Home → Analizy → Zagrożenia → Ogólne zagrożenia → Spam w listopadzie 2011 wg Kaspersky Lab
Oszuści próbowali wykorzystywać do swoich celów szał przed Świętami Bożego Narodzenia i Nowym Rokiem, rozprzestrzeniając masowe wysyłki, w których zachęcali użytkowników do podania na stronie phishingowej swoich danych finansowych i osobistych. Założenie było proste – w całym świątecznym zamieszaniu wykazujemy mniejszą ostrożność i chętniej robimy zakupy przez Internet. Dlatego w tym okresie szczególnie przejmujemy się fałszywymi powiadomieniami o zablokowanych kartach lub kontach bankowych – w końcu te pieniądze były przeznaczone na prezenty.
W listopadzie zarejestrowaliśmy kilka masowych wysyłek zawierających fałszywe powiadomienia ze sklepów internetowych. Wiadomości te nie zawierały nazw sklepów – odbiorcy zostali jedynie poproszeni o przejrzenie rachunku lub kliknięcie odsyłacza w celu sprawdzenia informacji dotyczących zamówienia. W okresie świątecznej gorączki wielu użytkowników nie zwróci uwagi na atrybuty takich wiadomości, ponieważ spora część z nich złożyła zamówienie w sklepie internetowym i prawdopodobnie pomyśli, że otrzymane wiadomości mają związek z tym zakupem. W rzeczywistości wiadomości te zawierały odsyłacze do szkodliwego kodu.
Jak widać na zrzucie ekranu powyżej, wiadomości były tworzone nie tylko w języku angielskim, ale również w innych językach europejskich. Zarejestrowaliśmy na przykład e-maile w języku niemieckim, włoskim i holenderskim.
Portale społecznościowe od dawna są wykorzystywane przez spamerów reklamujących produkty farmaceutyczne oraz rozprzestrzeniających szkodliwe oprogramowanie, a konta użytkowników na takich portalach są nieustannym celem ataków phisherów. Listopadowy spam obejmował liczne masowe wysyłki związane z portalami społecznościowymi.
Flickr nie jest często wykorzystywany przez spamerów. Jednak w listopadzie nawet ten portal nie zdołał umknąć ich uwadze. Co ciekawe, wiadomości były wysłane z kont na Flickrze przy użyciu funkcji “zaproś przyjaciela”. Spamerzy „zaprosili” mnóstwo osób i próbowali nakłonić ich do kliknięcia odsyłaczy, które w rzeczywistości prowadziły do strony farmaceutycznej. Ta metoda reklamy pozwoliła spamerom obejść filtry spamowe, ponieważ z technicznego punktu widzenia e-maile wyglądały na legalne wiadomości – w końcu zostały wysłane przy użyciu legalnej funkcji strony umożliwiającej wymianę zdjęć.
Jak widać na zrzucie ekranu, odsyłacz zawarty w e-mailu zawiera nazwę pigułek na zaburzenie erekcji.
Ofiarą podobnej sztuczki spamerów padł Twitter – pojawiły się zaproszenia do tego portalu, wysłane rzekomo w imieniu użytkowników Twittera. Zaproszenia zawierały dość erotyczny tekst oraz odsyłacz przekierowujący użytkownika na stronę pornograficzną. Co istotne, odsyłacz w wiadomości e-mail wykorzystywał usługę skracania adresów URL w strefie domen cn.
Fałszywe powiadomienia od Twittera zostały zarejestrowane również w listopadzie, jednak w mniejszej ilości niż latem 2010 roku, gdy w Internecie miała miejsce długotrwała eksplozja takich powiadomień. Mimo to tego rodzaju powiadomienia nadal są popularne wśród spamerów: po kliknięciu odsyłacza użytkownik jest przekierowywany na stronę zawierającą zarówno Viagrę, jak i szkodliwy kod.
W listopadzie miał miejsce nietypowy incydent, którego ofiarą padł LinkedIn. Oprócz tradycyjnych fałszywych powiadomień zawierających odsyłacze do stron farmaceutycznych, w listopadzie odnotowaliśmy również dość niecodzienną masową wysyłkę.
Nagłówek wiadomości brzmiał: „So now you're on LinkedIn: What's next?” (Jesteś teraz na LinkedIn: co dalej?). Pole „Od” przypominało oficjalne powiadomienie od LinkedIn. Dalej następowała zła wiadomość: gdy użytkownik otworzył e-mail, ku swojemu zaskoczeniu dowiedział się, że niedawna transakcja dokonana za pośrednictwem elektronicznego systemu płatności z jego kona została anulowana!
Fałszywe powiadomienia z systemu płatności Nacha regularnie pojawiają się w skrzynkach e-mail użytkowników. Zwykle posiadają bardziej odpowiednie nagłówki, a w polu „Od” znajduje się nazwa tego systemu. Z czego tym razem wynika błąd – niewiadomo.
Listopadowy spam zawierał kilka masowych wysyłek z fałszywymi powiadomieniami od LinkedIn.
W listopadzie spamerzy nadal wysyłali e-maile nawiązujące do różnych świąt. W Stanach Zjednoczonych i kilku innych państwach popularnym tematem było Święto Dziękczynienia; w świecie islamskim spamerzy skoncentrowali się na święcie Eid al-Adha.
Wiadomości wykorzystujące temat Eid al-Adha były w większości w języku tureckim i reklamowały turystykę religijną. Z kolei e-maile nawiązujące do “Święta Dziękczynienia” reklamowały prezenty świąteczne.
Spamerzy nie pominęli również nadchodzących Świąt Bożego Narodzenia oraz Nowego Roku.
Liczba masowych wysyłek zawierających oferty podróży wzrosła dwukrotnie w listopadzie (+3,5 punktów procentowych), co prawdopodobnie można przypisać zbliżającym się świętom.
W listopadzie cztery wiodące źródła spamu pozostały zasadniczo niezmienione, jedynie Brazylia i Indonezja zamieniły się miejscami. Ogólny poziom spamu pochodzącego z państw z pierwszej piątki zwiększył się o 7,2 punktów procentowych, przy czym wszystkie z nich odnotowały wzrost: Indie (+1,86 punktów procentowych), Korea Południowa (+2,31 punktów procentowych), Indonezja (+2,29 punktów procentowych) oraz Brazylia (+0,12 punktów procentowych).
W listopadzie Włochy „rozesłały” mniej spamu (-0,76 punktów procentowych w porównaniu z październikiem) i spadły na 6 pozycję.
Polska pozostała na 8 miejscu z wynikiem 3,1 proc.
W listopadzie udział szkodliwych plików wykrytych w wiadomościach e-mail wynosił 3% - co stanowi wzrost o 0,5 punktów procentowych w porównaniu z październikiem.
Dwa państwa o największym poziomie szkodliwego oprogramowania wykrywanego w wiadomościach e-mail pozostały niezmienione: na czoło wysunęła się Rosja, która wyprzedziła Stany Zjednoczone o 6 punktów procentowych. W porównaniu z październikiem oba te państwa odnotowały wzrost – odpowiednio o 3,39 i 2,77 punktów procentowych.
W listopadzie odsetek szkodliwego oprogramowania wykrytego w ruchu e-mail w Wielkiej Brytanii zmniejszył się prawie dwukrotnie i wynosił 4,8%. Podobny spadek odnotowano w Australii (3,1%). W efekcie państwa te uplasowały się na 4 i 10 miejscu w rankingu.
Zmiany w udziale szkodliwego oprogramowania wykrytego w wiadomościach e-mail w pozostałych państwach z pierwszej 10 były nieznaczne i mieściły się w granicach 1 punktu procentowego.
Listopadowa lista najczęściej wykrywanych szkodliwych programów również nie odnotowała wielu zmian.
Po raz n-ty na czele rankingu znalazł się Trojan-Spy.HTML.Fraud.gen, który stanowił 12% wszystkich szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej – tylko o 1 punkt procentowy mniej niż w poprzednim miesiącu. Trojan ten wykorzystuje technologię spoofingu i występuje w postaci strony HTML. Znajduje się w wiadomości phishingowej zawierającej odsyłacz do fałszywej strony przypominającej stronę znanego banku lub elektronicznego systemu płatności, na której użytkownik jest proszony o wprowadzenie loginu oraz hasła.
Na drugim miejscu znalazł się Email-Worm.Win32.Mydoom.m, robak pocztowy, którego jedyną funkcją jest przechwytywanie adresów e-mail i wysyłanie na nie swoich kopii. Innym weteranem listy Top10 z tym samym zestawem funkcji jest Email-Worm.Win32.NetSky.q na 10 miejscu. Z kolei 8 miejsce zajął Bagle.gt. Jest to robak pocztowy, który oprócz zwykłej funkcjonalności pobiera szkodliwe programy z Internetu.
Listopadowa lista 10 najpopularniejszych szkodliwych programów, które rozprzestrzeniają się za pośrednictwem poczty elektronicznej zawierała tylko jedną modyfikację trojana Yakes - Trojan.Win32.Yakes.jyh. Podsumowując, Yakes to klasyczny trojan downloader, który po zainstalowaniu się na komputerze pobiera inne szkodliwe programy.
Trojany zajmujące 5 i 7 miejsca należą do rodziny Trojan.Win32.Pakes, która jest wykorzystywana przez szkodliwe programy w celu uniknięcia wykrycia.
Odsetek wiadomości phishingowych w całym ruchu pocztowym zwiększył dwukrotnie w porównaniu z październikiem i wynosił średnio 0,02%.
* Ranking ten opiera się na liczbie phishingowych stron URL w Internecie, przy pomocy których cyberprzestępcy próbują uzyskać loginy i hasła do różnych usług online. Ranking nie odzwierciedla poziomu bezpieczeństwa wymienionych wyżej organizacji, ale raczej popularność ich usług wśród użytkowników, co z kolei przekłada się na ich popularność wśród phisherów.
Ranking 10 organizacji najczęściej atakowanych przez phisherów zawierał sporo zmian w stosunku do poprzedniego miesiąca.
Dużą niespodzianką był awans Habbo na drugie miejsce – w październiku serwis ten całkowicie wypadł z pierwszej 10. Udział ataków na ten portal społecznościowy zwiększył się dziesięciokrotnie. Z kolei liczba ataków na Facebooka wzrosła nieznacznie, dzięki czemu portal ten uplasował się na 4 miejscu.
Wśród 10 najpopularniejszych celów nie znalazła się żadna gra online.
Jednocześnie, na celowniku phisherów pozostały organizacje bankowe – połowę rankingu Top10 stanowiły banki.
Co ciekawe, koniec roku charakteryzował się intensyfikacją ataków na IRS (urząd skarbowy), co może mieć związek z terminem składania rocznych zeznań podatkowych w Stanach Zjednoczonych.
Trzy najpopularniejsze kategorie anglojęzycznego spamu nie odnotowały żadnych zmian. Na szczycie utrzymały się oszukańcze wiadomości e-mail. Udział spamu finansowego – drugie miejsce w rankingu – zwiększył się o 4 punkty procentowe.
Kategorie te zawdzięczają swoją popularność kryzysowi finansowemu oraz nadchodzącym świętom. W takim okresie szczególnie dotkliwie odczuwamy problemy finansowe, co skrupulatnie wykorzystują spamerzy, oferując szybkie pożyczki i udział w podejrzanych programach obiecujących szybkie wzbogacenie się.
Na trzecim miejscu w rankingu znajduje się kategoria “Inne towary i usługi”. Lwia część wiadomości z tej kategorii jest związana ze Świętami Bożego Narodzenia. W sumie, odsetek wiadomości e-mail wykorzystujących temat Świąt i Nowego Roku stanowił 3-3,5% całego ruchu spamowego.
W listopadzie rozkład wysyłek spamowych oraz udziału procentowego szkodliwego oprogramowania wykrytego w wiadomościach e-mail nie zawierał znaczących zmian w stosunku do poprzedniego miesiąca.
Obecnie, uwaga phisherów jest skierowana w równym stopniu na prawdziwe i wirtualne pieniądze, które próbują wyłudzić od użytkowników. Powrót Habbo do grona 10 najpopularniejszych celów ataków phishingowych oznacza, że środowisko wirtualne znów staje się atrakcyjne dla phisherów.
W grudniu na ruch spamowy z pewnością będzie miała wpływ gorączka świąteczna: wzrośnie liczba wiadomości e-mail oferujących wyjazdy i imprezy świąteczne. Kategoria „Inne towary i usługi” będzie obejmowała różne oferty prezentów. Spodziewamy się również wzrostu liczby oszukańczych wiadomości. Do końca grudnia oraz w czasie przerwy noworocznej w Rosji z pewnością odnotujemy tradycyjny spadek aktywności spamerów. Wysyłki spamowe w tym okresie będą zawierały spam partnerski ze szkodliwymi załącznikami oraz reklamami Viagry.
Źródło: |
Analizy
Blog