Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport spamowy: luty 2014 r.

Tagi:

Spam na świeczniku

W lutym spamerzy aktywnie wysyłali oferty związane z walentynkami, natomiast tzw. oszuści nigeryjscy wykorzystywali sytuację polityczną na Ukrainie oraz tragiczne wydarzenia, jakie miały miejsce w tym państwie, w celu wyłudzenia pieniędzy od użytkowników. Spośród wysyłek na szczególną uwagę w omawianym miesiącu zasługuje oferta wygrania darmowej laserowej operacji korekcji wzroku.   

“Nigeryjscy turyści" na Ukrainie

Polityczne zamieszki rzadko pozostają niezauważone przez oszustów, dlatego nie ma nic dziwnego w tym, że w lutym „nigeryjskie” listy częściej nawiązywały do wydarzeń mających miejsce na Ukrainie. Oszuści posługiwali się znanymi już historyjkami o skradzionych kosztownościach, a następnie prosili o udzielenie pomocy finansowej nieszczęsnemu turyście.  

W jednej oszukańczej wiadomości, pochodzącej rzekomo od turysty w tarapatach, odbiorca mógł przeczytać smutną historię o rodzinnej wycieczce do Kijowa, która zmieniła się w koszmar, po tym jak niezidentyfikowani uzbrojeni przestępcy zabrali wszystkie ich kosztowności, pozostawiając jedynie paszporty. Lokalna policja i ambasada nie była w stanie pomóc turystom, a menadżer hotelu nie pozwolił im przenocować, ponieważ nie mieli pieniędzy, aby zapłacić rachunek. Pechowi turyści proszą teraz nieznajomych o pomoc finansową. Jak twierdzą, pilnie potrzebują pieniędzy, ponieważ do lotu powrotnego nie zostało wiele czasu. Obiecują jednak zwrócić całą sumę, jak tylko wrócą do domu.             

spamreport_february_01_auto.png

Inny list „nigeryjski” również został rzekomo wysłany przez turystę, który przybył na Ukrainę razem ze swoją rodziną i stracił na skutek kradzieży torbę ze wszystkimi dokumentami. Wprawdzie ambasada wydała mu paszport tymczasowy, jednak nie ma pieniędzy na zakup biletu i zapłacenie rachunku za pobyt w hotelu. W przeciwieństwie do poprzedniej wiadomości, oszuści prosili o konkretną sumę pieniędzy oraz natychmiastową odpowiedź na e-mail, ponieważ nie zostało dużo czasu do lotu powrotnego, a bank potrzebuje kilka dni na przelanie pieniędzy.     

 spamreport_february_02_auto.png

Opowieści o turystach, którzy zostali okradzeni – podobnie jak inne oszukańcze historyjki – są niezwykle powszechne. Mogą zostać wykorzystane z niemal każdym wydarzeniem, które zyskało globalny rozgłos. Trzeba jednak pamiętać, że wszystkie te opowieści nawiązujące do prawdziwych wydarzeń to jedynie sztuczki stosowane przez oszustów, a osoba, która zareaguje na związaną z nimi prośbę, w rzeczywistości nikomu nie pomoże i nigdy nie odzyska swoich pieniędzy.      

Spam świąteczny

Angielskojęzyczny spam wykorzystujący walentynki zawierał reklamy podrabianych towarów znanych projektantów jak również oferty kwiatów oraz słodyczy. Wiadomości były przystrojone motywami walentynkowymi. Trafiliśmy również na oszukańczy e-mail oferujący odbiorcom możliwość zarobienia sporej sumy przy pomocy specjalnej aplikacji wysłanej jako prezent.   

spamreport_february_03_auto.png

Korekcja wzroku

W lutym angielskojęzyczni spamerzy aktywnie reklamowali laserową korekcję wzroku – w niektórych przypadkach usługa ta była oferowana z dużą zniżką, a nawet za darmo. Wiadomość zawierała ulotkę promocyjną, która po kliknięciu prowadziła - po serii przekierowań - do zasobu spamerów oferującego laserową korekcję wzroku oraz inne usługi i towary. Większość e-maili zawierało nazwę reklamowanej kliniki, którą użytkownik mógł znaleźć z pomocą wyszukiwarki internetowej. Aby sprawiać wrażenie bardziej wiarygodnych, niektóre wiadomości zawierały również rekomendacje wdzięcznych pacjentów.            

spamreport_february_04_auto.jpg 

Kartridże do drukarek i kserokopiarek

Innym tematem miesiąca była seria ofert kartridży do drukarek i kserokopiarek. W ciągu ostatnich kilku lat wzrosła ilość spamu związanego z kartridżami. Wiadomości pojawiały się w różnych językach, chociaż metoda i wygląd wysyłek były podobne. 

spamreport_february_05_auto.jpg

Masowe wysyłki w języku angielskim, szwedzkim i innych oferowały głównie kartridże do drukarek atramentowych. Reklama zawierała zwykle listę modeli drukarek oraz ceny kartridży. W niektórych e-mailach spamerzy próbowali przyciągnąć uwagę odbiorców za pomocą kuponów zniżkowych oraz krótkoterminowych promocji. Pewien menadżer z Chin, który rzekomo wysłał jedną z takich masowych wysyłek, chwalił się, że jego firma uczestniczyła w międzynarodowych targach w Niemczech i załączył nawet zdjęcia z wystawy.

Dane statystyczne

Odsetek spamu w ruchu pocztowym 

 spamreport_february_06_auto.jpg

Odsetek spamu w ruchu pocztowym

Odsetek spamu w ruchu pocztowym pozostał prawie niezmieniony w całym miesiącu, z wyjątkiem niewielkiego wzrostu, który miał miejsce w trzecim tygodniu lutego. Odsetek spamu w lutowym ruchu pocztowym wynosił średnio 69,9%.

Źródła spamu

W lutym lista źródeł, z których rozprzestrzeniany był spam na świecie, wyglądała następująco:

 spamreport_february_07.jpg

Źródła spamu według państwa

Chiny (23%), które w styczniu zajmowały drugie miejsce, odzyskały prowadzenie, odnotowując 7 proc. wzrost udziału w rozprzestrzenianym spamie. Za nimi uplasowały się Stany Zjednoczone (19,1%) - lider zeszłego miesiąca - których udział zmniejszył się o 2,8 punktu procentowego. Pierwszą trójkę zamknęła Korea Południowa, w której rozprzestrzeniono 12,8% globalnego spamu – niemal tyle samo co w poprzednim miesiącu.          

Rosja (7%) zamknęła miesiąc na czwartym miejscu, odnotowując wzrost o 1,1 punktu procentowego. Tajwan (5,1%) spadł na piąte miejsce, po tym jak jego udział zmniejszył się o 1,1 punktu procentowego w porównaniu ze styczniem.  

Zarówno Indie (3,4%), Wietnam (3%), Ukraina (2,3%) jak i Rumunia (2%) odnotowały spadek udziału w dystrybuowanym spamie o średnio 0,2 punktu procentowego. 

W lutym udział Japonii (1,8%) zmniejszył się o 0,3 punktu procentowego w porównaniu z poprzednim miesiącem, co spowodowało spadek tego państwa o jedno miejsce w naszym rankingu na dziesiątą pozycję.

W badanym miesiącu nieznacznie wzrosła aktywność spamerów w Niemczech (0,7%) oraz Wielkiej Brytanii (0,7%), dzięki czemu państwa te znalazły się wśród 20 największych spamerów.     

 spamreport_february_08.jpg

Źródła spamu w Europie według państwa

W lutym Korea Południowa pozostała czołowym źródłem spamu wysyłanego do użytkowników europejskich (48,6%): jej udział w dystrybucji niechcianych wiadomości zwiększył się o 1,2 punktu procentowego w stosunku do poprzedniego miesiąca. Na drugim miejscu uplasowały się Stany Zjednoczone, które również odnotowały wzrost - o niemal 3 punkty procentowe - dzięki czemu państwo to awansowało o jedną pozycję na drugie miejsce. Warto wspomnieć, że w styczniu Stany Zjednoczone znajdowały się na trzecim miejscu, odpowiadając za 5,3% łącznego spamu wysyłanego do użytkowników europejskich. Trzecie miejsce zajmuje obecnie Tajwan (5,5%), którego udział w spamie zmniejszył się o 0,3 punktu procentowego.        

Rosja zajęła czwarte miejsce. Awans o jedną pozycję zapewnił jej 2-proc. wzrost udziału w europejskim spamie. Tuż za nią znalazły się Chiny, które również poprawiły swój wynik. Z jedenastego miejsca w styczniu wskoczyły na piąte, po tym jak ich udział w spamie zwiększył się o 2,3 punktu procentowego i wynosił średnio 3,9%.

Niewielki wzrost (o 0,5 punktu procentowego) odnotowały również Ukraina (2,3%) i Wietnam (1,8%). O ile w przypadku Ukrainy nie miało to znaczącego wpływu na pozycję w rankingu (państwo to awansowało jedynie o jedno miejsce: z ósmego miejsca na siódme), to dla Wietnamu oznaczało skok o osiem pozycji, który pozwolił mu znaleźć się wśród 10 największych spamerów.       

Pierwszą dziesiątkę zamknęły Indie, których udział w spamie wysyłanym do użytkowników europejskich wynosił 1,6%. Wielka Brytania i Niemcy uzyskały nieco gorsze wyniki - odpowiednio 1,5% i 1,4%.   

W lutym Włochy (1%) odnotowały spadek o siedem miejsc i całkowicie wypadły z rankingu Top 10, po tym jak udział tego państwa zmniejszył się o ponad 1 punkt procentowy. Spadek odnotowała również Hiszpania (0,8%) oraz Argentyna (0,7%). Hiszpania również wypadła z rankingu 10 największych spamerów, mimo że w poprzednim miesiącu uplasowała się na szóstym miejscu.     

spamreport_february_09.jpg 

Źródła spamu według regionu

W lutym Azja (54%) pozostała czołowym regionalnym źródłem spamu, odnotowując wzrost o 5 punktów procentowych w stosunku do poprzedniego miesiąca. Na drugim miejscu uplasowała się Ameryka Północna, z której pochodziło 20% globalnego spamu, co stanowi spadek o 3,2 punktu procentowego. Tymczasem udział Europy Wschodniej wzrósł o 1,2 punktu procentowego i wynosił 16,2%, dając jej trzecie miejsce w rankingu. Europa Zachodnia (4,5%), Ameryka Łacińska (2,7%) i Bliski Wschód (2,4%) znalazły się odpowiednio na czwartym, piątym i szóstym miejscu.                

Szkodliwe załączniki w ruchu e-mail

W lutym ranking 10 szkodliwych programów, które rozprzestrzeniały się za pośrednictwem poczty e-mail, wyglądał następująco:

spamreport_february_10_auto.jpg

Trojan-Spy.html.Fraud.gen pozostał najszerzej rozprzestrzenionym szkodliwym programem. Fraud.gen należy do rodziny programów trojańskich, które wykorzystują technologię spoofingu: trojany te imitują strony HTML i są rozprzestrzeniane za pośrednictwem poczty e-mail, występując w postaci powiadomień pochodzących od znanych banków komercyjnych, sklepów internetowych, twórców oprogramowania itd. 

Backdoor.Win32.Androm.bngy oraz Backdoor.Win32.Androm.bmvm zajęły odpowiednio drugie i ósme miejsce. Rodzina szkodliwych programów o nazwie Andromeda składa się z backdoorów, które pozwalają cyberprzestępcom potajemnie kontrolować zainfekowany komputer. Zainfekowane tymi programami maszyny często stają się częścią botnetu.   

Na trzecim miejscu znalazł się robak sieciowy Asprox, którego celem jest rozprzestrzenianie spamu. Szkodnik ten automatycznie infekuje strony, ładuje i uruchamia inne programy oraz zbiera cenne informacje przechowywane na komputerze, takie jak hasła oraz inne dane umożliwiające dostęp do poczty e-mail i kont FTP.  

Trojan-Spy.Win32.Zbot.rpce oraz Trojan-Spy.Win32.Zbot.rpce uplasowały się odpowiednio na czwartym i piątym miejscu. Zbot to rodzina trojanów, które kradną poufne informacje użytkownika. Potrafią również instalować szkodliwy program o nazwie CryptoLocker, który żąda pieniędzy w celu odszyfrowania danych użytkownika.    

Na kolejnym miejscu znalazł się Email-Worm.Win32.Bagle.gt, robak pocztowy, który wysyła swoje kopie na wszystkie adresy e-mail znalezione na zainfekowanym komputerze. Robak ten pobiera również bez wiedzy użytkownika pliki z internetu. Email-Worm.Win32.Bagle.gt wykorzystuje własną bibliotekę SMTP w celu wysyłania zainfekowanych wiadomości.

Ósme miejsce zajmuje Trojan.Win32.Inject.hpdp, który jest równocześnie oprogramowaniem spyware i  keyloggerem. Program ten przechwytuje uderzenia klawiszy, informacje systemowe, dane uwierzytelniania, hasła z serwisów e-mail oraz hasła z foldera przechowywania haseł.     

Ranking Top 10 zamknął Trojan.Win32.Bublik.cbds - niewielki trojan downloader, który pobiera trojany z rodziny Zbot.

Specjalne cechy szkodliwego spamu

W związku z walentynkami znacznie wzrosła liczba e-maili oferujących randki internetowe. Wiadomości pochodzące od pięknych nieznajomych, którzy chcą nawiązać korespondencję, miały załączone archiwa, które zamiast obiecanych zdjęć zawierały szkodliwe oprogramowanie, takie jak Trojan.Win32.Reconyc.rbc. Jest to trojan dropper, który instaluje w systemie dwa szkodliwe programy: jeden z nich to spyware, który kradnie z komputera wszystkie pliki dokumentowe (*. Docx, *. Xlsx, *. Pdf) i wysyła je na określony adres e-mail; drugi to robak/bot IRC o nazwie ShitStorm, który potrafi przeprowadzać ataki DDoS na strony internetowe i rozprzestrzeniać własne kopie za pośrednictwem serwisów MSN oraz P2P. W lutym odnotowaliśmy sporo szkodliwego oprogramowania z grupy ransomware, które blokuje komputer użytkownika i żąda pieniędzy w celu odblokowania go.  Do grupy tej należy np. Trojan-Ransom.Win32.Gimemo.boyz.                     

spamreport_february_11_auto.jpg

Natrafiliśmy również na wiadomości pozbawione tekstu, których temat można było odgadnąć z nagłówków wiadomości, takich jak "my very own nude image is attached" (w załączeniu moje zdjęcie w negliżu). Archiwa załączone do tych wiadomości zawierały również szkodnika o nazwie Backdoor.Win32.Androm.bnaf z rodziny Andromeda, który umożliwia osobom atakującym kontrolowanie zainfekowanych komputerów bez wiedzy użytkownika.    

Ten sam rodzaj szkodliwego oprogramowania był rozprzestrzeniany w lutym przy użyciu konwencjonalnych metod, takich jak fałszywe powiadomienia z popularnych serwisów społecznościowych. Powiadomienia były wysyłane w imieniu Facebooka i informowały odbiorcę, że od jego ostatniego logowania wiele się działo u jego znajomych na Facebooku, zachęcając do przeczytania o tym w załączonym do e-maila archiwum. W archiwum znajdował się Backdoor.Win32.Androm.bmvv, szkodliwy program z wyżej wspomnianej rodziny Andromeda.   

spamreport_february_12_auto.jpg 

Phishing

Ranking organizacji atakowanych przez phisherów nie zmienił się znacząco w lutym.

spamreport_february_13.jpg 

Rozkład 100 organizacji najczęściej atakowanych przez phisherów

Ranking ten opiera się na wykryciach dokonanych przy użyciu komponentu antyphishingowego firmy Kaspersky Lab, które mają miejsce za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.

Po raz kolejny na pierwszym miejscu znalazły się portale społecznościowe (27,3%), których udział zmniejszył się o zaledwie 0,06 punktu procentowego. Udział serwisów e-mail (19,34%) również zmniejszył się nieznacznie, przez co kategoria ta uplasowała się na drugim miejscu. Na trzecim miejscu znalazły się organizacje finansowe i e-płatności (16,73%), które odnotowały niewielki wzrost wynoszący 1,1 punktu procentowego.      

Udział wyszukiwarek (16,51%) zmniejszył się o 0,4 punktu procentowego, przez co kategoria ta spadła na czwarte miejsce w rankingu. Podobnie jak w styczniu, na piątym i szóstym miejscu znalazły się odpowiednio kategorie „Dostawcy usług telefonicznych i internetowych” (8,43%) oraz „Dostawcy IT” (5,85%).

Oszuści aktywnie wykorzystują nazwy znanych organizacji finansowych i e-płatności z różnych państw, aby rozprzestrzeniać wiadomości phishingowe, których celem jest kradzież osobistych informacji finansowych. W lutym trafiliśmy na oszukańcze powiadomienia wysłane rzekomo przez dział techniczny malezyjskiego banku HongLeong. Wiadomość ta informowała, że w związku z wprowadzaniem usprawnień w ochronie danych wszyscy klienci banku są proszeni o potwierdzenie swoich danych dotyczących konta poprzez kliknięcie podanego w e-mailu odsyłacza. W rzeczywistości kliknięcie przekierowywało użytkownika na stronę phishingową imitującą oficjalną stronę Moje konto w witrynie banku. Wszystkie wprowadzane tam dane były wysłane cyberprzestępcom, którzy zdobyli w ten sposób pełny dostęp do prywatnego konta ofiary. Co istotne, oszustów zdradzał adres w polu Nadawca. Mimo że oszuści wykorzystali nazwę banku i próbowali przekonać ofiarę, że e-mail pochodzi od konkretnej osoby, podając nazwisko i inicjały w polu nadawcy, nazwa domeny całkowicie różniła się od domeny posiadanej przez bank. W rzeczywistości była to domena należąca do Uniwersytetu Australijskiego. Być może oszuści uzyskali dostęp do skrzynki pocztowej tej instytucji i wykorzystali ją do dystrybucji wiadomości phishingowych bez wiedzy właściciela.

spamreport_february_14_auto.png

Podsumowanie

W lutym odsetek spamu w ruchu pocztowym zwiększył się o 4,2 punktu procentowego i wynosił średnio 69,9%. Ten wzrost w stosunku do stycznia mógł być spowodowany okresem zastoju w aktywności spamerów na początku roku.     

W lutym użytkownicy rosyjskojęzycznego sektora internetu otrzymywali świąteczne oferty towarów i usług związanych z walentynkami. „Nigeryjscy” oszuści próbowali uśpić czujność użytkowników, odwołując się do prawdziwych wydarzeń na Ukrainie – przedstawiali się jako turyści, którzy utknęli w tym państwie bez pieniędzy.  

E-maile ze szkodliwymi załącznikami zawierały zarówno fałszywe powiadomienia z popularnych portali społecznościowych jak i e-maile dotyczące „randek online”, których liczba wzrosła przed Dniem Św. Walentego.

W lutym portale społecznościowe pozostały najpopularniejszym celem ataków phishingowych. Na drugim miejscu rankingu znalazły się serwisy e-mail, na trzecim natomiast organizacje finansowe i e-płatności, które jako cel ataków phishingowych odnotowały niewielki wzrost (o 1,1 punktu procentowego).