Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w listopadzie 2010 wg Kaspersky Lab

Tagi:

Maria Namiestnikowa
Ekspert z Kaspersky Lab

Listopad w liczbach

spam_report.png
  • Ilość spamu w ruchu pocztowym spadła o 0,6 procent w porównaniu z październikiem i wynosiła średnio 76,8%.
  • Wiadomości phishingowe stanowiły 0,4% całego ruchu pocztowego, co stanowi spadek o 0,47 procent w porównaniu z poprzednim miesiącem.
  • Szkodliwe pliki zostały wykryte w 1,6% wiadomości e-mail, co stanowi wzrost o 0,13 procent w stosunku do października.

Spam na świeczniku

Zwalczanie spamu

W ostatnich miesiącach w świecie spamu miały miejsce znaczące wydarzenia. Zamknięto centra kontroli botnetów Pushdo/Cutwail oraz Bredolab; swoją działalność zakończył również program partnerski SpamIt; ponadto wniesiono sprawę karną przeciwko Igorowi Gusewowi, który jest uważany za spamera numer 1.

Niestety, na froncie antyspamowym nie możemy zaliczyć listopada do udanych miesięcy. Trzeba jednak pamiętać, że na trendy w listopadowym spamie wpłynęły wydarzenia z ostatnich miesięcy.

Sukces w liczbach

W listopadzie ponownie odnotowaliśmy spadek udziału spamu w ruchu pocztowym. Zmiany te mogą wydawać się minimalne (- 0,6%), pamiętajmy jednak, że centra kontroli Bredolaba zostały zamknięte dwa miesiące temu. W ciągu pierwszych kilku dni po zamknięciu Bredolaba udział spamu w ruchu pocztowym był zaskakująco niski i oscylował na poziomie 70-71%. Jeżeli zignorujemy ilość spamu w tych dniach i porównamy udział spamu w ruchu pocztowym w listopadzie i październiku, okaże się, że średnia ilość spamu w październiku (78,6%) jest o 1,1 procent wyższa niż w listopadzie (77,5%).

Jesienny trend spadkowy jest w dużej mierze wynikiem globalnej walki z botnetami.

Na skutek kampanii antybotnetowej w Stanach Zjednoczonych państwo to nie weszło do listopadowego rankingu 20 największych dystrybutorów spamu – pierwszy raz od rozpoczęcia monitoringu. We wrześniu zamknięcie centrum kontroli botnetu Pushdo/Cutwail spowodowało spadek ilości spamu pochodzącego ze Stanów Zjednoczonych z 15,5% do 6%. W październiku ilość spamu z tego państwa zmniejszyła się prawie czterokrotnie – z 6% do 1,6%. Z kolei w listopadzie spadek nie był już tak znaczny (-0,33 procent); to jednak wystarczyło, aby Stany Zjednoczone wypadły z rankingu 20 największych spamerów.

Viagra wygnana

Przez ostatnie kilka miesięcy największe zainteresowanie wzbudzała sytuacja dotycząca spamu farmaceutycznego. Nie bez powodu. W okresie tym miały miejsce dwa istotne wydarzenia – zamknięcie programu partnerskiego Spamlt oraz aresztowanie Igora Gusewa, którego nazwisko jest łączone z niesławnym programem partnerskim GlavMed. Możliwe, że spamerzy rozprzestrzeniający spam farmaceutyczny z terytorium Stanów Zjednoczonych, Kanady i Europy Zachodniej zdali sobie sprawę, że ich aktywność nie ujdzie im na sucho i związali się z innymi programami partnerskimi. Świadczy o tym niewielki udział tego typu spamu odnotowany w listopadzie.


Spam farmaceutyczny w październiku i listopadzie 2010

Jak widać na wykresie, na początku listopada udział spamu reklamującego towary medyczne oscylował na poziomie 40%, natomiast pod koniec miesiąca stanowił mniej niż jedną trzecią całego ruchu spamowego.

Jednak spam farmaceutyczny stanowi bardzo lukratywny interes, dlatego aż do niedawna był tak szeroko rozpowszechniony w Internecie. Straciwszy część swoich dochodów, pochodzących ze spamu farmaceutycznego, spamerzy szukają teraz innych możliwości zarabiania pieniędzy. Jest to dość trudne, ponieważ w październiku, a zwłaszcza w listopadzie, miały miejsce znaczne fluktuacje w innych kategoriach spamu.

 enlarge.gif
Zmiany w rozkładzie kategorii spamu rozprzestrzenianego za pomocą programów partnerskich w okresie październik-listopad 2010

Największe zmiany dotyczyły spamu reklamującego kasyna online. Na początku listopada udział tego typu spamu przekroczył 30%, jednak pod koniec miesiąca zmniejszył się do zaledwie kilku procent.

W trzecim tygodniu listopada wzrosła liczba wiadomości spamowych zawierających reklamy treści dla dorosłych oraz portali randkowych; jeszcze na początku miesiąca tego typu spam prawie nie istniał.

.РФ w spamie

Niedawno w Internecie pojawiła pierwsza strefa domeny, w której nie użyto znaków rzymskich - .рф, gdzie “рф” to pisany cyrylicą skrót nazwy Federacja Rosyjska. Zanim zarejestrowano w tej strefie niepriorytetowe nazwy domen, przewidywaliśmy, że .рф wkrótce stanie się jednym z tematów wykorzystywanych przez spamerów. Nasze prognozy już teraz sprawdziły się.

Spam i cybersquatterzy

Rejestracja niepriorytetowych nazw domen w strefie domeny .рф rozpoczęła się w listopadzie, jednak spamerzy szybko wykorzystali okazję: użytkownicy otrzymali oferty możliwości składania zgłoszeń już 9-10 listopada, przed rozpoczęciem oficjalnej rejestracji. Usługa ta była bardzo podejrzana, ponieważ wcześniejsze nadsyłanie zgłoszeń stanowiłoby naruszenie zasad rejestracji w nowej strefie domeny. Próbując przekonać użytkowników, spamerzy zachwalali korzyści tzw. cybersquattingu, tj. praktyki kupowania nazw domen odpowiadających nazwom organizacji w celu późniejszej odsprzedaży lub szantażu.

Pod koniec listopada okazało sie, że cybersquatterzy stali za dużą masową wysyłką oferującą odbiorcom możliwość udziału w zamkniętym przetargu o prawo do zakupu kilku nazw domen drugiego poziomu pisanych w cyrylicy. Wystawianie nazw domen na sprzedaż jest typową techniką cybersquattingową.

Spam: odsyłacze do .рф

Nazwy domen pisane cyrylicą pojawiły się już w wiadomościach spamowych w formie odsyłaczy do stron spamerów reklamujących programy szkoleniowe, optymalizację stron i usługi spamerów.

Niestety, brak odpowiedniej kontroli nad zawartością stron w strefie domeny .рф może szybko doprowadzić do jej zepsucia. Naturalnie, odsyłacze do domen w „strefie cyrylicy” prawdopodobnie nie będą zbyt często wykorzystywane w wiadomościach skierowanych do użytkowników w Stanach Zjednoczonych lub Europie: dla użytkowników, którzy nie znają cyrylicy, takie odsyłacze będą niezrozumiałe, przez co nie zachęcą ich do odwiedzenia reklamowanych stron.

Podsumowanie statystyk

Spam w ruchu pocztowym

W listopadzie ilość spamu w wykrytego w ruchu pocztowym spadła o 0,6 procent i wynosiła średnio 76,8%. W pierwszych trzech dniach miesiąca spadek ilości spamu był spowodowany zamknięciem centrów kontroli botnetu Bredolab. Najniższa liczba niechcianych wiadomości została odnotowana 1 listopada (71%), najwyższa natomiast 7 listopada (85,6%).


Spam w ruchu pocztowym w listopadzie 2010 r.

Źródła spamu

W listopadzie ilość spamu pochodzącego z Indii zwiększyła się o 2%, dzięki czemu państwo to wysunęło się na prowadzenie w rankingu największych spamerów.

 enlarge.gif
Źródła spamu w listopadzie 2010 r.

Drugie miejsce w rankingu zajęło inne państwo azjatyckie – Wietnam. Ilość spamu wysłanego z terytorium Wietnamu zwiększyła się o 5,8 procent. Do dwukrotnego wzrostu ilości spamu azjatyckiego przyczyniła się również Indonezja. Mimo to Europa nadal stanowiła źródło największej ilości globalnego spamu (ponad 45%).

Zwiększyła się ilość spamu pochodzącego z Wielkiej Brytanii (+1,35%) oraz Włoch (+1%), zmniejszył się natomiast udział rosyjskiego i ukraińskiego spamu odpowiednio o 5,7 i 3 procent. Duża ilość europejskiego spamu (20%) została wysłana z państw Europy Wschodniej.

Szkodliwe oprogramowanie w ruchu pocztowym

W listopadzie szkodliwe pliki zostały wykryte w 1,6% wszystkich wiadomości e-mail, co stanowi spadek o 0,13 procent w porównaniu z poprzednim miesiącem.

W poprzednich dwóch miesiącach Stany Zjednoczone stanowiły państwo, w którym wykrywano najwięcej szkodliwego oprogramowania w ruchu e-mail, jednak w listopadzie jego miejsce zajęła Rosja. Ilość szkodliwego spamu wysyłanego do Stanów Zjednoczonych zmniejszyła się o 4%, natomiast udział wiadomości e-mail ze szkodliwymi załącznikami otrzymanych przez rosyjskich użytkowników wzrósł czterokrotnie i przekroczył 8%. Stany Zjednoczone wyprzedziły również Indie i Wietnam: liczba szkodliwych wiadomości spamowych otrzymanych przez użytkowników z tych państw wzrosła dwukrotnie.

Uważamy, że przyczyną wzrostu ilości szkodliwego spamu wysyłanego do tych państw były próby stworzenia nowych, większych botnetów. Cyberprzestępcy wybierają sobie do tego celu regiony, gdzie środki ochrony przed cyberprzestępczością są albo nieskuteczne, albo nie są traktowane poważnie na poziomie rządowym.

Znaczny spadek pozycji w rankingu odnotowały kraje rozwinięte, takie jak Stany Zjednoczone, Niemcy i Wielka Brytania, podczas gdy Japonia całkiem wypadła z pierwszej dziesiątki.

 enlarge.gif
Państwa, w których szkodliwe oprogramowanie było najczęściej wykrywane w listopadzie 2010 roku

 enlarge.gif
10 najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej w listopadzie 2010 roku

W listopadzie czołową pozycję na liście 10 najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej utrzymał Trojan-Spy.HTML.Fraud.gen. Szkodnik ten jest dostarczany wraz z wiadomością phishingową zawierającą odsyłacz do fałszywej strony przypominającej stronę znanego banku lub systemu płatności elektronicznych, na której użytkownik jest proszony o podanie loginu i hasła.

Na drugim miejscu znalazł się Trojan-Spy.Win32.Zbot.assl. Trojan ten został stworzony w celu kradzieży danych uwierzytelniających użytkowników. Na początku listopada w Wielkiej Brytanii i Stanach Zjednoczonych cyberprzestępcy wznowili dystrybucję Zbota za pośrednictwem ruchu pocztowego. W październikowym raporcie spamowym pisaliśmy, że dystrybucja tego szkodliwego programu w wiadomościach e-mail prawie ustała w tych państwach.

Przy pomocy poczty elektronicznej nadal aktywnie rozprzestrzeniane są programy z rodziny Oficla. Trojany te pobierają z Internetu inne szkodliwe programy oraz oprogramowanie adware lub ich aktualizacje i uruchamiają je na komputerach ofiar.

Nowe zagrożenia stanowiły niecałe 5% wszystkich szkodliwych programów wykrytych w ruchu pocztowym.

Phishing

W listopadzie wiadomości phishingowe stanowiły 0,4% całego ruchu pocztowego, co stanowi spadek o 0,47 procent w porównaniu z poprzednim miesiącem.

 enlarge.gif
10 organizacji najczęściej atakowanych przez phisherów w listopadzie 2010 roku

Udział ataków phishingowych na system PayPal zmniejszył się o 27,1 procent w porównaniu z poprzednim miesiącem. Jednocześnie podwoiła się liczba ataków na jego największego rywala –Facebook. W październiku liczba ataków na ten portal społecznościowy wynosiła średnio 8,4%; w listopadzie natomiast wzrosła do 17%. Z kolei zainteresowanie phisherów portalem aukcyjnym eBay wzrosło trzykrotnie w porównaniu z październikiem.

Fakty te, w połączeniu ze wzrostem liczby ataków na organizacje spoza pierwszej dziesiątki (+5%), sugerują, że w listopadzie zwiększył się zakres celów phisherów w porównaniu z poprzednim miesiącem. W miesiącu tym ofiarą ataków phishingowych padali częściej posiadacze kart MasterCard oraz Visa. Wznowiono również ataki na osoby posługujące się kartą Delta.

Wnioski

Chociaż w listopadzie nie miały miejsca żadne znaczące wydarzenia w wojnie antyspamowej, na ruch spamowy w tym miesiącu wpłynęły wyniki działań podjętych we wrześniu i październiku – zarówno pod względem ilości spamu jak i zmian w rozkładzie różnych kategorii spamu.

Walka z botnetami przyniosła owoce – stopniowo zmniejszyła się ilość spamu. Trend ten najprawdopodobniej utrzyma się w kolejnych miesiącach. Stany Zjednoczone, które wcześniej stanowiły lidera pod względem ilości rozprzestrzenianego spamu, wypadły z rankingu 20 największych spamerów. Powodem były działania podjęte przez organy ścigania przeciwko botnetom. W efekcie, cyberprzestępcy przerzucili się na botnety zlokalizowane głównie w Azji i Europy. Ta próba rozszerzenia sieci zombie najprawdopodobniej spowodowała wzrost ilości szkodliwego spamu otrzymywanego przez użytkowników z Rosji, Indii i Wietnamu.

Incydenty związane z farmaceutycznymi programami partnerskimi doprowadziły do znaczących zmian w rozkładzie kategorii spamu. Spamerzy, którzy stracili część swoich dochodów pochodzących ze spamu farmaceutycznego, próbują znaleźć inne sposoby zarabiania pieniędzy, nawiązując współpracę z innymi programami partnerskimi.

Trudno powiedzieć, co w tej sytuacji zrobią spamerzy. Najprawdopodobniej ostrożność zastąpi chciwość i znów zaczną wysyłać reklamy produktów medycznych. W grudniu, przed okresem świątecznym prawdopodobnie zaprzęgną do pracy swoje zasoby botnetowe, reklamując towary i usługi związane z Bożym Narodzeniem. Szczególnie szybko rozwijają się programy partnerskie oferujące prezenty z okazji świąt Bożego Narodzenia i Nowego Roku.

Źródło:
Kaspersky Lab