Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja spamu: kwiecień - czerwiec 2008

Tagi:

Daria Gudkowa
Denis Maslennikow

Spam w ruchu pocztowym

W drugim kwartale 2008 roku odsetek spamu w ruchu pocztowym wynosił średnio 82,5%. Dla porównania, w pierwszym kwartale spam stanowił 88% wszystkich wiadomości e-mail. Największy odsetek spamu odnotowaliśmy 9 kwietnia (93,9%), najniższy natomiast 3 maja (64,2%).

0708_gudmas_spamq2_pic01s.jpg
Spam w rosyjskim Internecie: II kwartał 2008

Na przełomie kwietnia i maja miał miejsce znaczny spadek udziału spamu w ruchu pocztowym. W połowie czerwca udział spamu nieco wzrósł, jednak nie osiągnął już poziomu z początku kwietnia. Być może jest to spadek sezonowy. Kilka lat temu obserwowaliśmy tendencję spadkową spamu pod koniec wiosny, natomiast wzrostową na początku jesieni. Jednak ostatnim razem trend ten wystąpił w 2005 roku: ostatni wzrost udziału spamu w ruchu pocztowym miał miejsce w okresie noworocznym. Zakładając, że sytuacja, jaka miała miejsce w drugim kwartale 2008 roku, to sezonowe wahanie, możemy mieć nadzieję, że przez całe lato stosunek spamu do legalnych wiadomości utrzyma się poniżej średniej.

W drugim kwartale odsetek wiadomości phishingowych wynosił średnio 1,77%. Zainfekowane załączniki oraz odsyłacze do zainfekowanych stron internetowych obecne były w 0,41% wszystkich wiadomości e-mail.

Udział spamu według kategorii

0708_gudmas_spamq2_pic02s.jpg
Spam według kategorii: II kwartał 2008

Najpopularniejsze kategorie spamu w II kwartale 2008 r.:

  1. Leki oraz towary i usługi związane ze zdrowiem (22,7%)
  2. Edukacja (14,3%)
  3. Podrabiane produkty znanych projektantów (11,3%)
  4. Podróże i turystyka (9,6%)
  5. Reklama usług spamerów (4,9%)

Kategoria spamu, która od dawna utrzymuje się na pierwszym miejscu - Leki oraz towary i usługi związane ze zdrowiem - znacznie zmniejszyła swoją przewagę w stosunku do poprzedniego kwartału. Jej udział zmniejszył się o prawie 10 punktów procentowych, do 22,7%. Jednocześnie rozpowszechniła się nowa kategoria - Podrabiane produkty znanych projektantów - której udział wyniósł 11,3% i zapewnił jej trzecie miejsce wśród pięciu najpopularniejszych kategorii spamu. Wśród pozostałych kategorii spamu nie odnotowano podobnych zmian.

Reklamy podrabianych zegarków znanych projektantów można było znaleźć w anglojęzycznym spamie już od dawna. W przypadku rosyjskojęzycznego spamu, nie były one tak popularne. Jednak pomysł sprzedawania tanich podróbek podchwycili również rosyjscy przedsiębiorcy. Od czasu pojawienia się tego obszaru biznesu w Rosji odsetek spamu reklamującego podróbki wzrósł do takiego stopnia, że w marcu 2008 roku musieliśmy wprowadzić kategorię "Podrabiane produkty znanych projektantów". Należy zauważyć, że rosyjscy spamerzy mają swój własny sposób przyciągania klientów, polegający na oferowaniu "zegarka takiego jak ma Putin" czy "imitacji telefonu Billa Gatesa".

Odmiany spamu przestępczego

W drugim kwartale 2008 roku różnorodność reklam usług przestępczych, scamu oraz e-maili phishingowych nadal była imponująca. Przykłady obejmowały oferty nauczenia użytkowników, w jaki sposób mogą złamać konta e-mail i ICQ, próby nakłonienia użytkowników do udziału w praniu brudnych pieniędzy oraz naturalnie wiadomości phishingowe, których celem jest uzyskanie pieniędzy lub danych osobowych użytkowników.

Poniżej przedstawiamy przykład próby kradzieży danych osobowych:

0708_gudmas_spamq2_pic03.jpg

Po raz kolejny przestrzegamy: jeśli otrzymasz wiadomość, w której zostaniesz poproszony, pod jakimkolwiek pretekstem, o wykonanie działania polegającego na wysłaniu pieniędzy do jakiejkolwiek osoby, istnieje duże prawdopodobieństwo, że wiadomość ta jest oszustwem. Nie należy również wprowadzać i wysyłać swoich poufnych danych po otrzymaniu pisemnej prośby.

Spamerzy zwracają większą uwagę na jakość reklam

Ostatnio rosyjscy spamerzy starają się, aby wysyłane przez nich reklamy były bardziej zróżnicowane i atrakcyjne. Szczególnie widoczne jest to w wiadomościach reklamujących usługi samych spamerów. W czerwcu na przykład kilku moskiewskich spamerów prowadziło dość szeroko zakrojoną kampanię reklamową polegającą na jednoczesnym wysyłaniu wiadomości złożonych z samego tekstu, spamu zawierającego tabele danych oraz wiadomości spamowych zawierających wysokiej jakości zdjęcia. W przeciwieństwie do rosyjskich spamerów, ich zagraniczni koledzy nie próbują robić wrażenia na swoich potencjalnych klientach: reklamowanie usług spamerów w języku angielskim zwykle przybiera formę krótkich treściwych wiadomości tekstowych.

Oprócz różnych rodzajów układów graficznych spamerzy stosują szereg różnych sztuczek, takich jak personalizacja wiadomości i wykorzystywanie zainteresowania głośnymi wydarzeniami na całym świecie.

Poniżej przedstawiamy jeden z najbardziej charakterystycznych przykładów tego, w jaki sposób spamerzy żerują na wydarzeniach, którymi żyją rzesze użytkowników: w czasie Euro 2008 spamerzy aktywnie wykorzystywali piłkę nożną w celu zwrócenia uwagi na swoje reklamy.

0708_gudmas_spamq2_pic04.jpg

Tłumaczenie:

Masowe wysyłki, które zawsze są celne!

Dla osób, które zamówią wysyłkę przed 26 czerwca: jeśli Rosja pokona Hiszpanię, otrzymasz darmową wysyłkę.

Aby zapytać o cenę, zadzwoń na numer xxxxxxxxxx

Chęć uatrakcyjnienia reklam wpływa na techniczne metody wykorzystywane przez spamerów. Jednym z wyzwań stojących przed spamerami jest to, aby każda wiadomość w wysyłce była unikatowa, co pozwoli zwiększyć szanse na obejście filtrów spamowych. Podczas gdy w przeszłości konieczność obchodzenia filtrów spamowych często powodowała, że wiadomości były praktycznie nieczytelne, obecnie spamerzy starają się nie zepsuć wyglądu swoich wiadomości, dlatego nie wykorzystują tradycyjnych sztuczek, takich jak zniekształcenie tekstu, stosowanie podwójnych znaków itd. W poprzednim raporcie omówiliśmy dodawanie losowych znaczników html - alternatywną metodę tworzenia unikatowych wiadomości, która nie wpływa na wygląd reklam. Nie jest to jednak jedyna metoda.

Aby każda wiadomość była unikatowa, bez zniekształcenia jej treści, spamerzy modyfikują odsyłacz, który prowadzi do strony internetowej reklamowanej w wiadomości, zamieniając niektóre znaki w odsyłaczu na ich wartości Unicode. Ponieważ znaki, które mają zostać zamienione, wybierane są losowo, każdy odsyłacz jest unikatowy, ale prowadzi do tej samej strony co wszystkie inne. Niektóre klienty pocztowe wyświetlają wartości Unicode jako właściwe znaki, dlatego gdy użytkownicy wykorzystujący takie klienty otworzą wiadomość, zawarte w niej odsyłacze wyglądają jak zwykła nazwa lub adres ze strony internetowej.

Odsyłacz w wiadomości, w której niektóre symbole zawarte w adresie zostały zastąpione ich wartościami Unicode:

</font>

Adres strony bez zamiany znaków:

</font>

http://%62%65s%74erot%69%63%2enam%65</font>

http://besterotic.name</font>

Wykorzystywanie popularnych zasobów internetowych w celu wyświetlania reklam

Spam e-mail wykroczył daleko poza pocztę elektroniczną. O ile w przeszłości spam taki ograniczał się do powiadomień z forów zawierających odsyłacze spamerów, obecnie wykorzystywany jest znacznie szerszy wachlarz zasobów.

Blogi i darmowe internetowe aplikacje biurowe

Dzisiejsze duże systemy pocztowe próbują zwiększyć swoją popularność poprzez oferowanie użytkownikom dodatkowych bezpłatnych usług, łącznie z blogami, sieciowymi aplikacjami biurowymi itd. W drugim kwartale 2008 roku spamerzy zaczęli umieszczać swoje reklamy na stronach takich darmowych usług i wysyłać wiadomości zawierające jedynie odsyłacze do takich stron. Spamerzy mieli nadzieję, że filtry spamowe nie zablokują wiadomości zawierających odsyłacze do popularnych zasobów, takich jak Google docs lub blogs.mail.ru.

Spamerzy skoncentrowali się głównie na nowych usługach, które pojawiły się niedawno i nadal posiadają luki w swoich zabezpieczeniach. Znane blogi, takie jak livejournal czy liveinternet, zostały prawie całkowicie zignorowane, ponieważ trudno jest automatycznie zarejestrować konta na takich zasobach, a dzienniki spamowe są szybko blokowane.

Serwisy społecznościowe

Serwisy społecznościowe to kolejny popularny zasób wykorzystywany przez spam. Spamerzy umieszczają reklamy w serwisach społecznościowych, a następnie rozsyłają spam z odsyłaczami do tych reklam.

Kolejna odmiana spamu wyłoniła się w odpowiedzi na polityki ustanowione przez administratorów niektórych serwisów społecznościowych, które pozwalają użytkownikom na zwiększenie swoich rankingów lub otrzymanie bonusów za to, że inne osoby zarejestrowały się w serwisie na ich zaproszenie. W tej sytuacji spam e-mail jest wykorzystywany do wysyłania zaproszeń do jak największej liczby osób. Odsyłacze w takich wiadomościach prowadzą do stron, na których odbiorcy mogą zarejestrować się w serwisie jako członkowie zaproszeni przez osobę, która zleciła wysyłkę spamową.

Cyberprzestępcy zaczęli również wykorzystywać popularność serwisów społecznościowych poprzez wysyłanie wiadomości imitujących powiadomienia od administratorów takich serwisów. Nie podejrzewając, że wiadomości te mogą być sfałszowane, użytkownicy klikają odsyłacze. Odsyłacze w takich fałszywych wiadomościach mogą prowadzić do zainfekowanych stron lub do stron phishingowych, gdzie użytkownicy proszeni są o wprowadzenie swoich danych osobowych. Na przykład w drugim kwartale 2008 roku odnotowaliśmy spam imitujący wiadomości z odnoklassniki.ru (rosyjski serwis społecznościowy, na którym można znaleźć kolegów szkolnych). Wiadomości zawierały odsyłacze do stron o prawie identycznych nazwach, np. odnoklass.ru czy odnoklassniks.ru. Gdy użytkownik kliknął odsyłacz, szkodliwy program, Trojan.Win32.Agent.qxk, próbował pobrać i zainstalować się na komputerze.

Popularność serwisów społecznościowych wykorzystywana jest również do kradzieży pieniędzy od użytkowników. W jednej z wysyłek cyberprzestępcy podszywali się pod administratorów serwisu społecznościowego, który oferował użytkownikom możliwość wzięcia udziału w losowaniu nagród po wysłaniu "bezpłatnej" wiadomości SMS na numer o podwyższonej opłacie.

Wszystko wskazuje na to, że liczba wysyłek spamowych wykorzystujących coraz większą popularność takich zasobów nadal będzie wzrastać.

Spam ICQ: kategorie spamowych wiadomości e-mail wysyłanych na komunikatory internetowe

Ostatnio reklamy usług spamerów zaczęły zawierać oferty rozsyłania spamu nie tylko za pośrednictwem poczty elektronicznej ale również ICQ. Jednak spam rozsyłany przez ICQ różni się zarówno ze względu na aspekty techniczne systemu (użytkownicy mogą wysyłać tylko krótkie wiadomości tekstowe), jak i grupę docelową.

Tradycyjnie, ICQ nie jest uważany za kanał komunikacji biznesowej. Większość użytkowników ICQ to młodzi ludzie, którzy spędzają w Internecie dużo czasu. Z tego powodu w spamie ICQ dominują reklamy różnych form rozrywki: spam "dla dorosłych" (25,9%), zaproszenia do odwiedzenia stron oferujących rozrywkę (18,9%) oraz spam reklamujący gry online oparte na przeglądarce oraz gry serwerowe (8,9%). Ogólnie ten rodzaj reklamy za pośrednictwem ICQ stanowi ponad 60% wiadomości spamowych.

W drugim kwartale 2008 roku wśród pięciu najpopularniejszych kategorii spamu znalazły się, oprócz tych wymienionych wyżej, oferty zarobienia pieniędzy przez Internet ("kliknięcia" reklam, odwiedzanie stron oraz inne źródła dochodów przez Internet) oraz wiadomości spamowe związane z samym ICQ (promocje ICQ 6.x, oferty kupna lub sprzedaży numerów UIN itd.).

0708_gudmas_spamq2_pic05s.jpg
Spam ICQ według kategorii: II kwartał 2008

Na samym dole rankingu spamu ICQ znajdują się najpopularniejsze kategorie w spamie e-mail: spam "medyczny" oraz reklamy różnych towarów i usług. Na początku 2008 roku reklamowanie leków i różnych towarów i usług za pośrednictwem ICQ było bardzo rzadkie, a oferty towarów i usług ograniczały się do telefonów komórkowych i usług związanych z komputerami. Jednak wczesną wiosną liczba ofert leków oraz różnych towarów i usług zaczęła rosnąć (oferty towarów i usług związanych z telefonami komórkowymi i komputerami są analizowane oddzielnie i nie zostały uwzględnione w tej kategorii). W czerwcu 2008 roku te dwie kategorie stanowiły ponad 9% całego spamu ICQ.

0708_gudmas_spamq2_pic06s.jpg
Poszczególne kategorie w ruchu spamowym ICQ

Spam "medyczny" oraz reklamy towarów i usług stanowią do 90% spamu e-mail i są głównym źródłem dochodów spamerów. Sądząc po dynamice przedstawionej w diagramie, profesjonalni spamerzy specjalizujący się w spamie e-mail zwracają się w kierunku komunikatorów internetowych, stopniowo rozszerzając zakres usług oferowanych swoim klientom. To, czy "poważny" spam zakorzeni się w ICQ, będzie zależało od oceny jego skuteczności przez reklamodawców. W każdym razie w nadchodzących miesiącach spamerzy "e-mail" nadal będą prowadzili swoje eksperymenty w zakresie "ekspansji terytorialnej", a udział kategorii, które wcześniej można było wyróżnić tylko w spamie e-mail, będzie wzrastał w spamie ICQ.

Wniosek

Wyniki dla drugiego kwartału 2008 roku sugerują, że wojna na froncie spamowym znajduje się obecnie w fazie stosunkowego spokoju. Filtry spamowe dobrze sobie radzą ze zwykłymi wiadomościami-śmieciami, natomiast spamerzy nie potrafią opracować innowacyjnych rozwiązań technologicznych, które byłyby w stanie przełamać ochronę antyspamową, i muszą zadowolić się istniejącym poziomem skuteczności. Z tego powodu gracze na rynku usług spamowych zaczęli rywalizować ze sobą pod względem jakości reklam, a nie nowych sztuczek, przy pomocy których można obejść filtry spamowe.

Ponadto spamerzy w dalszym ciągu rozwijają nowe kanały dystrybucji reklam. Od pewnego czasu wykorzystują fora, w rezultacie spam rozsyłany za pośrednictwem portali społecznościowych nie jest już żadną nowością. Do tego doszły sieciowe aplikacje biurowe oraz blogi systemów mailowych, na których spamerzy umieszczają odsyłacze do reklam, które są następnie dodawane do wiadomości spamowych. Kolejnym aktywnie rozwijanym obszarem jest spam ICQ, który pod względem tematów reklam stopniowo upodabnia się do spamu przesyłanego za pośrednictwem poczty elektronicznej.

Spamerzy spieszą się, aby wykorzystać nowe, niedawno wprowadzone usługi. Wynika to nie tylko z popularności takich usług wśród użytkowników, ale również z faktu, że często nie są odpowiednio zabezpieczone.

Mimo że sytuacja jest stosunkowo stabilna, spam nadal stanowi poważne zagrożenie, szczególnie dla nieostrożnych użytkowników. Oszuści wszelkiej maści, phisherzy i twórcy wirusów umiejętnie wykorzystują spam w celu osiągnięcia swoich celów.

Wraz z nadchodzącą jesienią możemy spodziewać się wzrostu odsetka spamu w ruchu pocztowym. Nie ma wątpliwości, że po krótkiej przerwie spamerzy zaczną przeprowadzać swoje eksperymenty technologiczne ze wznowioną energią. Mamy jednak nadzieję, że filtry spamowe nadal będą skutecznie chroniły użytkowników przed niechcianą reklamą.

Najnowsze trendy

  • Odsetek spamu w ruchu pocztowym zmniejszył się w stosunku do pierwszego kwartału 2008 roku i wynosił średnio 82,5%.
  • W drugim kwartale odsetek wiadomości phishingowych wynosił średnio 1,77%. Z kolei odsetek e-maili zawierających zainfekowane załączniki lub odsyłacze do zainfekowanych stron internetowych wyniósł 0,41%.
  • W rosyjskim spamie zaczęła dominować nowa kategoria reklamy - podrabiane produkty znanych projektantów.
  • Spamerzy wkładają dużo wysiłku w poprawę jakości swoich reklam.
  • W celu wyświetlania reklam spamerzy wykorzystują popularne zasoby internetowe.
  • Spam ICQ zawierał tematy typowe dla spamu wysyłanego za pośrednictwem poczty elektronicznej.
Źródło:
Kaspersky Lab