Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w czerwcu 2014 r.

Tagi:

W czerwcu w celu wyłudzenia pieniędzy i informacji finansowych od użytkowników internetu oszuści wykorzystywali nagłośnione przez mediach wydarzenia, takie jak mistrzostwa świata w piłce nożnej oraz sytuacja na Ukrainie. 

Przed muzułmańskim świętem Ramadan oraz dniem ojca anglojęzyczny spam świąteczny oferował różne produkty i usługi związane z tym tematem. Najpopularniejszym tematami spamu były w czerwcu reklamy różnych internetowych serwisów randkowych oraz oferta kart paliwowych i biżuterii.

Mistrzostwa świata

W czerwcu kibice piłki nożnej na całym świecie w końcu doczekali się mistrzostw świata w Brazylii. Popularne wydarzenia sportowe, takie jak mistrzostwa świata, przyciągają uwagę nie tylko milionów widzów, ale również spamerów i phisherów. Pierwsze oszukańcze wiadomości wykorzystujące temat tegorocznych mistrzostw zostały odnotowane jeszcze w listopadzie 2013 r., na długo zanim rozpoczęły się rozgrywki. W czerwcu osoby atakujące wysłały wiadomości phishingowe w języku portugalskim oferujące możliwość zdobycia biletów na ceremonię otwarcia oraz mecze. Aby mieć szansę na wygraną, użytkownik musiał kliknąć odsyłacz (który był naturalnie fałszywy) oraz podać swoje dane rejestracyjne oraz informacje dotyczące karty kredytowej. Fałszywy odsyłacz był bezpośrednio połączony z plikiem graficznym, wyświetlanym w momencie otworzenia wiadomości przez użytkownika. Strony phishingowe były zlokalizowane w darmowej domenie .tk – krajowej domenie najwyższego poziomu dla Wysp Tokelau (Nowa Zelandia). Aby przekonać użytkownika o legalności wiadomości, spamerzy wykorzystali domeny systemu płatniczego Visa oraz nazwę FIFA w adresie nadawcy.   

June-2014_Spam-report_Engnet_1_auto.jpg 

Spam świąteczny

W czerwcu angielskojęzyczny spam zdominowany był przez święto dnia ojca, obchodzone w trzecią niedzielę miesiąca. Spamerzy wysyłali reklamy gadżetów elektronicznych, podrabianych produktów znanych projektantów oraz broni z różnych wieków, próbując przyciągnąć uwagę odbiorcy zniżkami, wyprzedażą i niskimi cenami. W celu obejścia filtrów spamowych spamerzy umieszczali na końcu wiadomości tekst zapychacz - cytat z dzieła literackiego. Wykorzystywali również popularny serwis skracania odsyłaczy, aby zamaskować prawdziwy adres i przekierować użytkowników na stronę spamerów. Nazwa święta wymieniana była w tytule oraz polu tekstowym e-maila.   

June-2014_Spam-report_Engnet_2_auto.jpg 

Spamerzy wykorzystują więcej świąt świeckich niż religijnych, nigdy jednak nie zapominają dostarczać użytkownikom odpowiednich ofert promocyjnych. Nazwa muzułmańskiego święta Ramadan pojawia się w ruchu spamowym każdego roku. Obecny rok nie był wyjątkiem: w czerwcu natrafiliśmy na reklamy restauracji zawierające odniesienia do Ramadanu (jak również zaproszenie do obejrzenia transmisji meczy). Odnotowaliśmy również oferty usług IT oraz serwisów umożliwiających rozsyłanie promocyjnych wiadomości tekstowych.

June-2014_Spam-report_Engnet_3_auto.jpg 

Ukraiński spam „nigeryjski”

Wydarzenia polityczne na Ukrainie po raz kolejny zostały wykorzystane w scamie „nigeryjskim” w celu wyłudzenia pieniędzy od naiwnych użytkowników. Tym razem autor wiadomości e-mail przedstawił się jako osobisty asystent ukraińskiej kobiety polityk, która znalazła się wśród pierwszych ofiar potyczek w Kijowie. Jak zwykle w przypadku tego typu wiadomości, zmarła pozostawiła swojemu asystentowi miliony dolarów, które muszą zostać natychmiast „wyprowadzone” z Ukrainy i przelane na konto zagranicznego odbiorcy. Pomocnikowi obiecywano nagrodę i określoną sumę pieniędzy na pokrycie wydatków związanych z przelewem środków.       

June-2014_Spam-report_Engnet_4_auto.jpg 

To samo oszustwo „nigeryjskie” jest stosowane każdego roku – zmieniają się tylko szczegóły. Warto jednak pamiętać, że wszystkie oferty „nigeryjskie”, które obiecują szybkie wzbogacenie się to nic więcej jak tylko oszustwo, którego celem jest wyciągnięcie pieniędzy od użytkowników.   

Internetowe serwisy randkowe

Znaczną część czerwcowego spamu stanowiły reklamy serwisów randkowych skierowanych do różnych grup społecznych i etnicznych, w tym muzułmanów, chrześcijan oraz osób starszych i zamężnych/żonatych.  

June-2014_Spam-report_Engnet_5_auto.jpg 

W czerwcu odnotowaliśmy wiadomości e-mail i masowe wysyłki rozprzestrzeniane w imieniu osób, które chcą nawiązać znajomość za pośrednictwem internetu w celu zawarcia poważnych związków lub małżeństwa. Oferty te dotyczyły nie tylko tradycyjnych relacji, ale również tych pomiędzy osobami tej samej płci. Niektórzy „nadawcy” załączyli swoje zdjęcie oraz podali adres e-mail lub odsyłacz do ich profilu w serwisie randkowym (który często stanowił zawoalowaną reklamę takich serwisów, a e-maile były prawdopodobnie wysyłane w imieniu nieistniejących członków). Nadawcy opisywali swój wygląd i zainteresowania i twierdzili, że chcą nawiązać korespondencję. Odbiorcę często informowano, że jego adres został przekazany nadawcy przez ich wspólnego znajomego lub znaleziony na portalu społecznościowym lub randkowym, co niezupełnie było zgodne z prawdą.         

June-2014_Spam-report_Engnet_6_auto.jpg 

Spamerzy wysyłali również wiadomości e-mail obiecujące partnera, który spełni absolutnie wszystkie kryteria (wiek, kolor skóry, zainteresowania itd.) w ciągu trzech minut od skorzystania z ich „bazy bratnich dusz”. Aby skorzystać z serwisu, odbiorca musiał wysłać wiadomość tekstową na krótki numer. Oprócz uszczuplenia środków na mobilnym koncie użytkownika, spamerzy zdobyli dostęp do jego informacji kontaktowych, w szczególności do numeru telefonu. 

Dla tych, których bardziej interesowało spotkanie osobiste, spamerzy oferowali lekcje uwodzenia kobiet („24 zasady przyciągania kobiet”) oraz inne wskazówki dotyczące udanych związków.

June-2014_Spam-report_Engnet_7_auto.jpg 

Jedna z wysyłek zawierała reklamę usług spamowych dotyczących serwisu randkowego. Spamerzy oferowali swoją pomoc w tworzeniu i promowaniu (naturalnie z pomocą masowego mailingu) nowego serwisu randkowego, który obejmował użytkowników z różnych państw. W wiadomości znajdował się adres e-mail oraz numer ICQ w celu komunikacji.  

June-2014_Spam-report_Engnet_8_auto.jpg 

Biżuteria

W czerwcu pojawiło się wiele ofert z tematem biżuterii. Większość z nich stanowiły oferty promocyjne i bonusowe niewielkich sklepów jubilerskich, producentów i firm jubilerskich zajmujących się produkcją i obróbką diamentów. Nadawcy oferowali odbiorcom spamu możliwość udziału w ich biznesie i dołączali cennik swoich produktów. 

June-2014_Spam-report_Engnet_9_auto.jpg 

Karty paliwowe

Innym popularnym tematem angielskojęzycznego spamu były karty paliwowe umożliwiające automatyczne płacenie na stacjach benzynowych. Ta metoda płatności stanowi duże udogodnienie dla firm transportowych, których pojazdy jeżdżą na wielu trasach, i mają problemy z kontrolowaniem procesu uzupełniania paliwa. Spamowi „pośrednicy” oferują odbiorcom możliwość porównania cen, wybrania firmy oferującej najkorzystniejsze warunki oraz podpisania umowy na określoną kartę paliwową. Cechą wyróżniającą ten rodzaj masowych wysyłek spamowych był fakt, że odsyłacze w e-mailach prowadziły do stron zarejestrowanych na stworzonych niedawno domenach. Celem stron jest jedynie obliczanie cen.   

 June-2014_Spam-report_Engnet_10_auto.jpg

Dane statystyczne

Odsetek spamu w ruchu e-mail

June-2014_Spam-report_Engnet_11_auto.png
Odsetek spamu w ruchu e-mail

Odsetek spamu w ruchu e-mail wynosił średnio 64,8%, o 5 punktów procentowych mniej niż w maju. Najwyższy poziom spamu odnotowano w drugim tygodniu miesiąca (65,8%), najniższy natomiast w trzecim tygodniu (63,5%).   

Rozkład geograficzny źródeł spamu

Wcześniej nasze dane statystyczne dotyczące źródeł spamu według państwa opierały się na informacjach uzyskiwanych z pułapek spamowych rozmieszczonych w różnych państwach. Jednak spam pochodzący z pułapek różni się od spamu otrzymywanego przez zwykłych użytkowników. Do takich pułapek nie trafia na przykład spam, którego celem są specjalistyczne firmy. Dlatego też zmieniliśmy źródło danych i obecnie tworzymy raporty statystyczne dotyczące spamu na podstawie wiadomości spamowych otrzymywanych przez użytkowników naszych produktów z całego świata (dane te są dostarczane za pośrednictwem systemu KSN - Kaspersky Security Network). Ponieważ informacje wykorzystane w czerwcowym raporcie statystycznym zostały uzyskane z innego źródła, porównanie tych wyników z danymi statystycznymi obejmującymi poprzedni miesiąc nie byłoby właściwe.   

June-2014_Spam-report_Engnet_12.jpg
Rozkład źródeł spamu według państwa

Pod koniec czerwca 2014 r. trzy największe źródła spamu na świecie stanowiły Stany Zjednoczone (13,2%), Rosja (7%) oraz Chiny (5,6%).

Na czwartym miejscu znalazł się Wietnam (5,3%), a niżej Argentyna (4,1%), Niemcy (3,7%), Hiszpania (3,6%), Ukraina (3,2%) oraz Włochy (2,9%).

Ranking Top 10 zamknęły Indie, które odpowiadały za 2,8% spamu na świecie. 

Szkodliwe załączniki w wiadomościach e-mail

Wykres poniżej pokazuje 10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem poczty e-mail w czerwcu.

June-2014_Spam-report_Engnet_13.jpg
Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail

Tradycyjnie już na szczycie listy szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem poczty e-mail znajduje się Trojan-Spy.HTML.Fraud.gen. Zagrożenie to występuje w postaci phishingowej strony HTML i wysyła wiadomości e-mail podszywające się pod pilne powiadomienia z banków, sklepów internetowych oraz innych serwisów.    

Na drugim miejscu w czerwcu znalazł się Trojan-Downloader.MSWord.Agent.z. Szkodnik ten ma postać pliku *.doc zawierającego osadzone makra napisane w języku Visual Basic for Applications (VBA), który zostaje wykonany po otwarciu dokumentu. Samo makro pobiera i uruchamia szkodliwy program.    

W czerwcu na trzecim, czwartym, piątym i siódmym miejscu znalazły się przedstawiciele rodziny Bublik. Ich główną funkcją jest nieautoryzowane pobieranie i instalowanie na komputery ofiar nowych wersji szkodliwego oprogramowania.  

Na szóstym miejscu uplasował się Backdoor.Win32.Androm.elwa. Szkodnik ten stanowi modyfikację programu Andromeda – Gamarue, uniwersalnego bota modułowego, który stanowi podstawę stworzenia botnetu o różnych funkcjach. Funkcjonalność bota jest rozszerzana przy pomocy systemu wtyczek, które mogą zostać załadowane przez przestępców w dowolnym czasie w niezbędnej ilości.      

Robak Email-Worm.Win32.Bagle.gt, który w czerwcu znalazł się na ósmym miejscu, wysyła swoje kopie na wszystkie adresy e-mail, które znajdzie na komputerze. Jego głównym celem jest pobieranie i uruchamianie plików z internetu bez zwracania uwagi użytkowników. Do rozprzestrzeniania zainfekowanych wiadomości Worm.Win32.Bagle.gt wykorzystuje własną bibliotekę SMTP.      

Trojan-Banker.Win32.ChePro.ilc zakończył miesiąc na dziewiątej pozycji. Ten downloader występuje w postaci apletu CPL (element panelu sterowania) i, typowo dla tego rodzaju szkodliwego oprogramowania, pobiera trojany tworzone w celu kradzieży informacji bankowych oraz haseł. Celem tych trojanów bankowych są głównie klienci korzystający z brazylijskich i portugalskich banków online.    

Ranking Top 10 zamyka Email-Worm.Win32.Mydoom.l - robak sieciowy z funkcjonalnością backdoora, który jest rozprzestrzeniany jako załącznik do wiadomości e-mail za pośrednictwem serwisów współdzielenia plików oraz zapisywalnych zasobów sieciowych. Robak zbiera adresy e-mail z zainfekowanych komputerów w celu wykorzystania ich do dalszych masowych wysyłek. Szkodnik łączy się również bezpośrednio z serwerem SMTP odbiorcy.  

June-2014_Spam-report_Engnet_14.png
Rozkład wykryć szkodliwego oprogramowania w poczcie e-mail według państwa

W czerwcu Niemcy odnotowały spory wzrost liczby wykryć szkodliwego oprogramowania i znalazły się na szczycie rankingu (+8,17 punktu procentowego), spychając z tej pozycji Wielką Brytanię.

Do pierwszej dwudziestki wróciła Rosja, która znalazła się na 13 miejscu (jej udział w wykryciach szkodliwego oprogramowania wynosił 2,03%). 

Zjednoczone Emiraty Arabskie (+0,96 punktu procentowego) wyprzedziły Australię, Hong Kong oraz Wietnam pod względem wykryć szkodliwego oprogramowania, podczas gdy Szwajcaria wypadła z pierwszej dwudziestki.

Odsetek wykryć szkodliwego oprogramowania w poczcie e-mail w innych krajach nie zmienił się znacznie w stosunku do czerwca.

Cechy charakterystyczne szkodliwego spamu

Sezon wakacyjny znajduje się w szczycie: wiele osób nadal zastanawia się nad planami wakacyjnymi, natomiast ci, którzy już zdecydowali, dokąd pojechać, często samodzielnie dokonują rezerwacji biletów lotniczych oraz pokoi hotelowych. Oprócz tradycyjnego sezonowego wzrostu ilości spamu wakacyjnego odnotowaliśmy również wzrost liczby oszukańczych wiadomości wysyłanych w imieniu różnych serwisów rezerwacyjnych, w tym międzynarodowych. Takie fałszywe powiadomienia podszywają się pod potwierdzenia rezerwacji i zwykle zawierają szkodliwe załączniki imitujące rachunki za rezerwacje hotelowe. Ogólnie, wiadomość e-mail zawiera numer zamówienia, datę przybycia/wyjazdu oraz kwotę zamówienia. Jednym z najpopularniejszych szkodliwych programów wykorzystywanych w spamie wakacyjnym w czerwcu był Trojan-Spy.Win32.Ursnif. Trojan ten kradnie poufne dane i wysyła je na zdalny serwer. Potrafi nadsłuchiwać ruch sieciowy, pobierać i uruchamiać inne szkodliwe programy jak również wyłączać pewne aplikacje systemowe, takie jak zapora sieciowa.            

June-2014_Spam-report_Engnet_15_auto.jpg 

W celu wysyłania szkodliwych załączników oszuści wykorzystują nie tylko fałszywe powiadomienia pochodzące z największych serwisów rezerwacyjnych, banków czy hipermarketów internetowych, ale również sklepów o węższej specjalizacji. Na przykład, w zeszłym miesiącu trafiliśmy na szkodliwą wysyłkę rozprzestrzenianą w imieniu internetowego sklepu zoologicznego. Odbiorcę proszono o pobranie i wydrukowanie faktury za zakupione towary. Nadawca informował, że w razie jakichkolwiek pytań można skontaktować się z działem wsparcia sklepu zoologicznego, klikając odsyłacz na jego oficjalnej stronie internetowej. Zamiast obiecywanego pliku PDF przedstawiającego szczegóły zakupu, archiwum zawierało szkodnika o nazwie Trojan-Banker.Win32.Shiotob.c. Trojan ten kradnie informacje o systemie, nazwy użytkownika oraz hasła z FTP oraz różnych stron w momencie zalogowania się na nie przez użytkownika.       

June-2014_Spam-report_Engnet_16_auto.jpg 

Phishing

Na pierwszym miejscu rankingu organizacji stanowiących najczęstszy cel phisherów ponownie znalazły się „Serwisy e-mail i wyszukiwarki” (32,1%), które odnotowały niewielki spadek, o 0,2 punktu procentowego, w stosunku do poprzedniego miesiąca. Na drugim miejscu znalazły się „Portale społecznościowe” (27,7%), które zwiększyły swój udział o 3,7 punktu procentowego w stosunku do maja. „Organizacje finansowe i płatnicze” (11,6%) oraz „Sklepy internetowe” (10,6%) odnotowały spadek o odpowiednio 1,2 i 1.5 punktu procentowego. Z kolei odsetek ataków na dostawców usług telefonicznych i internetowych zmniejszył się o 0,1 punktu procentowego, dzięki czemu kategoria ta pozostała na piątym miejscu w rankingu.        

June-2014_Spam-report_Engnet_17.png
Rozkład 100 organizacji najczęściej atakowanych przez phisherów, według kategorii   

Ranking ten opiera się na wykryciach komponentu ochrony antyphishoingowej aktywowanego za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishiongowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości e-mail czy na stronie internetowej.

W czerwcu oszuści wysyłali fałszywe powiadomienia w imieniu amerykańskiej korporacji Electronic Arts, która zajmuje się produkcją i sprzedażą gier wideo. Phisherzy próbowali uzyskać dostęp do osobistych kont użytkowników w sklepie internetowym Origin, którego właścicielem jest wspomniana firma. Aby oszukać ofiary, osoby atakujące zastosowały starą sztuczkę polegającą na wysyłaniu wiadomości e-mail informujących o tym, że sklep internetowy zamierza udoskonalić ochronę kont swoich klientów i w związku z tym prosi odbiorców o potwierdzenie posiadania w nim kont. Aby e-mail wyglądał na legalny, oszuści wykorzystali logo Origin, odsyłacze do oficjalnej strony firmy oraz typowe ostrzeżenie, aby nie ujawniać osobom trzecim hasła do konta osobistego.

June-2014_Spam-report_Engnet_18_auto.jpg 

Podsumowanie

W czerwcu odsetek spamu w globalnym ruchu e-mail zmniejszył się o 5 punktów procentowych I wynosił średnio 64,8%. Można tu mówić o spadku sezonowym, ponieważ latem zmniejsza się aktywność biznesowa i wiele botów spamowych zostaje wyłączonych na okres wakacji. 

W badanym miesiącu oszuści wykorzystywali głośne wydarzenia sportowe i polityczne, aby oszukać użytkowników. Przed mistrzostwami świata w piłce nożnej, które stanowią ogromne święto dla kibiców tego sportu, phisherzy próbowali wyłudzić informacje bankowe od użytkowników, zapraszając ich do udziału w konkursie, w którym mogli wygrać bilety. Tzw. oszuści nigeryjscy po raz kolejny wykorzystywali sytuację na Ukrainę, prosząc o pomoc w przelaniu nieistniejących milionów.  

W czerwcu na pierwszym miejscu rankingu organizacji najczęściej atakowanych przez phisherów po raz kolejny znalazły się „Serwisy e-mail oraz wyszukiwarki” (32,1%). Na drugiej pozycji uplasowały się „Portale społecznościowe” (27,7%), których udział wzrósł o 3,7 punktu procentowego w stosunku do maja. Wzrost ten można przypisać tradycyjnie większą aktywnością młodzieży szkolnej i studentów w czasie wakacji, co naturalnie wykorzystują oszuści. Na trzecim miejscy znalazły się “Organizacje finansowe i płatnicze” (11,6%).  

Tradycyjnie już na szczycie listy szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem poczty e-mail znalazł się Trojan-Spy.HTML.Fraud.gen, który podszywa się pod powiadomienia z banków i sklepów internetowych. Sezon wakacyjny przyniósł wzrost liczby fałszywych powiadomień z różnych serwisów rezerwacyjnych zawierających szkodliwe załączniki. Państwem o największym odsetku wykryć szkodliwego oprogramowania w poczcie e-mail były Niemcy (16,4%).