Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w maju 2014 r.

Tagi:

Przed nadejściem lata spamerzy oferowali swoim potencjalnym klientom sadzonki i nasiona ogrodnicze. Ponadto, angielskojęzyczny spam świąteczny w maju był związany z Dniem Matki – spamerzy wysyłali reklamy oferujące kwiaty i słodycze. 

Świąteczny spam dla mam

Jak zwykle, przed obchodami Dnia Matki w maju spamerzy mieli ręce pełne roboty, rozsyłając reklamy kwiatów oraz słodyczy jeszcze przed nadejściem tego święta. Aby zdobyć uwagę odbiorcy, temat e-maila zawierał nazwę święta, natomiast w treści wiadomości znajdowały się kolorowo „przystrojone” obietnice hojnych rabatów oraz szybkiej dostawy.     

may-2014_spam-report_en1_sm.jpg

Jednak zamiast do reklamowanych stron większość odsyłaczy zawartych w tych e-mailach przekierowywało użytkownika do całkowicie innych stron. Użytkownicy trafiali na nowo utworzone domeny, które pojawiały się nie tylko w odsyłaczach w treści wiadomości, ale również jako nazwa domeny serwera w adresie nadawcy. Niektóre wiadomości e-mail zawierały również odsyłacz, za pomocą którego odbiorcy mogli rzekomo zrezygnować z dalszego mailingu. W rzeczywistości, odsyłacz ten był wykorzystywany do gromadzenia adresów e-mail użytkowników i wysyłania im nowych wiadomości spamowych.   

Spam dla ogrodników

Nie jest tajemnicą, że Amerykanie uwielbiają swoje ogrody, a ogrodnictwo stanowi jedno z najpopularniejszych hobby w tym kraju. Gdy lato zbliżało się wielkimi krokami, spamerzy zaczęli rozprzestrzeniać więcej ofert nasion trawników i kwiatów, a także jagód i owoców. Potencjalnych klientów wabili na takie frazy jak: „specjalny”, „oferta limitowana”, oraz na oferty otrzymania jednej rośliny za darmo przy zakupie dwóch. Wiadomości te zawierały kolorowe zdjęcia i odsyłacze. Co ciekawe, większość domen, do których prowadziły te odsyłacze, zostały stworzone niecały tydzień przed rozpoczęciem masowej wysyłki.     

may-2014_spam-report_en2_sm.jpg

Dyplomy i stopnie naukowe

W maju natrafiliśmy na wiele wysyłek reklamujących szkoły i uczelnie wyższe, które oferowały naukę na odległość. Pojawiły się również wysyłki, w których spamerzy zachęcali odbiorców, aby po prostu kupili dyplom. W zamian musieli jedynie przekazać datek na kościół, który oficjalnie przyznałby następnie ofiarodawcy tytuł doktora honoris causa.  

may-2014_spam-report_en3_sm.jpg

W Niemczech tylko uniwersytety i instytucje szkolnictwa wyższego mają uprawnienia do nadawania doktoratów. Sytuacja zmienia się nieco w przypadku tzw. tytułów doktora honoris causa, które są przyznawane w imieniu kościoła. Chociaż uzyskanie tego tytułu nie oznacza żadnych osiągnięć naukowych czy napisania rozprawy, w reklamach usług pojawiających się w wiadomościach spamowych wykorzystywane były zdjęcia studentów oraz inne elementy uniwersyteckie.  

may-2014_spam-report_en4.jpg

Pojawiło się również wiele ofert pomocy studentom w spłacie pożyczki studenckiej. Wiadomości te nakłaniały odbiorców do kliknięcia odsyłacza prowadzącego do strony, na której znajdą ogłoszenia organizacji rekrutujących wolontariuszy i personel do pracy dla instytucji non-profit. W Stanach Zjednoczonych można zapisać się do udziału w programach rządowych, które oferują kredyty osobom wykonującym pewien rodzaj pracy na rzecz społeczności, z kolei kredyty te mogą skompensować pożyczki studenckie. Jednak wysyłki nie pochodziły z oficjalnego źródła, a z nieznanych kont, które regularnie zmieniają swoje adresy e-mail. Odsyłacze zawarte w tych wiadomościach prowadziły do nowo utworzonych stron internetowych, które nakłaniały użytkowników do podania swoich danych osobistych.       

may-2014_spam-report_en5_sm.jpg

Aby wzbudzić zainteresowanie odbiorcy, tego rodzaju wiadomości zawierały często osobisty apel: „Nadal nie możesz spłacić swojej pożyczki studenckiej? Znalazłem dla ciebie interesujący program, o którym z pewnością warto przeczytać. Pomoże ci znacznie zmniejszyć twoje miesięczne opłaty.”

Ubezpieczanie dla każdego przed wszystkim

Kolejnym popularnym tematem w badanym miesiącu było ubezpieczenie przed różnymi wypadkami losowymi, głównie ubezpieczenie na życie, aczkolwiek pojawiły się również oferty ubezpieczenia samochodu. 

may-2014_spam-report_en6_sm.jpg

Celem tych wysyłek było przekierowanie użytkowników na strony, gdzie mogli porównać koszty ubezpieczenia różnych ubezpieczycieli i wybrać najkorzystniejsze warunki. W innych przypadkach, odsyłacze w e-mailach prowadziły do strony spamerów, na której odwiedzającemu oferowano szeroki wybór różnego rodzaju ubezpieczeń, firm i programów. Po dokonaniu wyboru i kliknięciu jednej z proponowanych opcji, użytkownik wchodził do innego zasobu. Odsyłacze w wiadomościach mogły również prowadzić do strony reklamującej konkretną firmę ubezpieczeniową; zwykle była to niedawno założona firma średniego rozmiaru.      

may-2014_spam-report_en7_sm.jpg

Nietypowym rodzajem oferty ubezpieczenia, ograniczonej jedynie do angielskojęzycznego spamu, było ubezpieczenie na wypadek pochówku. W rzeczywistości jest to rozszerzona wersja ubezpieczenia na życie: większa składka ubezpieczeniowa oznacza, ze polisa ubezpieczeniowa pokrywa usługi pogrzebowe na wypadek nagłej śmierci. W maju takie wiadomości przychodziły w formie obrazów zawierających odsyłacz prowadzący do strony firmy ubezpieczeniowej. Odsyłacze te różniły się w zależności od e-maila, zawsze jednak opierały się na różnych domenach zarejestrowanych przez spamerów na krótko przed rozpoczęciem wysyłki.    

may-2014_spam-report_en8_sm.jpg

Odsetek spamu w ruchu e-mail

may-2014_spam-report_en9_sm.jpg
Odsetek spamu w ruchu e-mail

Odsetek spamu w ruchu e-mail w maju wynosił średnio 69,8%, czyli o 1,3 punktu procentowego mniej niż w kwietniu. Najwyższy poziom spamu odnotowano w trzecim tygodniu miesiąca (72,1%), najniższy natomiast w połowie miesiąca (69%).      

Szkodliwe załączniki w wiadomościach e-mail

Wykres poniżej pokazuje 10 szkodliwych programów najczęściej rozprzestrzenianych w maju za pośrednictwem poczty e-mail.

may-2014_spam-report_en10_sm.jpg
Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail

Po raz kolejny na pierwszym miejscu znajduje się Trojan-Spy.HTML.Fraud.gen. Zagrożenie to występuje jako strona phishingowa i wysyła wiadomości e-mail podszywające się pod ważne powiadomienie z banku, sklepu internetowego oraz innych serwisów.

W maju przedstawiciele rodziny Bublik zajmowały 2, 3, 5, 7 i 10 miejsce. W poprzednim miesiącu do grupy tej należało osiem na 10 szkodliwych programów. Ich główną funkcją jest nieautoryzowane pobieranie i instalowanie nowych wersji szkodliwego oprogramowania na komputerach ofiary. Po wykonaniu tego zadania program nie pozostaje aktywny: kopiuje się do pliku %temp% imitującego aplikację lub dokument Adobe. Trojan.Win32.Bublik.cpik oraz Trojan.Win32.Bublik.cpil pobierają niesławnego szkodnika ZeuS/Zbot. Chociaż szkodnik ten potrafi wykonywać wiele szkodliwych działań, najczęściej jest wykorzystywany do kradzieży informacji bankowych. Potrafi również instalować szkodliwy program o nazwie CryptoLocker, który szyfruje dane użytkowników i żąda okupu w zamian za ich odszyfrowanie.       

Na czwartym miejscu znalazł się Trojan-Banker.Win32.ChePro.ilc, trojan bankowy, którego celem są klienci banków brazylijskich. Jak każdy szkodnik tego typu kradnie informacje i hasła bankowe.

Dziewiąte miejsce zajął Trojan.Win32.Pakes.agxu, oprogramowanie szpiegujące, które przechwytuje uderzenia klawiszy, gromadzi zrzuty ekranu z komputerów ofiar i wysyła przechwycone informacje na adresy e-mail przestępców.

may-2014_spam-report_en11_sm.jpg
Rozkład wykryć szkodliwych programów w poczcie e-mail według państwa

Wielka Brytania stanowiła państwo o największym odsetku wykryć szkodliwego oprogramowania w poczcie  e-mail (13,5%, o 3,5 punktu procentowego więcej niż w kwietniu). Stany Zjednoczone spadły na drugie miejsce. Niemcy (8,2%) utrzymały się na trzeciej pozycji.    

Nowość w majowym rankingu Top 20 stanowiła Kolumbia (1,83%), Rosja natomiast wypadła z zestawienia.  

Odsetek wykryć szkodliwego oprogramowania w poczcie e-mail w innych krajach nie zmienił się znacząco.

Cechy specjalne szkodliwego spamu

Temat ubezpieczeniowy pojawiał się nie tylko w reklamie spamowej – był również wykorzystywany w masowych wysyłkach rozprzestrzeniających szkodliwe załączniki. Trafiliśmy na przykład na niemieckojęzyczne wiadomości o temacie „You have not paid your monthly premium" (tłum. Nie zapłaciłeś miesięcznej składki) zawierające ostrzeżenie, że w następnym miesiącu stopa procentowa ulegnie zmianie. Wiadomości te zawierały odsyłacz do rzekomo bardziej szczegółowych informacji i po kliknięciu go przez odbiorcę na komputer pobierało się archiwum ZIP o nazwie ‘Dokumentation’ (dokumentacja) lub ‘Rechnung’ (rachunek). W obu przypadkach archiwum zawierało szkodliwe oprogramowanie o nazwie Backdoor.Win32.Androm.dsqy. Ten członek rodziny Andromeda jest backdoorem, który potrafi kontrolować zainfekowane komputery, pozostając niezauważonym. Zainfekowane komputery często stają się częścią botnetu.         

may-2014_spam-report_en12_sm.jpg

W maju osoby atakujące wysyłały fałszywe powiadomienia w imieniu popularnego sklepu iTunes Store. Odbiorca został poinformowany o rzekomym zakupie aplikacji; w wiadomości wymieniono nawet nazwę produktu i cenę. Załączony plik, który rzekomo stanowił fakturę, zawierał w rzeczywistości szkodliwy program o nazwie Trojan-Banker.Win32.Shiotob.f. Ta rodzina trojanów kradnie hasła przechowywane w klientach FTP i monitoruje ruch przeglądarki w celu przechwycenia szczegółów dotyczących logowania.  

may-2014_spam-report_en13_sm.jpg

Klienci firmy energetycznej E.ON, która wytwarza i dostarcza prąd i ogrzewanie w wielu państwach, również stali się celem podobnego oszustwa. E-mail z logo tej firmy wysłany w imieniu E.ON posiadał następującą treść: „Informujemy, że nie mogliśmy przetworzyć twojej ostatniej płatności. Szczegóły w załączniku”. Załączone archiwum zawierało szkodliwy program o nazwie Trojan-Spy.Win32.Zbot.svvs, przedstawiciela popularnej rodziny Zbot, której celem jest kradzież danych osobistych, zwłaszcza informacji bankowych.   

may-2014_spam-report_en14_sm.jpg

Phishing

W maju na pierwszym miejscu zestawienia organizacji będących najczęstszym celem phisherów znajdowała się kategoria „Wiadomości e-mail i wyszukiwarki” (32,2%), która odnotowała niewielki wzrost, o 0,5 punktu procentowego, w stosunku do poprzedniego miesiąca. Na drugiej pozycji znalazły się Portale społecznościowe (23,9%) z Facebookiem na prowadzeniu. Na trzecim miejscu uplasowały się Organizacje finansowe i płatnicze (12,8%, o 0,2 punktu procentowego więcej niż w poprzednim miesiącu), za którymi znalazły się Sklepy internetowe (12,1%), których udział również wzrósł o 0,2 punktu procentowego w stosunku do kwietnia. Odsetek ataków na dostawców usług telefonicznych i internetowych zmniejszył się o 0,4 punktu procentowego w porównaniu z poprzednim miesiącem.           

may-2014_spam-report_en15_sm.jpg
Rozkład Top 100 organizacji atakowanych przez phisherów według kategorii

Ranking ten opiera się na werdyktach komponentu antyphishingowego firmy Kaspersky Lab, aktywowanego za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w spamie czy na stronie internetowej.   

Fałszywe powiadomienia o faksie są często wysyłane przez oszustów w celu zainstalowania na komputerach użytkowników różnego rodzaju szkodliwego oprogramowania. W maju trafiliśmy na fałszywe powiadomienie wysłane rzekomo w imieniu Urzędu Podatkowego Afryki Południowej. Załącznik nie zawierał wprawdzie szkodliwego pliku, krył jednak phishingową stronę HTML. Osoby atakujące próbowały przekonać odbiorcę, aby podał w formularzu swoje dane dotyczące karty bankowej pod pretekstem zwrotu nadpłaconego podatku. Aby strona wyglądała na legalną, oszuści wykorzystali logo Serwisu, a w polu „Od” podali nie tylko nazwę organizacji rządowej, ale również jej oficjalny adres - sars.gov.za – jako nazwę domeny serwera.      

may-2014_spam-report_en16_sm.jpg

Wnioski

W maju odsetek spamu w globalnym ruchu e-mail zmniejszył się o 1,3 punktu procentowego i wynosił średnio 69,8%. 

Sezon wakacyjny i koniec roku szkolnego spamerzy wykorzystali do rozprzestrzeniania spamu o tematyce turystycznej reklamującego różne pomysły na letnie wakacje dla dzieci, oferty pomocy w nauce akademickiej oraz propozycje zakupienia dyplomów uczelni wyższej. Również tego lata spodziewamy się corocznego wzrostu ilości spamu turystycznego przed sezonem wakacyjnym.   

Dzień Matki był aktywnie wykorzystywany w angielskojęzycznym spamie do reklamowania różnych upominków. Kolejnym popularnym tematem w badanym miesiącu było ubezpieczenie. Większość rosyjskojęzycznych reklam oferowało ubezpieczenie samochodu, podczas gdy w angielskojęzycznym segmencie było to głównie ubezpieczenie na życie.

Na pierwszym miejscu listy szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem poczty e-mail po raz kolejny znalazł się Trojan-Spy.HTML.Fraud.gen. Majowy ranking zawierał mniej przedstawicieli rodziny Bublik – zaledwie pięć w porównaniu z ośmioma w kwietniu.     

W maju nie odnotowaliśmy znaczącej zmiany pod względem organizacji najczęściej atakowanych przez phisherów. Na pierwszym miejscu znalazła się kategoria Wiadomości e-mail i wyszukiwarki internetowe (32,2%), na drugim natomiast Portale społecznościowe (23,9%). Pierwszą trójkę zamknęły organizacje finansowe i płatnicze (12,8%).