Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w marcu 2013 r.

Tagi:

Marzec w liczbach

  • Odsetek spamu w ruchu e-mail zmniejszył się o 1 procent w porównaniu z lutym i wynosił średnio 70,1%
  • Odsetek wiadomości phishingowych wzrósł dwukrotnie w stosunku do lutego, wynosząc 0,006%.
  • W marcu szkodliwe pliki zostały znalezione w 4% wszystkich e-maili, co stanowi wzrost o 1,2 punktu procentowego.

Spam na świeczniku

W marcu miał miejsce spadek ilości spamu dotyczącego nadchodzących świąt. Nadal jednak identyfikowaliśmy wysyłki próbujące wykorzystać Dzień św. Patryka, Wielkanoc oraz Dzień Matki, który jest tradycyjnie obchodzony w maju. Spamerzy nie zignorowali również ważnego newsa politycznego tego miesiąca, czyli śmierci prezydenta Wenezueli Hugo Chaveza.

Spam świąteczny

W marcu internet zalewały liczne wysyłki masowe poświęcone Wielkanocy. Do święta tego nawiązywały często angielskojęzyczne wiadomości reklamujące podróbki produktów znanych projektantów oraz pigułek na odchudzanie, jak również oszukańcze wiadomości e-mail. Jako prezent świąteczny spamerzy oferowali nawet zniżkę na bazy danych inwestorów.

  enlarge.gif 

Dzień św. Patryka, obchodzony w wielu państwach 17 marca, wyróżniał się oferowaniem przez spamerów porad dotyczących kampanii reklamowych oraz zniżek na wytwarzanie kart kredytowych. Wszystkie te wysyłki zaprojektowane były w świątecznym stylu: jaskrawozielone koniczyny dominowały wszędzie.

  enlarge.gif 

W marcu programy partnerskie „flower” nadal cieszyły się popularnością wśród spamerów. Takie masowe wysyłki były związane z Wielkanocą oraz Dniem Matki.

  enlarge.gif 

Listy nigeryjskie” oraz wydarzenia w Wenezueli

Jednym z największych wydarzeń politycznych w marcu była śmierć Prezydenta Wenezueli. Hugo Chavez stał na czele tego państwa przez 14 lat i zawsze stanowił kontrowersyjną postać w świecie politycznym. Szum wokół jego śmierci nie ustaje. Już na początku marca zarejestrowaliśmy tzw. „listy nigeryjskie” w języku angielskim i niemieckim wykorzystujące zainteresowanie wydarzeniami w Wenezueli.

Jeden z oszukańczych e-maili został wysłany w imieniu wenezuelskiego dyrektora portu, który rzekomo poprosił o pomoc w odzyskaniu pieniędzy, jakie dostał za sprzedaż oleju napędowego do Południowego Sudanu. W pierwszym e-mailu oszuści nie oferowali ofierze żadnej określonej kwoty w zamian za jej pomoc, ich celem w początkowym etapie było wzbudzenie zainteresowania odbiorcy i skłonienie go do odpowiedzi na wiadomość.

  enlarge.gif 

Kolejna masowa wysyłka została rzekomo wysłana w imieniu szefa bezpieczeństwa oraz bliskiego przyjaciela Hugo Chaveza. Oszuści „nigeryjscy” jak zwykle wykazali się wyobraźnią: mityczny „przyjaciel” posiada dostęp do pieniędzy, które zmarły prezydent trzymał na koncie bankowym swojej kochanki, i odda 25% łupu każdemu, kto może pomóc w wydostaniu pieniędzy z kraju.

Głównym celem oszustów w obu przypadkach jest wciągnięcie użytkowników w korespondencję w celu wyłudzenia od nich pieniędzy, zwykle pod pretekstem pokrycia usług finansowych niezbędnych do przelania legendarnych milionów.

Dystrybucja geograficzna źródeł spamu

W marcu Chiny (25,8%) pozostały czołowym źródłem spamu na świecie. Ilość spamu wysyłanego ze Stanów Zjednoczonych zwiększyła się bardzo nieznacznie (17,3%), w wyniku czego państwo to uplasowało się na drugim miejscu w rankingu. Ogólnie oba te państwa wygenerowały 43% globalnego spamu.

spamreport_apr2013_pic05_auto.png
Źródła spamu na świecie według państwa

Podobnie jak w lutym Korea Południowa (9,8%) znalazła się na trzecim miejscu mimo spadku jej udziału o 3,8 punktu procentowego. Tajwan (5%) oraz Indie (3,4%) utrzymały swoje pozycje w rankingu. Rosja (2,4%) spadła z 7 miejsca na 10 (-1 punkt procentowy). Tymczasem udział Niemiec zwiększył się o 1 punkt procentowy i państwo to awansowało z 10 miejsca w lutym na 8 miejsce ( 2,7% całego dystrybuowanego spamu.

spamreport_apr2013_pic06_auto.png
Źródła spamu w Europie według państwa

Korea Południowa stanowiła główne źródło spamu wysyłanego do użytkowników europejskich w marcu (36,8%), mimo że jego udział zmniejszył się o 13 punktów procentowych. Udział Chin wzrósł znacząco i wynosił średnio 11,2%, przez co państwo to przesunęło się na 2 pozycję.

Stany Zjednoczone, które rozprzestrzeniły 10,1% wszystkich niechcianych wiadomości w Europie, spadły na 3 miejsce. Udział Włoch zwiększył się o 1,1 punktu procentowego i państwo to uplasowało się na 4 pozycji (6,4% spamu wysyłanego do europejskich użytkowników.

spamreport_apr2013_pic07_auto.png
Źródła spamu według regionu

Azja (54,1%) pozostała czołowym źródłem spamu według regionu. Podobnie jak w lutym na podium znalazła się również Ameryka Północna (17,8%) oraz Europa Wschodnia (10,2%). Za nimi znalazła się Europa Zachodnia, która wygenerowała 9,4% ogółu spamu.

Szkodliwe załączniki w wiadomościach e-mail

W marcu szkodliwe załączniki zostały wykryte w 4% wiadomości e-mail, co stanowi wzrost o 1,2 punktu procentowego w stosunku do lutego.

  enlarge.gif 
Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w marcu 2013 roku

W marcu Trojan-Spy.html.Fraud.gen (6,9%) pozostał najbardziej rozpowszechnionym szkodliwym programem rozprzestrzenianym za pośrednictwem poczty e-mail, mimo że jego udział zmniejszył się o 4,1 punktu procentowego w porównaniu z lutym. Szkodnik ten występuje w postaci stron HTML imitujących formularze rejestracyjne znanych banków lub systemów e-płatności, wykorzystywanych przez phisherów w celu kradzieży danych uwierzytelniających użytkowników w systemach bankowości online.

Na drugim miejscu w rankingu znalazł się Trojan.win32.Bublik.aknd. Szkodnik ten pobiera z zainfekowanych komputerów hasła użytkowników do serwerów FTP, dane uwierzytelniające usługi poczty e-mail oraz certyfikaty. Potrafi również przeszukiwać formularze w przeglądarkach Mozilla Firefox i Google Chrome w celu znalezienia zapisanych loginów oraz haseł przed wysłaniem znalezionych danych do oszustów.

Trzecie miejsce zajmuje Email-Worm.Win32.Bagle.gt. Robaki pocztowe stale goszczą w rankingu Top 10, ponieważ ich główną funkcjonalnością jest samodzielne rozprzestrzenianie się na adresy zawarte w książce adresowej ofiary. Rodzina robaków o nazwie Bagle potrafi również kontaktować się z centrum kontroli i pobierać inne szkodliwe programy na komputer użytkownika.

W marcowym rankingu Top 10 znajdowały się również szkodliwe programy należące do rodziny Trojan-Ransom, których celem jest wyłudzanie pieniędzy od użytkowników żądanych w zamian za odzyskanie dostępu do systemu operacyjnego lub aplikacji (zwykle użytkownik musi wysłać płatne SMS-y. Wykryliśmy modyfikacje programu Trojan-Ransom.Win32.Blocker, które blokują działanie systemu operacyjnego i wyświetlają na pulpicie banner zawierający warunki odblokowania systemu. Chcielibyśmy przypomnieć użytkownikom, że nie powinni ulegać szantażowi i płacić cyberprzestępcom.

Rozkład wykryć szkodliwego oprogramowania w poczcie e-mail według państwa

spamreport_apr2013_pic09_auto.png
Rozkład wykryć szkodliwego oprogramowania w poczcie e-mail według państwa

Niespodziewany wzrost udziału Włoch w lutym (6,6%) nie trwał długo. W marcu Stany Zjednoczone (13,6%) odzyskały prowadzenie. Co ciekawe, oprócz programów kradnących hasła, Trojan-Spy.html.Fraud.gen oraz Trojan.win32.Bublik.aknd, amerykańscy użytkownicy otrzymywali również wiele innych szkodników kradnących hasła z rodziny Trojan-PSW.Win32.Tepfer. Udział Niemiec pozostał niezmieniony w stosunku do lutego i wynosił 11,1%, dzięki czemu państwo to znalazło się ponownie na 2 miejscu. Tuż za nim znajduje się Australia (7%), której udział zwiększył się o 1,3 proc., w efekcie czego państwo to awansowało z 5 miejsca na 3. Inne państwa odnotowały niewielkie zmiany.

Po krótkim okresie spokoju oszuści rozprzestrzeniający szkodliwe oprogramowanie za pośrednictwem poczty e-mail wznowili wysyłanie fałszywych powiadomień z popularnych serwisów rezerwacji online. W marcu zarejestrowaliśmy nową masową wysyłkę rozprzestrzenianą rzekomo w imieniu serwisu rezerwacyjnego hotelu Atlantic: menedżer hotelu informował rzekomo odbiorcę, że czeka na jego przybycie 20 marca 2013 roku.

  enlarge.gif 

Oszustwo to opierało się na założeniu, że ciekawski odbiorca otworzy załączony plik, aby sprawdzić numer potwierdzenia rezerwacji, a tym samym uruchomi plik wykonywalny AtlanticHotel Booking Confirmation.doc.exe. Plik ten infekuje komputer szkodliwym oprogramowaniem wykrywanym przez Kaspersky Lab jako Trojan-Ransom.Win32.Blocker.awbi., stworzonym w celu wyłudzania pieniędzy lub informacji finansowych od użytkowników.

Oszuści rozprzestrzeniają również wiadomości e-mail ze szkodliwymi załącznikami zawierające fałszywe powiadomienia o potwierdzeniu lotu. Na przykład, e-maile wysyłane w imieniu serwisu rezerwacji online Delta.com zawierały na początku podziękowania dla odbiorcy za korzystanie z usług Delta, a następnie informowały go, że wymagania dotyczące bagażu i zameldowania się w hotelu mogą różnić się w zależności od lotniska i linii lotniczych, zachęcając użytkownika do otwarcia załączonego e-biletu i dokładnego przeczytania go.

  enlarge.gif 

W rzeczywistości, załącznik ten zawierał plik wykonywalny eTicket oraz Receipt.pdf.exe wykrywany przez Kaspersky Lab jako Backdoor.Win32.ZAccess.bmdt. To szkodliwe oprogramowanie jest wykorzystywane przez oszustów w celu uzyskania zdalnego dostępu do komputera ofiary w celu kradzieży jego informacji osobistych, dołączenia komputera do botnetu itd.

W marcu, oprócz fałszywych potwierdzeń lotniczych i hotelowych, scammerzy wykorzystywali w celu oszukiwania użytkowników nazwę australijskiej firmy telekomunikacyjnej TPG Telecom. W fałszywym powiadomieniu odbiorca informowany był o tym, że saldo jego telefonu komórkowego wynosiło poniżej 5 dolarów. Jednak firma automatycznie przywróciła saldo do wartości 20 dolarów, wprowadzając debet w wysokości 16,95 dolarów. W celu uzyskania bardziej szczegółowych informacji o stanie konta użytkownika zachęcano do otwarcia załączonego pliku.

  enlarge.gif 

Załączone archiwum zip zawierało plik TGP-Account-Details.doc.exe wykrywany przez Kaspersky Lab jako Trojan-Spy.Win32.Zbot.jqye. Jest to jedna ze znanych modyfikacji ZeuS-a stworzona w celu kradzieży poufnych danych użytkownika.

Phishing

Odsetek phishingowych wiadomości e-mail w całym ruchu pocztowym wzrósł w stosunku do lutego i wynosił średnio 0,006%.

spamreport_apr2013_pic13_auto.png
Rozkład Top 100 organizacji najczęściej atakowanych przez phisherów według kategorii*

*Ranking ten opiera się na raportach z modułów antyphishingowych firmy Kaspersky Lab, aktywowanych za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.

W marcu najatrakcyjniejszy cel ataków phishingowych nadal stanowiły portale społecznościowe, mimo że ich udział spadł o 4,3 punktu procentowego i wynosił średnio 34,5%. W pierwszej trójce znalazły się również organizacje finansowe i e-płatności (17,4%) oraz wyszukiwarki (14,9%), które znalazły się odpowiednio na 2 i 3 miejscu.

Dostawcy IT utrzymali się na 4 pozycji (9,9%). Za nimi znaleźli się dostawcy usług telefonicznych i internetowych (8,9%), których udział wzrósł o 3,5 punktu procentowego, przez co kategoria ta awansowała z 7 miejsca na 5.

W marcu otrzymaliśmy interesującą chińskojęzyczną wiadomość phishingową wysłaną rzekomo przez znany chiński zasób internetowy sina.com.cn. Phisherzy zastosowali popularne oszustwo: w związku ze słabą ochroną konta użytkownika w celu zapewnienia bezpieczeństwa danych odbiorca powinien kliknąć odsyłacz i uaktualnić informacje dotyczące konta. Jak można się domyślić, odsyłacz ten prowadził do fałszywej strony, na której użytkownik proszony był o podanie swojego loginu i hasła w celu uzyskania dostępu do swojego konta. W efekcie jego dane osobiste trafiały do oszusta, a skradzione konto mogło być następnie wykorzystywane w celu rozprzestrzeniania spamu „w imieniu ofiary”.

  enlarge.gif 

Co ciekawe, sami phisherzy zachęcali użytkownika do kontaktowania się pisemnie lub telefonicznie z działem pomocy technicznej na wypadek jakichkolwiek wątpliwości lub pytań. Sztuczka ta jest często wykorzystywana w celu zapewniania odbiorcy o legalności e-maila.

Podsumowanie

W marcu nastąpił nieznaczny spadek całkowitej ilości spamu. Spamerzy nadal wykorzystywali temat świąteczny w celu reklamowania różnych produktów i usług. W kwietniu spodziewamy się spadku ilości spamu świątecznego (mimo rosyjskojęzycznego spamu wielkanocnego). „Listy nigeryjskie” wykorzystujące zainteresowanie wydarzeniami w Wenezueli stanowiły znaczący trend w marcowym ruchu spamowym.

Podobnie jak w lutym, Stany Zjednoczone i Chiny dominowały w światowej dystrybucji spamu. W marcu oba te państwa wygenerowały około 43% spamu. Lista państw, które wysyłają najwięcej spamu do Europy, odnotowała znaczące zmiany: Korea Południowa straciła 13% swojego udziału w spamie, ale utrzymała wiodącą pozycję. Obecnie jej udział wynosi około jednej trzeciej ogółu wiadomości spamowych.

W marcu lista najbardziej rozpowszechnionych szkodliwych programów dystrybuowanych za pośrednictwem poczty e-mail była zróżnicowana: wiadomości z załącznikami phishingowymi zawierały backdoory, robaki, trojany, a nawet oprogramowanie ransomware. Jednak najbardziej popularny pozostał Trojan-Spy.html.Fraud.gen.

Liczba wiadomości phishingowych podwoiła się, ale wśród 3 organizacji najczęściej atakowanych przez phisherów nie wystąpiły znaczące zmiany. Podobnie jak w zeszłym miesiącu około jedna trzecia wszystkich ataków skierowana była na użytkowników portali społecznościowych. Na drugim i trzecim miejscu w rankingu znalazły się wyszukiwarki oraz organizacje finansowe i e-płatności.