Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w kwietniu 2012 r.

Tagi:

Maria Namiestnikowa
Ekspert z Kaspersky Lab

spam_report.png

Kwiecień w liczbach

  • Odsetek spamu w ruchu e-mail zwiększył się o 2,2 punktu procentowego w porównaniu z marcem i wynosił średnio 77,2%.
  • Odsetek wiadomości phishingowych nie zmienił się w stosunku do marca i wynosił 0,01%.
  • W kwietniu szkodliwe pliki zostały wykryte w 2,8% wszystkich wiadomości e-mail - podobnie jak w poprzednim miesiącu.
  • Celem ponad 20% ataków phishingowych w kwietniu byli użytkownicy Facebooka.

Spam na świeczniku

Nowe triki zidentyfikowane w oszukańczym i szkodliwym spamie

Spamerzy rozprzestrzeniający szkodliwy kod oraz wiadomości phishingowe nadal szukają najszybszego sposobu dotarcia do użytkowników komputerów. Szkodliwy spam rozwija się w szybkim tempie, a cyberprzestępcy systematycznie wzbogacają arsenał swoich sztuczek, dodając zarówno innowacje techniczne, jak i nowe triki wykorzystujące socjotechnikę.

Wikipedia i Amazon — złe doświadczenie?

W kwietniu wykryliśmy spam, który na pierwszy rzut oka wyglądał jak typowa szkodliwa wysyłka masowa rozprzestrzeniana pod przykrywką powiadomienia z Facebooka. Wiadomość e-mail, rzekomo pochodząca z popularnego portalu społecznościowego, stanowiła prośbę o przyjęcie zaproszenia do grona znajomych na Facebooku. Jak większość wiadomości e-mail, które mają wyglądać jak oficjalne powiadomienia z Facebooka, wysyłka ta została dobrze przygotowana i na pierwszy rzut oka do złudzenia przypominała prawdziwą. Według planu spamerów, gdyby użytkownik kliknął którykolwiek z zawartych w e-mailu odsyłaczy, zamiast trafić na Facebooka, zostałby przekierowany na stronę internetową zainfekowaną szkodliwym kodem. Brzmi znajomo, prawda? Jedyna różnica polega na tym, że odsyłacze w wiadomościach e-mail nie prowadziły użytkowników do zhakowanych domen lub stron zarejestrowanych w domenach .in lub co.cc, ale na strony Wikipedii lub Amazona.


Cyberprzestępcy prawdopodobnie zaszyli szkodliwy skrypt na utworzonych przez siebie stronach Wikipedii, jak również na stronach mających przypominać reklamy używanych produktów na Amazon.com. Dlaczego „prawdopodobnie”? Dlatego że taktyka ta nie była szczególnie skuteczna, ponieważ oba serwisy wykazały się szybką reakcją i zanim odsyłacze zostały rozprzestrzenione, strony zostały już wyłączone.

Diablo III – przedpremierowy phishing

Niedawno na półkach sklepowych pojawiła się długo oczekiwana gra Diablo III. Eksperci ds. bezpieczeństwa IT wyrażają obawy związane z tą grą, a Blizzard oficjalnie zezwolił na handel związanymi z nią przedmiotami. Rozsądnie jest zakładać, że Gracze szybko znajdą się na celowniku phisherów. Nikt jednak nie oczekiwał, że szkodliwi użytkownicy zaczną wykorzystywać tę grę jeszcze przed jej premierą.

W ruchu spamowym pojawiły się wiadomości phishingowe żerujące na niecierpliwości graczy, którzy nie mogli doczekać się premiery Diablo III. Odbiorcom wiadomości obiecywano możliwość grania w wersję beta Diablo III przez określony czas. W tym celu jednak będą musieli podać swoje dane dotyczące konta battle.net (zasób, w którym przechowywane są informacje dotyczące konta na platformie firmy Blizzard). Naturalnie, zawarty w mailu odsyłacz nie prowadził do wskazywanej strony, ale do strony phishingowej. E-maile różniły się od siebie, jednak podstawowe cechy były zasadniczo takie same.


Po zdobyciu danych rejestracyjnych użytkownika battle.net szkodliwi użytkownicy mieli dostęp do jego kont dla popularnych gier, takich jak World of Warcraft oraz Starcraft, które wciąż cieszą się dużym popytem na czarnym rynku.

Spam polityczny

W kwietniu do akcji ponownie wkroczył spam polityczny, którego ofiary stanowili głównie czytelnicy ze Stanów Zjednoczonych i Francji. Wzmianki o Baracku Obamie pojawiały się w wiadomościach e-mail równie często jak w pierwszym roku po wyborach. Co więcej, nazwisko Obamy jest wykorzystywane nie tylko w mailach politycznych „obnażających kierunek jego polityki” lub zawierających zarzut, że prezydent Stanów Zjednoczonych „boi się przegrać w nadchodzących wyborach”, ale również w wiadomościach reklamujących cały wachlarz tradycyjnych produktów spamerów. Przykładem może być pojawienie się jego nazwiska w masowej wysyłce spamowej oferującej Viagrę.


Wraz ze zbliżającymi się wyborami w Stanach Zjednoczonych zainteresowanie użytkowników Internetu wyścigiem o fotel prezydenta oraz sylwetkami kandydatów, jak również obecnym prezydentem, może jedynie wzrosnąć. Spamerzy bez wątpienia będą próbowali podsycać płomień tego zainteresowania poprzez szerzenie propagandy, jak również wykorzystywać je do własnych celów. W nadchodzących miesiącach spodziewamy się wzrostu liczby wiadomości e-mail zawierających odsyłacze, które rzekomo prowadzą do stron internetowych prezentujących skandaliczne informacje o kandydatach i o wyborach. W najlepszym razie (tak, jak w przykładzie powyżej) odsyłacze doprowadzą użytkowników do reklam specyfików na zwiększenie libido, w najgorszym natomiast - do szkodliwego programu.

Zauważyliśmy również zwiększoną aktywność francuskiego spamu politycznego, mimo że w związku z niedawnymi wyborami we Francji spodziewaliśmy się większej liczby politycznych wiadomości spamowych w tym kraju. Wykryte przez nas wiadomości spamowe nie były liczne. Obejmowały reklamy koszulek z hasłami popierającymi Sarkozy’ego.


Inne gorące tematy

Tematem wiadomości spamowych stała się również skomplikowana sytuacja w Syrii. Tzw. spamerzy „nigeryjscy” aktywnie rozsyłają wiadomości pochodzące rzekomo od „prawników i urzędników bankowych pracujących w tym kraju”. Pod koniec miesiąca wykryliśmy również wiadomości e-mail od „żony Assada”. Warto wspomnieć, że wiadomości e-mail od „członków rodziny przywódców” różnych państw znajdujących się w niestabilnej sytuacji pojawiają się regularnie. Czasami twórcy spamu nigeryjskiego przekonują, że ich wiadomości zostały napisane przez samych przywódców. A zatem, nie można wykluczyć, że w przyszłości pojawią się wiadomości rzekomo napisane przez samego Bashara al-Assada. Dzieci Assada wciąż są małoletnie, dlatego prawdopodobnie nie trafimy na e-maile, które zostały rzekomo przez nie napisane, nigdy jednak nie wiadomo. W końcu spamerzy nie mają żadnych świętości, a kryzys państwowy to dla nich kolejna okazja osiągnięcia korzyści finansowych.

Odnotowaliśmy również wzrost ilości spamu wykorzystującego mistrzostwa Europy w piłce nożnej. Zawody mają zacząć się w czerwcu i z dnia na dzień zainteresowanie użytkowników wzrasta. Wiele wysyłek spamowych oferuje kwatery dla kibiców piłki nożnej, którzy nie zarezerwowali jeszcze pokoju w hotelu w Polsce lub na Ukrainie. Jednak zakwaterowanie oferowane przez spamerów stanowi niezbędne minimum, podczas gdy ceny są maksymalnie wywindowane.

Letnie Igrzyska Olimpijskie w Londynie znajdują się obecnie w centrum uwagi oszustów wykorzystujących loterie. Prawie w każdym tygodniu odnotowujemy wiadomości e-mail informujące o wygranych na loterii organizowanej rzekomo przez Komitet Olimpijski.


Podsumowanie statystyczne

Źródła spamu


Źródła spamu w kwietniu 2012 r. (TOP 20)

W kwietniu odnotowaliśmy kilka dużych zmian w rankingu 20 największych źródeł spamu w stosunku do poprzednich miesięcy.

Najbardziej zauważalną zmianą, jaka zaszła w ciągu analizowanego miesiąca, był awans Stanów Zjednoczonych z 20 na 2 miejsce w rankingu. Odsetek spamu pochodzącego ze Stanów Zjednoczonych zwiększył się o ponad 7 punktów procentowych. Wzrosła również ilość spamu pochodzącego z Chin – o 5 punktów procentowych – i państwo to znajduje się obecnie na 5 miejscu listy największych źródeł spamu na świecie. Z kolei odsetek niechcianej korespondencji pochodzącej z Indonezji zmniejszył się o 5,2 proc. To azjatyckie państwo odnotowało spadek o 10 miejsc i ostatecznie uplasowało się na 12 miejscu.

Przypuszczamy, że obserwowana zmiana w krajobrazie spamu ma związek z redystrybucją prowadzonych przez spamerów botnetów oraz przenoszeniem ich z regionów, w których biznes spamowy znajdował się w minionym roku na niskim poziomie. Warto zauważyć, że zarówno Stany Zjednoczone jak i Chiny (a w szczególności Hong Kong) stanowiły jedne z głównych celów spamerów rozprzestrzeniających szkodliwe wysyłki w pierwszym kwartale 2012 r. Infekowanie nowych komputerów w tych państwach najwyraźniej doprowadziło do wzrostu liczby nowych botnetów.

Pozostałe zmiany w rankingu źródeł spamu nie przekroczyły 2,5 punktu procentowego.

Spam z Polski

W porównaniu z marcem Polska awansowała z 18 na 11 miejsce rankingu. W kwietniu 2012 r. z Polski pochodziło 2,1% globalnego spamu.

Szkodliwe oprogramowanie w ruchu pocztowym

W kwietniu szkodliwe oprogramowanie zostało wykryte w 2,8% wszystkich wiadomości e-mail, co mniej więcej pokrywa się z poziomem szkodliwego oprogramowania wykrytego w marcowym ruchu pocztowym.

Rozkład odsetka szkodliwego oprogramowania wykrytego w wiadomościach e-mail według państwa


Rozkład odsetka szkodliwego oprogramowania wykrytego w wiadomościach e-mail według państwa, kwiecień 2012 r.

Podobnie jak w pierwszym kwartale 2012 r., pierwsze miejsce pod względem liczby szkodliwych programów wykrytych w wiadomościach e-mail zajęły Stany Zjednoczone. Odsetek dla tego państwa zwiększył się tylko nieznacznie, jedynie o 0,64 punktu procentowego.

Australia (-3,9%) oraz Hong Kong (-2%) - państwa, które w marcu znalazły się odpowiednio na drugiej i trzeciej pozycji - ustąpiły miejsca Wietnamowi, który awansował z 4 pozycji na 2. Odsetek szkodliwych programów wykrytych w wiadomościach e-mail w Wietnamie zwiększył się o 2,4 proc.

Odsetek szkodliwych programów wykrytych w innych państwach wahał się w granicach 2 proc.

10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem wiadomości e-mail


10 najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem wiadomości e-mail w kwietniu 2012 r.

Około 13,7% wszystkich szkodliwych programów wykrytych w wiadomościach e-mail przez oprogramowanie firmy Kaspersky Lab stanowił tradycyjny lider naszego rankingu Top 10: Trojan-Spy.HTML.Fraud.gen. W kwietniu liczba wykrytych trojanów o tej nazwie była o 1,6 punktu procentowego wyższa niż w marcu. Szkodnik ten został stworzony w taki sposób, żeby wyglądał jak strona HTML stanowiąca formularz rejestracyjny organizacji finansowej lub serwisu online. Dane rejestracyjne wprowadzane na tej stronie są następnie wysyłane szkodliwym użytkownikom.

Stali bywalcy naszej listy Top 10 – robaki pocztowe: Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.Mydoom.m oraz Email-Worm.Win32.NetSky.q – znalazły się na trzecim, piątym i dziewiątym miejscu kwietniowego rankingu. Czytelnicy być może przypominają sobie, że funkcje robaków z rodziny Mydoom i Netsky ograniczają się do gromadzenia adresów e-mail z zainfekowanych komputerów oraz wysyłania na nie swoich kopii. Bagle.gt jest jedynym robakiem z pierwszej 10, który potrafi wysyłać żądania do zasobów online, a następnie pobierać szkodliwe programy.

Warto wspomnieć o pojawieniu się trojana skryptowego Trojan-Downloader.JS.Iframe.cvq w pierwszej dziesiątce kwietniowego zestawienia. Trojan ten stanowił prawie 2% wszystkich szkodliwych programów wykrytych w wiadomościach e-mail. Około 10% wszystkich szkodników wykrytych w ruchu pocztowym w kwietniu stanowiły szkodliwe programy oparte na skryptach, wykryte przy użyciu metod proaktywnych. Jest to dość niepokojący fakt, zważywszy że zagrożenia oparte na skryptach zawarte w wiadomościach HTML rozpoczynają destrukcyjne działania, jak tylko odbiorca otworzy wiadomość e-mail.

Phishing

Odsetek wiadomości phishingowych pozostał niezmieniony w stosunku do marca i wynosił 0,01%.


Top 100 organizacji atakowanych przez phisherów według kategorii — kwiecień 2012

Ranking ten został stworzony na podstawie wyników modułu antyphishingowego aktywowanego w produktach Kaspersky Lab za każdym razem gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.

W kwietniu odnotowaliśmy poważną zmianę na liście organizacji najczęściej atakowanych przez phisherów: po raz pierwszy od czterech miesięcy z pierwszej pozycji zniknęły organizacje finansowe (23,61%), które zostały zastąpione przez portale społecznościowe (28,8%). Odsetek portali społecznościowych będących celem ataków phishingowych zwiększył się o prawie 6 punktów procentowych. Podstawowym powodem tego wzrostu była duża liczba ataków na Facebooka: użytkownicy tego portalu społecznościowego byli celem ponad 20% ataków phishingowych w kwietniu.

W porównaniu z marcem, odsetek ataków na organizacje finansowe zmniejszył się, podobnie jak odsetek ataków na sklepy internetowe oraz wyszukiwarki, producentów z branży IT i organizacje z kategorii „inne”. Wszystkie te zmiany mieściły się w granicach 1,5 punktu procentowego.

Spam według kategorii


Spam według kategorii w kwietniu 2012 r.

W kwietniu odsetek tradycyjnych liderów wśród najpopularniejszych kategorii spamu – Oszustwa komputerowe i Finanse osobiste – zmienił się tylko nieznacznie. Pierwsza kategoria odnotowała spadek o 2,2 punktu procentowego, druga - wzrost o 0,8 punktu procentowego.

Udział reklam kasyn online pozostał na wysokim poziomie - nieco ponad 6%.

Większość wiadomości spamowych reklamujących kasyna online zawiera wyraźne znamiona oszustwa, szkodliwego kodu lub innego zagrożenia. Kategoria „Finanse osobiste” często składa się z podejrzanych ofert uzyskania tanich kredytów lub szybkiej gotówki, które zwykle budzą wątpliwości.

Na podstawie analizy tych danych można stwierdzić, że ponad połowa całego kwietniowego spamu miała na celu kradzież finansowych lub osobistych informacji użytkowników komputerów, jak również pośrednią kradzież ich pieniędzy i instalację szkodliwego kodu na ich komputerach.

Najistotniejszą zmianą, jaką zaobserwowaliśmy w okresie od marca do kwietnia, był 4,75% wzrost odnotowany przez kategorię „Wystrój wnętrz”. W kwietniu Kaspersky Lab zidentyfikował kilka masowych wysyłek z tej kategorii. Najwidoczniej wzrost ilości tego rodzaju spamu jest związany z kampaniami reklamowymi „wiosenne porządki” prowadzonymi przez wiele firm z branży meblarskiej i renowacyjnej.

W kwietniu odsetek pozostałych kategorii spamu wahał się tylko nieznacznie, w granicach 1,5 punktu procentowego.

Wnioski

Warto wspomnieć, że spam stanowi obecnie większe zagrożenie niż kiedykolwiek wcześniej: Kaspersky Lab wykrywa dużą liczbę wiadomości spamowych zawierających szkodliwe odsyłacze. Co więcej, specjaliści ds. bezpieczeństwa IT odnotowują jeszcze więcej spamu zawierającego zagrożenia skryptowe, co oznacza, że samo otworzenie e-maila może narazić użytkownika na ryzyko. Fakt, że wiadomości te nadal rozprzestrzeniają się, świadczy o tym, że użytkownicy Internetu nie są wystarczająco dobrze poinformowani; spam nie stanowiłby tak atrakcyjnego sposobu rozprzestrzeniania szkodliwego kodu, gdyby nie był tak lukratywny dla cyberprzestępców. Użytkownicy Internetu często nawet nie podejrzewają, że ich aktywność komputerowa wiąże się z jakimkolwiek ryzykiem, nie mówiąc już o zagrożeniu ich danych osobowych czy pieniędzy, w przypadku otworzenia wiadomości spamowej”.

W nadchodzących miesiącach spodziewamy się powrotu dobrze znanych wysyłek spamowych zawierających skandaliczne doniesienia na temat obecnego prezydenta Stanów Zjednoczonych, Baracka Obamy. Co więcej, ataki phishingowe prawdopodobnie w większym stopniu skoncentrują się na portalach społecznościowych i grach online – wraz ze zbliżającymi się letnimi wakacjami studenci, którzy mają przerwę od szkoły, będą aktywniejsi online. Ponieważ użytkownicy z tej kategorii nie posiadają konta w banku, wiele czasu spędzają na portalach społecznościowych i innych serwisach oferujących rozrywkę online.

Źródło:
Kaspersky Lab