предметов роскоши и дешевого программного обеспечения.

Количество нигерийских писем в почтовом трафике также будет расти - в период сложной экономической ситуации пользователи готовы поверить любой, даже самой фантастической возможности восстановить пошатнувшееся материальное положение. Нигерийские спамеры, безусловно, не преминут воспользоваться этим.

Количество заказчиков спама будет уменьшаться, что приведет к росту количества рассылок, содержащих саморекламу спамеров. При этом в условиях Рунета, как показал кризис 2008-2009 года, уменьшение количества заказного спама приведет к небольшому уменьшению спам-трафика в целом.


Страница сайта http://185.71.96.61
Оригинал находится по адресу http://185.71.96.61/home.asp?artId=27150