Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w sierpniu 2012 r.

Tagi:

Maria Namiestnikowa
Ekspert z Kaspersky Lab

Sierpień w liczbach

  • Odsetek spamu w ruchu e-mail zmniejszył się o 1,6 punktu procentowego w stosunku do lipca i wynosił średnio 70,2%;
  • Odsetek wiadomości phishingowych pozostał niezmieniony w porównaniu z lipcem i wynosił 0,01%;
  • W sierpniu szkodliwe pliki były wykrywane w 3,9% wszystkich wiadomości e-mail.

Spam na świeczniku

Późne lato to najgroźniejszy okres

Letni spam zazwyczaj cechuje się znacznie większym stopniem kryminalizacji – rośnie odsetek wiadomości e-mail reklamujących nielegalne towary i rozprzestrzeniających szkodliwy kod. Jednocześnie spamerzy aktywnie oferują swoje usługi oraz usługi innych przedstawicieli biznesu cyberprzestępczego. Tym samym, przestępcza aktywność spamowa osiąga punkt krytyczny w sierpniu.

Szkodliwe załączniki stają się bardziej rozpowszechnione

Odsetek szkodliwych załączników w ruchu pocztowym odnotował znaczący wzrost w lipcu – w miesiącu tym udział takich wiadomości stanowił 4,5% całego ruchu pocztowego. W sierpniu odsetek ten zmniejszył się, jednak liczba szkodliwych załączników nadal jest wysoka – 3,9% całego ruchu pocztowego.

W celu rozprzestrzeniania szkodliwych załączników oszuści stosowali szeroki wachlarz sztuczek. Zazwyczaj możemy zaobserwować niewielki zestaw łatwych do zidentyfikowania trików. Jednak w sierpniu arsenał cyberprzestępców był bardziej zróżnicowany niż zwykle.

 

Wśród nowości znalazła się sztuczka, którą wcześniej wykorzystywali tylko phisherzy: spamerzy grozili zablokowaniem karty bankowej użytkownika, nakłaniając go do pobrania załącznika, który rzekomo zawiera dalsze informacje, w rzeczywistości jednak jest szkodliwy.

Specjalnością sezonu okazały się masowe wysyłki zawierające powiadomienia o rezerwacjach hotelowych. Sztuczka ta po raz pierwszy została zastosowana w czerwcu i była wykorzystywana przez cały okres letnich wakacji. Jednak w sierpniu nie zarejestrowaliśmy żadnej oferty fałszywych e-biletów lotniczych.

W sierpniu spamerzy stosowali dość „abstrakcyjne” techniki wzbudzania ciekawości użytkowników. Obejmowały one krótkie wiadomości e-mail powiadamiające użytkowników o otrzymaniu skanu dokumentu lub wiadomości zachęcające do sprawdzenia szczegółów dotyczących transakcji.

Jednocześnie z mody nie wyszły stare sztuczki – szkodliwe e-kartki, raporty o niedostarczonych przesyłkach pocztowych lub fałszywe powiadomienia od Google’a o otrzymaniu CV od kandydata.

Przy takiej różnorodności technik pogubili się nawet sami cyberprzestępcy: powyższy obrazek (prawy dolny róg) pokazuje fałszywe powiadomienie od DHL, w którym w polu Od widnieje Booking.com jako nadawca. Kolejny e-mail, pochodzący rzekomo od Bank of America, został “wysłany” przez Fedex. Takie pomyłki były powszechne w sierpniowym spamie.

Wykorzystywanie legalnych serwisów

Spamerzy od dawna wykorzystują legalne serwisy internetowe w swoich oszukańczych wysyłkach. Ma to zarówno wady jak i zalety: z jednej strony, materiały opublikowane na legalnych platformach zwykle są sprawdzane i szybko usuwane. Z drugiej strony, taka praktyka ma wiele zalet – darmowe legalne serwisy są dostępne dla każdego, łącznie ze spamerami, odsyłacze do legalnych zasobów pomagają obejść ochronę antywirusową, a użytkownicy mają mniej wątpliwości odnośnie klikania odsyłaczy, które prowadzą do znanych platform.

W sierpniu odnotowaliśmy więcej wiadomości phishingowych, w których główna zawartość spamowa była hostowana na google.docs. Jednak ten segment oszukańczych wiadomości e-mail zawierał „innowację” – tzw. nigeryjscy spamerzy zaczęli rozprzestrzeniać swoje wiadomości z wykorzystaniem kalendarza Yahoo.

 

Powyższa wiadomość nie tylko zawiera odsyłacz prowadzący do legalnego serwisu, ale została również wysłana przy pomocy tego serwisu, przez co techniczny nagłówek wiadomości spamowej jest zupełnie legalny. Z technicznego punktu widzenia sztuczka ta jest podobna do wysyłek z darmowych serwisów pocztowych, takich jak mail.google.com czy mail.ru.

Oferty cyberprzestępcze

W sierpniu, oprócz autopromocji, spamerzy rozprzestrzeniali wiadomości e-mail reklamujące usługi oferowane przez innych cyberprzestępców. Popularna wysyłka promowała możliwość zarobienia pieniędzy poprzez wykorzystywanie sklonowanych kart bankowych w celu kradzieży pieniędzy. Oszuści wykorzystują w takich przypadkach osoby trzecie w celu pobrania pieniędzy z bankomatu przy pomocy fałszywych kart. Co ciekawe, charakter oszustwa nie został otwarcie określony w e-mailu.

 

Pojawiły się również wiadomości e-mail oferujące bazy danych z adresami do wykorzystania w rozprzestrzenianiu spamu w różnych państwach, łącznie z Iranem, w którym spam występuje rzadko. Ostatni raz zetknęliśmy się z tego rodzaju wysyłkami podczas kryzysu 2008-09, dlatego obecnie oferty te prawdopodobnie mają związek z problemami finansowymi spamerów.

Podsumowanie statystyk

Źródła spamu według kategorii

Poniżej znajdują się rankingi Top 20 państw, które w sierpniu wysłały najwięcej spamu do Europy i Stanów Zjednoczonych.

 
20 największych źródeł spamu wysyłanego do użytkowników europejskich w sierpniu 2012 r.

W sierpniu odnotowaliśmy niewielkie zmiany w zakresie źródeł spamu otrzymywanego przez europejskich użytkowników. Siedem największych źródeł spamu wysyłanego do Europy nie zmieniło się w stosunku do poprzedniego miesiąca. Chiny zwiększyły swój udział o 6 punktów procentowych, co doprowadziło do spadku udziału w spamie innych państw.

 
20 największych źródeł spamu wysyłanego do użytkowników ze Stanów Zjednoczonych w sierpniu 2012 r.

Ponad 40% ogółu spamu otrzymanego w Stanach Zjednoczonych stanowiło „produkt krajowy”. Udział takich wiadomości zwiększył się o 3 punkty procentowe w porównaniu z poprzednim miesiącem.

Jeżeli chodzi o pozostałe źródła spamu rozprzestrzenianego w Stanach Zjednoczonych, również nie odnotowano tu zmian. Prawie jedna czwarta spamu pochodziła z Azji, a około 10% - z Ameryki Łacińskiej.

Pod względem globalnej dystrybucji spamu Chiny odzyskały prowadzenie (31,5% całego rozprzestrzenionego spamu). Na kolejnych miejscach znalazły się Stany Zjednoczone (15,7%) i Indie (12,4%).

Szkodliwe oprogramowanie w ruchu pocztowym

W sierpniu szkodliwe pliki zostały wykryte w 3,9% wszystkich wiadomości e-mail, co stanowi wzrost o 0,5 punktu procentowego w porównaniu z poprzednim miesiącem.

Rozkład odsetka szkodliwego oprogramowania wykrytego w ruchu pocztowym według państwa

 
Rozkład odsetka szkodliwego oprogramowania wykrytego w ruchu pocztowym według państwa, sierpień 2012 r.

Już ósmy miesiąc z rzędu w Stanach Zjednoczonych wykryto w poczcie więcej szkodliwego oprogramowania niż gdzie indziej na świecie. Jednak w sierpniu odsetek szkodliwego oprogramowania wykrytego przez moduł ochrony poczty wbudowany w produkty Kaspersky Lab zmniejszył się o prawie 3 punkty procentowe w porównaniu z lipcem.

Udział Niemiec pozostał niezmieniony w stosunku do poprzedniego miesiąca, pozwalając temu państwu po raz kolejny uplasować się na drugim miejscu.

Wśród najbardziej zauważalnych zmian znalazł się wzrost udziału szkodliwych programów wykrytych przez Kaspersky Lab w Australii (+2,8 punktów procentowych) oraz Wietnamie (+2,4 punków procentowych). Państwa te znalazły się odpowiednio na czwartym i piątym miejscu, wyprzedzając Wielką Brytanię.

Udział pozostałych państw wahał się w granicach 1,5 punktu procentowego w stosunku do lipca.

10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem poczty e-mail w sierpniu 2012 r.

 
10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem poczty e-mail w sierpniu 2012 r.

Udział lidera rankingu – zagrożenia Trojan-Spy.HTML.Fraud.gen - zwiększył się o 50 punktów procentowych w porównaniu z lipcem, co oznacza, że liczba szkodliwych wiadomości e-mail wykorzystywanych do rozprzestrzeniania phishingowych stron HTML lub imitowania formularzy rejestracyjnych znanych banków lub systemów e-płatności zwiększyła się o połowę.

Na drugim miejscu w sierpniowym rankingu znalazł się Email-Worm.Win32.Bagle.gt. Ten robak pocztowy posiada standardową funkcjonalność, ale oprócz tego pobiera również szkodliwe oprogramowanie z internetu. Jego mniej złożeni „bracia” - Mydoom.m i Mydoom.l -którzy jedynie zbierają adresy e-mail i wysyłają na nie swoje kopie, znaleźli się odpowiednio na czwartym i dziesiątym miejscu.

Lipcowe nowości, należące do rodziny programów Androm, znalazły się wśród najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w sierpniu: do tej grupy należało pięć szkodników z pierwszej dziesiątki. Po zainstalowaniu na komputerze szkodniki te zaczynają pobierać inne oprogramowanie z internetu.

Phishing

Odsetek wiadomości phishingowych pozostał niezmieniony w stosunku do lipca i wynosił 0,01%.

 
100 organizacji, według sfery aktywności, najczęściej atakowanych przez phisherów w sierpniu 2012 r.
(na podstawie statystyk komponentu antyphishingowego*)

*Ranking ten opiera się na statystykach komponentu antyphishingowego aktywowanego za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy znajduje się on w wiadomości spamowej czy na stronie internetowej.

Ranking organizacji najczęściej atakowanych przez phisherów był mniej więcej taki sam jak w lipcu. Portale społecznościowe (+1 punkt procentowy) oraz organizacje finansowe (+1,5 punktu procentowego) nadal stanowią najatrakcyjniejsze cele dla phisherów, jednocześnie udział ataków na sklepy online oraz portale aukcyjne zmniejszył się o ponad 1,5 punktu procentowego.

Spam według kategorii

 
Spam według kategorii w sierpniu 2012 r.

Zgodnie z przewidywaniami, w sierpniu miało miejsce wiele zmian w europejskim ruchu spamowym. Kategoria „Osobiste finanse”, która posiada duży udział w ruchu spamowym, odnotowała znaczny spadek w porównaniu z poprzednim miesiącem (-21,5 punktu procentowego). Podsumowując, większość wiadomości e-mail należących do tej kategorii zawierała oferty udziału w podejrzanych programach zarabiania pieniędzy. W sierpniu mogliśmy zaobserwować wznowienie aktywności konsumenckiej, które spowodowało wzrost liczby wiadomości oferujących różne produkty i usługi. Mimo to, spam zawierający oferty pracy pozostanie popularny jeszcze przez długi czas. Wzrost bezrobocia w Europie oznacza, że liczba potencjalnych ofiar takich wiadomości jest większa – a spamerzy z pewnością nie zawahają się wykorzystać tej sytuacji.

W sierpniu angielskojęzyczny spam stał się bardziej rozpowszechniony w porównaniu z poprzednim miesiącem. Oprócz rosnącego udziału wiadomości „farmaceutycznych” (+9,2 punktu procentowego) ruch spamowy zawierał również sporo wiadomości e-mail reklamujących kasyna (+3,6 punktu procentowego), jak również spam z kategorii treści dla dorosłych, który stanowił około 1,5% całego ruchu spamowego.

Około 3% całego europejskiego spamu zawierało szkodliwe programy i odsyłacze do zainfekowanych stron, które pojawiały się w formie powiadomień od organów podatkowych.

Podsumowanie

Tak, jak przewidywaliśmy, w sierpniu cyberprzestępcy wykazali dużą aktywność w rozprzestrzenianiu spamu. Pod tym względem wrzesień ma być spokojniejszy. Jednocześnie oznaki poprawy sytuacji gospodarczej spowodowały spadek liczby wiadomości e-mail oferujących podejrzane programy zarabiania pieniędzy.

Brak zmian w atakach phishingowych potwierdza, że sierpień stanowi dla phisherów okres przejściowy. Z jednej strony, dzięki uczniom i studentom, którzy spędzają dużo czasu surfując po Internecie w okresie wakacyjnym, phisherzy pozostają zainteresowani portalami społecznościowymi. Z drugiej strony, pod koniec miesiąca następuje wznowienie aktywności biznesowej, przez co oszuści kierują swoją uwagę na organizacje finansowe.

Przewidujemy dalszy wzrost udziału ataków na sektor bankowy przy jednoczesnym niewielkim spadku liczby ataków na portale społecznościowe.

Źródło:
Kaspersky Lab