Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin. Spam i phishing w 2015 roku

Tagi:

Rok w liczbach

Według Kaspersky Lab, w 2015 r.:

  • Odsetek spamu w ruchu e-mail wynosił 55,28%, co stanowi spadek o 11,48 punktów procentowych w stosunku do 2014 r.
  • 79% wiadomości spamowych miało rozmiar poniżej 2 KB.
  • 15,2% spamu wysłano ze Stanów Zjednoczonych.
  • Odnotowano 146 692 256 przypadków aktywowania systemu „antyphishingowego”.
  • Rosja była celem największej liczby ataków phishingowych, które stanowiły 17,8% ogółu.  
  • Japonia (21,68 %) objęła prowadzenie w rankingu unikatowych użytkowników zaatakowanych przez phisherów.
  • 34,33% ataków phishingowych uderzyło w organizacje finansowe online (banki, systemy płatnicze oraz sklepy internetowe).

Nowe strefy domen w spamie

Na początku 2015 r. zaobserwowaliśmy wzrost liczby nowych domen najwyższego poziomu wykorzystywanych do rozprzestrzeniania masowych wysyłek. Spowodowane to było wzrostem zainteresowania wśród spamerów programem New gTLD uruchomionym w 2014 roku. Głównym celem tego programu jest zapewnianie organizacjom możliwości wybrania strefy domeny, która jest zgodna z ich działalnością oraz tematem ich stron. Możliwości biznesowe zapewniane przez New gTLD zostały entuzjastycznie przyjęte przez społeczność internetową i nadal możemy zaobserwować aktywne rejestrowanie nowych nazw domen.    

Jednak, nowe strefy domen niemal od razu stały się areną dystrybucji spamu na dużą skalę, ponieważ cyberprzestępcy rejestrowali domeny w celu rozprzestrzeniania masowych wysyłek. Na początku istniał pewien związek logiczny między tematem spamu a nazwą domeny, jednak wraz z upływem czasu to się zmieniło się i nazwy domen wykorzystywane w masowych wysyłkach nie miały ogólnie związku z tematem spamu. Jednak wciąż możemy trafić na odosobnione przypadki, w których taki związek jest widoczny. Na przykład, internetowe serwisy randkowe często są umieszczane w strefie .date.

1_auto.jpg

Ten brak jakiegokolwiek związku między nazwą domeny a tematem spamu wynikał głównie z ceny nowych domen. Osoby atakujące próbują wybrać najtańszy z możliwych hosting, ponieważ strony często są wykorzystywane tylko jeden raz w związku z określoną masową wysyłką spamową, w związku z czym nazwa domeny nie odgrywa głównej roli. Decydujące czynniki to raczej koszt domen oraz zniżki, jakie drobni rejestratorzy są skłonni zaoferować w przypadku zakupu hurtowego.

Sztuczki spamerów: metody wyrażania nazw domen

Scammerzy starają się, aby każdy e-mail był unikatowy, chcąc w ten sposób obejść filtrowanie masowe i skomplikować pracę filtrów zawartości. Dość łatwo można sprawić, aby każdy tekst był inny – wystarczy użyć podobnych znaków z innych alfabetów lub zmienić szyk słów i zdania itd. Z drugiej strony, zawsze będzie istniał adres strony spamera, którego nie da się tak łatwo zmienić, a wysyłanie spamu ma na celu skłonienie użytkowników do kliknięcia odsyłacza prowadzącego do reklamowanej strony. Na przestrzeni lat spammerzy wymyślili liczne sposoby ukrywania swoich stron przed filtrami antyspamowymi: przekierowania do zhakowanych stron, generowanie unikatowych odnośników do serwisów umożliwiających skracanie adresów URL, wykorzystywanie popularnych serwisów w chmurze jako przekierowań, itd.   

W 2015 r., oprócz wspomnianych wcześniej metod, spamerzy skoncentrowali się również na sposobach wyrażania nazw domen i adresów IP. Przyjrzymy się bliżej tym sztuczkom, analizując przykłady pochodzące z różnych wiadomości spamowych.

Cechy specjalne protokołu IP: różne formaty IP

Standardowa metoda zapisu adresów IP IPv4 to format kropkowo-cyfrowy, w którym wartość każdego bajta ma postać liczby dziesiętnej od 0 do 255, przy czym każdy bajt jest oddzielony kropką. Istnieją jednak inne formaty, które zostaną poprawnie zinterpretowane przez przeglądarki. Są to formaty binarne, ósemkowe i szesnastkowe, jak również format dword/Undotted Integer, gdzie każdy bajt adresu IP jest najpierw konwertowany do formatu szesnastkowego, następnie wszystkie bajty są zapisywane w jednej liczbie w kolejności, w jakiej zostały zapisane w adresie IP, po czym liczba ta jest konwertowana do systemu dziesiętnego. Wszystkie te formaty mogą zostać połączone poprzez zapisanie każdej części adresu IP w inny sposób, a przeglądarka nadal będzie interpretowała go poprawnie!   

Techniki te są wykorzystywane przez spamerów, którzy zapisują te same adresy IP na wiele różnych sposobów, łącznie z metodą łączenia różnych formatów:

  • oct – hex

  • oct – dword

  • hex – dword

Adresy w formacie szesnastkowym mogą zostać zapisane przy lub bez pomocy kropek oddzielających liczby:

2.png

Ponadto, 4294967296 (256^4) może zostać dodany dowolną ilość razy do liczby w formacie Integer, a wynik nadal będzie interpretowany jako ten sam adres IP.  

W formacie dziesiątkowym liczba 256 może zostać dodana do każdej części adresu IP dowolną ilość razy – dopóki będzie trzycyfrowy wynik, adres będzie poprawnie interpretowany.   

W formacie ósemkowym do adresu IP można dodać dowolną liczbę wiodących zer, i wciąż będzie ważny:

3_auto.png

W adresie można również umieścić dowolną liczbę ukośników:

4.png

Chociaż w niektórych legalnych bibliotekach adresy IP mogą być przechowywane w różnych formatach, w adresie URL zabroniono wykorzystywania innego formatu niż standardowy kropkowo-cyfrowym (tj. w odsyłaczach, do których następuje odwołanie).    

Zaciemnianie adresu IP, lub na ile sposobów można zapisać liczbę w formacie Unicode

Pisaliśmy już o zaciemnianiu kluczowych słów w spamie przy użyciu różnych zakresów Unicode.

Te same sztuczki można zastosować podczas zapisu adresów IP i nazw domen. Jeśli chodzi o adres IP, w 2015 r. spamerzy często wykorzystywali liczby Unicode z tak zwanego zakresu pełnowymiarowego. Standardowo jest on wykorzystywany w przypadku języków hieroglificznych, tak aby litery i cyfry alfabetu łacińskiego nie wydawały się zbyt małe ani wąskie w porównaniu z hieroglifami.

5.png

Trafiliśmy również na liczby z innych zakresów – liczby w kółku, liczby podkreślone itd.:

6.png

Zaciemnianie domen

Jak już wspominaliśmy wcześniej, sztuczka ta działa również w przypadku domen. Unicode posiada nawet więcej zakresów liter niż liczbowych. Spamerzy często wykorzystywali wiele zakresów w jednym odsyłaczu (zmieniając je losowo w każdym e-mailu, zwiększając tym samym zróżnicowanie w obrębie jednej wysyłki masowej).

Aby odsyłacze te były jeszcze bardziej unikatowe, zamiast zaciemniać samą stronę spamową oszuści zaciemnili serwisy umożliwiające skracanie adresów URL, w których odsyłacze do głównej strony były generowane w dużych ilościach:  

7.png

Interpretowanie symboli URL

Adresy URL zawierają specjalne symbole wykorzystywane przez spamerów w celu dodania “szumu”. Zasadniczo, jest to symbol @ służący do uwierzytelniania użytkownika na stronie. Odsyłacz w postaci http://login:password@domain.com oznacza, że użytkownik chce wejść na stronę domain.com przy użyciu określonej nazwy użytkownika (loginu) oraz hasła. Jeśli strona nie wymaga uwierzytelnienia, wszystko, co poprzedza symbol @, zostanie po prostu zignorowane. Trafiliśmy na masowe wysyłki, w których spamerzy umieścili po prostu symbol @ przed nazwą domeny, oraz masowe wysyłki, w których symbol @ poprzedzała losowa (lub nielosowa) sekwencja:     

8.png

Interesujące jest to, że technika ta była wykorzystywana do zaciemniana odsyłaczy; jest to zwykle prerogatywa phisherów. Ta metoda przedstawiania adresów URL może zostać wykorzystana przez oszustów w celu zmylenia użytkowników, aby myśleli, że odsyłacz ten prowadzi do legalnej strony. Na przykład, w odsyłaczu http://google.com@spamdomain.com/anything domena, którą akceptuje przeglądarka, to spamdomain.com, nie google.com. Jednak, w celu zmylenia użytkowników spamerzy wykorzystali inną technikę związaną z domeną: zarejestrowali wiele domen zaczynających się od com-. W przypadku domen trzeciego poziomu, odsyłacze w wiadomościach e-mail miały postać: http://learnmore.com-eurekastep.eu/find

Jeśli ktoś nie przyjrzy się dokładnie, może mu się wydawać, że domeną główną jest learnmore.com, podczas gdy w rzeczywistości jest to com-eurekastep.eu.

Oprócz symbolu @ oszuści wypełnili odsyłacze innymi symbolami: www.goo&zwj.g&zwjl/0Gsylm

Na przykład, w przykładzie powyżej fragment “&zwj” w domenie goo.gl został umieszczony losowo w różnych sekcjach domeny, dzięki czemu odsyłacz w każdym e-mailu był unikatowy. Taka wstawka nosi nazwę łącznika zerowej szerokości; jest on stosowany do łączenia kilku oddzielnych symboli w językach Hindi jak również emotikonów w jednym symbolu. W obrębie domeny nie posiada naturalnie żadnego znaczenia semantycznego; po prostu zaciemnia odsyłacz.  

Inną metodą zaciemniania odsyłaczy jest wykorzystanie „łącznika nietrwałego” (SHY). W języku HTML SHY to specjalny symbol, który nie jest widoczny w tekście, ale jeśli słowo zawierające specjalny symbol nie mieści się na końcu wiersza, część, która występuje po specjalnym symbolu, jest przesuwana do kolejnego wiersza, podczas gdy łącznik jest dodawany do pierwszej części. Zwykle, przeglądarki i klienty pocztowe ignorują ten symbol wewnątrz odsyłaczy, dlatego spamerzy mogą osadzić go w dowolnym miejscu w adresie URL i to tak często, jak chcą. Trafiliśmy na masową wysyłkę, w której łączniki niestałe zostały umieszczone w domenie ponad 200 razy (kodowanie szesnastkowe):

9.png

Oprócz łącznika nietrwałego w domenach wykorzystywane są inne specjalne symbole – wskaźnik sekwencji (& ordm;), indeksy górne 1 i 2 (& sup1 ;, & sup2;) – które mogą być interpretowane przez niektóre przeglądarki jako litera “o” oraz odpowiednio liczby “1” i “2”.  

Wielokrotne powtarzanie popularnej nazwy domen

Inny oryginalny sposób dodawania szumu do odsyłaczy wykorzystywanych przez spamerów w 2015 r. polegał na wykorzystywaniu znanej domeny jako przekierowania. Sztuczka ta nie jest nowa, tym razem jednak oszuści dodali tę samą dobrze znaną domenę kilka razy:

10_auto.png

E-maile bez adresu URL

Warto również wspomnieć o przypadkach, w których nie użyto żadnych domen. Zamiast adresu URL wiele wysyłek spamowych zawierało kod QR.

11_auto.png

12.png


Inne masowe wysyłki nakłaniały użytkownika, aby wprowadził losową sekwencję w wyszukiwarce; odsyłacz do strony był wyświetlany na górze wyników wyszukiwania:

13_auto.png

Światowe wydarzenia wykorzystywane w spamie

Najbliższe Igrzyska Olimpijskie w Brazylii odbędą się dopiero latem 2016 r., jednak już w 2015 r. odnotowaliśmy oszukańcze powiadomienia o wygranych na loterii związanej z tym popularnym wydarzeniem sportowym. Znajdowały się wśród nich wiadomości e-mail zawierające załączony plik PDF, który informował odbiorcę, że jego adres został wylosowany spośród milionów adresów e-mail. Aby odebrać nagrodę, należało odpowiedzieć na wiadomość e-mail podając określone informacje osobowe. Oprócz tekstu załączniki zawierały różne elementy graficzne (logo, zdjęcia itd.). Fałszywe powiadomienia o wygranej na loterii, które posiadały znaczną długość, często były wysyłane wraz z załącznikami w celu obejścia filtrów spamowych.      

14_auto.png

W 2015 r. cyberprzestępcy stosujący przekręt „nigeryjski” wykorzystywali wydarzenia polityczne na Ukrainie, wojnę w Syrii, wybory prezydenckie w Nigerii oraz trzęsienie ziemi w Nepalu, aby przekonać odbiorców, że ich historie są prawdziwe. Autorzy szukali głównie pomocy w zainwestowaniu ogromnych sum pieniędzy lub prosili o pomoc finansową. Te tak zwane listy nigeryjskie wykorzystywały niestandardowe sztuczki w celu oszukania odbiorców i wyłudzenia od nich pieniędzy. 

15_auto.png

E-maile dotyczące wojny w Syrii często wspominały o uchodźcach i obywatelach syryjskich ubiegających się o azyl w Europie. Niektóre zostały tak stworzone, aby sprawiały wrażenie, że zostały wysłane bezpośrednio z obozów uchodźców, i zawierały skargi na złe warunki.

Statystyki

Udział spamu w ruchu e-mail

W 2015 r. udział spamu w ruchu e-mail wynosił 55,28% - o 11,48 punktów procentowych mniej niż w zeszłym roku. 

16_auto.png

Udział spamu w ruchu e-mail, 2015 r.

Największy spadek odnotowano w pierwszych miesiącach 2015 r. – z 61,86% w styczniu do 53,63% w kwietniu. Wahania w pozostałej części roku były nieznaczne – mieściły się w granicach 1-2 punktów procentowych.  

Źródła spamu według państwa

17_auto.png

Źródła spamu według państwa, 2015 r.

W 2015 r. miała miejsce niewielka zmiana w obrębie trzech największych źródeł spamu: Chiny (6,12%) spadły na czwartą pozycję, mimo że udział spamu rozprzestrzenianego z tego państwa w rzeczywistości zwiększył się o 0,59 punktu procentowego. Na trzecim miejscu zastąpił je Wietnam (6,13%), który odnotował wzrost swojego udziału o 1,92 punktu procentowego. Na drugim miejscu utrzymała się Rosja (6,15%), która odnotowała wzrost o 0,22 punktu procentowego, podczas gdy Stany Zjednoczone (15,16%) pozostały niekwestionowanym liderem, mimo że ich udział zmniejszył się o 1,5 punktu procentowego.       

Podobnie jak w 2014 r., na piątym miejscu uplasowały się Niemcy (4,24%), których udział procentowy zwiększył się o 0,24 punktu procentowego. Pozostałe państwa w rankingu Top 10 obejmowały Ukrainę (3,99%, +0,99 punktu procentowego), Francję (3,17%, +0,62 punktu procentowego), Indie (2,96%, bez zmian), Argentynę (2,90%, -0,65 punktu procentowego) oraz Brazylię (2,85%, +0,42 punktu procentowego).

Rozmiar wiadomości spamowych

18_auto.png

Rozmiar wiadomości spamowych w 2015 r.

Odsetek bardzo krótkich wiadomości spamowych (o rozmiarze poniżej 2 KB) zwiększył się w 2015 r. i wynosił średnio 77,26%, podczas gdy udział wiadomości e-mail o rozmiarze 2-5 KB spadł do 9,08%. Ogólny trend 2015 r. polegał na zmniejszeniu się rozmiaru wiadomości.  

Szkodliwe załączniki w wiadomościach e-mail

19_auto.png

10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem wiadomości e-mail w 2015 r.

Niesławny Trojan-Spy.HTML.Fraud.gen pozostał najpopularniejszym szkodliwym programem wysyłanym za pośrednictwem poczty e-mail. Program ten stanowi fałszywą stronę HTML wysyłaną za pośrednictwem poczty elektronicznej, która imituje ważne powiadomienie z dużego banku komercyjnego, sklepu internetowego lub twórcy oprogramowania itd. Zagrożenie to występuje jako strona phishingowa HTML, na której użytkownik ma podać swoje dane osobiste, które zostają następnie przesłane cyberprzestępcom. 

Na drugim miejscu znalazł się Trojan-Downloader.HTML.Agent.aax, natomiast dziewiąte i dziesiąte pozycje zajmowały odpowiednio Trojan-Downloader.HTML.Meta.as. oraz Trojan-Downloader.HTML.Meta.ay. Wszystkie trzy stanowią strony HTML, które – po otwarciu przez użytkowników – przekierowują ich na szkodliwą witrynę. Będąc na takiej witrynie, ofiara trafia zwykle na stronę phishingową lub proponuje się jej pobranie Binbota - bota wykorzystywanego w handlu opcjami binarnymi. Te szkodliwe programy rozprzestrzeniają się za pośrednictwem załączników do wiadomości online i jedyną różnicę pomiędzy nimi stanowi odsyłacz, który przekierowuje użytkowników na podrobione strony.     

Na trzecim miejscu znalazł się Trojan-Banker.Win32.ChePro.ink. Downloader ten jest apletem CPL (Control Panel component), który pobiera trojany stworzone w celu kradzieży poufnych informacji finansowych. Większość szkodliwych programów tego typu atakuje banki brazylijskie i portugalskie.  

Na czwartym miejscu znalazł się Email-Worm.Win32.Mydoom.l. Ten robak sieciowy rozprzestrzenia się jako załącznik do wiadomości e-mail za pośrednictwem serwisów współdzielenia plików oraz zapisywalnych zasobów sieciowych. Przechwytuje adresy e-mail z zainfekowanych komputerów w celu wykorzystania ich do dalszych masowych wysyłek. W celu wysłania wiadomości, robak bezpośrednio łączy się z serwerem SMTP odbiorcy.

Na kolejnych miejscach znalazły się Trojan.JS.Agent.csz oraz Trojan-Downloader.JS.Agent.hhi, które stanowią downloadery napisane w języku JavaScript. Szkodniki te mogą zawierać kilka adresów (domen), które wywołuje kolejno zainfekowany komputer. Jeśli wywołanie powiedzie się, szkodliwy plik EXE zostanie pobrany do foldera tymczasowego i uruchomiony.    

Na ósmym miejscu znalazł się Trojan-PSW.Win32.Fareit.auqm. Trojany Fareit kradną ciasteczka przeglądarki oraz hasła z klientów FTP jak również programy e-mail, a następnie wysyłają te dane do zdalnego serwera prowadzonego przez cyberprzestępców.  

Rodziny szkodliwego oprogramowania

Upatre pozostał najbardziej rozpowszechnioną rodziną szkodliwego oprogramowania w całym roku. Szkodniki z tej rodziny pobierają trojana bankera znanego jako Dyre/Dyreza/Dyzap.

MSWord.Agent i VBS.Agent zajmowały odpowiednio drugie i trzecie miejsca. Podsumowując, szkodniki te stanowią pliki DOC z osadzonym makro napisanym w języku Visual Basic for Applications (VBA), które uruchamia się wraz z otwarciem dokumentu. Następnie pobiera i uruchamia inne szkodliwe oprogramowanie, takie jak Andromeda.VBS.Agent. Jak sugeruje nazwa, wykorzystuje osadzony skrypt VBS. W celu pobrania i uruchomienia innych szkodliwych programów na komputerze użytkownika szkodliwe programy z tej rodziny wykorzystują technologię ADODB.Stream.      

Na czwartym miejscu uplasowała się rodzina Andromeda. Programy te umożliwiają osobom atakującym sekretnie kontrolowanie zainfekowanych komputerów, które często stają się częścią botnetu. Warto wspomnieć, że w 2014 r. na szczycie rankingu najbardziej rozpowszechnionych rodzin szkodliwego oprogramowania znalazła się rodzina Andromeda.     

Na piątej pozycji uplasowała się rodzina Zbot. Celem szkodników z tej rodziny jest przeprowadzanie ataków na serwery i komputery użytkowników, jak również przechwytywanie danych. Chociaż ZeuS/Zbot potrafi przeprowadzać różne szkodliwe działania, najczęściej jest wykorzystywany do kradzieży informacji bankowych.

Państwa atakowane przez szkodliwe wysyłki pocztowe

20_auto.png

Rozkład werdyktów dotyczących szkodników wykrytych w poczcie e-mail według państwa, 2015 r.

Na przestrzeni trzech ostatnich lat trzy państwa będące najczęstszym celem przesyłek reklamowych nie uległy zmianie – Stany Zjednoczone, Wielka Brytania oraz Niemcy. Jednak w 2015 r. spamerzy zmienili swoje taktyki i cele. W efekcie, na pierwszym miejscu znalazły się Niemcy (19,06%, +9,84 punktu procentowego), za którymi uplasowała się Brazylia (7,64%, +4,09 punktu procentowego), która w 2014 roku była dopiero szósta.   

Największym zaskoczeniem w III kwartale, i w całym 2015 r., był awans Rosji na trzecie miejsce (6,30%, +3.06 punktu procentowego). Podsumowując, w 2014 roku Rosja znajdowała się na ósmym miejscu – odsetek szkodliwego spamu wysłanego do tego państwa wynosił nie więcej niż 3,24%.  

Chcielibyśmy wierzyć, że mimo tendencji obserwowanej w ostatnich kwartałach liczba szkodliwych wysyłek masowych wysyłanych do Rosji zmniejszy się. Jeśli chodzi o całkowitą liczbę szkodliwych załączników wysyłanych za pośrednictwem poczty e-mail, w 2016 roku prawdopodobnie odnotuje ona wzrost, a kradzież informacji osobistych i trojany wyłudzające okup znajdą się na najwyższych pozycjach. 

Specjalne funkcje szkodliwego spamu

W ruchu spamowym w 2015 roku zarejestrowaliśmy eksplozję wysyłek masowych zawierających wirusy makro. Większość wiadomości e-mail zawierających makrowirusy w I kwartale było wysyłanych w załącznikach z rozszerzeniem .doc lub .xls i należało do kategorii trojanów downloaderów, stworzonych w celu pobierania innych szkodliwych programów. 

Szkodliwe załączniki imitowały najczęściej różne dokumenty związane z finansami: powiadomienia o mandatach lub przelewach pieniężnych, niezapłaconych rachunkach, płatnościach, reklamacjach, biletach elektronicznych itd. Często wysyłane były w imieniu pracowników rzeczywistych firm oraz organizacji.

Zagrożenie, jakie stwarzają makrowirusy, nie ogranicza się do ich dostępności i łatwości tworzenia. Makrowirus może zainfekować nie tylko dokument, który został pierwotnie otworzony, ale również globalne makro, które jest wspólne dla wszystkich podobnych dokumentów, a tym samym wszystkich dokumentów użytkownika, które wykorzystują globalne makra. Co więcej, język VBA jest wystarczająco funkcjonalny, aby wykorzystać go do tworzenia wszelkiego rodzaju szkodliwego kodu.    

21_auto.png

W 2015 roku cyberprzestępcy specjalizujący się w szkodliwym spamie nadal rozprzestrzeniali szkodliwe oprogramowanie w niestandardowych formatach archiwów (.cab, .ace, .7z, .z, .gz). Formaty te zostały wprowadzone dawno temu i są wykorzystywane przez specjalistów w rozwoju i instalowaniu oprogramowania, jednak w większości są nieznane dla zwykłych użytkowników, w przeciwieństwie do archiwów ZIP oraz RAR. Kolejna różnica dotyczy wysokiego stopnia kompresji pliku. Te szkodliwe archiwa podszywały się pod różne załączniki (zlecenia, faktury, zdjęcia, raporty itd.) i zawierały różne szkodliwe programy (Trojan-Downloader.Win32.Cabby, Trojan-Downloader.VBS.Agent.azx, Trojan-Spy.Win32.Zbot .iuk, HawkEye Keylogger, etc.). Ogromna większość wiadomości e-mail była w języku angielskim, jednak pojawiły się również wiadomości w innych językach. 

22_auto.png

W 2014 roku cyberprzestępcy byli szczególnie aktywni jeśli chodzi o wysyłanie fałszywych e-maili z urządzeń mobilnych oraz powiadomień pochodzących z aplikacji mobilnych zawierających szkodliwe oprogramowanie oraz reklamy. W 2015 r. temat mobilny był kontynuowany: szkodliwe programy były rozprzestrzeniane w postaci plików .apk oraz .jar, które w rzeczywistości stanowią zarchiwizowane pliki aplikacji wykonywalnych dla urządzeń mobilnych. Pliki o rozszerzeniu .jar to zazwyczaj archiwa ZIP zawierające program w języku Java, które zostały stworzone tak, aby mogły być uruchomione głównie z telefonu komórkowego, podczas gdy pliki .apk są wykorzystywane do instalowania aplikacji w systemie Android.

W szczególności, cyberprzestępcy ukryli mobilnego trojana szyfrującego SLocker pod postacią pliku zawierającego aktualizacje dla aplikacji Flash Player: po uruchomieniu szkodnik ten szyfruje obrazy, dokumenty oraz pliki wideo przechowywane na urządzeniu. Po uruchomieniu zostaje wyświetlony komunikat informujący użytkownika, że musi zapłacić w celu odszyfrowania plików. Kolejne archiwum .jar zawierało szkodnika Backdoor.Adwind napisanego w języku Java. Ten wieloplatformowy szkodliwy program może być instalowany nie tylko na urządzeniach przenośnych, ale również w systemie Windows, Mac oraz Linux.  

Osoby atakujące, które rozsyłają szkodliwe oprogramowanie w plikach dla urządzeń mobilnych, najprawdopodobniej mają nadzieję, że odbiorcy wykorzystujący pocztę elektroniczną na urządzeniu mobilnym zainstalują szkodliwy załącznik.  

Z każdym rokiem rośnie zainteresowanie cyberprzestępców urządzeniami mobilnymi. Wynika to głównie ze stałego wzrostu aktywności użytkowników mobilnych (za pośrednictwem komunikatorów oraz innych metod wymiany danych) oraz migracji różnych usług (np. transakcji finansowych) do platform mobilnych jak również faktu, że jeden użytkownik może posiadać kilka urządzeń mobilnych. Drugim powodem jest pojawienie się różnych popularnych aplikacji, które mogą być wykorzystywane przez cyberprzestępców zarówno bezpośrednio (do rozsyłania spamu, w tym szkodliwego) jak i pośrednio (w wiadomościach phishingowych). Na przykład, użytkownicy popularnego komunikatora WhatsApp padają ofiarą nie tylko tradycyjnego spamu reklamowego, ale również twórców wirusów. Użytkownicy mobilni powinni zachować szczególną ostrożność, ponieważ aktywność cyberprzestępcza w tej sferze może tylko wzrosnąć.   

23_auto.png

Phishing

Główne trendy

W 2015 r. system antyphishingowy został aktywowany 148 395 446 razy na komputerach użytkowników Kaspersky Lab. 60% (89 947 439) tych incydentów zostało zablokowanych przez deterministyczne komponenty, a 40% (58 448 007) przez komponenty wykrywania heurystycznego. 

Metody rozprzestrzeniania treści phishingowych

Metody wykorzystywane przez cyberprzestępców do rozprzestrzeniania treści phishingowych już dawno wykroczyły poza model klientów e-mail. Na przykład, jednym z najpopularniejszych sposobów rozprzestrzeniania stron phishingowych są reklamy pop-up. W 2015 roku trafiliśmy na wiele różnych oszustw wykorzystujących tę prostą sztuczkę: fałszywa strona automatycznie otwiera się w przeglądarce, gdy użytkownik odwiedza określone witryny, w tym te legalne, ale wykorzystuje reklamę pop-up.

Cyberprzestępcy wykorzystali tę technikę do atakowania klientów banków rosyjskich w trzecim i czwartym kwartale 2015 r.

24_auto.png

Oszukańcza strona, do której zostaje przekierowana ofiara przez reklamę pop-up

Inne popularne tematy roku

Jak już wspominaliśmy w I kwartale, udział kategorii „Firmy kurierskie” jest bardzo niewielki (0,23%), jednak odnotował niedawno nieznaczny wzrost (+0,04 punktu procentowego). Ponadto, DHL, jedna z firm z tej kategorii, znalazła się wśród 100 organizacji najczęściej atakowanych przez phisherów.

Metoda ta – wiadomość e-mail wysyłana w imieniu firmy kurierskiej – jest często wykorzystywana przez oszustów do rozprzestrzeniania szkodliwych załączników, gromadzenia informacji osobowych, a nawet zbierania pieniędzy.

25_auto.jpg

Wiadomość phishingowa wysłana w imieniu firmy FedEx

Osoby atakujące są szczególnie aktywne w tej kategorii przed świętami, kiedy ludzie kupują zwykle prezenty za pośrednictwem popularnych serwisów kurierskich.

Sztuczki dotyczące poczty elektronicznej

Scammerzy od dawna wykorzystują skutecznie załączniki PDF w atakach phishingowych. Pliki te stanowią zwykle formularz, w którym należy podać informacje osobowe. Kliknięcie przycisku w pliku powoduje wysyłanie go do oszustów. Jednak w 2015 r. wzrosła liczba wiadomości e-mail, w których wiadomość tekstowa oraz odsyłacz do strony phishingowej zostały umieszczone w dokumencie PDF. Tekst znajdujący się w treści wiadomości został ograniczony do minimum w celu obejścia filtrów spamowych.   

Sztuczki te są wykorzystywane przeciwko organizacjom wszystkich kategorii. W 2015 r. wiele ataków tego typu było wymierzonych w organizacje bankowe i pocztowe.

26_auto.png

Przykład wiadomości phishingowej. Treść wiadomości zawiera tylko tekst imitujący nagłówek wiadomości e-mail, na którą odpowiada rzekomo dany e-mail. Wiadomość posiada załączony plik PDF, który zawiera odsyłacz do strony phishingowej.

Trafiliśmy na wiele plików PDF, które przekierowują ofiary do stron phishingowych. Oszuści zachęcali użytkownika, aby kliknął „View pdf File” w celu przeczytania zawartości pliku.

27_auto.png

Wiadomość phishingowa z załączonym plikiem PDF zawierającym przekierowanie do strony phishingowej  

Rozkład geograficzny ataków

Top 10 państw według odsetka zaatakowanych użytkowników

Japonia posiadała najwyższy odsetek użytkowników będących celem ataków phishingowych (21,68%), co stanowi wzrost o 2,17 punktu procentowego w stosunku do poprzedniego roku.

28_auto.png

Odsetek użytkowników, na których komputerach został aktywowany system antyphishingowy, w stosunku do łącznej liczby użytkowników produktów firmy Kaspersky Lab w danym państwie, 2015 r.

Top 10 państw według odsetka zaatakowanych użytkowników

Japonia

21,68%

Brazylia

21,63%

Indie

21,02%

Ekwador

20,03%

Mozambik

18,30%

Rosja

17,88%

Australia

17,68%

Wietnam

17,37%

Kanada

17,34%

Francja

17,11%

Zeszłoroczny lider, Brazylia (21,63%), spadła na drugie miejsce, po tym, jak liczba zaatakowanych użytkowników zmniejszyła się o 5,77 punktów procentowych. Tuż za nią uplasowały się Indie (21,02%, -2,06 punktu procentowego) oraz Ekwador (20,03%, -2,79 punktu procentowego).  

Rozkład geograficzny ataków według państwa

Rosja odnotowała największy udział ataków phishingowych – 17,8% ogółu – co stanowi wzrost o 0,62 punktu procentowego w porównaniu z zeszłym rokiem.

29_auto.png

Rozkład geograficzny ataków phishingowych według państwa w 2015 r.

Tuż za Rosją na drugim miejscu uplasowała się Brazylia (8,74%, +1,71 punkt procentowy), a dalej Indie (7,73%, +0,58 punktu procentowego), Stany Zjednoczone (7,52%, +0,32 punktu procentowego) oraz Włochy na piątym miejscu (7,04%, +1,47 punktu procentowego).

Atakowane organizacje

Statystyki dotyczące organizacji wykorzystywanych w atakach phishingowych opierają się na aktywacji komponentu heurystycznego w systemie antyphishingowym. Komponent heurystyczny jest aktywowany wtedy, gdy użytkownik próbuje kliknąć odsyłacz do strony phishingowej, a bazy danych Kaspersky Lab nie zawierają żadnych informacji o danej stronie.

30_auto.png

Rozkład organizacji będących celem ataków phishingowych według kategorii, 2015 r. 

W 2015 roku miał miejsce znaczny wzrost odsetka ataków phishingowych na organizacje należące do kategorii „Finanse online” (34,33%, +5,59 punktu procentowego), które obejmują kategorie „Banki”, „Systemy płatności” oraz „Sklepy internetowe”. Interesujący jest wzrost odsetka zaatakowanych organizacji z kategorii „Dostawcy usług telefonicznych i internetowych” (5,50%, +1,4 punktu procentowego) oraz „Portale społecznościowe i blogi” (16,40%, +0,63 punktu procentowego).

3 najczęściej atakowane organizacje

Organizacja

% wykrytych odsyłaczy do stron phishingowych

1

Yahoo!

14,17

2

Facebook

9,51

3

Google

6,8

W 2015 roku Yahoo! po raz kolejny stanowił organizację najczęściej atakowaną przez phisherów, chociaż udział ataków na ten cel zmniejszył się znacznie – 14,17% w stosunku do 23,3% w 2014 r. Przypuszczamy, że spadek ten wynika z walki prowadzonej przez tę firmę z fałszywymi domenami. Widać, że Yahoo!, jak również wiele innych organizacji, rejestruje wiele domen, które mogą teoretycznie być wykorzystywane przez osoby atakujące , ponieważ pochodzą od oryginalnej nazwy domeny.    

Zakończenie i prognozy

W 2015 r. odsetek spamu w ruchu pocztowym zmniejszył się o 11,48 punktu procentowego i stanowił 55,28%. Największy spadek zaobserwowano w pierwszym kwartale; od kwietnia fluktuacje ustabilizowały się i mieściły się w granicach kilku punktów procentowych. Spadek ten był spowodowany migracją reklamy legalnych towarów i usług z ruchu spamowego do wygodniejszych i legalnych platform (portale społecznościowe, serwisy grupowych zakupów itd.) jak również rozszerzeniem się „szarej” strefy w wysyłkach masowych (masowe wysyłki wysyłane zarówno do dobrowolnych subskrybentów jak i osób, które nie wyraziły na to zgody). Zakładamy, że w 2016 roku udział spamu nadal będzie spadał, aczkolwiek nieznacznie.

Z drugiej strony, liczba szkodliwych i oszukańczych wiadomości będzie wzrastać. Możliwe, że osoby atakujące znów będą wykorzystywały powszechne sztuczki, jak miało to miejsce w 2015 roku (masowe wysyłki makrowirusów oraz niestandardowych rozszerzeń załączników). Temat mobilny może stać się kolejną bronią w arsenale cyberprzestępców wykorzystywanym do rozprzestrzeniania szkodliwego oprogramowania i oszukańczego spamu.  

Liczba nowych domen stworzonych przez spamerów, zwłaszcza w celu rozprzestrzeniania masowych wysyłek, nadal będzie rosnąć. Spodziewamy się również wzrostu w zakresie nowych stref domen wykorzystywanych jako zasoby spamerskie.