Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam i phishing w II kwartale 2015 r.

Tagi:

Spam: cechy niechcianych wiadomości w badanym kwartale

Domeny „zaszumiające”

Przeanalizowaliśmy sytuację dotyczącą znacznego wzrostu liczby nowych stref domen jak również masowego generowania domen spamerów w tych strefach, w szczególności tych stworzonych w celu wysyłania nielegalnych masowych przesyłek. Dalsza analiza przesyłek spamowych pokazuje, że spamerzy nie tylko wykorzystują ogromną liczbę nowych domen, które mogą zmienić nawet w ramach jednej tematycznej wysyłki masowej, ale również różne sposoby ich implementacji w tekście. W I kwartale zarejestrowaliśmy na przykład różne przypadki domen „zaszumiających” w odsyłaczach wykorzystywanych w celu przekierowywania do zasobów spamowych, jak również przypadki zaciemnienia kodu w strukturze HTML wiadomości w masowej wysyłce.   

q2_spam_eng_1_auto.jpg

W wielu masowych wysyłkach spamerzy wykorzystali w odsyłaczach prowadzących do zasobów reklamowych nie nazwy domen a adresy IP stron. Podawali jednak zmodyfikowane adresy IP zamiast bezpośrednich, reprezentowane przy użyciu ósemkowego lub szesnastkowego systemu liczbowego, dodając losową liczbę zer na początku adresu. Nie zmieniło to adresu IP, ale zwiększyło liczbę możliwych wariantów jego reprezentacji (wariantów w ramach jednej masowej wysyłki), co, jak mieli nadzieję spamerzy, pomogłoby oszukać filtr spamowy. Takie alternatywne metody reprezentacji adresów IP były wykorzystywane przez spamerów zarówno w bezpośrednich odsyłaczach jak i „zaszumionych” przekierowaniach. 

q2_spam_eng_2_auto.jpg

Spamerzy wykorzystywali również zaszumione domeny. Na przykład, przedstawiali nazwę domeny przy pomocy zarówno wielkich jak i małych liter (NEEDHosT.niNjA), jak również wykorzystywali kilka różnych kodów w strukturze HTML wiadomości. Próbowali ukryć swoje domeny, zmieniając jeden ze znaków w nazwie strefy domeny na ten sam z innego kodu lub podobny. Przykładowo, domena mogła wyglądać tak: domainname.com, domainname.cⓞ     

 

q2_spam_eng_3_auto.jpg

Spamerzy często stosowali kilka metod zaszumiania w jednym e-mailu: wykorzystywali zarówno alternatywną reprezentację adresu IP lub zniekształcenie domeny jak również tradycyjny bezsensowny tekst „śmieciowy” w treści wiadomości w celu całkowitego ukrycia tematu spamowego wiadomości. 

Globalne wydarzenia w spamie „nigeryjskim”

W drugim kwartale 2015 r. listy „nigeryjskie” wykorzystywały temat trzęsienia ziemi w Nepalu, wyborów prezydenckich w Nigerii oraz olimpiady w Rio de Janeiro. Tragiczne wydarzenia szeroko relacjonowane przez media na świecie są zwykle wykorzystywane przez oszustów w celu zwabienia użytkowników, a przytaczane historie zmieniają się w niewielkim stopniu.

W e-mailu napisanym w imieniu prawnika, którego klient zmarł w Nepalu, oszuści poprosili odbiorcę, aby odegrał rolę krewnego ofiary i pomógł w uzyskaniu spadku po zmarłym w zamian za wynagrodzenie finansowe. W innych masowych wysyłkach oszuści rozprzestrzeniali e-maile w imieniu różnych organizacji, prosząc o pomoc dla ofiar trzęsienia ziemi. Na przykład, „przedstawiciel Czerwonego Krzyża” poprosił odbiorcę, aby pomógł zapewnić schronienie rodzinie uchodźców, która postanowiła przeprowadzić się do innego kraju i zainwestować tam swoje pieniądze. 

q2_spam_eng_4_auto.png

Ogólnie, adresy osób, które wysyłają listy „nigeryjskie” zostały zarejestrowane w darmowych serwisach e-mail, nawet jeśli autor e-maila był przedstawicielem organizacji, jak w przypadku opisanym wyżej. Jednak niektórzy oszuści wykazali się sprytem, starając się, aby nazwa i adres nadawcy wyglądały na bardziej legalne. Wysyłali fałszywe wiadomości proszące odbiorców, aby ofiarowali dobrowolny datek w ramach pomocy ofiarom trzęsienia ziemi w Nepalu.     

q2_spam_eng_5_auto.png

„Nigeryjczycy” nie przepuściliby żadnych ważnych wydarzeń politycznych. W jednej z masowych wysyłek oszuści próbowali skusić odbiorcę e-maila sumą 2 milionów dolarów, którą nowo wybrany prezydent Nigerii był rzekomo skłonny przelać mu tytułem rekompensaty za oszustwo popełnione przez obywateli jego państwa. 

q2_spam_eng_6_auto.png

Kolejna olimpiada odbędzie się dopiero w 2016 r., ale już teraz pojawiają się oszukańcze powiadomienia dotyczące wygranej na loterii związanej z tym popularnym wydarzeniem sportowym. Co ciekawe, duża liczba tego typu e-maili została wysłana przed mistrzostwami świata. Treść wiadomości jest standardowa: loteria została zorganizowana przez oficjalną organizację, adres odbiorcy został losowo wybrany spośród milionów adresów e-mail. W celu otrzymania wygranej trzeba było odpowiedzieć na wiadomość i podać określone informacje osobowe. 

q2_spam_eng_7_auto.png

Popularność wśród spamerów zdobywają e-maile, które zawierają w treści krótki tekst ze szczegółowymi informacjami dostarczonymi w załączonym pliku PDF lub DOC. Być może wynika to z tego, że e-mail z krótkim tekstem ma większe szanse przejść przez filtr spamowy i zostać uznany za legalny. E-maile z załączonymi plikami są szczególnie niebezpieczne, ponieważ użytkownik prawdopodobnie otworzy załącznik, aby zapoznać się z jego treścią, co może doprowadzić do infekcji szkodliwym oprogramowaniem.

Aktualizacja algorytmu wyszukiwarki Google

Kolejnym wydarzeniem wykorzystanym w spamie w drugim kwartale 2015 r. było opublikowanie standardowej aktualizacji algorytmu wyszukiwania Google. Zmieniła ona wyniki wyszukiwania internetowego w wersji mobilnej, tak aby strony dostosowane do telefonów komórkowych były wyświetlane na najwyższych pozycjach. 

q2_spam_eng_8_auto.jpg

Wiadomość ta spowodowała znaczny wzrost ilości spamu związanego z SEO oraz promocją stron. Spamerzy wysyłali oferty reklamujące tworzenie stron o dowolnym stopniu złożoności oraz w dowolnym celu, jak również usługi przyciągające nowych klientów. Podkreślali konieczność uaktualnienia strony poprzez wykorzystanie najnowszych funkcji popularnej wyszukiwarki. Właścicieli stron, którzy wciąż mieli wątpliwości, straszono, że znajdą się na ostatnich stronach w wynikach wyszukiwania Google i stracą potencjalnych klientów.    

Dane statystyczne

Odsetek spamu w ruchu e-mail

q2_spam_eng_9_auto.png

Odsetek spamu w ruchu e-mail, styczeń – czerwiec 2015 r.

Światowy spadek udziału spamu w ruchu e-mail od początku roku został niemal zatrzymany. W drugim kwartale 2015 r. poziom spamu ustabilizował się, wahając się pomiędzy 53,5% w kwietniu a 53,23% w czerwcu.

 

Źródła spamu według państwa

q2_spam_eng_11_auto.png

Państwa, które stanowiły źródła spamu, II kwartał 2015 r.

W drugim kwartale 2015 r. Stany Zjednoczone (14,59%) oraz Rosja (7,82%) nadal stanowiły największe źródła spamu. Na trzecim miejscu znalazły się Chiny, które odpowiadały za 7,14% globalnego spamu, w porównaniu z 3,23% w poprzednim kwartale. Na kolejnym miejscu uplasował się Wietnam (5,04% w porównaniu z 4,82% w pierwszym kwartale), Niemcy (4,13% w porównaniu z 4,39% w pierwszym kwartale) oraz Ukraina (3,90% w porównaniu z 5,56% w pierwszym kwartale).  

Rozmiary wiadomości spamowych

q2_spam_eng_12_auto.png

Rozkład rozmiarów wiadomości spamowych, I kwartał 2015 r. oraz II kwartał 2015 r.

Rozkład wiadomości e-mail według rozmiaru odnotował niewielkie zmiany w stosunku do poprzedniego kwartału. Na pierwszym miejscu znalazły się bardzo niewielkie wiadomości o rozmiarze do 2 KB (65,38%), chociaż odsetek takich e-maili stopniowo zmniejszał się (w I kwartale wynosił 73,99%). Udział wiadomości e-mail o rozmiarze 20-50 KB zwiększył się o 4,81 punktu procentowego i wynosił 8,80%, podczas gdy odsetek e-maili o rozmiarze 2 KB-5 KB (17,16%), 5-10 KB (3,32%) oraz 10-20 KB (2,94%) zwiększył się nieznacznie – w każdym przypadku o zaledwie 1 punkt procentowy.       

Szkodliwe załączniki e-mail

q2_spam_eng_13_auto.png

Top 10 szkodliwych programów wysyłanych za pośrednictwem poczty e-mail, II kwartał 2015 r.

Na pierwszym miejscu rankingu znalazł się Trojan-Spy.HTML.Fraud.gen. Jak pisaliśmy wcześniej, program ten stanowi fałszywą stronę HTML, która jest wysyłana za pośrednictwem poczty elektronicznej, imitując ważne powiadomienie z dużego banku komercyjnego, sklepu internetowego, od twórcy oprogramowania itd. Zagrożenie to ma postać phishingowej strony HTML, na której użytkownik musi podać swoje dane osobowe, które są następnie przesyłane cyberprzestępcom.

Drugie i trzecie miejsce zajmuje Trojan-Downloader.HTML.Agent.aax oraz Trojan-Downloader.HTML.Meta.as. Oba szkodniki stanowią strony HTML, które  po otworzeniu przez użytkownika przekierowują go na fałszywą witrynę. Tam ofiara zwykle trafia na stronę phishingową lub oferuje się jej pobranie Binbota – bota służącego do handlu opcjami binarnymi. Te dwa szkodliwe programy rozprzestrzeniają się za pośrednictwem załączników do wiadomości e-mail i jedyna różnica pomiędzy nimi dotyczy odsyłacza, który przekierowuje użytkowników na sfałszowane strony.    

Pierwszą trójkę zamyka Trojan.Win32.Fsysna.brtr. Jest to powszechny bot spamowy, który przekierowuje spam z centrum kontroli do serwera pocztowego w imieniu zainfekowanej maszyny. 

Na czwartym miejscu znajduje się Trojan-Banker.Win32.ChePro.ink. Downloader ten, który w zeszłorocznym rankingu uplasował się dopiero na szóstej pozycji, jest apletem CPL (komponentem panelu sterowania) pobierającym trojany stworzone w celu kradzieży poufnych informacji finansowych. Celem większości szkodliwych programów tego typu są banki brazylijskie i portugalskie.    

Tuż za nim uplasował się Trojan-PSW.Win32.Fareit.auqm. Trojany z rodziny Fareit kradną ciasteczka przeglądarek jak również hasła z klientów FTP i programów pocztowych, a następnie wysyłają te dane do zdalnego serwera utrzymywanego przez oszustów. 

Siódme i ósme miejsce zajmują downloadery z rodziny Upatre – odpowiednio Trojan-Downloader.Win32.Upatre.fbq oraz Trojan-Downloader.Win32.Upatre.fca, które zwykle ukrywają się pod postacią dokumentów PDF lub RTF. Ich główne zadanie polega na pobieraniu, rozpakowywaniu oraz uruchamianiu dodatkowych aplikacji.  

Na dziesiątym miejscu rankingu najpopularniejszych szkodliwych programów wysyłanych za pośrednictwem poczty e-mail w II kwartale znalazł się Exploit.MSWord.CVE-2014-1761.k. Jest to dokument Worda zawierający exploita, który wykorzystuje odpowiednią lukę w celu pobrania na komputer ofiary innych szkodliwych programów stworzonych w celu kradzieży danych osobistych użytkowników.   

Rodziny szkodliwego oprogramowania

W rankingu, w którym zamiast indywidualnych szkodników występują najpopularniejsze rodziny szkodliwego oprogramowania, na prowadzeniu znajduje się rodzina Upatre. Szkodniki z tej rodziny pobierają trojana bankowego Dyre (znanego również jako Dyreza, Dyzap). Lista organizacji finansowych zaatakowanych przez tego trojana zależy od pliku konfiguracyjnego, który jest ładowany z centrum kontroli.   

Rodzina MSWord.Agent zyskuje coraz większą popularność, chociaż w I kwartale zajmowała dopiero trzecie miejsce w rankingu. Te szkodliwe programy mają postać pliku DOC z osadzonym macro napisanym w języku Visual Basic for Applications (VBA), które uruchamia się w momencie otwierania dokumentu. Pobiera i uruchamia inne szkodliwe oprogramowanie, takie jak szkodniki z rodziny Andromeda.    

W II kwartale 2015 r. do pierwszej trójki powrócił ZeuS/Zbot. Celem szkodników z tej rodziny jest przeprowadzanie ataków na serwery oraz komputery użytkowników, jak również przechwytywanie danych. Chociaż ZeuS/Zbot potrafi przeprowadzać różne szkodliwe działania, najczęściej jest wykorzystywany do kradzieży informacji bankowych.

Potrafi również instalować CryptoLockera – szkodliwy program, który wyłudza pieniądze w zamian za odszyfrowanie zaszyfrowanych danych.

Państwa będące celem szkodliwych przesyłek reklamowych

q2_spam_eng_14_auto.png

Rozkład werdyktów wykrycia szkodliwego oprogramowania w poczcie e-mail według państwa, II kwartał 2015 r.

W drugim kwartale 2015 r. odnotowaliśmy znaczące zmiany w rankingu państw będących najczęstszym celem przesyłek reklamowych. Na szczycie rankingu w badanym okresie znalazły się Niemcy (19,59%), które w I kwartale uplasowały się dopiero na czwartej pozycji: co piąte wykrycie szkodliwego oprogramowania zostało zarejestrowane na terytorium tego państwa. Wielka Brytania, która znajdowała się na czele rankingu w pierwszym kwartale 2015 r., spadła na drugie miejsce (6,31%). Brazylia uplasowała się na trzeciej pozycji (6,04%).  

Na czwartym miejscu znalazły się Stany Zjednoczone (5,03%), które tradycyjnie stanowiły państwo będące najczęstszym celem szkodliwych przesyłek reklamowych.

Warto odnotować również fakt, że Rosja (4,74%), która w poprzednim kwartale uplasowała się dopiero na 10 miejscu, w II kwartale 2015 r. awansowała na piątą pozycję.

Cechy szczególne szkodliwego spamu

W II kwartale nadal obserwowaliśmy w ruchu spamowym szkodliwe wiadomości e-mail z wirusami makr, chociaż największe natężenie w ich rozprzestrzenianiu przypadło na poprzedni kwartał. Mimo spadku ich liczby nadal stanowiły poważne zagrożenie: wykryte przez nas makra należą do kategorii trojanów downloaderów, a ich celem jest pobieranie innych szkodliwych programów. Oszuści próbujący przekonać odbiorcę o legalności e-maili wysyłali swoje wiadomości pod pozorem korespondencji biznesowej, a szkodliwe załączniki kamuflowali jako dokumenty finansowe lub zamówienia.       

W niektórych wiadomościach e-mail osoby atakujące podawały dane kontaktowe nadawcy, umieszczały logo, aby e-mail wyglądał na bardziej oficjalny, i pobierały wskazany w wiadomości adres e-mail z pola „Od”. Dzięki temu oszukańczy e-mail wydawał się odbiorcy jeszcze bardziej wiarygodny.

W II kwartale 2015 r. trafiliśmy również na e-maile imitujące oficjalne powiadomienia z rzeczywistych firm, a osoby atakujące dopasowywały treść wiadomości do obszaru działalności firmy. Na przykład, e-maile w jednej z przesyłek masowych informowały użytkownika o rzekomej wiadomości tekstowej wysłanej przez firmę świadczącą usługi telekomunikacyjne. Odbiorcę poinformowano, że może przeczytać wiadomość, otwierając załącznik Microsoft Word, w rzeczywistości jednak wiadomość ta zawierała szkodnika Trojan-Downloader.VBS.Agent.amj.   

q2_spam_eng_15_auto.png

Kolejną sztuczką, która nadal jest popularna wśród cyberprzestępców specjalizujących się w wysyłaniu szkodliwego spamu, jest maskowanie wiadomości pod postacią powiadomień o otrzymaniu faksu lub skanu różnych dokumentów. Te fałszywe powiadomienia są pisane głównie w języku angielskim lub niemieckim, a załączniki imitujące pliki z faksami lub skanami zawierają różne rodzaje szkodliwego oprogramowania: Trojan.Upatre, Trojan.Downloader oraz HawkEyePHPLogger. Tekst w głównej części takich e-maili może być krótki lub, wprost przeciwnie, zawierać szczegółowe informacje dotyczące otrzymanego dokumentu.    

q2_spam_eng_16_auto.png

We wrześniu 2014 r. zarejestrowaliśmy szkodliwą wysyłkę masową zawierającą załącznik, który nie jest typowy dla spamu – archiwum w formacie ARJ. W 2015 r. oszuści nadal stosowali niekonwencjonalne archiwa w celu rozprzestrzeniania szkodliwego oprogramowania: w kwietniowym i majowym ruchu spamowym rozprzestrzeniane były załączniki do wiadomości w postaci archiwów o rozszerzeniu CAB i ACE, które nie są powszechnie spotykane w dzisiejszym spamie. Archiwa zawierały szkodniki: Trojan Trojan-Downloader.Win32.Cabby oraz HawkEye Keylogger. W przeciwieństwie do tak popularnych dla spamu rozszerzeń jak ZIP czy RAR, załączniki CAB czy ACE nie zawsze są rozpoznawane przez użytkowników, a tym samym wzbudzają mniej podejrzeń.       

q2_spam_eng_17_auto.png

W II kwartale 2015 r. oszuści rozprzestrzeniali szkodliwe pliki ZIP oraz APK jako załączniki w ramach jednej masowej wysyłki. O ile pliki ZIP można znaleźć w większości wiadomości spamowych, pliki APK można tam spotkać stosunkowo rzadko, ponieważ są to zarchiwizowane pliki wykonywalne aplikacji dla Androida. Archiwa ZIP zawierały trojana z rodziny Upatre, podczas gdy plik Check_Updatesj.apk był wykrywany jako trojan szyfrujący SLocker dla Androida: po uruchomieniu szkodnik ten szyfruje przechowywane na urządzeniu obrazy, dokumenty oraz pliki wideo. Następnie użytkownikowi wyświetlana jest wiadomość prosząca o zapłacenie za odszyfrowanie plików. Wysyłając szkodliwe oprogramowanie w załączonych szkodliwych plikach ZIP oraz APK w ramach jednej wysyłki masowej, oszuści być może sądzili, że mogą „złapać” nie tylko użytkowników komputerów PC, ale również właścicieli smartfonów oraz tabletów opartych na Androidzie pracujących z wiadomościami e-mail z tych urządzeń.   

q2_spam_eng_18_auto.png

Phishing

W II kwartale 2015 r. system antyphishingowy został aktywowany 30 807 071 razy na komputerach użytkowników produktów firmy Kaspersky Lab. W badanym okresie do baz danych Kaspersky Lab dodano 509 905 masek adresów URL stron phishingowych.

Przez kilka kwartałów z rzędu największy odsetek użytkowników, którzy stali się celem ataków phishingowych, znajdował się w Brazylii, chociaż w II kwartale 2015 r. ich liczba zmniejszyła się o połowę w porównaniu z poprzednim kwartałem. Ten sam trend dotyczący liczby ataków phishingowych został odnotowany w wielu innych państwach. 

q2_spam_eng_19_auto.png

Geografia ataków phishingowych*, II kwartał 2015 r.

* Liczba użytkowników, na których komputerach został aktywowany system antyphishingowy jako odsetek łącznej liczby użytkowników produktów firmy Kaspersky Lab w danym państwie

Top 10 państw według odsetka zaatakowanych użytkowników:

 

Państwo

% użytkowników

1

Brazylia

9,74%

2

Indie

8,3%

3

Chiny

7,23%

4

Rosja

6,78%

5

Francja

6,54%

6

Japonia

5,93%

7

Malezja

5,92%

8

Polska

5,81%

9

Kazachstan

5,79%

10

Zjednoczone Emiraty Arabskie

5,75%

Atakowane organizacje

Statystyki dotyczące celów ataków phishingowych opierają się na aktywacji heurystycznego komponentu systemu antyphishingowego. Komponent heurystyczny systemu antyphishingowego jest aktywowany, gdy użytkownik klika odsyłacz do strony phishingowej, jeśli informacje o niej nie znajdują się w bazach danych firmy Kaspersky Lab, niezależnie od tego, w jaki sposób strona ta została odwiedzona – w wyniku kliknięcia odsyłacza w wiadomości phishingowej, wiadomości na portalu społecznościowym lub, na przykład, w wyniku działania szkodliwego programu. W momencie aktywowania komponent ten wyświetla baner w przeglądarce, ostrzegając użytkownika przed możliwym zagrożeniem. 

W drugim kwartale 2015 r. kategoria „globalne portale internetowe” znalazła się na szczycie rankingu organizacji najczęściej atakowanych przez phisherów – jej udział zwiększył się o 2,78 punktu procentowego w stosunku do poprzedniego kwartału i wynosił 42,35%. Udział kategorii „komunikatory internetowe” (4,05%) również odnotował niewielki wzrost (+0,13 punktu procentowego), podczas gdy inne kategorie wykazały spadek: „portale społecznościowe” straciły 2,6 punktu procentowego, „banki” – 5,56 punktu procentowego, „sklepy internetowe” – 1,56 punktu procentowego, „systemy e-płatności” – 2,84 punktu procentowego, „dostawcy usług telefonicznych i internetowych” – 1,33 punktu procentowego, natomiast „gry online” – 0,78 punktu procentowego.         

q2_spam_eng_20_auto.png

Rozkład organizacji będących celem ataków phishingowych według kategorii, II kwartał 2015 r. 

Komunikatory internetowe cieszą się popularnością wśród oszustów z wielu powodów. Na przykład, cyberprzestępcy często wykorzystują skradzione konta w celu wysyłania wiadomości phishingowych lub odsyłaczy do szkodliwych programów na adresy e-mail widniejące na liście kontaktów ofiary, rozprzestrzeniania spamu, wyłudzania pieniędzy i stosowania innych oszukańczych metod. 

q2_spam_eng_21_auto.png

Rozkład ataków phishingowych na komunikatory internetowe, II kwartał 2015 r.

Większość aktywacji systemu antyphishingowego w tej kategorii dotyczy popularnego chińskiego komunikatora internetowego QQ, obsługiwanego przez firmę telekomunikacyjną Tencent.

q2_spam_eng_22_auto.png

Strony phishingowe imitujące strony logowania się do osobistych kont QQ

Na drugim miejscu znalazł się Skype (8,88%), którego właścicielem jest Microsoft. Jego udział jest nieporównywalnie mniejszy niż udział lidera tej kategorii.  

q2_spam_eng_23_auto.png

Strona phishingowa zachęcająca użytkowników Skype’a do zweryfikowania swojego konta osobistego   

Top 3 organizacji, których wizerunek wykorzystano do ataków

Jak pisaliśmy już w naszych poprzednich raportach, największa część ataków nienależących do kategorii spear-phishing uderza w użytkowników niewielkiej grupy popularnych firm posiadających wielu klientów na całym świecie. W ten sposób oszuści próbują zwiększyć swoje szanse zaatakowania celu, organizując kolejny atak phishingowy. 

Ataki wykorzystujące wizerunek 3 organizacji odpowiadają za 45,14% wszystkich wykrytych odsyłaczy do stron phishingowych.

 

Organizacja

% wszystkich wykrytych odsyłaczy do stron phishingowych

1

Yahoo!

29,03%

2

Facebook

10,44%

3

Google

5,67%


Ranking ten nie zmienił się w stosunku do poprzedniego kwartału. Mamy zatem Yahoo! (+23,82 punktu procentowego), Facebook (-0,53 punktu procentowego) oraz Google (-2,44 punktu procentowego). Znaczny wzrost odsetka wykryć fałszywych stron Yahoo! spowodowany był ogólnym spadkiem liczby wykryć; pod względem liczb, liczba wykryć fałszywych stron Yahoo! zwiększyła się tylko nieznacznie.    

W II kwartale 2015 r. trafiliśmy na ogromną liczbę stron phishingowych imitujących publikację strony Facebooka zawierającej film z intymnymi scenami, dostępny w serwisie YouTube. Podczas próby odtworzenia filmu na komputer ofiary pobierany był szkodliwy program.

q2_spam_eng_24_auto.png

q2_spam_eng_25_auto.png
Fałszywe strony Facebooka, za pośrednictwem których rozprzestrzeniane były szkodliwe pliki 

Podsumowanie

W II kwartale 2015 r. odsetek spamu w ruchu e-mail wynosił 53,4%, co stanowi spadek o 5,8 punktu procentowego w stosunku do poprzedniego kwartału.

W drugim kwartale historie opisane w listach „nigeryjskich” opierały się na rzeczywistych wydarzeniach takich jak: nadchodzące Igrzyska Olimpijskie w Rio de Janeiro, wybory prezydenckie w Nigerii, jak również trzęsienie ziemi w Nepalu. Oszuści wabili odbiorców nie tylko obietnicami wynagrodzenia czy rekompensaty ale również wygranymi na loterii i prosili o datki na rzecz ofiar trzęsienia ziemi w Nepalu.  

Wzrost ilości spamu SEO był spowodowany opublikowaniem aktualizacji algorytmu Google Search. Celem tej aktualizacji była poprawa pozycji stron dostosowanych do telefonów komórkowych w wynikach wyszukiwania na urządzeniach mobilnych. 

W drugim kwartale 2015 r. trzy największe źródła spamu stanowiły Stany Zjednoczone (14,59%), Rosja (7,82%) oraz Chiny (7,14%).

Trojan-Spy.HTML.Fraud.gen znalazł się na czele rankingu szkodliwych programów wysyłanych za pośrednictwem poczty e-mail. W rankingu zawierającym nie poszczególne szkodniki ale najpopularniejsze rodziny szkodliwego oprogramowania na pierwszym miejscu w II kwartale znalazła się rodzina Upatre. Liderem rankingu w badanym okresie, czyli państwem stanowiącym najczęstszy cel przesyłek reklamowych, były Niemcy (19,59%).        

Oszuści nadal maskowali załączone szkodliwe pliki pod postacią faksów oraz skanów, aktualizacji Flash Playera oraz korespondencji biznesowej. Oprócz tego nadal wysyłali wirusy makr w dokumentach Worda i Excela i wykorzystywali archiwa CAB oraz ACE jak również pliki APK, które nie są typowe dla spamu. 

W II kwartale 2015 r. system antyphishingowy został aktywowany ponad 30 milionów razy na komputerach użytkowników produktów Kaspersky Lab. Największy odsetek użytkowników dotkniętych atakami phishingowymi znajdował się w Brazylii, chociaż liczba ta zmniejszyła się o połowę w stosunku do poprzedniego kwartału.