Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w drugim kwartale 2010 roku


Daria Gudkowa
Ekspert z Kaspersky Lab

spam_q2_2010.png

Fakty

  • W drugim kwartale 2010 r. spam stanowił średnio 84,4% całego ruchu pocztowego.
  • Odnośniki do stron phishingowych zostały wykryte w 0,02% wszystkich wiadomości e-mail.
  • PayPal był najczęstszym celem ataków phishingowych. Portal społecznościowy Facebook utrzymał się w pierwszej piątce najpopularniejszych celów ataków phishingowych.
  • Odsetek załączników graficznych w wiadomościach spamowych wyniósł 10,3%.
  • Spamerzy wykorzystywali wiadomości e-mail przypominające powiadomienie z portali społecznościowych oraz od dostawców usług pocztowych w celu reklamowania Viagry i rozprzestrzeniania szkodliwego oprogramowania.
  • Największym spamerem okazały się Stany Zjednoczone, Indie i Wietnam, jednocześnie znacznie wzrósł odsetek spamu z państw Ameryki Środkowej.

Spam w ruchu pocztowym


Odsetek spamu w ruchu pocztowym

Odsetek spamu w ruchu pocztowym w drugim kwartale 2010 roku wynosił 84,4%, co oznacza spadek o 0,8 procent w stosunku do poprzedniego kwartału. Największa ilość spamu została odnotowana 18 kwietnia i 9 maja (89,8%), najmniejsza natomiast 20 kwietnia (79,2%).

Pierwsza połowa maja to okres, w którym odnotowaliśmy największy odsetek spamu. Wynikało to głównie z faktu, że w okresie wakacyjnym ilość legalnych wiadomości e-mail jest zwykle mniejsza.

Źródła spamu

Rozkład źródeł spamu według regionu

 новое окно
Rozkład źródeł spamu według regionu

Azja nadal znajduje się na pierwszym miejscu pod względem ilości rozprzestrzenianego spamu. W kwietniu 40,5% całego spamu pochodziło z państw azjatyckich, w kolejnych miesiącach odsetek ten nieco zmalał. Ogólnie, w okresie od kwietnia do czerwca 2010 roku z państw azjatyckich wysłano 32,8% wszystkich wiadomości spamowych, nieco więcej niż w pierwszym kwartale 2010 roku, gdy odsetek ten wynosił 31,7%. Co więcej, ilość spamu pochodzącego z Azji zmniejszała się z miesiąca na miesiąc, wzrastała natomiast ilość niechcianej korespondencji z państw Ameryki Łacińskiej. Czytelnicy być może pamiętają, że w 2009 roku ilość spamu wysyłanego z Ameryki Południowej wynosiła 15%, a w pierwszym kwartale 2010 roku spadła do 10,5%. Całkowity odsetek spamu z tego regionu w drugim kwartale przekroczył nie tylko odsetek spamu odnotowany w pierwszym kwartale 2010 roku, ale również w całym 2009 roku i wynosił 16,3%.


Zmiany w ilości spamu pochodzącego z Azji i Ameryki Łacińskiej

W raporcie dla pierwszego kwartału 2010 roku Kaspersky Lab zauważył, że gdyby porównać ilość spamu z Azji i Europy (łącznie z Europą Zachodnią, Europą Wschodnią i Rosją), okazałoby się, że więcej niechcianych wiadomości jest wysyłana z regionu europejskiego. Jednak w drugim kwartale ilość spamu pochodzącego z Europy Wschodniej zmniejszyła się o 5,5 procent. W rezultacie, Azja nadal stanowi największe źródło spamu, nawet w porównaniu z ilością spamu pochodzącego z całej Europy (Azja – 32,8%, Europa – 31,5%).

Rozkład źródeł spamu według państw

 новое окно
Państwa stanowiące źródła spamu

Zdecydowanym liderem w drugim kwartale były Stany Zjednoczone – odpowiedzialne za 15% całego spamu – natomiast na drugim miejscu utrzymały się Indie (8,5%). Wietnam awansował o dwie pozycje i uplasował się na trzecim miejscu. W drugim kwartale miała miejsce zacięta walka o miano największego spamera. W kwietniu Stany Zjednoczone, Indie oraz Wietnam szły „łeb w łeb”, a ich udział procentowy w dystrybucji spamu wynosił odpowiednio 12,3%, 11,7% oraz 11,6%, podczas gdy w maju Stany Zjednoczone uzyskały bezwzględną pozycję lidera (z udziałem 20,8%).

Do rankingu 10 największych źródeł spamu nieoczekiwanie weszły Włochy (3,3%) i Hiszpania (2,8%). W poprzednim kwartale państwa te znalazły się na niskiej 14 i 15 pozycji. Chiny, z których pochodziło zaledwie 2,3% całego spamu, nie zaklasyfikowały się już do 10 największych źródeł spamu, co pozwoliło firmie Kaspersky Lab przypuszczać, że surowe ustawy internetowe wprowadzone w Chinach są skuteczne.

Rozmiar wiadomości e-mail


Średni rozmiar wiadomości e-mail

Większość spamu ma rozmiar 5 KB lub mniejszy. Jednak w porównaniu z pierwszym kwartałem 2010 roku ilość tych “lekkich” wiadomości e-mail nieznacznie spadła. Mimo to nadal stanowią ponad połowę wszystkich wiadomości spamowych. Co więcej, zwiększyła się ilość spamu o rozmiarze 5-10 KB. Najprawdopodobniej miało to związek z dużą liczbą wiadomości e-mail zawierających reklamy Viagry oraz podrabianych towarów luksusowych, charakteryzujących się niewielką ilością grafiki i długimi fragmentami losowo wybieranego tekstu.

Rodzaje załączników w wiadomościach spamowych

 новое окно
Różne typy załączników w wiadomościach spamowych

W drugim kwartale 2010 roku 75,7% wszystkich wiadomości spamowych zawierało czysty, niesformatowany tekst. Ponad połowa z nich zawierała sekcję w HTML-u. Po raz pierwszy liczba graficznych załączników w formacie GIF przewyższyła liczbę załączników w formacie JPEG i wynosiła 10,1%. Jak zwykle, wiele wiadomości spamowych zawierało zarówno załączniki w formacie GIF i JPEG.

Ogólnie, ilość spamu zawierającego załączniki graficzne wynosiła 10,3%, o 1,4 procent mniej niż w poprzednim kwartale. Największa ilość spamu graficznego (12,53%) została odnotowana w kwietniu.


Odsetek wiadomości spamowych zawierających załączniki graficzne

Phishing

Liczba wiadomości phishingowych w ruchu pocztowym w drugim kwartale 2010 roku była dość niewielka. Po gwałtownym spadku odnotowanym w marcu - z 0,87% do 0,03% - liczba wiadomości phishingowych stale zmniejszała się i pod koniec drugiego kwartału 2010 roku wynosiła zaledwie 0,02% całego ruchu pocztowego.

Pod względem liczby ataków phishigowych PayPal był zdecydowanie najpopularniejszym celem – 60,4% ataków tego typu było skierowanych właśnie na tę organizację. W czerwcu odsetek ten wyniósł prawie 70%.

 новое окно
10 najczęściej atakowanych organizacji przez phisherów

Inne organizacje często atakowane przez phisherów to eBay (9,36% wszystkich ataków), bank HSBC (6,51%), Facebook (6,03% ) oraz wyszukiwarka Google (2,84%). Kaspersky Lab zauważył, że phisherzy coraz bardziej koncentrują swoje wysiłki na portalach społecznościowych i stronach oferujących rozrywkę. Oprócz Facebooka celem ataków phishingowych był MySpace, Orkut oraz Habbo, jak również gry online: World of Warcraft oraz Zynga. Zainteresowaniem phisherów cieszył się również serwis STEAM przeznaczony dla graczy.

Piętę achillesową phisherów stanowią odsyłacze umieszczane w wiadomościach spamowych. O ile użytkownik jest w stanie uwierzyć, że otrzymany e-mail pochodzi na przykład z jego banku, jeżeli zobaczy, że zawarty w nim odsyłacz prowadzi do całkiem innej strony, prawdopodobnie zorientuje się, że chodzi o oszustwo, i zignoruje taką wiadomość. Z tego powodu phisherzy starają się, aby odsyłacze jak najwierniej przypominały oryginały:

 новое окно
Przykład wiadomości e-mail z odnośnikiem do strony phishingowej przypominającym legalny adres

W ostatnim kwartale phisherzy próbowali zwieść użytkowników, stosując nazwy domen, które kojarzą się z bezpieczeństwem:

 новое окно
Odnośnik do strony phishingowej prowadzący do domeny guardianangels.co.za

Zainfekowane załączniki w spamie

W drugim kwartale 2010 roku zainfekowane pliki znaleziono w 1,87% wszystkich wiadomości e-mail, o 1,19 procent więcej niż w pierwszym kwartale.

Wykres poniżej pokazuje szkodliwe pliki, które były najczęściej wykrywane w e-mailach w drugim kwartale tego roku.

 новое окно
10 najpopularniejszych szkodliwych plików w wiadomościach e-mail

Na pierwszym miejscu znajduje się Trojan-Downloader.JS.Pegal.g. Inny wariant tego zagrożenia, Trojan-Downloader.JS.Pegel.bc, uplasował się na siódmym miejscu. Tego typu trojany to strony HTML zawierające scenariusze napisane w JavaScript. Celem trojanów downloaderów jest przekierowywanie użytkowników na stronę internetową cyberprzestępcy zawierającą zarówno tekst reklamowy, jak i szkodliwy kod, który zostanie pobrany na komputer użytkownika. Wszystkie trojany z rodziny Redirector zachowują się w taki sam sposób. Jeden z nich, Trojan.JS.Redirector.dz, znalazł się na szóstym miejscu pod względem najbardziej rozpowszechnionych zagrożeń w drugim kwartale. Inny trojan, Trojan.Script.Iframer, który działa w podobny sposób, uplasował się na dziewiątym miejscu.

Warto zauważyć, że wszystkie wymienione wcześniej zagrożenia zdobyły tak wysokie pozycje dzięki masowemu atakowi przeprowadzonemu w czerwcu, o którym napiszę więcej w kolejnej sekcji. Przed czerwcowym atakiem jedno z tych zagrożeń pocztowych pojawiło się w rankingu Top10.

Drugim najbardziej rozpowszechnionym zagrożeniem był paker Trojan.Win32.Pakes.Krap.an. Podobny trojan, Packed.Win32.Krap.x, prowadził w rankingu w zeszłym kwartale. Oprócz programu Trojan.Win32.Pakes.Krap.an w rankingu Top 10 znalazł się jeszcze jeden paker: Trojan.Win32.Pakes.Katusha.l. Program ten uplasował się na piątym miejscu. Podobne programy często są wykorzystywane do pakowania fałszywych programów antywirusowych.

Trzecie miejsce na tej liście przypadło zagrożeniu pocztowemu – programowi o nazwie Trojan-Spy.HTML.Fraud.gen. W poprzednim kwartale trojan ten zajął drugie miejsce. Program ten wykorzystuje lukę w programie Microsoft Internet Explorer, w wersji 5.x i 6.x i został stworzony w celu gromadzenia poufnych informacji podawanych przez użytkowników na stronach internetowych.

Szkodliwe pliki były rozprzestrzeniane za pośrednictwem wiadomości e-mail zawierających różne oferty. Były to rzekome powiadomienia pochodzące od dostawców serwisów pocztowych oraz portali społecznościowych zachęcające odbiorców do zainstalowania aktualizacji lub zmiany haseł, jak również fałszywe elektroniczne kartki okolicznościowe oraz rzekome faktury od dostawców usług pocztowych. Inne taktyki obejmowały wysyłanie fałszywych wiadomości e-mail ze skandalicznymi newsami w tematach oraz obietnicami, między innymi, zdjęć pięknych, skąpo odzianych kobiet w załączniku. Niekiedy można zauważyć, że twórcom wirusów skończyły się genialne pomysły i wykorzystywali lakoniczne wiadomości, takie jak ta poniżej:


Niezbyt wyrafinowana próba wysłania przez leniwego spamera wiadomości spamowej zawierającej zainfekowany załącznik

Czerwiec: masowy atak

Jak już zauważyłam wcześniej, Trojan-Downloader.JS.Pegel.g był najbardziej rozpowszechnionym zagrożeniem w czerwcu i odpowiadał za 23,3% wszystkich szkodliwych plików wykrytych w wiadomościach e-mail. Całą winę można przypisać temu jednemu mutującemu się masowemu atakowi spamowemu.

Spamerzy rozesłali wiadomość e-mail, która przypominała powiadomienie od dostawców usług pocztowych, portali społecznościowych lub popularnych portali, takich jak Facebook, Twitter, Digg, Amazon, Windows Live, YouTube, Skype i Wikipedia. Wiadomości te przypominały ataki phishingowe. Jednak gdy użytkownik kliknął odsyłacz, został przekierowany na zhakowaną stronę internetową, z której był pobierany zainfekowany skrypt. Następnie skrypt ten przekierowywał go na stronę reklamującą lekarstwa lub podrabiane towary luksusowe. W przeciwieństwie do wiadomości phishingowych, gdzie zazwyczaj tylko jeden odsyłacz wskazuje na stronę szkodliwego użytkownika, w tym przypadku wszystkie odsyłacze w wiadomości prowadziły do tej samej strony.

 новое окно

 новое окно
Przykłady wiadomości e-mail zawierającej program Pegel. Odnośniki zawarte w tej wiadomości prowadziły do strony internetowej reklamującej Viagrę

Jedną z wyróżniających cech tej masowej wysyłki spamowej jest obecność załącznika HTML w e-mailach lub odsyłaczy, które prowadzą użytkowników do strony internetowej zawierającej program Pegel, Iframe lub Redirector. Zaciemniony JavaScript przekierowuje użytkowników na stronę internetową cyberprzestępcy. W większości przypadków, ten złożony system był wykorzystywany do przyciągania użytkowników na stronę reklamującą Viagrę lub podrabiane towary luksusowe. Niekiedy jednak strony docelowe zawierały szkodliwe oprogramowanie, w tym Backdoor.Win32.Bredolab. Podobną metodę oszuści zastosowali w zeszłym roku.

Triki techniczne

W ostatnim kwartale spamerzy reklamujący lekarstwa postawili na różnorodność. Oprócz opisanej wyżej metody przekierowywania w niektórych przypadkach spam graficzny był pobierany bezpośrednio do głównej części wiadomości e-mail. Obrazy te były zazwyczaj fałszywymi powiadomieniami pochodzącymi rzekomo ze znanych zasobów:

 новое окно
Reklama spamowa w wiadomości e-mail imitującej powiadomienie od Twittera

W przykładzie powyżej do strony spamowej apteki internetowej prowadził nie tylko główny odsyłacz w grafice, ale również wszystkie inne, w tym ‘not my account’ oraz ‘Twitter support’.

Inne wiadomości spamowe reklamujące lekarstwa zdołały przejść się przez filtry spamowe dzięki sztuczce spamerów polegającej na wstrzyknięciu do e-maila dużych fragmentów tekstów pochodzących z różnych dzieł literackich lub artykułów. Sama reklama widniała w grafice pobranej z darmowego serwisu hostingowego. Na szczęście, serwisy te zablokowały część tych obrazów, w wyniku czego zamiast grafiki spamowej użytkownikowi wyświetlało się ostrzeżenie przed spamem.

 новое окно
Przykład spamu reklamującego Viagrę oraz e-mail z grafiką zablokowaną przez serwis hostingowy

Ponadto, w niektórych przypadkach, spamerzy próbowali ukryć adres URL strony, na którą byli przekierowywani użytkownicy. W minionym kwartale spamerzy wykorzystywali do tego celu usługę Google Translate. Odsyłacz wyglądał tak:

http://www.google.com.et/translate?js=y&prev=_t&u=http %3A%2F%2F*****.info&sl=auto&tl=en

Jak widać, aby zwiększyć szanse obejścia filtra, w niektórych odsyłaczach spamowych wykorzystywano kodowanie ASCII, tutaj zaznaczone kolorem czerwonym. Gdyby nieuważny użytkownik kliknął odsyłacz, najpierw zostałby przekierowany na stronę internetową wyświetlającą nagłówek serwisu tłumaczeniowego, a następnie na stronę spamową.

Kategorie spamu

 новое окно
Rozkład kategorii spamu

Najpopularniejszą kategorią spamu w drugim kwartale 2010 roku była „Edukacja”. Obejmuje ona oferty różnych szkoleń i seminariów. Kategoria „Lekarstwa oraz produkty i usługi związane ze zdrowiem” spadła z drugiej pozycji, ustępując miejsca kategorii „Podróże i turystyka”, której udział znacznie zwiększył się w ciągu ostatnich trzech miesięcy. W kwietniu odsetek e-maili z tej kategorii wynosił 21,1%, później jednak liczba takich wiadomości zaczęła spadać.


Odsetek wiadomości e-mail z kategorii "Podróże i turystyka”

W drugim kwartale Kaspersky Lab odnotował wzrost liczby oszukańczych wiadomości w spamie. W czerwcu odsetek spamu z kategorii „Oszustwa komputerowe” wynosił 14,5%, przy czym dominowały fałszywe powiadomienia z portali społecznościowych przekierowujące ruch na strony internetowe reklamujące Viagrę.


Odsetek spamu z kategorii “Oszustwa komputerowe”

Kategoria „Lekarstwa oraz produkty i usługi związane ze zdrowiem” uplasowała się dopiero na trzecim miejscu. Spowodowane to było tym, że część wiadomości e-mail reklamujących Viagrę zostało zaklasyfikowanych do kategorii „Oszustwa komputerowe”. Z drugiej strony, w porównaniu z poprzednim kwartałem wzrósł odsetek spamu z innych kategorii, takich jak „Edukacja”, „Podróże i turystyka” oraz „Inne towary i usługi”. Ogólnie, dynamika różnych kategorii spamu wskazuje na to, że jak tylko minie kryzys, wzrośnie ilość tradycyjnego „legalnego” spamu, natomiast zacznie się zmniejszać ilość spamu „partnerskiego”.

Mistrzostwa Świata

Spamerzy nie mogliby przepuścić okazji wykorzystania do swoich celów Mistrzostw Świata. Jednakże czytelnicy powinni zauważyć, że ilość spamu, który wykorzystywał popularność mistrzostw, była mniejsza niż można by się spodziewać jak na wydarzenie tej skali. Jak zawsze spamerzy wykorzystywali gorące tematy w celu nakłonienia naiwnych użytkowników do udziału w projektach mających na celu rozprzestrzenianie szkodliwego oprogramowania. Większość wiadomości e-mail, które nawiązywały do Mistrzostw Świata, to przykłady tak zwanego spamu nigeryjskiego lub fałszywe powiadomienia o wygranych na loterii, z których niektóre zawierały szkodliwe programy.

 новое окно
Przykłady wiadomości e-mail wykorzystujące Mistrzostwa Świata

W pierwszym przykładzie widzimy, że załącznik zawiera jedynie kontynuację tego, co znajduje się w samej treści wiadomości: fałszywe powiadomienie o wygranych na loterii. Jednak osoba, która otworzy załącznik w drugim mailu, nie będzie miała już tyle szczęścia: załącznik HTML zawiera skrypt Trojan.JS.Redirector.dw, który przekierowuje użytkownika na stronę cyberprzestępcy.

Wnioski

W drugim kwartale 2010 roku spam wysyłany z państw Azji i Ameryki Łacińskiej stanowił ponad połowę całego ruchu spamowego. Już wcześniej zauważyliśmy przesunięcie się źródeł spamu do tych regionów. Mamy powody sądzić, że trend ten utrzyma się w najbliższej przyszłości. Sytuacja ta wynika częściowo z braku skutecznych przepisów prawnych w Azji i Ameryce Łacińskiej w połączeniu z niskim poziomem umiejętności korzystania z komputera i Internetu, co doprowadziło do powszechnego lekceważenia kwestii związanych z bezpieczeństwem informatycznym. Takie niechronione komputery są najbardziej narażone na infekcję, a następnie wcielenie do botnetu.

Głównym celem ataków phishingowych był PayPal. Jednak spamerzy coraz bardziej zaczynają się interesować portalami społecznościowymi, w szczególności Facebookiem.

Kaspersky Lab często pisał o kryminalizacji spamu oraz współpracy pomiędzy spamerami, oszustami oraz twórcami wirusów. W drugim kwartale 2010 roku trend ten wyraźnie zaznaczył się w spamie wysyłanym w czerwcu. Wiadomości spamowe wykorzystywały klasyczną taktykę phishingową: stanowiły wierną kopię powiadomienia z portalu społecznościowego lub od dostawcy usług pocztowych. Co więcej, po kliknięciu odsyłacza w wiadomości e-mail użytkownik był przekierowywani na stronę reklamującą Viagrę lub towary luksusowe, a czasem na stronę zawierającą szkodliwe oprogramowanie. Tego rodzaju taktyki już teraz są szeroko rozpowszechnione , a w przyszłości ich popularność na pewno wzrośnie.

Kaspersky Lab po raz kolejny ostrzega użytkowników, aby nie klikali odsyłaczy zawartych w wiadomościach spamowych. Zalecamy pobieranie i instalowanie aktualizacji oprogramowania, jak tylko zostaną opublikowane, oraz regularną aktualizację programów antywirusowych.

Źródło:
Kaspersky Lab