Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam i phishing w III kwartale 2016 roku

Tagi:

Spam: najważniejsze wydarzenia w kwartale

Szkodliwy spam

W całym 2016 roku odnotowaliśmy ogromną ilość niechcianych wiadomości ze szkodliwymi załącznikami. W trzecim kwartale ich udział również znacząco wzrósł. Według danych pochodzących z systemu KSN, w III kwartale 2016 r. liczba wykryć szkodliwego oprogramowania w wiadomościach e-mail wynosiła 73 066 751. Większość szkodliwych załączników zawierało trojany downloadery, które w ten czy inny sposób pobierały na komputer ofiary oprogramowanie ransomware. 

spam_q3_2016_eng_1_auto.png

Liczba wykryć szkodliwego oprogramowania w wiadomościach e-mail, I-IV kwartał 2016 r.

Największą ilość szkodliwego spamu zarejestrowano we wrześniu 2016 r. Według naszych szacunków, odsetek samych masowych wysyłek zawierających botnet Necurs stanowił 6,5% wszystkich niechcianych wiadomości w tym miesiącu. Ten rodzaj szkodliwego spamu pobiera na komputery szkodliwe oprogramowanie Locky.

Większość wiadomości e-mail miało charakter neutralny. Użytkowników nakłaniano do otwierania szkodliwych załączników, w których znajdowały się rzekomo rachunki wysłane przez różne organizacje, potwierdzenia, bilety, skany dokumentów, wiadomości głosowe, powiadomienia ze sklepów itd. Niektóre wiadomości nie zawierały żadnego tekstu. Wszystko to wpisuje się w ostatnie trendy w spamie: oszuści w coraz mniejszym stopniu próbują zrobić wrażenie na użytkownikach lub ich zastraszać, aby w efekcie kliknięli szkodliwy odsyłacz lub otworzyli załącznik. Zamiast tego, spamerzy starają się, aby zawartość e-maila wyglądała normalnie, nie wyróżniając się na tle innej korespondencji prywatnej. Wydaje się, że cyberprzestępcy sądzą, iż znaczna część użytkowników opanowała podstawy bezpieczeństwa internetowego i jest w stanie rozpoznać oszustwo, dlatego szkodliwe załączniki powinny przypominać codzienną pocztę.

spam_q3_2016_eng_2_auto.png

Na szczególną uwagę zasługuje fakt, że spam pochodzący z botnetu Necurs posiadał zdefiniowany wzór technicznych nagłówków e-mail, podczas gdy schematy wykorzystywane przez cryptolockera Locky różniły się znacznie między sobą. W pięciu zaprezentowanych powyżej przykładach zastosowano następujące cztery schematy: 

  • Loader JavaScript w archiwum ZIP ładuje i uruchamia Locky'ego.
  • Locky zostaje załadowany przy użyciu makra w pliku .docm.
  • Zarchiwizowana strona HTML ze skryptem JavaScript pobiera  Locky'ego.
  • Zarchiwizowana strona HTML ze skryptem JavaScript pobiera zaszyfrowany obiekt Payload.exe, który uruchamia Locky'ego po odszyfrowaniu.

Metody i sztuczki: odsyłacze w centrum uwagi

Zaciemnianie IP

W trzecim kwartale spamerzy nadal eksperymentowali z zaciemnionymi odsyłaczami. Ta znana metoda zapisywania adresów IP w systemie szesnastkowym i ósemkowym została udoskonalona przez oszustów, którzy zaczęli dodawać „szum”. W efekcie, zawarty w odsyłaczu adres IP może wyglądać ostatecznie tak:

HTTP://@[::ffff:d598:a862]:80/

Spamerzy zaczęli również dodawać symbole niealfanumeryczne oraz ukośniki w adresach domen/IP, na przykład:

http://0122.0142.0xBABD/

<a href=/@/0x40474B17

Usługi skracania adresów URL

Ponadto spamerzy kontynuowali eksperymenty z usługami skracania adresów URL, umieszczając tekst między ukośnikami. Na przykład:

spam_q3_2016_eng_3_auto.png

 

Niekiedy w celu dodania szumu tekstowego wykorzystywano inne odsyłacze:

Wykorzystywanie kwerend wyszukujących

Niektórzy spamerzy wrócili do starej metody ukrywania adresów swoich stron przy użyciu kwerend wyszukujących. Pozwala ona rozwiązać dwa problemy: obejść czarne listy i uzyskać unikatowe odsyłacze dla każdej wiadomości e-mail. Jednak w trzecim kwartale spamerzy poszli o krok dalej i stosowali opcję Google „Szczęśliwy traf”. Opcja ta automatycznie przekierowuje użytkowników na stronę internetową, która pojawia się na pierwszym miejscu na liście wyników wyszukiwania, i może być aktywowana poprzez dodanie „&btnI=ec” na końcu odsyłacza. Klikając odsyłacz użytkownicy, zamiast na stronę wyświetlaną w wynikach wyszukiwarki Google, zostają przekierowani na stronę spamera. Sama strona reklamowa jest naturalnie zoptymalizowana, tak aby znajdowała się najwyżej w wynikach wyszukiwania. W ramach jednej masowej wysyłki może występować wiele podobnych kwerend.

spam_q3_2016_eng_4_auto.png

W powyższym przykładzie zastosowano jeszcze inny trik. Kwerenda wyszukująca jest napisana cyrylicą. Litery w cyrylicy są najpierw konwertowane do formatu dziesiętnego (np. „авто” zmienia się w „Авто”), a następnie cała kwerenda w tej postaci, łącznie ze znakami specjalnymi, jest konwertowana do szesnastkowego formatu URL.

Imitacje popularnych stron

W trzecim kwartale phisherzy próbowali oszukać użytkowników poprzez upodabnianie odsyłacza do odsyłacza legalnej strony. Jest to sztuczka stara jak świat. Jednak wcześniej rzeczywiste nazwy domen były nieznacznie zmieniane, obecnie natomiast cyberprzestępcy wykorzystują sub-domeny imitujące nazwy prawdziwych domen lub długie domeny z łącznikiem. W atakach phishingowych na użytkowników systemu PayPal wykryliśmy na następujące nazwy domen:

spam_q3_2016_eng_5_auto.png

W ramach ataków phishingowych na użytkowników urządzeń firmy Apple posłużono się następującymi nazwami domen:

spam_q3_2016_eng_6.png

 

Spamerzy posiłkowali się również nowymi „opisowymi” strefami domen, w przypadku których fałszywy odsyłacz wydaje się bardziej aktualny i godny zaufania, na przykład:

 

spam_q3_2016_eng_7.png

Szukamy testerów

W badanym kwartale ruch e-mail zawierał masowe wysyłki, za pomocą których proszono użytkowników o udział w darmowym testowaniu produktu, który mogli następnie zatrzymać. Autorzy przeanalizowanych przez nas e-maili oferowali popularne produkty, takie jak drogie urządzenia gospodarstwa domowego znanych marek (ekspresy do kawy, roboty odkurzające), środki do sprzątania, kosmetyki, a nawet żywność. Natknęliśmy się również na wiele wiadomości oferujących możliwość przetestowania najnowszych modeli urządzeń elektronicznych, łącznie z nowym iPhone'm, który miał premierę pod koniec trzeciego kwartału. Wśród nagłówków wykorzystanych w tych masowych wysyłkach znalazły się następujące: „Zarejestruj się, aby przetestować i zatrzymać nowego iPhone'a 7S!”, „Potrzebni testerzy IPhone'a 7S”. Premierze najnowszego iPhone'a towarzyszył niezwykły wzrost aktywności spamowej ukierunkowanej na produkty firmy Apple.

spam_q3_2016_eng_8.png

Osoby wysyłające tego rodzaju wiadomości nie są w żaden sposób związane z firmami, których produkty wykorzystują jako swoją przynętę. Co więcej, wysyłają swoje masowe wysyłki z fałszywych adresów e-mail lub z pustych, nowo utworzonych domen.

 

spam_q3_2016_eng_9_auto.jpg

Nadawcy obiecują dostarczyć produkty do testowania pocztą, wykorzystując to jako pretekst, aby poprosić o adres pocztowy oraz e-mail odbiorcy, jak również inne dane osobowe. Użytkownik musi ponieść niewielką opłatę pocztową, jednak nawet jeśli produkty zostaną dostarczone, nie ma gwarancji, że będą dobrej jakości. W internecie znaleźć można mnóstwo postów umieszczonych przez użytkowników, którzy twierdzą, że nigdy nie otrzymali żadnych produktów, nawet po zapłaceniu opłat pocztowych. Przypomina to niewirtualne oszustwo w starym stylu: cyberprzestępcy otrzymują przelewy pieniężne pod pretekstem opłat pocztowych, a następnie znikają. 

Kupony upominkowe, które zadowolą wszystkie gusta

Ruch spamowy w III kwartale zawierał kilka interesujących wysyłek wykorzystujących popularny temat fałszywych kuponów upominkowych. Odbiorcy otrzymali możliwość udziału w badaniu internetowym w zamian za kupon o wartości od dziesięciu do kilkuset euro lub dolarów. Pozwolono im wierzyć, że kupony te mogli wykorzystać w dużych międzynarodowych sieciach detalicznych, hipermarketach internetowych, sklepach spożywczych, popularnych sieciach fast-food oraz na stacjach.

spam_q3_2016_eng_10_auto.jpg

W niektórych przypadkach nadawcy takich oszukańczych wiadomości twierdzili, że przeprowadzają badanie w celu udoskonalenia obsługi klientów w organizacjach, które rzekomo sponsorowały te hojne oferty, oraz poprawy jakości ich produktów. W innych przypadkach, sugerowano, że odbiorca wiadomości stanowi „szczęśliwca”, którego adres e-mail został wylosowany jako ten, który otrzyma szczodry prezent na znak uznania za korzystanie z produktów lub usług danej marki. Wiadomości rzeczywiście zostały losowo wysłane na adresy e-mail, które zostały zebrane przez spamerów, i niekoniecznie należały do klientów firm wymienionych w e-mailach.

W celu potwierdzenia odbioru kuponu upominkowego użytkownik proszony był o kliknięcie zawartego w wiadomości e-mail odsyłacza, który w rzeczywistości prowadził do pustej domeny o opisowej nazwie (np. „zwycięzca dnia”). Następnie, poprzez przekierowanie, użytkownik przechodził na nowo utworzoną stronę zawierającą baner zaprojektowany w stylu marki, która rzekomo rozsyłała wysyłki. Użytkownik dowiadywał się, że liczba kuponów jest ograniczona i że ma jedynie 90 sekund, aby kliknąć odsyłacz oznaczający zgodę na otrzymanie upominku. Po wypełnieniu krótkiej ankiety zawierającej pytania typu „Jak długo korzysta Pan/Pani z naszych usług?" oraz „Jak zamierza Pan/Pani wykorzystać kupon?" użytkownik był proszony o podanie w formularzu swoich danych osobowych. Na koniec „szczęśliwy zwycięzca” był przekierowywany na stronę bezpiecznych płatności, gdzie musiał podać szczegóły dotyczące swojej karty bankowej i zapłacić niewielką opłatę (w analizowanym przez nas przypadku kwota ta wynosiła 1 koronę). 

Z analizy internetowej wynika, że zamiast wypełniania ankiety online niektóre potencjalne ofiary tego rodzaju oszustwa opartego na kuponach były proszone o zadzwonienie pod określony numer w celu udziału w ankiecie telefonicznej. To również  dość rozpowszechniony rodzaj oszustwa: chodzi o to, aby możliwie najdłużej przetrzymać kogoś na „płatnej" linii, aż zrezygnuje z obiecanego upominku.

Podobnie jak oferty udziału w testowaniu produktów, tego rodzaju wiadomości były rozsyłane z fałszywych adresów e-mail z pustą lub niedawno utworzoną domeną, która nie miała nic wspólnego z organizacjami, w imieniu których oferowane były kupony.

Statystyki

Odsetek spamu w ruchu e-mail

spam_q3_2016_eng_11_auto.png

Odsetek spamu w globalnym ruchu e-mail, II i III kwartał, 2016 r.

Największy odsetek spamu w trzecim kwartale - 61,25% - odnotowano we wrześniu. Średni udział niechcianych wiadomości w globalnym ruchu e-mail w badanym kwartale wynosił 59,19%, co stanowi wzrost o 2 punkty procentowe w stosunku do poprzedniego kwartału.

Źródła spamu według państwa

spam_q3_2016_eng_12_auto.png

Źródła spamu według państwa, III kwartał 2016

W III kwartale 2016 r. znacznie wzrósł udział Indii pod względem rozprzestrzeniania spamu - o 4 punkty procentowe. W efekcie państwo to stało się największym źródłem spamu (14,02%). Na drugim miejscu utrzymał się Wietnam (11,01%, +1 punkt procentowy). Stany Zjednoczone spadły na trzecią pozycję, po tym jak ich udział w rozprzestrzenianiu spamu (8,88%) zmniejszył się o 1,9 punktu procentowego.

Podobnie jak w poprzednim kwartale, czwarte i piąte miejsce zajęły odpowiednio Chiny (5,02%) oraz Meksyk (4,22%), za którymi uplasowały się Brazylia (4,01%), Niemcy (3,80%) i Rosja (3,55%). Ranking TOP 10 zamknęła Turcja (2,95%).

Rozmiar wiadomości spamowych

spam_q3_2016_eng_13_auto.png

Rozkład wiadomości e-mail według rozmiaru, II i III kwartał 2016 r.

Tradycyjnie, najczęściej rozprzestrzeniane wiadomości e-mail mają bardzo niewielki rozmiar - do 2 KB (55,78%). Jednak odsetek takich wiadomości spadał w ciągu roku i III kwartale zmniejszył się o 16 punktów procentowych w porównaniu z poprzednim kwartałem. Z kolei udział e-maili o rozmiarze 10-20 KB odnotował znaczący wzrost - z 10,66% do 21,19%. Jeśli chodzi o pozostałe kategorie, zmiany były minimalne.

Szkodliwe załączniki do wiadomości e-mail

Obecnie, większość szkodliwych programów jest wykrywanych proaktywnie w sposób automatyczny, co znacznie utrudnia zebranie danych statystycznych dotyczących określonych modyfikacji szkodliwego oprogramowania. Dlatego postanowiliśmy przedstawić ranking mający większe walory informacyjne - TOP 10 rodzin szkodliwego oprogramowania, które spowodowały aktywację ochrony antywirusowej poczty.

TOP 10 rodzin szkodliwego oprogramowania

Na szczycie rankingu najpopularniejszych rodzin szkodliwego oprogramowania po raz kolejny znalazł się Trojan-Downloader.JS.Agent (9,62%). Na drugiej pozycji uplasował się Trojan-Downloader.JS.Cryptoload (2,58%). Jego udział zwiększył się o 1,34 punktu procentowego. Podobnie jak w poprzednim kwartale, pierwszą trójkę zamknął Trojan-Downloader.MSWord.Agent (2,34%).

Na czwarte miejsce spadła popularna rodzina Trojan-Downloader.VBS.Agent (1,68%), która odnotowała spadek udziału o 0,48 punktu procentowego. Tuż za nią uplasował się Trojan.Win32.Bayrob (0,94%).

spam_q3_2016_eng_14_auto.png

TOP 10 rodzin szkodliwego oprogramowania w III kwartale 2016 r.

W drugiej połowie rankingu pojawiło się wiele nowości. Znajdujący się na siódmym miejscu Worm.Win32.WBVB (0,60%) zawiera pliki wykonywalne napisane w języku Visual Basic 6 (zarówno w P-code jak i Nativ), które nie są identyfikowane jako zaufane przez system KSN. Próbki szkodliwego oprogramowania z tej rodziny są wykrywane jedynie przez ochronę antywirusową poczty. W przypadku tego rodzaju werdyktu, ochrona antywirusowa systemu plików wykrywa jedynie obiekty z nazwami, które mogą zmylić użytkowników, na przykład AdobeFlashPlayer, InstallAdobe itd.

Na ósmej pozycji znalazł się Trojan.JS.Agent (0,54%). Typowym przedstawicielem tej rodziny jest plik o rozszerzeniu .wsf, .html, .js oraz innych.   Celem tego szkodnika jest gromadzenie informacji dotyczących przeglądarki, systemu operacyjnego oraz oprogramowania, w których można znaleźć luki w zabezpieczeniach. W przypadku zidentyfikowania podatnej na ataki aplikacji, skrypt próbuje uruchomić szkodliwy skrypt lub aplikację za pośrednictwem określonego odsyłacza.

Inna nowość - Trojan-Downloader.MSWord.Cryptoload (0,52%) - znalazła się na dziewiątym miejscu. Szkodnik ten ma zwykle postać dokumentu z rozszerzeniem .doc lub .docx zawierającego skrypt, który może być wykonany w środowisku MS Word (Visual Basic for Applications). Skrypt ten zawiera procedury dotyczące ustanowienia połączenia, pobierania, zapisywania i uruchamiania pliku - zwykle trojana szyfrującego. 

Trojan.Win32.Agent (0,51%), który w poprzednim kwartale znalazł się na siódmej pozycji, w badanym okresie uplasował się na końcu listy TOP 10.

Państwa stanowiące najpopularniejszy cel szkodliwych wysyłek spamowych

spam_q3_2016_eng_15_auto.png

Rozkład werdyktów wykrycia szkodliwego oprogramowania w poczcie e-mail według państwa w III kwartale 2016 r.

Niemcy (13,21%) pozostały najczęściej atakowanym państwem jeśli chodzi o szkodliwe wysyłki e-mail, chociaż ich udział stale zmniejszał się - w III kwartale spadek wyniósł 1,48 punktu procentowego. Na drugie miejsce wspięła się Japonia (8,76%), której udział zwiększył się o 2,36 punktu procentowego. Udział znajdujących się na trzeciej pozycji Chin (8,37%) zmniejszył się o 5,23 punktu procentowego.

Czwarte miejsce zajęła Rosja (5,54%), której udział zwiększył się o 1,14 punktu procentowego w stosunku do poprzedniego kwartału. Włochy uzyskały piątą lokatę z udziałem 5,01%. Stany Zjednoczone pozostały na siódmym miejscu (4,15%). Ranking TOP 10 zamknęła Austria (2,54%).

Phishing

W III kwartale 2016 r. system antyphishingowy został aktywowany 37 515 531 razy na komputerach użytkowników produktów Kaspersky Lab - o 5,2 miliona razy częściej niż w poprzednim kwartale. W III kwartale 2016 r. cel ataków phishingowych stanowiło łącznie 7,75% unikatowych użytkowników produktów firmy Kaspersky Lab na całym świecie.

Rozkład geograficzny ataków

Chiny (20,21%) nadal stanowią państwo, w którym znajduje się najwięcej użytkowników dotkniętych atakiem phishingowym. W III kwartale 2016 r. odsetek zaatakowanych zwiększył się o 0,01 punktu procentowego.

spam_q3_2016_eng_16_auto.png

Rozkład geograficzny ataków phishingowych*, III kwartał 2016 r.

*Liczba użytkowników, na których komputerach został aktywowany system antyphishingowy, jako odsetek całkowitej liczby użytkowników rozwiązań firmy Kaspersky Lab w danym państwie. 

Odsetek zaatakowanych użytkowników w Brazylii zmniejszył się o 0,4 punktu procentowego i stanowił 18,23%, przez co państwo to znalazło się na drugim miejscu w rankingu. Zjednoczone Emiraty Arabskie zwiększyły swój udział o 0,88 punktu procentowego w stosunku do wyniku z poprzedniego kwartału, uzyskując trzecią lokatę (11,07%). Za nimi uplasowała się Australia (10,48%, -2,29 punktu procentowego) oraz Arabia Saudyjska (10,13%, +1,5 punktu procentowego).

Top 10 państw według odsetka zaatakowanych użytkowników:

Chiny

20,21%

Brazylia

18,23%

Zjednoczone Emiraty Arabskie

11,07%

Australia

10,48%

Arabia Saudyjska

10,13%

Algieria

10,07%

Nowa Zelandia

9,7%

Makau

9,67%

Terytorium palestyńskie

9,59%

Afryka Południowa

9,28%

Udział zaatakowanych użytkowników w Rosji wynosił 7,74%.  Za Rosją uplasowała się Kanada (7,16%), Stany Zjednoczone (6,56%) oraz Wielka Brytania (6,42%).

Atakowane organizacje

Ranking kategorii organizacji zaatakowanych przez phisherów

Ranking ataków phisherów na różne kategorie organizacji opiera się na wykryciach przy użyciu heurystycznego komponentu antyphishingowego firmy Kaspersky Lab. Jest on aktywowany za każdym razem, gdy użytkownik próbuje odwiedzić stronę phishingową, jeśli informacje dotyczące tej strony nie są jeszcze dostępne w bazach danych firmy Kaspersky Lab. Nie ma znaczenie, w jaki sposób użytkownik wchodzi na stronę – klikając odsyłacz zawarty w wiadomości phishingowej, w wiadomości wysyłanej za pośrednictwem portalu społecznościowego czy w wyniku aktywności szkodliwego oprogramowania. Po tym, jak system bezpieczeństwa zostanie aktywowany, użytkownik widzi w przeglądarce baner ostrzegający go przed potencjalnym zagrożeniem. 

W III kwartale 2016 r. cele ponad połowy wszystkich zarejestrowanych ataków należały do kategorii „Organizacje finansowe" (banki, systemy płatnicze, sklepy internetowe). Odsetek ataków na cele z kategorii „Banki" zwiększył się o 1,7 punktu procentowego i stanowił 27,13%. Udział kategorii „Sklepy internetowe" (12,21%) oraz „Systemy płatności" (11,55%) wzrósł odpowiednio o 2,82 i 0,31 punktu procentowego.

spam_q3_2016_eng_17_auto.png

Rozkład organizacji, które stały się celem ataków phishingowych, według kategorii, III kwartał 2016 r.

Oprócz organizacji finansowych phisherzy najczęściej atakowali „Globalne portale internetowe" (21,73%), „Portale społecznościowe" (11,54%) oraz „Dostawców usług telefonicznych i internetowych" (4,57%). Jednak liczby dotyczące tych ataków pozostały niemal niezmienione w stosunku do poprzedniego kwartału - w przypadku każdej kategorii zmiana mieściła się w granicach jednego punktu procentowego. 

Gorące tematy w III kwartale

Ataki na użytkowników bankowości online

W trzecim kwartale znacznie zwiększył się odsetek zaatakowanych użytkowników z kategorii „Banki" - o 1,7 punktu procentowego. Cztery banki, których klienci stanowili najczęstszy cel ataków, są zlokalizowane w Brazylii. Od kilku lat z rzędu Brazylia plasuje się wśród państw z najwyższym odsetkiem użytkowników zaatakowanych przez phisherów, zajmując niekiedy pierwsze miejsce. Użytkownicy bankowości online stanowią główne cele cyberprzestępców ze względu na oczywiste korzyści finansowe udanego ataku.

Odsyłacze do fałszywych stron bankowości są najczęściej rozprzestrzeniane za pośrednictwem poczty e-mail.

spam_q3_2016_eng_18_auto.png

Przykład wiadomości phishingowej wysłanej w imieniu brazylijskiego banku. Zawarty w wiadomości odsyłacz prowadzi do fałszywej strony, która podszywa się pod stronę logowania się do konta bankowego użytkownika. 

„Wirusy pornograficzne" dla użytkowników Facebooka

Na początku poprzedniego kwartału celem ataków phishingowych stali się użytkownicy Facebooka. Niemal pół roku później oszuści zastosowali tę samą metodę do zaatakowania użytkowników w Europie. Jako przynętę zastosowali prowokacyjny film dla dorosłych. Aby go obejrzeć, użytkownik wchodził na fałszywą stronę (szczególnie popularna była strona w domenie xic.graphics) podszywającą się pod popularny serwis wideo YouTube.

spam_q3_2016_eng_19.png

Przykład oznaczenie użytkownika w poście z filmem

Rozszerzenie to żądało praw do odczytu wszystkich danych w przeglądarce, potencjalnie zapewniając cyberprzestępcom dostęp do haseł, loginów, danych dotyczących karty kredytowej oraz innych poufnych informacji dot. użytkownika. Ponadto rozsyłało więcej odsyłaczy na Facebooku, które kierowały do niego samego, ale były wysyłane w imieniu ofiary.

Sztuczki phisherów

Kontynuując temat z drugiego kwartału, omówimy popularne sztuczki oszustów internetowych. Ich celem jest po prostu przekonanie ofiar, że korzystają z legalnych zasobów, oraz obejście filtrów oprogramowania bezpieczeństwa. Często im bardziej strona jest przekonująca dla ofiary, tym łatwiej ją wykryć przy użyciu różnych technologii do zwalczania oszustów. 

Ładne domeny

Opisywaliśmy już sztuczkę polegającą na tym, że do rozprzestrzeniania zawartości phishingowej spamerzy stosują odsyłacze w wiadomościach e-mail, które wyglądają jak prawdziwe. Oszuści sięgają po tę technikę niezależnie od sposobu propagowania strony. Próbują zmylić użytkowników, którzy wprawdzie zwracają uwagę na adres w pasku adresu, ale nie posiadają wystarczającej wiedzy technicznej, żeby dostrzec pułapkę.

Domena główna atakowanej organizacji może być reprezentowana np. przez domenę 13 poziomu:

spam_q3_2016_eng_20_auto.png

 

Lub może pojawić się w zestawieniu z innym odpowiednim słowem, np. bezpieczny:

 

spam_q3_2016_eng_21_auto.png

 

Sztuczki te pomagają zmylić potencjalne ofiary, ale z drugiej strony znacznie ułatwiają wykrywanie ataków phishingowych przy użyciu rozwiązań bezpieczeństwa.

Różne języki dla różnych ofiar

Na podstawie informacji dotyczących adresu IP potencjalnej ofiary phisherzy określają państwo, w którym jest ona zlokalizowana. W przykładzie poniżej wykorzystują do tego celu usługę http://www.geoplugin.net/json.gp?ip=.

spam_q3_2016_eng_22_auto.png

 

W zależności od zidentyfikowanego państwa cyberprzestępcy wyświetlają strony zawierające słownictwo w odpowiednim języku.

 

spam_q3_2016_eng_22_auto.png

 

Przykłady plików wykorzystywanych do wyświetlania strony phishingowej w określonym języku 

 

spam_q3_2016_eng_24.png

 

Przykład poniżej pokazuje 11 różnych wersji stron dla 32 różnych lokalizacji:

 

spam_q3_2016_eng_25_auto.png

Przykład skryptu wykorzystanego przez phisherów w celu wyświetlania odpowiedniej strony w zależności od lokalizacji ofiary

TOP 3 zaatakowanych organizacji

Oszuści nadal koncentrują swoją uwagę głównie na najpopularniejszych markach, zwiększając swoje szanse na skuteczny atak phishigowy.  Ponad połowa wszystkich wykrytych ataków przy użyciu heurystycznego komponentu antyphishingowego Kaspersky Lab dotyczy stron phishingowych ukrywających się za nazwami mniej niż 15 firm.

Trzy najczęściej atakowane przez phisherów organizacje odpowiadały za 21,96% wszystkich odsyłaczy phishingowych wykrytych w III kwartale 2016 r.

Organizacja

% wykrytych odsyłaczy phishingowych

Facebook

8,040955

Yahoo!

7,446908

Amazon.com

6,469801

W III kwartale 2016 r. Facebook (8,1%, +0.07 punktu procentowego) znalazł się na pierwszym miejscu organizacji wykorzystywanych przez oszustów w celu zamaskowania swoich ataków. Microsoft, lider z poprzedniego kwartału, wypadł z pierwszej trójki. Na drugim miejscu znalazł się Yahoo! (7,45%), którego udział zwiększył się o 0,38 punktu procentowego. Trzecie miejsce zajął Amazon, nowość w TOP 3, którego udział wynosił 6,47%.

Zakończenie

W trzecim kwartale 2016 r. odsetek spamu w ruchu e-mail zwiększył się o 2 punktu procentowego w porównaniu z poprzednim kwartałem i stanowił 59,19%. Największy udział spamu - 61,25% - odnotowano we wrześniu. Największe źródło niechcianych wiadomości stanowiły Indie (14,02%), które w poprzednim kwartale zajmowały dopiero czwartą pozycję. Wśród trzech największych spamerów znalazł się również Wietnam (11,01%) i Stany Zjednoczone (8,88%).

Trzy państwa stanowiące najczęstszy cel szkodliwych wysyłek spamowych nie zmieniły się w stosunku do poprzedniego kwartału. Niemcy (13,21%) po raz kolejny uplasowały się na pierwszym miejscu, a tuż za nimi znalazła się Japonia (8,76%) i Chiny (8,37%).

W III kwartale 2016 roku produkty firmy Kaspersky Lab zapobiegły ponad 37,5 miliona prób wejścia na strony phishingowe - o 5,2 miliona więcej niż w poprzednim kwartale. Najpopularniejszym celem były organizacje finansowe, w szczególności banki, stanowiąc 27,13% wszystkich zidentyfikowanych ataków. Najbardziej atrakcyjne cele ataków phishingowych w III kwartale 2016 r. stanowili klienci czterech banków zlokalizowanych w Brazylii.