Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam i phishing w I kwartale 2016 roku

Tagi:

Spam: cechy w badanym kwartale

Trend: znaczny wzrost ilości szkodliwego spamu

W pierwszym kwartale 2016 roku miał miejsce znaczący wzrost liczby niechcianych wiadomości e-mail zawierających szkodliwe załączniki. W ciągu dwóch ostatnich lat liczba szkodników wykrytych w poczcie e-mail na komputerach z zainstalowanym produktem firmy Kaspersky Lab wahała się pomiędzy 3 a 6 milionami. Pod koniec 2015 r. liczba ta zaczęła zwiększać się, a na początku 2016 roku nastąpił jej gwałtowny wzrost. 

spam_q1_2016_eng_1_auto.png

Liczba szkodliwych programów wykrytych w wiadomościach e-mail na komputerach z zainstalowanym produktem firmy Kaspersky Lab

W marcu liczba szkodliwych programów wykrytych w wiadomościach e-mail wynosiła 22 890 956 – czterokrotnie więcej niż średnia dla analogicznego okresu w zeszłym roku.  

Wraz ze wzrostem liczby ataków drive-by-download należało się spodziewać, że szkodliwe załączniki do wiadomości e-mail ustąpią miejsca szkodliwym stronom internetowym, do których użytkownik uzyskuje dostęp za pośrednictwem odsyłacza zawartego w wiadomości e-mail. Jednak wykorzystywanie wiadomości e-mail posiada pewne zalety (dla cyberprzestępców): treść wiadomości może zachęcić użytkownika nie tylko do pobrania szkodliwego pliku, ale również do jego uruchomienia. Możliwe również, że mamy do czynienia z nową falą popularności szkodliwych załączników, ponieważ przez ostatnie kilka lat twórcy najpopularniejszych przeglądarek rozważali dodanie ochrony przed zainfekowanymi i phishingowymi stronami internetowymi. Jest to zabezpieczenie, którego nie zapewnia jeszcze wbudowana ochrona na poziomie klienta pocztowego. Dlatego, jeśli potencjalna ofiara nie wykorzystuje oprogramowania antywirusowego, jej komputer może łatwo zostać zainfekowany za pośrednictwem poczty elektronicznej.

Co kryje się w środku?

Różnorodność szkodliwych załączników jest imponująca. Obejmują one klasyczne pliki wykonywalne EXE oraz dokumenty aplikacji biurowych (DOC, DOCX, XLS, RTF) z osadzonymi szkodliwymi makrami jak również programy napisane w językach Java i Javascript (pliki JS, JAR, WSF, WRN oraz inne).

spam_q1_2016_eng_2.png

Załącznik zawierający trojana downloadera napisanego w Javie

Godna uwagi jest również różnorodność języków wykorzystywanych w szkodliwym spamie. Oprócz angielskiego regularnie trafialiśmy na e-maile w języku rosyjskim, polskim, niemieckim, francuskim, hiszpańskim, portugalskim oraz kilku innych.

spam_q1_2016_eng_3.png

Załącznik zawierający trojana bankera Gozi

Większość wiadomości e-mail imitowało powiadomienia o niezapłaconych rachunkach lub korespondencję biznesową.

spam_q1_2016_eng_4.png

Szkodliwy plik .doc w załączniku stanowi trojana downloadera. Trojan ten pobiera i uruchamia program szyfrujący Cryakl przy użyciu makr napisanych w Visual Basic

spam_q1_2016_eng_5_auto.png

Załącznik zawierający szkodliwe oprogramowanie typu backdoor, które pobiera inne szkodliwe programy na zainfekowaną maszynę

Szczególną uwagę należy zwrócić na e-maile zawierające trojany downloadery, które pobierają program szyfrujący Locky. Osoby atakujące wykorzystały różne rodzaje plików w celu zainfekowania komputerów ofiar: na początku wykorzystywały pliki .doc zawierające szkodliwe makra, następnie skrypty JS. W celu obejścia filtrów osoby atakujące starały się, aby każdy szkodliwy plik w ramach jednaj wysyłki masowej był niepowtarzalny. Ponadto, wiadomości posiadały różną treść i były napisane w różnych językach. Nie stanowi to dużej niespodzianki, ponieważ ataki wykorzystujące ten program szyfrujący zostały zarejestrowane przez system KSN w 114 krajach na świecie. 

spam_q1_2016_eng_6_auto.png

Przykłady wiadomości e-mail z programem szyfrującym Locky

Treść wiadomości e-mail miała związek z dokumentami finansowymi i zachęcała użytkowników do otwarcia załącznika.

Jeśli atak powiódł się, Locky szyfrował pliki z określonymi rozszerzeniami (dokumenty biurowe, treści multimedialne itd.) na komputerze użytkownika i wyświetlał komunikat z odsyłaczem prowadzącym do strony w sieci Tor zawierającej żądania cyberprzestępców. Proces ten został szczegółowo przeanalizowany na naszym blogu.

Ponieważ Locky nie zawsze jest bezpośrednio umieszczony w wiadomości, nie jesteśmy w stanie oszacować jego udziału na tle innych szkodliwych wiadomości e-mail. Jednak skrypty, które pobierają i uruchamiają tego trojana (wykrywanego przez Kaspersky Lab jako Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent, HEUR: Trojan-Downloader.Script.Generic), stanowią ponad 50% wszystkich szkodliwych programów w ruchu e-mail.

Spam terrorism

Obecnie terroryzm jest jednym z najszerzej dyskutowanych tematów zarówno w mediach jak i podczas spotkań przywódców politycznych. Częste ataki terrorystyczne w Europie i Azji stały się głównym zagrożeniem dla społeczeństwa, a temat terroryzmu jest powszechnie wykorzystywany przez cyberprzestępców w celu zmylenia użytkowników.  

Aby zapobiec atakom terrorystycznym, wzmocniono środki bezpieczeństwa w wielu państwach, co skwapliwie wykorzystali spamerzy rozprzestrzeniający szkodliwe oprogramowanie. Próbowali przekonać odbiorców masowych wysyłek, że załączony do wiadomości plik zawiera informacje, które pomogą właścicielom telefonów komórkowych wykryć urządzenie wybuchowe na kilka chwil przed detonacją. Nadawca wiadomości utrzymywał, że technologia ta została stworzona przez Amerykański Departament Obrony, była łatwa w użyciu i powszechnie dostępna. Załącznik, w postaci pliku wykonywalnego EXE, był wykrywany jako Trojan-Dropper.Win32.Dapato – trojan, który służy do kradzieży informacji osobowych, organizowania ataków DDoS, instalowania innego szkodliwego oprogramowania itd.     

spam_q1_2016_eng_7_auto.png

Do akcji wkroczyli również tzw. spamerzy „nigeryjscy”, którzy wykorzystywali temat terroryzmu, aby przydać swoim historiom więcej wiarygodności. Nadawcy przedstawiali się jako pracownicy nieistniejącego wydziału FBI zajmującego się dochodzeniami w sprawie przestępstw terrorystycznych i finansowych. Ich historia koncentrowała się wokół konieczności skontaktowania się odbiorcy z nadawcą w celu rozwiązania kwestii, które uniemożliwiają płatność dużej sumy pieniędzy. Jako powód opóźnienia przelewu pieniędzy scamerzy podawali brak potwierdzenia, że pieniądze były legalne i prawnie należały do odbiorcy, lub twierdzili, że osoby trzecie próbowały przejąć pieniądze odbiorcy.    

spam_q1_2016_eng_8_auto.png

Nigeryjskie listy zawierały również historie o majątkach – z których pewną dolę oferowano odbiorcy – które zdobyto w sposób legalny i które nie były powiązane z narkotykami, terroryzmem czy inną przestępczością. W ten sposób próbowano rozwiać wszelkie wątpliwości dotyczące uczciwości nadawców wiadomości i skłonić odbiorców do odpowiedzi.

spam_q1_2016_eng_9_auto.png

Temat terroryzmu ponownie wypłynął w historiach dotyczących obecnej sytuacji na Bliskim Wschodzie. Niektóre wiadomości były np. wysłane w imieniu amerykańskich żołnierzy, którzy walczą z terroryzmem w Afganistanie i szukają pośrednika, który przechowa i zainwestuje dla nich pieniądze. Inny autor twierdził, że nie wstąpił do ISIS ani żadnej innej organizacji terrorystycznej, ale jako muzułmanin chce ofiarować sporą sumę na szlachetny cel. Nie mając zaufania do organizacji charytatywnych, „muzułmanin” chciał przelać pieniądze odbiorcy e-maila. Inna historia została napisana w imieniu amerykańskiego biznesmena, który stracił połowę swojego biznesu w Syrii i Iraku na skutek wojny i terroryzmu i szuka partnera, który pomoże mu zainwestować pieniądze, które pozostały.     

spam_q1_2016_eng_10_auto.png

Popularnością cieszyły się również listy nigeryjskie opisujące napiętą sytuację w Syrii, które były aktywnie wykorzystywane przez scammerów w celu wyprowadzenia użytkowników w pole.

spam_q1_2016_eng_11_auto.png

Trafialiśmy również na spam reklamowy z chińskich fabryk oferujących wszelkiego rodzaju urządzenia zapewniające bezpieczeństwo publiczne (np. specjalne urządzenia do wykrywania materiałów wybuchowych) oraz inne produkty antyterrorystyczne.

spam_q1_2016_eng_12_auto.png

Inny trend: znaczny wzrost ilości “nigeryjskiego” spamu

Wygląda na to, że tzw. spamerzy „nigeryjscy” również odczuli skutki kryzysu gospodarczego, ponieważ ostatnio zwiększyli swoją aktywność. W I kwartale 2016 r. zaobserwowaliśmy znaczny wzrost ilości tego typu wysyłek. W przeszłości scammerzy zachęcali odbiorców do odpowiedzi na e-mail, opowiadając im długie szczegółowe historie, które zawierały odsyłacze do artykułów w popularnych mediach; obecnie wysyłają krótkie wiadomości nie zawierające żadnych szczegółów, a jedynie prośbę o kontakt. Niekiedy e-mail zawiera wzmiankę o sporej kwocie, która zostanie rozwinięta w dalszej korespondencji, nie ma natomiast żadnych informacji odnośnie tego, skąd pochodzą pieniądze. 

spam_q1_2016_eng_13_auto.jpg

Być może scammerzy sądzą, że na tego rodzaju wiadomości złapią się osoby, które są już świadome klasycznych sztuczek „nigeryjskich”, lub myślą, że takie krótkie wiadomości będą odpowiedniejsze dla osób, które są zajęte i nie mają czasu na czytanie długich wiadomości e-mail od nieznajomych.

Metody i sztuczki spamerów: krótkie adresy URL i zaciemnianie 

W naszym raporcie dotyczącym spamu i phishingu w 2015 r. pisaliśmy o zaciemnianiu domen. W I kwartale 2016 r. spamerzy kontynuowali ten trend, a nawet wzbogacili swój arsenał o kilka nowych sztuczek.  

Cyberprzestępcy nadal wykorzystywali serwisy skracania adresów URL, zmieniły się jednak metody dodawania do nich „szumu”.

Po pierwsze, spamerzy zaczęli umieszczać znaki – ukośniki, litery i kropki – między domeną serwisu skracania adresów URL a ostatecznym odsyłaczem.

spam_q1_2016_eng_14_auto.png

Zaciemniony jest zarówno odsyłacz, który ma być kliknięty przez użytkownika, jak i odsyłacz do wrzuconego obrazu w obrębie wiadomości e-mail:

spam_q1_2016_eng_15_auto.png

Oprócz liter i kropek spamerzy umieścili nawet losowe tagi komentarza pomiędzy ukośnikami, a przeglądarka nadal poprawnie interpretowała te odsyłacze:

spam_q1_2016_eng_16_auto.png

spam_q1_2016_eng_16a_auto.png
Warto zauważyć, że temat wiadomości e-mail zawiera nazwę Edward; jest ona również zawarta w tagu komentarza wykorzystanego w celu dodania „szumu”. Innymi słowy, nazwa jest pobierana z jednej bazy danych, podczas gdy znacznik „szumu” jest unikatowy dla każdej wiadomości w wysyłce masowej.

Rosyjsko-języczny spam również wykorzystywał zaciemnianie i serwisy skracania adresów URL, ale algorytm był inny. 

spam_q1_2016_eng_17.png

Na przykład, w celu zaciemnienia odsyłaczy wykorzystywano symbol @. Podsumowując, symbol @ ma na celu uwierzytelnienie użytkownika na stronie (w rzeczywistości nie jest już wykorzystywany). Jeśli strona nie wymaga uwierzytelnienia, wszystko, co poprzedza symbol @, zostanie po prostu zignorowane. To oznacza, że w wiadomości powyżej przeglądarka najpierw otworzy stronę ask.ru/go, na której wykona parametr ‘url =’, a następnie przejdzie do wskazanego adresu URL, który należy do serwisu skracania adresów URL.   

spam_q1_2016_eng_18_auto.png

Odsyłacz w tym e-mailu również został zaciemniony przy użyciu symbolu @. Szum również został dodany przy użyciu dodatkowych parametrów, w tym adresu e-mail użytkownika, dzięki czemu był on unikatowy dla każdej wiadomości e-mail w wysyłce masowej.

Statystyki

Odsetek spamu w ruchu e-mail

spam_q1_2016_eng_19_auto.png

Odsetek spamu w globalnym ruchu e-mail, I kwartał 2016 r.

Odsetek spamu w łącznym, globalnym ruchu e-mail utrzymał się na stałym poziomie przez kilka ostatnich miesięcy 2015 roku. Jednak w styczniu 2016 roku odnotowaliśmy znaczny wzrost udziału niechcianej korespondencji – o ponad 5,5 punktu procentowego. W lutym z kolei ilość spamu w ruchu e-mail spadła do poprzedniego poziomu. W marcu ponownie wzrosła, aczkolwiek w mniejszym stopniu. W efekcie średni odsetek spamu w I kwartale 2016 r. wynosił 56,92%.

Źródła spamu według państwa

spam_q1_2016_eng_20_auto.png

Źródła spamu według państwa, I kwartał 2016 r.

Na prowadzeniu utrzymały się Stany Zjednoczone (12,43%), które pozostały największym źródłem spamu w I kwartale 2016 roku. Na kolejnych pozycjach uplasowały się Wietnam (10,30%), Indie (6,19%) oraz Brazylia (5,48%). Chiny zamknęły pierwszą piątkę, odpowiadając za 5,09% globalnego spamu.   

Rosja spadła z drugiego miejsca w zeszłym roku na siódme (4,89%), plasując się tuż za Francją (4,90%), która stanowiła szóstego co do wielkości spamera.   

 

Rozmiar wiadomości spamowych

spam_q1_2016_eng_21_auto.png

Rozkład rozmiaru wiadomości spamowych, IV kwartał 2015 r. a I kwartał 2016 r.

Najczęściej rozprzestrzeniane wiadomości e-mail miały bardzo niewielki rozmiar – do 2 KB (79,05%). Odsetek tych wiadomości zwiększył się o 2,7 punktu procentowego w stosunku do poprzedniego kwartału. Zwiększył się również udział wiadomości o rozmiarze 20-50 KB – z 3,02% do 7,67%. Z kolei udział e-maili o rozmiarze 2-5 KB zmniejszył się znacząco w porównaniu z IV kwartałem 2015 r. – z 8,91% do 2,5%.     

Szkodliwe załączniki wiadomości e-mail

Obecnie większość szkodliwych programów jest wykrywanych proaktywnie, w sposób automatyczny, co znacznie utrudnia zebranie danych statystycznych na temat określonych modyfikacji szkodliwego oprogramowania. Dlatego też postanowiliśmy oprzeć się na bogatszych w informacje statystykach dotyczących Top 10 rodzin szkodliwego oprogramowania.  

Top 10 rodzin szkodliwego oprogramowania

  1. Trojan-Downloader.JS.Agent.

Typowym przedstawicielem tej rodziny jest zaciemniony skrypt Java. Ta rodzina szkodliwego oprogramowania wykorzystuje technologię ADODB.Stream, która umożliwia pobieranie i uruchamianie bibliotek DLL, plików EXE i PDF.

  1. Trojan-Downloader.VBS.Agent.

Jest to rodzina skryptów VBS. Podobnie jak w przypadku rodziny JS.Agent, która uplasowała się na pierwszym miejscu, przedstawiciele tej rodziny wykorzystują technologię ADODB.Stream; głównie jednak pobierają pliki ZIP, z których wypakowują i uruchamiają inne szkodliwe programy.    

  1. Trojan-Downloader.MSWord.Agent.

Przedstawicielami tej rodziny są pliki DOC z osadzonym makro napisanym w Visual Basic for Applications (VBA), które uruchamia się podczas otwarcia dokumentu. Makro pobiera inne szkodliwe oprogramowanie ze strony cyberprzestępcy i uruchamia je na komputerze ofiary.

  1. Backdoor.Win32.Androm. Andromeda.

Jest to rodzina uniwersalnych botów modułowych Andromeda/Gamarue. Główne funkcje tych botów obejmują pobieranie, przechowywanie i uruchamianie szkodliwych plików wykonywalnych; pobieranie i wrzucanie szkodliwej biblioteki DLL (bez zapisywania jej na dysku); aktualizowanie i usuwanie się. Funkcjonalność bota jest rozszerzona o wtyczki, które mogą zostać załadowane w dowolnym czasie.

  1. Trojan.Win32.Bayrob.

Szkodliwe programy z tej rodziny trojanów mogą pobrać z serwera kontroli i uruchomić dodatkowe moduły jak również pełnić funkcję serwera proxy. Są wykorzystywane do rozprzestrzeniania spamu i kradzieży danych osobistych.

  1. Trojan-Downloader.JS.Cryptoload.

Typowym przedstawicielem tej rodziny jest zaciemniony skrypt Java. Szkodliwe programy z tej rodziny pobierają i uruchamiają na komputerze użytkownika oprogramowanie ransomware.

  1. Trojan-PSW.Win32.Fareit.

Celem tej rodziny szkodliwego oprogramowania jest kradzież takich informacji jak dane uwierzytelniające dla klientów FTP zainstalowanych na zainfekowanym komputerze, dane uwierzytelniające dla programów przechowywania danych w chmurze, pliki ciasteczek w przeglądarkach czy hasła dla kont e-mail. Skradzione informacje są wysyłane na serwer przestępców. Niektórzy członkowie rodziny trojanów Fareit potrafią pobierać i uruchamiać inne szkodliwe oprogramowanie.  

  1. Trojan.Win32.Agent.

Szkodliwe programy z tej rodziny niszczą, blokują, modyfikują lub kopiują dane, albo zakłócają działanie komputerów lub sieci komputerowych.   

  1. Trojan-Downloader.Win32.Upatre.

Rozmiar trojanów z tej rodziny nie przekracza 3,5 KB, a ich funkcjonalność ogranicza się do pobierania funkcji szkodliwych na zainfekowany komputer – często są to trojany bankowe znane jako Dyre/Dyzap/Dyreza. Głównym celem tej rodziny trojanów bankowych jest kradzież danych płatniczych użytkowników.   

  1. Trojan-Spy.HTML.Fraud.

Trojany z tej rodziny składają się z fałszywej strony HTML wysyłanej za pośrednictwem wiadomości e-mail, która imituje ważne powiadomienie ze znanego banku komercyjnego, sklepu internetowego lub twórcy oprogramowania. Użytkownik musi podać na tej stronie swoje dane osobiste, które zostają następnie przesłane cyberprzestępcom.  

Państwa stanowiące cel szkodliwych wysyłek reklamowych

Wystąpiło kilka istotnych zmian w rankingu państw będących najczęstszym celem wysyłek reklamowych w I kwartale 2016 roku. 

spam_q1_2016_eng_22_auto.png

Rozkład werdyktów ochrony poczty e-mail według państwa, I kwartał 2016

Na szczycie rankingu pozostały Niemcy (18,93%). Chiny (9,43%), które w 2015 roku uplasowały się na 14 miejscu, niespodziewanie znalazły się na drugiej pozycji. Pierwszą trójkę zamknęła Brazylia (7,35%).  

Na czwartym miejscu uplasowały się Włochy (6,65%), a za nimi Wielka Brytania (4,81%). Rosja znalazła się na szóstym miejscu, a jej udział wynosił 4,47%.      

Stany Zjednoczone (3,95%), które od miesięcy utrzymują się w pierwszej piątce państw będących celem szkodliwych wysyłek reklamowych, uplasowały się na ósmym miejscu.

Phishing

W I kwartale 2016 r. system antyphishingowy został aktywowany 34 983 315 razy na komputerach użytkowników Kaspersky Lab.

Rozkład geograficzny ataków

Państwem, w którym ataki phishingowe dotknęły największy odsetek użytkowników, po raz kolejny okazała się Brazylia (21,5%), której udział zwiększył się o 3,37 punktu procentowego w stosunku do poprzedniego kwartału. Udział maszyn zaatakowanych w Chinach (16,7%) oraz Wielkiej Brytanii (14,6%) również zwiększył się w stosunku do IV kwartału 2015 r. – odpowiednio o 4,4 i 3,68 punktu procentowego. Japonia, (13,8%), która stanowiła lidera w poprzednim kwartale, odnotowała spadek udziału o 3,18 punktu procentowego.      

spam_q1_2016_eng_23_auto.png

Rozkład geograficzny ataków phishiongowych*, I kwartał 2016 r.

* Liczba użytkowników, na których komputerach został aktywowany system antyphishingowy, jako odsetek całkowitej liczby użytkowników produktów Kaspersky Lab w danym państwie. 

Top 10 państw według odsetka zaatakowanych użytkowników:

Brazylia

21,5%

Chiny

16,7%

Wielka Brytania

14,6%

Japonia

13,8%

Indie

13,1%

Australia

12,9%

Bangladesz

12,4%

Kanada

12,4%

Ekwador

12,2%

Irlandia

12,0%

Atakowane organizacje

Statystyki dotyczące celów ataków phishingowych opierają się na wykryciach przy użyciu komponentu antyphishingowego firmy Kaspersky Lab. Jest on aktywowany za każdym razem, gdy użytkownik odwiedza stronę phishingową, jeśli informacje dotyczące tej strony nie są jeszcze dostępne w bazach danych firmy Kaspersky Lab. Nie ma znaczenie, w jaki sposób użytkownik wchodzi na stronę – klikając odsyłacz zawarty w wiadomości phishingowej, w wiadomości wysyłanej za pośrednictwem portalu społecznościowego czy w wyniku aktywności szkodliwego oprogramowania. Po tym, jak system bezpieczeństwa zostanie aktywowany, użytkownik widzi w przeglądarce baner ostrzegający go przed potencjalnym zagrożeniem.  

spam_q1_2016_eng_24_auto.png

Rozkład organizacji będących celem ataków phishingowych według kategorii, I kwartał 2016 r.

W pierwszym kwartale 2016 r. na szczycie rankingu organizacji zaatakowanych przez phisherów znalazła się kategoria „Globalne portale internetowe” (28,69%); jej udział zwiększył się o 0,39 punktu procentowego w porównaniu z poprzednim kwartałem. Drugie i trzecie miejsce zajęły dwie kategorie finansowe: „Banki” (+4,81 punktu procentowego) oraz „Systemy płatności” (-0,33). Z kolei „Portale społecznościowe” (11,84%) i „Gry online” (840) zamknęły pierwszą piątkę, straciwszy odpowiednio 0,33 i 4,06 punktu procentowego.  

Sklepy internetowe

Ataki na użytkowników sklepów internetowych są interesujące ze względu na to, że często następuje po nich kradzież danych dotyczących kart bankowych oraz innych informacji osobowych.  

spam_q1_2016_eng_25_auto.png

Rozkład sklepów internetowych będących celem ataków phishingowych, I kwartał 2016 r.

Najpopularniejszym celem ataków phishingowych jeśli chodzi o sklepy internetowe był Apple Store. W pierwszym kwartale 2016 r. jego udział w kategorii „Sklep internetowy” wynosił 27,82%. Tuż za nim, na drugim miejscu, uplasował się inny popularny sklep internetowy - Amazon (21,6%).  

spam_q1_2016_eng_26_auto.png

Przykład strony phishingowej stworzonej w celu kradzieży danych dotyczących ID Apple i kart bankowych   

Pierwszą trójkę zamknął Steam (13,23%), popularny serwis z branży gier wykorzystywany do dystrybucji gier i programów komputerowych. W ogólnej klasyfikacji organizacji dotkniętych przez ataki phishingowe uplasował się na 19 miejscu.   

Odsyłacze do stron phishingowych wykorzystujących temat gier online oraz serwisów związanych z grami są rozprzestrzeniane za pośrednictwem bannerów, postów na portalach społecznościowych, forów oraz, rzadziej, wiadomości e-mail.   

spam_q1_2016_eng_27.png

Zainteresowanie cyberprzestępców serwisem Steam jak również ogólnie serwisami związanymi z grami rośnie – pieniądze i dane osobowe graczy stanowią często cel nie tylko phisherów ale również twórców oprogramowania.

Top 3 atakowanych organizacji

Oszuści nadal koncentrują większość swoich ataków phishingowych nienależących do kategorii spear phishing na najbardziej znanych firmach. Firmy te posiadają wielu klientów na całym świecie, co zwiększa szanse na skuteczny atak phishingowy.

Trzy najczęściej atakowane przez phisherów organizacje stanowiły 21,71% wszystkich odsyłaczy phishngowych wykrytych w I kwartale 2016 roku.   

Organizacja

% wykrytych odsyłaczy phishingowych

1

Yahoo!

8,51

2

Microsoft

7,49

3

Facebook

5,71

W I kwartale 2016 r. wiodące trzy organizacje pod względem ataków phishingowych odnotowały kilka zmian. Yahoo! utrzymał się na szczycie (+1,45 punktu procentowego). Na drugim miejscu uplasował się Microsoft (+2,47), natomiast tuż za nim Facebook (-2,02). 

Co ciekawe, phishing na Facebooku występuje w prawie wszystkich językach.

spam_q1_2016_eng_28_auto.png

spam_q1_2016_eng_29_auto.png
Facebook jest również popularny wśród cyberprzestępców jako sposób rozprzestrzeniania szkodliwej zawartości.

Zakończenie

W pierwszym kwartale 2016 roku odsetek spamu w ruchu e-mail zwiększył się o 2,7 punktu procentowego w stosunku do poprzedniego kwartału. Jest jednak za wcześnie, aby mówić o tendencji wzrostowej. Odsetek spamu znacznie wzrasta na początku każdego roku, ponieważ liczba zwykłych wiadomości e-mail zmniejsza się w okresie świątecznym    

Stany Zjednoczone pozostały największym źródłem spamu w I kwartale 2016 r. W pierwszej piątce znalazł się również Wietnam, Indie, Brazylia oraz Chiny – duże, szybko rozwijające się państwa z wysokim poziomem łączności internetowej.

Wiadomości spamowe stają się coraz krótsze. W pierwszym kwartale odsetek e-maili o rozmiarze do 2 KB przekroczył 80% całego spamu.

W I kwartale 2016 r. gwałtownie wzrosła ilość spamu zawierającego szkodliwe załączniki. Udział szkodliwych załączników w poczcie osiągnął wartość szczytową w marcu – czterokrotnie większą w stosunku do średniej w zeszłym roku. Ten szybki wzrost spowodowany był w szczególności popularnością oprogramowania kryptograficznego ransomware, które albo znajdowało się w wiadomościach e-mail albo było pobierane na komputery za pośrednictwem trojana downloadera.  

Wzrost ten potwierdza nasze długoterminowe prognozy dotyczące stopniowej kryminalizacji spamu, która czyni go jeszcze bardziej niebezpiecznym, jak również zmniejszenia się ogólnego udziału ruchu e-mail. Różnorodność języków, socjotechnika, wiele różnych rodzajów załączników, zmiana tekstu w ramach jednej masowej wysyłki – wszystko to sprawia, że spam osiągnął nowy poziom zagrożenia. Co więcej, te szkodliwe wysyłki masowe mają szeroki zasięg geograficzny. Obraz dystrybucji szkodliwego oprogramowania za pośrednictwem poczty e-mail zmienił się znacząco tego roku. Dotyczy to w szczególności Chin, które niespodziewanie uplasowały się na drugim miejscu w rankingu państw będących celem szkodliwych wysyłek e-mail. 

Kolejnym czynnikiem potwierdzającym tendencję zwiększającej się kryminalizacji spamu jest wzrost ilości oszukańczego, tzw. „nigeryjskiego” spamu w pierwszym kwartale 2016 roku.

Ilość szkodliwego spamu prawdopodobnie nie będzie wzrastać w takim tempie: im więcej szkodliwego spamu rozprzestrzeniają cyberprzestępcy, tym większa nasza świadomość odnośnie jego zagrożeń i ostrożność jeśli chodzi o otwieranie podejrzanych załączników. Dlatego ilość takich ataków ulegnie stopniowemu zmniejszeniu po kilku miesiącach. Istnieje jednak ryzyko, że w ich miejsce pojawią się inne, może bardziej złożone ataki.