Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport spamowy: marzec 2014 r.

Tagi:

Spam na świeczniku

W marcu spamerzy nie ograniczali się jedynie do tradycyjnych reklam związanych ze świętami; wykorzystywali również wiadomości z tematami świątecznymi w celu wyłudzenia prywatnych informacji od użytkowników portali społecznościowych.

Marcowy ruch spamowy stanowiło kilka oddzielnych grup reklam – produkty przeznaczone dla właścicieli samochodów, oferty nieruchomości na Krymie, szkoły językowe oraz usługi usprawnienia komunikacji telefonicznej w biurze. Wiele z takich wysyłek zidentyfikowano w Rosji oraz międzynarodowych segmentach internetu. 

Spam świąteczny

W 2014 roku Wielkanoc jest obchodzona przez kościół katolicki i prawosławny w tym samym dniu – 20 kwietnia. Przed świętem angielskojęzyczny ruch spamowy zawierał tradycyjne świąteczne reklamy podrabianych produktów znanych projektantów oraz konfekcję. 

 1403-spam-en-pic-01_auto.png

Również rosyjskojęzyczny spam oferował słodycze i pamiątki związane ze świętem wielkanocnym.

1403-spam-en-pic-02.png 

Warto zauważyć, że w marcu nie pojawiło się aż tak wiele spamu wielkanocnego; znacznie większej ilości spodziewamy się w kwietniu.

Dzień św. Patryka, obchodzony 17 marca, został wykorzystany przez oszustów do kradzieży loginów i haseł do kont na portalu LinkedIn. Nawiązująca do tego święta masowa wysyłka oferowała użytkownikom darmowe konto premium na tym portalu. Aby uzyskać dostęp do konta, użytkownik musiał kliknąć odsyłacz znajdujący się na końcu maila. Jednak zamiast do oficjalnego portalu LinkedIn odsyłacz ten prowadził do strony phishingowej i wszystkie informacje podane przez użytkownika były przesyłane do oszustów. Aby e-mail wyglądał na prawdziwy, oszuści wykorzystali logo oraz stopkę tego portalu społecznościowego. Również adres nadawcy nie wzbudzał wątpliwości z wyjątkiem tego, że zamiast oficjalnej nazwy linkedin.com nazwa domeny brzmiała linke.com.           

1403-spam-en-pic-03_auto.png

 

Spamowanie „na językach”

W marcu znaczna część rosyjskojęzycznego spamu oferowała różne metody nauki języków obcych. Odbiorcom proponowano nauczenie się języka obcego w ciągu zaledwie 10 dni. W polu nadawcy wiadomości te często zawierały frazę „Nauka języków”, natomiast nowo utworzone domeny e-mail w adresie nadawcy różniły się w zależności od e-maila. Wiadomości zawierały długie odsyłacze, które – po serii przekierowań – prowadziły do strony reklamowej oferującej rabat na zestaw płyt DVD do nauki języka obcego z wykorzystaniem unikatowej metody. Podczas składania zamówień odbiorca mógł zapłacić z wykorzystaniem dogodnego systemu płatności.

1403-spam-en-pic-04_auto.jpg 

Temat lingwistyczny wykorzystywała również inna masowa wysyłka, tym razem wysłana w imieniu agencji tłumaczeń. E-maile zostały stworzone w różnych językach – angielskim, niemieckim, francuskim, hiszpańskim i holenderskim. Niekiedy tekst wiadomości był napisany w kilku językach. Wiadomości zawierały listę języków pracy agencji, główne pary językowe tłumaczeń jak również wykaz usług (przekład, tłumaczenie, najpopularniejsze tematy tłumaczeń). Podano również bezpośrednie odsyłacze do stron internetowych agencji lub numery kontaktowe, lub adresy e-mail menadżerów.         

1403-spam-en-pic-05_auto.jpg

Spamowanie przez telefon

W marcu spamerzy aktywnie wysyłali reklamy oferujące różne sposoby obniżenia kosztów telefonicznych. Większość z tych wysyłek była kierowana do dużych firm. Odbiorcom proponowano różne sposoby poprawy jakości komunikacji w biurze poprzez połączenie telefonów stacjonarnych z określonymi kodami lub wykonywanie nieograniczonej liczby połączeń międzynarodowych z dowolnego miasta po niższych stawkach.   

1403-spam-en-pic-06_auto.jpg 

Masowe wysyłki reklamujące takie usługi przychodziły z adresów zarejestrowanych w specjalistycznych domenach i różniły się treścią w zależności od wiadomości e-mail. Zawarte w nich odsyłacze prowadziły do strony zawierającej krótkie badanie, a po wypełnieniu formularzy użytkownik był proszony o wybranie najkorzystniejszego rozwiązania. Ostatecznie wszystko sprowadzało się do reklamy określonych usług telefonicznych. 

Dane statystyczne

Odsetek spamu w ruchu e-mail

 1403-spam-en-pic-07.png

Odsetek spamu w ruchu e-mail

W marcu odsetek spamu w ruchu e-mail wynosił średnio 63,5%. Najwyższy poziom niechcianych wiadomości (67,3%) odnotowano w pierwszym tygodniu marca, jednak pod koniec miesiąca miał miejsce stopniowy spadek aktywności spamerów.  

Rozkład geograficzny źródeł spamu

W badanym miesiącu lista źródeł spamu rozprzestrzenianego na całym świecie wyglądała następująco:

 1403-spam-en-pic-08.png

Źródła spamu według państwa

W marcu Chiny pozostawały czołowym źródłem spamu (rozprzestrzeniając 24,6% wszystkich niechcianych wiadomości), co stanowi wzrost o 1,7 punktu procentowego w stosunku do poprzedniego miesiąca. Na drugim miejscu znalazły się Stany Zjednoczone, których udział (17%) zmniejszył się w marcu o 2 punkty procentowe. Na trzeciej pozycji uplasowała się Korea Południowa, z której pochodziło 13,6% globalnego spamu – o 0,8 punktu procentowego więcej niż w lutym. W badanym miesiącu państwa te odpowiadały za ponad połowę wszystkich niechcianych wiadomości wysłanych na całym świecie.          

Czwarte miejsce zajęła Rosja (6,5%), z której rozprzestrzeniono o 0,5 punktu procentowego mniej spamu niż w poprzednim miesiącu.     

Niżej uplasowały się Taiwan (6%), Indie (3,75), Wietnam (3,5%) oraz Ukraina (2%) – wszystkie utrzymały swoje pozycje z lutego, a ich udział zmniejszył się nieznacznie.

Japonia (1,9%) awansowała z dziesiątego miejsca na dziewiąte, mimo że jej wkład zwiększył się o zaledwie 0,15 punktu procentowego. Pierwszą dziesiątkę marca zamknęła Rumunia (1,8%).    

Warto wspomnieć również o niewielkim wzroście aktywności spamerów w Wielkiej Brytanii (1 punkt procentowy), dzięki któremu państwo to znalazło się na dwunastym miejscu, o osiem pozycji wyżej niż w lutym.  

1403-spam-en-pic-09.png 

Źródła spamu w Europie według państwa

W marcu czołowym źródłem spamu wysyłanego do użytkowników europejskich pozostała Korea Południowa (50,8%): jej udział zwiększył się o 1,2 punktu procentowego w stosunku do poprzedniego miesiąca. Na dalszym miejscu uplasowały się Stany Zjednoczone, których udział zmniejszył się o 1,4 punktu procentowego. Taiwan (6%) znalazł się na trzecim miejscu, chociaż odsetek spamu pochodzącego z tego państwa zwiększył się o 0,5 punktu procentowego.        

Na czwartym miejscu utrzymała się Rosja (4,2%), która odnotowała spadek o 0,8 punktu procentowego w stosunku do lutego.    

W marcu zmniejszyła się ilość spamu pochodzącego z Chin (2,9%), Ukrainy (1,8%) oraz Niemiec (0,7%) odpowiednio o 1, 0,5 i 0,7 punktu procentowego. Jednocześnie zwiększył się udział Wietnamu (2,7%), Indii (2,6%) oraz Wielkiej Brytanii (1,8%).   

W badanym miesiącu zwiększył się udział Francji i Tajlandii o 0,5 punktu procentowego, dzięki czemu te dwa państwa weszły do rankingu najaktywniejszych dystrybutorów spamu wysyłanego do użytkowników europejskich.

1403-spam-en-pic-10.png 

Źródła spamu według regionu

Czołowym regionem pod względem dystrybucji spamu pozostaje Azja (58%) – jej udział zwiększył się o 4 punkty procentowe w stosunku do poprzedniego miesiąca. Na drugim miejscu znalazły się Ameryka Północna (17%) oraz Europa Wschodnia (5%), których udział zmniejszył się odpowiednio o 2,6 i 1,4 punktu procentowego. Odsetek niechcianych wiadomości pochodzących z innych regionów nie odnotował niemal żadnych zmian.    

Szkodliwe załączniki w ruchu e-mail

W marcu ranking 10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem poczty e-mail wyglądał następująco:

1403-spam-en-pic-11_auto.png 

10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem poczty e-mail

Numerem jeden nadal jest Trojan-Spy.HTML.Fraud.gen. Jak już pisaliśmy wcześniej, jest to szkodnik z rodziny Fraud.gen, który stanowi fałszywą stronę HTML wymagającą podania danych, wysyłaną użytkownikom za pośrednictwem poczty e-mail jako ważna wiadomość pochodząca z dużych banków komercyjnych, sklepów internetowych, firm z branży oprogramowania itp.    

Drugie i dziesiąte miejsca w marcowym rankingu zajęły przedstawiciele rodziny Aspxor. Aspxor to robak sieciowy rozsyłający spam. Szkodnik ten potrafi automatycznie infekować strony internetowe, pobierać i wykonywać inne oprogramowanie oraz zbierać cenne dane przechowywane na komputerze, takie jak zapisane hasła i dane uwierzytelniające do kont e-mail i FTP.   

Na trzecim miejscu znalazł się nasz stary znajomy Email-Worm.Win32.Bagle.gt – robak pocztowy, który wysyła swoje kopie na wszystkie adresy e-mail znalezione na zainfekowanym komputerze. Szkodnik ten pobiera również pliki z internetu bez wiedzy użytkownika. Email-Worm.Win32.Bagle.gt wysyła zainfekowane wiadomości z wykorzystaniem własnej biblioteki SMTP.

Na czwartym i dziewiątym miejscu znalazły się odpowiednio Trojan-Spy.Win32.Zbot.saps i Trojan-Spy.Win32.Zbot.sapp. Zbot to trojan stworzony w celu kradzieży poufnych informacji. Zbot.saps, oprócz swojej głównej funkcjonalności, instaluje również szkodnika o nazwie Rootkit.Win32.Necurs (lub Rootkit.Win64.Necurs), który, po zainstalowaniu na zainfekowanej maszynie, zakłóca działanie programów antywirusowych oraz innych rozwiązań bezpieczeństwa.    

Piąte miejsce w rankingu zajęła niesławna rodzina szkodliwego oprogramowania o nazwie Bublik. Bublik to trojan downloader, który pobiera szkodliwe pliki na maszyny użytkowników, a następnie uruchamia pobrane pliki.    

Na szóstym i siódmym miejscu w rankingu znalazły się odpowiednio Backdoor.Win32.Androm.dpqs oraz Backdoor.Win32.Androm.dqpi. Rodzina szkodliwego oprogramowania o nazwie Andromeda składa się z backdoorów, które pozwalają cyberprzestępcom potajemnie kontrolować zainfekowany komputer. Zainfekowane przez te programy maszyny często stają się częścią botnetów.

1403-spam-en-pic-12.png 

Rozkład szkodliwych programów wykrytych w poczcie e-mail według państwa

Na pierwszym miejscu rankingu państw z największą liczbą szkodliwych programów wykrytych w poczcie e-mail znalazły się Stany Zjednoczone (-1,2 punktu procentowego). Na drugiej i trzeciej pozycji w rankingu utrzymała się Wielka Brytania i Niemcy. 

Rosja spadła z dwunastego na szesnaste miejsce, po tym jak jej udział w liczbie szkodliwych programów wykrytych w poczcie e-mail zmniejszył się o 0,82 punktu procentowego. Znaczny spadek odnotowała również Australia (-0,75 punktu procentowego), która spadła z siódmego miejsca na dziesiąte.      

Cechy szczególne szkodliwego spamu

W marcu wiele szkodliwych załączników zostało wysłanych w imieniu różnych znanych organizacji finansowych związanych z podatkami. Wiadomości te imitowały powiadomienia z urzędów podatkowych dotyczące płatności, żądania zapłaty podatku lub powiadomienia o przychodach nieuwzględnionych w deklaracjach podatkowych płatników.  

Wiadomości te często zawierały takie dane, jak ID podatnika, rodzaj podatku (w przykładzie powyżej był to podatek dochodowy), numer referencyjny dokumentu lub powiadomienie informujące odbiorcę, że jego wcześniejsze zeznania podatkowe były nieprawdziwe.  

 1403-spam-en-pic-13_auto.jpg

Aby dowiedzieć się dalszych informacji, odbiorca miał otworzyć załączone sprawozdanie, a niekiedy wypełnić załączony formularz. We wszystkich przypadkach, niezbędne dokumenty znajdowały się rzekomo w załączonym archiwum, które w rzeczywistości zawierało szkodliwy plik wykonywalny.    

Archiwa te zawierały trojany wykrywane przez Kaspersky Lab jako Trojan-PSW.Win32.Fareit.aoee i Trojan.Win32.Bublik.buya. Przedstawiciele pierwszej z tych rodzin szkodliwego oprogramowania kradną ciasteczka przeglądarki i hasła z klientów FTP oraz programów pocztowych, a następnie wysyłają te dane do zdalnego serwera prowadzonego przez oszustów. Druga rodzina szkodliwego oprogramowania pobiera na komputery użytkownika szkodliwe pliki i uruchamia je.   

Phishing

Portale społecznościowe po raz kolejny stanowiły organizacje najczęściej wykorzystywane w atakach phishingowych, mimo że ich udział zmniejszył się o 3,8 punktu procentowego w stosunku do zeszłego miesiąca i wynosił 23,5%. Na kolejnym miejscu uplasowały się serwisy e-mail (16,6%). Udział wyszukiwarek (14,4%) jak również organizacji finansowych i e-płatności zmniejszył się odpowiednio o 2 i 3,5 punktu procentowego, dzięki czemu wyszukiwarki wskoczyły na trzecią pozycję w miejsce serwisów finansowych. Odsetek ataków phishingowych na sklepy internetowe zwiększył się o 8,9 punktu procentowego, dzięki czemu kategoria ta awansowała o dwie pozycje na piąte miejsce. Udział dostawców usług internetowych i telefonicznych zwiększył się nieznacznie, jednak kategoria ta spadła na szóste miejsce.               

 

1403-spam-en-pic-14.png 

Rozkład Top 100 organizacji najczęściej atakowanych przez phisherów według kategorii

Ranking opiera się na wykryciach przy użyciu komponentu antyphishingowego firmy Kaspersky Lab aktywowanego za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.   

Celem phisherów często stają się niemieckie banki. W marcu zarejestrowaliśmy kolejną oszukańczą wysyłkę masową, której celem była kradzież informacji osobistych użytkowników bankowości internetowej. E-mail wysłany w imieniu pracownika banku informował odbiorców, że wkrótce wygaśnie ich dostęp do kont online. Aby nadal korzystać z usług bankowości internetowej, użytkownicy mieli kliknąć odsyłacz, który w rzeczywistości prowadził do strony phishingowej, na której należało podać nie tylko loginy i hasła do swoich kont bankowości online, ale również informacje osobiste.    

Fałszywa strona imitowała oficjalną stronę banku, jednak sama wiadomość phishiongowa nie zawierała żadnych elementów (logo banku, stopka itd.) powszechnie wykorzystywanych przez oszustów w celu upodobnienia ich e-maili do legalnych wiadomości. Co istotne, nazwa domeny serwera znajdująca się po symbolu @ w adresie nadawcy należała do Narodowej Rady Badawczej Kanady, która nie ma nic wspólnego z organizacją bankową.     

 1403-spam-en-pic-15_auto.png

Podsumowanie

Odsetek spamu w globalnym ruchu e-mail zmniejszył się w marcu o 6,4 punktu procentowego i wynosił średnio 63,5%. Łączna ilość spamu świątecznego również odnotowała spadek w stosunku do poprzedniego miesiąca. O ile zbliżające się święta wielkanocne wykorzystywane były do reklamowania różnych produktów i upominków świątecznych, Dzień św. Patryka został wykorzystany przez oszustów w celu uzyskania dostępu do kont znajdujących się na popularnych portalach społecznościowych.       

Ponadto, ruch spamowy zalały ogromne ilości reklam szkół językowych oferujących wszelkie rodzaje metod nauczania. Wiele wysyłek zawierało informacje dotyczące sposobów optymalizacji komunikacji w dużych i średnich przedsiębiorstwach.

W marcu lista źródeł spamu na świecie wyglądała następująco: Chiny (24,6%), Stany Zjednoczone (17%) oraz Korea Południowa (13,6%). Liderem pod względem rozprzestrzeniania niechcianych wiadomości pozostała Azja (58%).    

Aby rozprzestrzeniać wiadomości zawierające szkodliwe załączniki, osoby atakujące wykorzystywały fałszywe powiadomienia wysłane rzekomo nie tylko przez znane banki, ale również inne organizacje finansowe, np. zajmujące się naliczaniem i poborem podatków.     

W marcu portale społecznościowe po raz kolejny stanowiły najpopularniejszy rodzaj serwisów imitowanych przez phisherów. Na kolejnym miejscu znalazły się serwisy e-mail, a dalej wyszukiwarki. Odsetek ataków phishingowych na sklepy internetowe zwiększył się znacząco, dzięki czemu kategoria ta awansowała o dwie pozycje na piąte miejsce.