Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w III kwartale 2012 r.

Tagi:

Daria Gudkowa
Ekspert z Kaspersky Lab

Maria Namiestnikowa
Ekspert z Kaspersky Lab

Kwartał w liczbach

  • W trzecim kwartale odsetek spamu w całym ruchu pocztowym zmniejszył się o 2,8 punktu procentowego i wynosił 71,5%.
  • Udział wiadomości e-mail ze szkodliwymi załącznikami zwiększył się o 0,9 punktu procentowego i wynosił 3,9%.
  • 27% ataków phishingowych zostało przeprowadzonych na portalach społecznościowych.
  • 26,7% całego spamu pochodziło ze Stanów Zjednoczonych.

Znak czasów: polityka i religia w spamie

Najpopularniejszą osobą w minionych trzech miesiącach był Barack Obama, prezydent Stanów Zjednoczonych. Jego nazwisko pojawiało się w e-mailach o przeróżnych tematach: od typowych reklam „zegarków, takich samych jak nosi prezydent” po oskarżenia administracji prezydenta wzywające obywateli amerykańskich do przeciwstawienia się polityce obecnej głowy państwa (z reguły wiadomości tego typu zawierały również prośby o datki na fundusz). Oszukańcze i szkodliwe wiadomości e-mail wykorzystujące nazwisko amerykańskiego prezydenta również były wykrywane.

 

Pod koniec września liczba angielskojęzycznych wysyłek wzywających amerykańskich obywateli do zmiany kierunku polityki państwa wzrosła. Z pewnością miało to związek z osiągnięciem punktu krytycznego przez kampanię wyborczą: data wyborów prezydenckich w Stanach Zjednoczonych została wyznaczona w tym roku na 6 listopada 2012 r. Polityczne e-maile zawierały zarówno krytykę działań Baraka Obamy, jak i wzywały odbiorców do głosowania na Mitta Romneya.

 

Należy zauważyć, że w Stanach Zjednoczonych, zgodnie z ustawą z 2003 roku CAN-SPAM Act, za spam uznaje się jedynie komercyjne wysyłki (tj. reklamy), do których nie należą masowe wysyłki polityczne.

Również oszuści wykorzystali popularność Baracka Obamy do własnych celów. Oszukańcze wiadomości żerowały nie tylko jego osobie, ale również jego żonie - Michelle Obamie. Wysyłając e-maile pochodzące rzekomo od Pierwszej Damy, nigeryjscy scammerzy próbowali zdobyć zaufanie odbiorców: w e-mailach od Michelle Obamy obiecywali miliony dolarów każdemu, kto wyśle „jej” swój adres, numer telefonu i 240 dolarów.

 

Oprócz polityki innym powszechnym tematem spamu w III kwartale 2012 r. była religia. To właśnie za pośrednictwem spamu rozprzestrzeniany był odsyłacz do umieszczonego w serwisie YouTube skandalicznego i kontrowersyjnego filmu pt. „The Innocence of Muslims”. Szkodliwi użytkownicy często wykorzystują zainteresowanie gorącymi tematami, dodając do tego typu e-maili odsyłacze do szkodliwych zasobów. Jednak w tym przypadku zawarte w e-mailach odsyłacze prowadziły bezpośrednio do serwisu YouTube i żadne szkodliwe programy nie były rozprzestrzeniane za pośrednictwem wysyłki spamowej.

 

Mimo to, nie zabrakło szkodliwych użytkowników, którzy próbowali wykorzystać kontrowersję wokół filmu na swoją korzyść, wysyłając szkodliwe wiadomości e-mail, w których kusili użytkowników odsyłaczami prowadzącymi rzekomo do najnowszych wiadomości na ten temat:

 

Odsyłacze w tej wiadomości prowadziły na zhakowaną stronę, która następnie przekierowywała do szkodliwego zasobu pillsearnings.nl. Była to ta sama strona docelowa co ta, która pojawiła się w wysyłce wykorzystującej nazwisko amerykańskiego prezydenta i dotyczącej nadchodzących wyborów:

Nowe nośniki reklam: wady i zalety

Spadek udziału spamu

W drugim kwartale 2012 roku zauważyliśmy, że reklamy zaczynają przenosić się ze spamu na inne nośniki: reklamy banerowe, portale społecznościowe, reklama kontekstowa oraz serwisy zakupów grupowych. W III kwartale 2012 r. trend ten utrzymał się, a udział spamu w całym ruchu pocztowym zmniejszył się o kolejne 2,8 punktów procentowych.

Powyższy wykres ilustruje typowy spadek ilości spamu z okresie letnim, po którym we wrześniu ma miejsce charakterystyczny wzrost. Jesienny wzrost występuje prawie każdego roku, ponieważ wraz z końcem letnich wakacji ludzie wznawiają rutynowe zachowania dotyczące korzystania z internetu, a reklamodawcy próbują wypuścić więcej reklam, w tym również za pomocą spamu. Mimo to nadal widoczna jest wyraźna tendencja spadkowa w ilości spamu.

„Szare strefy”

W internecie można znaleźć wiele serwisów kuponowych i zniżkowych, oferujących użytkownikom tzw. zniżki grupowe. Serwisy te wykorzystują popyt na całym świecie i odwodzą reklamodawców od spamu. Z jednej strony jest to pozytywny proces. Z drugiej strony jednak, nie wszystkie z tych serwisów rozsyłają własne reklamy w sposób zgodny z przepisami prawa. W efekcie, obserwujemy pojawienie się tzw. „szarych stref” w odniesieniu do spamu.

Niektóre serwisy kuponowe rozsyłają spam w celu promowania się i przyciągnięcia nowych klientów. Część ich wysyłek jest kierowanych do zarejestrowanych użytkowników jak również do znacznie szerszej bazy adresów. A zatem, jeżeli odbiorca nie jest zarejestrowanym użytkownikiem, wtedy wysyłka stanowi spam, nawet jeśli zawiera wiadomości, artykuły tematyczne lub wszelkie inne istotne informacje obok jawnej reklamy. Co więcej, ponieważ niemal wszystkie państwa posiadają przepisy prawne, a nawet określone ustawy o spamie, tacy reklamodawcy mogą zostać pociągnięci do odpowiedzialności sądowej.

Innymi słowy, niemal każdy może wytoczyć sprawę nieuczciwemu reklamodawcy rozsyłającemu spam. O ile w przypadku klasycznego spamu, gdzie mamy do czynienia z anonimowym nadawcą, zidentyfikowanie i pociągnięcie do odpowiedzialności winnego reklamodawcy może okazać się trudne, proces ten jest znacznie prostszy w sytuacjach “szarej strefy”.

Szkodliwe oprogramowanie pod przykrywką serwisów kuponowych

Spamerzy wykorzystują rosnącą popularność nowych legalnych nośników reklamy. Głównie robią to poprzez wysyłanie szkodliwych wiadomości e-mail imitujących oficjalne powiadomienia. Kaspersky Lab odnotowuje wzrost ilości szkodliwego spamu, który wygląda jak powiadomienia z serwisów kuponowych.

Problem wykorzystywania kuponów w spamie został już opisany w poprzednim raporcie Kaspersky Lab (dla II kwartału 2012 r.). Do ponownego zajęcia się zjawiskiem spamu kuponowego skłoniło pojawienie się w ruchu spamowym szkodliwych wysyłek podszywających się pod e-maile od znanego serwisu kuponowego Groupon.

Eksperci z Kaspersky Lab spodziewali się tego rodzaju spamu, ponieważ kupony stały się bardzo popularne wśród użytkowników internetu i dodatkowo cieszą się ich zaufaniem. Dlatego też e-mail z serwisu kuponowego stanowi idealną przykrywkę dla szkodliwych użytkowników.

Pierwsza taka wysyłka została wykryta przez Kaspersky Lab w lipcu. E-mail został tak stworzony, aby wyglądał na powiadomienie o nowej promocji popularnego serwisu kuponowego, i zawierał załączony plik ZIP o nazwie Gift coupon.exe – który był plikiem wykonywalnym. W rzeczywistości, plik ten zawierał szkodliwy program o nazwie Trojan.Win32.Yakes.aigd. Wszystkie odsyłacze w e-mailach ze szkodliwymi załącznikami prowadziły do strony Groupona, w której nie były zaszyte żadne szkodliwe obiekty. Najwyraźniej była to sztuczka szkodliwych użytkowników obliczona na zdobycie zaufania.

We wrześniu sytuacja była zupełnie inna. Kaspersky Lab zauważył, że nowe wysyłki wysłane rzekomo przez Groupona nie zawierały załącznika, ale wszystkie odsyłacze w wiadomościach e-mail przekierowały odbiorców do szkodliwego zasobu online zawierającego exploity.

 

Jak już wcześniej zauważyliśmy, pojawienie się szkodliwego spamu kuponowego nie było żadną niespodzianką, ponieważ serwisy te stają się coraz popularniejsze. W związku z tym nasi eksperci przygotowali specjalne zalecenia dla użytkowników:

Przede wszystkim, serwisy kuponowe nigdy nie załączają załączników w swoich e-mailach – zwłaszcza w postaci pliku ZIP lub pliku wykonywalnego.

Po drugie, użytkownicy mogą i zawsze powinni upewnić się, że e-mail, który rzekomo został wysłany przez dobrze znany serwis, posiada przynajmniej poprawną nazwę nadawcy w polu OD, a wszystkie odsyłacze prowadzą do strony, do której mają prowadzić (można sprawdzić to, najeżdżając myszką na odsyłacz).

Więcej przydatnych porad Kaspersky Lab można znaleźć w artykule „Oszustwa internetowe oraz jak się przed nimi bronić: poradnik dla opornych” (http://www.viruslist.pl/analysis.html?newsid=642).

Różnorodność w szkodliwych wysyłkach

Należy zauważyć, że w minionym kwartale Kaspersky Lab odnotował ogromną różnorodność szkodliwych wysyłek. Niemal wszystkie z nich podszywały się pod oficjalne powiadomienia: nasz ruch spamowy obejmował fałszywe listy z serwisów hostingowych, systemów bankowych, portali społecznościowych, sklepów internetowych oraz innych serwisów.

 

Wcześniej większość szkodliwych użytkowników preferowała fałszywe powiadomienia o potwierdzeniu biletów lotniczych. Obecnie ulubionym kamuflażem stają się powiadomienie o potwierdzeniu rezerwacji hotelowej.

 

W niektórych przypadkach szkodliwi użytkownicy łączą dwie taktyki socjotechnicze: w celu skłonienia użytkowników do kliknięcia odsyłaczy wysyłane przez nich fałszywe powiadomienia, pochodzące rzekomo z dobrze znanych źródeł, kuszą niekiedy darmowymi prezentami.

 

Biorąc pod uwagę liczbę i jakość fałszywych wiadomości e-mail zawierających szkodliwe załączniki, użytkownicy internetu muszą wykazać się jak największą ostrożnością: obecnie każda wiadomość e-mail może stanowić zagrożenie!

Statystyki

Szkodliwe załączniki w wiadomościach e-mail

Mimo że w ciągu wszystkich ostatnich trzech miesięcy ubiegłego kwartału odsetek szkodliwych załączników w ruchu e-mail zmniejszył się, pod koniec kwartału średni odsetek wiadomości e-mail zawierających szkodliwy załącznik zwiększył się o 0,9 punktu procentowego w porównaniu z poprzednim kwartałem i wynosił ostatecznie 3,9%. Poniższy wykres ilustruje tę tendencję zniżkową w poszczególnych miesiącach.


Odsetek szkodliwych załączników w ruchu pocztowym, III kwartał 2012 r.

Wykrywanie spamu według państwa

Najbardziej znaczącą zmianą na liście Top 10 krajów, w których wykrywano najwięcej spamu w III kwartale, był niespodziewany awans Niemiec na pierwsze miejsce (+3,8 punktu procentowego).

 
Rozkład wykrytego spamu według państwa w III kwartale 2012 r.

Stany Zjednoczone, które znajdowały się na pierwszym miejscu przez osiem miesięcy z rzędu, we wrześniu niespodziewanie spadły na 8 pozycję, co wpłynęło na ostateczne wyniki kwartału. W efekcie, odsetek spamu wykrytego w Stanach Zjednoczonych zmniejszył się o 5,2 punktu procentowego w porównaniu z drugim kwartałem i państwo to zajęło drugie miejsce, tuż za Niemcami.

Odsetek spamu wykrytego w Wielkiej Brytanii spadł o 1,7 punktu procentowego (5 miejsce), natomiast ilość spamu we Włoszech zmniejszyła się o 1,6 proc., przez co państwo to całkowicie wypadło z pierwszej dziesiątki. Odsetek spamu wykrytego w pozostałych krajach z listy Top10 nie przekracza 1,5%. Dość interesujące są zmiany w rozprzestrzenianiu się szkodliwego kodu w Wietnamie i Australii, ponieważ na przestrzeni ostatnich trzech miesięcy kształtowały się niemal dokładnie tak samo.

 
Odsetek spamu wykrytego w Australii i Wietnamie: lipiec-wrzesień 2012 r.

Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail

Mimo że Trojan-Spy.HTML.Fraud.gen odnotował spadek pod koniec września, zagrożenie to zdołało uplasować się na pierwszym miejscu w III kwartale, pozostawiając inne szkodliwe programy daleko w tyle. Trojan ten stanowił ponad jedną piątą wszystkich szkodliwych programów wykrytych w poczcie e-mail w III kwartale 2012 r. Jest to szkodliwy program wykonywany jako strona HTML z formularzem rejestracyjnym pochodzącym rzekomo od organizacji finansowej lub serwisu online innego typu. Wprowadzane w pola dane rejestracyjne są przesyłane szkodliwym użytkownikom. Wykorzystanie tego konkretnego szkodnika jest zaledwie jedną z taktyk stosowanych przez phisherów.

 
Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w III kwartale 2012 r.

Robaki pocztowe Bagle.gt, Mydoom.m i Mydoom.I zajęły odpowiednio drugie, trzecie i czwarte miejsce, podczas gdy Netsky.q spadł na szóstą pozycję. Czytelnicy być może przypominają sobie, że standardową funkcją tego robaka pocztowego jest zbieranie adresów e-mail z zainfekowanego komputera i wysyłanie na nie spamu. Spośród tych czterech robaków Bagle.gt jest jedynym wyposażonym w dodatkową funkcję łączenia się z internetem w celu pobrania innych szkodliwych programów na zainfekowany komputer.

Rodzina Androm, która po raz pierwszy pojawiła się w rankingu Top 10 w lipcu, utrzymała swoją pozycję przez całe lato, a jedna z modyfikacji szkodników z tej rodziny (Androm.kv) zajęła we wrześniu pierwsze miejsce. W ogólnej klasyfikacji dla całego III kwartału modyfikacja ta uplasowała się na 5 pozycji. Inny przedstawiciel tej rodziny zajął 10 miejsce. Po zainstalowaniu się na komputerach ofiar zagrożenia te pobierają do systemu inne szkodliwe programy, łącznie ze spambotami.

Na siódmym miejscu znalazł się Trojan-Ransom.Win32.PornoAsset.aauh. Jest to trojan szantażysta, który blokuje system operacyjny i żąda od użytkownika zapłaty za odblokowanie. Programy te należały do najbardziej znanych we wrześniu: cztery szkodliwe programy w rankingu Top 10 w pierwszym miesiącu jesieni stanowiły modyfikacje z tej rodziny.

Rozmiar wiadomości spamowych


Rozmiar wiadomości spamowych w III kwartale 2012 r.

W trzecim kwartale 2012 r. wiadomości spamowe posiadały na ogół dość niewielki rozmiar (1 KB lub mniej). Z reguły treść tych e-maili składa się z jednego krótkiego zdania i odsyłacza do strony internetowej, który – jak oczekuje spamer – ma zostać kliknięty przez odbiorcę. We wrześniu zarejestrowaliśmy wzrost liczby dużych e-maili (2-5 KB). Wynika to z tego, że jesienią zazwyczaj zwiększa się ilość spamu zamawianego przez małe i średnie przedsiębiorstwa, który zwykle jest bogatszy w informacje. Spam wysyłany w ramach programów partnerskich na pewno będzie zawierał odsyłacz, ponieważ dochody spamera zależą od liczby kliknięć pochodzących z wysyłanych przez niego wiadomości.

Źródła spamu wedlug państwa i regionu

W III kwartale 2012 r. znacząco wzrósł odsetek wiadomości spamowych wysyłanych z Chin i Stanów Zjednoczonych (o odpowiednio +6,7 i +15 punktów procentowych). Te dwa państwa odpowiadały w sumie za ponad połowę całego spamu na świecie.

Udział innych państw zmniejszył się bardziej lub mniej proporcjonalnie.

 
Źródła spamu według państwa, III kwartał 2012 r.

Spam pochodzący z Chin był wysyłany głównie do regionu Azji Pacyficznej, Australii i Europy Zachodniej, podczas gdy spam pochodzący ze Stanów Zjednoczonych był aktywnie wysyłany na kontynent amerykański, do regionu Azji Pacyficznej i Australii. Jeżeli chodzi o Europę, największa ilość spamu pochodziła z Indii i Wietnamu. Głównym celem indyjskiego spamu była Europa Zachodnia, gdzie państwo to zajęło drugie miejsce w rankingu Top 10 źródeł spamu.

Jeżeli chodzi o regiony, z których pochodziło najwięcej spamu, znaczny wzrost (+15 punktów procentowych) za sprawą Stanów Zjednoczonych odnotował region Ameryki Północnej, natomiast udział Azji utrzymał się na wysokim poziomie – niemal połowa spamu była wysyłana z komputerów w tym regionie. Europa Zachodnia wyprzedziła Europę Wschodnią, zajmując czwarte miejsce i zbliżając się do Ameryki Łacińskiej.

 
Źródła spamu według regionu, III kwartał 2012 r.

Phishing

 
100 firm najczęściej atakowanych przez phisherów według kategorii w III kwartale 2012 r.

Ranking ten opiera się na danych dotyczących wykrycia ataków przez moduły antyphishingowe wbudowane w oprogramowanie Kaspersky Lab za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.

Pod koniec kwartału portale społecznościowe znalazły się na szczycie rankingu Top 100 firm najczęściej atakowanych przez phisherów, stanowiąc cel 26,5% wszystkich ataków - o 0,6 punktu procentowego więcej niż w poprzednim kwartale. Na drugim miejscu znalazły się organizacje finansowe, które stanowiły cel 22% wszystkich ataków phishingowych, co stanowi spadek o 1,6 punktu procentowego w porównaniu z drugim kwartałem.

Mimo niewielkiej liczby ataków phishingowych na gry online w ciągu ostatnich trzech miesięcy Kaspersky Lab zarejestrował wysyłki, których celem była kradzież danych zarejestrowanych użytkowników z serwisu battle.net. Wskazuje to na ponowne zainteresowanie kontami dotyczącymi gry Blizzard spowodowane niedawną premierą WoW: Mists of Pandaria.

Wnioski i prognozy

W III kwartale 2012 r. eksperci z Kaspersky Lab zarejestrowali liczne wysyłki o tematyce politycznej, których liczba rosła aż do wyborów prezydenckich w Stanach Zjednoczonych 6 listopada. Zwiększyła się również liczba szkodliwych wysyłek żerujących na zainteresowaniu użytkowników tym wydarzeniem.

Rezygnowanie przez reklamodawców z wykorzystywania spamu na rzecz innych nośników spowodowane jest częściowo wzrostem kryminalizacji spamu – duża liczba reklam dotyczy zakazanych produktów – jak również oszukańczych i szkodliwych wiadomości e-mail. Na przestrzeni minionego roku eksperci z Kaspersky Lab zaobserwowali dwa równoległe trendy: spadek odsetka spamu oraz nieznaczny wzrost odsetka szkodliwych wysyłek. Prawdopodobnie oba trendy utrzymają się, ponieważ odsetek spamu zmniejsza się ze względu na to, że osoby reklamujące legalne towary i usługi zaczynają wykorzystywać inne nośniki.

Jeżeli chodzi o źródła niechcianych wiadomości, ilość spamu pochodzącego ze Stanów Zjednoczonych znacznie wzrosła, jednak prawdopodobnie nie utrzyma się na tak wysokim poziomie i nieznacznie spadnie w przyszłym kwartale. Azja nadal stanowi region, z którego pochodzi większość spamu na świecie.