Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w marcu 2012 r.

Tagi:

Maria Namiestnikowa
Ekspert z Kaspersky Lab

Marzec w liczbach

  • W porównaniu z lutym udział spamu w ruchu e-mail zmniejszył się o 3,5 proc. i wynosił średnio 75%
  • Udział wiadomości phishingowych spadł o połowę w stosunku do lutego i stanowił 0,01% całego ruchu pocztowego
  • Szkodliwe pliki zostały wykryte w 2,8% wszystkich wiadomości e-mail, podobnie jak w poprzednim miesiącu

Spam na świeczniku

Rozbicie botnetu Hlux/Kelihos znalazło natychmiastowe odbicie w odsetku wiadomości spamowych

W marcu udział spamu w ruchu pocztowym zmniejszył się o 3,5 proc. Jest to dość imponujący wynik, zważywszy na to, że mówimy tu o wartościach względnych. W wartościach absolutnych oznacza to, że ilość spamu zmniejszyła się o 20% w porównaniu z poprzednim miesiącem.

Uważamy, że wynik ten spowodowany był rozbiciem nowej wersji botnetu Hlux/Kelihos. W tygodniu, w którym ruszyła kampania antybotnetowa (19-25 marca), odnotowano najniższy współczynnik dystrybucji spamu w całym miesiącu – 73,4%. Gdy w ostatnim tygodniu miesiąca kampania zakończyła się sukcesem, udział spamu zwiększył się do 74,1% - prawdopodobnie spowodowane to było podjętą przez spamerów operacją przemieszczania swoich zasobów.

Nowe sztuczki cyberprzestępców

W ostatnich latach spamerzy rozsyłający szkodliwe załączniki lub odsyłacze do szkodliwego kodu regularnie zmieniają stosowane taktyki. Spamerzy mają nadzieję, że uda im się nakłonić użytkowników, aby otworzyli załączniki lub kliknęli odsyłacze, w przeciwnym razie nie zarobią pieniędzy. To z tego powodu zainfekowany spam zawsze podszywa się pod nieszkodliwe wiadomości e-mail. Działa tu następujące prawo: im częściej stosowana jest ta sama maska, tym większa szansa, że użytkownicy dostrzegą oszustwo i pozbawią oszustów możliwości zysku.

Po wymyśleniu nowej sztuczki spamerzy często przeprowadzają szybkie, trwające kilka dni, masowe wysyłki, próbując „złapać” możliwie jak najwięcej ofiar, zanim użytkownicy się zorientują. Zazwyczaj spamerzy żerują na ludzkiej ciekawości, rozsyłając wiadomości e-mail, które wydają się pochodzić z legalnych stron.

Na przykład, w masowej wysyłce, która miała miejsce w dniach 20-23 marca, wiadomość imitowała potwierdzenie z systemu rezerwacji biletów lotniczych online.

Wykorzystywanie biletów lotniczych w szkodliwych e-mailach nie jest żadną nowością. Wcześniej spamerzy załączali skompresowany ZIP-em szkodliwy program do e-maili, w których powiadamiali odbiorcę, że płatność została dokonana. Jednak tym razem e-maile nie zawierały żadnych załączników. Zamiast tego, użytkownik był namawiany do odbycia procesu odprawy online poprzez kliknięcie odsyłacza w wiadomości e-mail.

W rzeczywistości kliknięcie odsyłacza powodowało zainstalowanie szkodliwego programu na komputerze użytkownika, który z kolei pobierał naszego starego znajomego - trojana ZeuS/Zbot. Informacje techniczne można przeczytać tutaj.

Atak zakończył się około godz. 21 czasu moskiewskiego 23 marca. Warto dodać, że wszystkie e-maile w tej oszukańczej wysyłce z 20-23 marca zachęcały użytkowników do zgłoszenia się do odprawy na samolot wylatujący 20 marca. Fakt ten po raz kolejny pokazuje, że jeżeli chodzi o bezpieczeństwo komputerowe, czujność użytkownika stanowi pierwszą linię obrony.

Spam dnia

Najpopularniejsze tematy wykorzystywane w spamie w marcu nawiązywały do Dnia Św. Patryka, Wielkanocy oraz premiery iPada 3.

Wśród oszustw wykorzystujących Dzień Św. Patryka zauważyliśmy, że w celu zwrócenia uwagi użytkowników programy partnerskie wykorzystują wszelkiego rodzaju święta, festiwale i podobne wydarzenia. W tym przypadku były to strony spamowe Leprechaun-festooned oferujące podrabiane zegarki.

Tradycyjnie, spamerzy aktywnie wykorzystywali Wielkanoc. Podobne pograbiane towary luksusowe były reklamowane w wiadomościach imitujących kartki wielkanocne.

W przeciwieństwie do masowych wysyłek wykorzystujących Dzień Św. Patryka, wielkanocne e-maile nie tylko przekierowywały użytkowników na stronę „w odświętnej szacie”, ale również zawierały symbole wielkanocne.

Oprócz reklam prezentów wielkanocnych i podrabianych produktów luksusowych angielskojęzyczny spam wielkanocny zawierał również oszustwa nigeryjskie gratulujące odbiorcom wygranej na loterii wielkanocnej i oferujące różne prezenty wielkanocne.

Rosyjskojęzyczny spam wielkanocny także oferował prezenty świąteczne dla najbliższych, jak również wielkanocne wyjazdy i wycieczki. W przeciwieństwie do wiadomości anglojęzycznych e-maile rozprzestrzeniane za pośrednictwem rosyjskiego segmentu internetu (RuNet) nie należały do tzw. spamu „partnerskiego” – wysyłki te były zamawiane u spamerów przez małe i średnie firmy jako narzędzie reklamy.

Uwadze spamerów nie mogła ujść premiera nowego gadżetu firmy Apple - iPad 3. Jednak podobnie jak w przypadku wielkanocnych masowych wysyłek, istnieją wyraźne różnice między angielskojęzycznymi a rosyjskojęzycznymi wiadomościami.

Na przykład, angielskojęzyczny spam atakujący głównie odbiorców amerykańskich wykorzystuje jako przynętę najnowsze produkty firmy Apple. Obietnica darmowego iPada lub iPhone’a to stara, dobrze znana sztuczka, która najwyraźniej nadal działa, ponieważ oszuści wciąż uciekają się do niej, aby zwabić użytkowników do udziału w programach zwanych piramidami lub nakłonić ich do kliknięcia szkodliwych lub phishingowych odsyłaczy. Miesiąc temu odbiorcom tych wysyłek oferowano głównie iPada 2 lub iPhone’a 4S, teraz przyszła kolej na iPada 3.

Podsumowanie statystyczne

Źródła spamu


20 największych źródeł spamu w marcu 2012 r.

Ranking 20 największych źródeł spamu pozostał w dużej mierze niezmieniony w stosunku do poprzedniego miesiąca: na pierwszych 6 pozycjach znalazły się te same państwa, przy czym Wietnam i Korea Południowa zamieniły się miejscami, zajmując odpowiednio czwarte i piąte miejsce. Udział spamu rozprzestrzenianego z Korei Południowej zmniejszył się o 2,3 proc. Udział innych państw z rankingu nie zmienił się znacząco, wahając się w granicach 1,5%. Na prowadzeniu utrzymały się Indie z 12,3% udziałem (+0,4 proc.) we wszystkich rozprzestrzenianych wiadomościach spamowych.

Spam z Polski

W porównaniu z lutym Polska odnotowała znaczny spadek - z 9 na 18 miejsce, co oczywiście jest informacją pozytywną. W marcu z Polski pochodziło 1,6 % globalnego spamu (dla porównania - w lutym było to 2,5 proc.). Tak duży spadek może mieć związek z zamknięciem botnetu Hlux/Kelihos. Dla przypomnienia - aż 29 000 zainfekowanych komputerów wchodzących w skład tego botnetu działało w Polsce. Więcej informacji na ten temat można znaleźć tutaj: http://www.kaspersky.pl/about.html?s=news_press&cat=1&newsid=1704.

Szkodliwe oprogramowanie w ruchu pocztowym

W marcu udział szkodliwych plików zidentyfikowanych we wszystkich wiadomościach e-mail pozostał niezmieniony w stosunku do lutego i wynosił 2,8%.

Rozkład wykrytych zainfekowanych wiadomości e-mail według państw


Rozkład wykrytych zainfekowanych wiadomości e-mail według państw: marzec 2012 r.

Trzeci miesiąc z rzędu na pierwszym miejscu znalazły się Stany Zjednoczone: udział zainfekowanych e-maili wykrytych w tym państwie przez moduł ochrony poczty rozwiązania firmy Kaspersky Lab zwiększył się o 1,7 punktu procentowego w porównaniu z lutym i wynosił 14,7% ogółu.

Na trzecim miejscu, podobnie jak w lutym, znalazł się Hong Kong. Nieoczekiwanie na drugiej pozycji uplasowała się Australia, w której wykryto 12,4 proc. wszystkich przypadków zainfekowanych wiadomości e-mail, dwa razy więcej niż w lutym (+6,9 proc.). Podobnie jak w lutym, na trzecim miejscu znalazł się Hong Kong.

Udział Niemiec zmniejszył się o 2,5 punktu procentowego w stosunku do zeszłego miesiąca.

Udział innych państw wahał się w przedziale 2 punktów procentowych.

Ranking 10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem poczty e-mail w marcu 2012 r.


10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem wiadomości e-mail w marcu 2012 r.

Lider rankingu, Trojan-Spy.HTML.Fraud.gen, odpowiadał za 12% wszystkich wykrytych szkodliwych programów, co stanowi spadek o 2 punkty procentowe w porównaniu z poprzednim miesiącem. Trojan ten wykorzystuje technologię spoofingu i występuje w postaci strony HTML. Jest rozsyłany w wiadomościach phishingowych zawierających odsyłacz do fałszywej strony przypominającej stronę dobrze znanego banku lub systemu płatności elektronicznych, na której użytkownik jest proszony o wprowadzenie swojego loginu oraz hasła.

Swoich pozycji w stosunku do zeszłego miesiąca nie zmieniły również robaki Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.q oraz Email-Worm.Win32.NetSky.c, które uplasowały się odpowiednio na trzeciej, czwartej, szóstej i siódmej pozycji. Szkodniki te posiadają tylko dwie funkcje – przechwytywanie adresów e-mail oraz wysyłanie na nie swoich kopii. Bagle.gt, kolejny robak pocztowy w rankingu Top10, również pobiera szkodliwe programy z internetu. Tego rodzaju szkodliwe oprogramowanie nie jest wykorzystywane do przeprowadzania ukierunkowanych ataków – jego funkcjonalność nie może być kontrolowana.

Dwa spośród szkodliwych programów w marcowym rankingu to fałszywe programy antywirusowe. Od jakiegoś czasu w naszym zestawieniu Top 10 nie znalazł się ani jeden taki program. W skrócie można powiedzieć, że ich główną funkcją jest wyłudzanie pieniędzy od użytkowników zainfekowanych komputerów.

Phishing

W porównaniu z lutym liczba wiadomości phishingowych zmniejszyła się o połowę i stanowiła 0,01% całego ruchu pocztowego.


100 organizacji, według sfery aktywności, najczęściej atakowanych przez phisherów w marcu 2012 r.
(w oparciu o wyniki wykrywania przy użyciu modułu antyphishingowego*)

*Ranking ten opiera się na wynikach wykrywania przez moduł antyphishingowy aktywowany za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego czy odsyłacz znajduje się wiadomości spamowej czy na stronie internetowej.

Organizacje finansowe nadal stanowią najatrakcyjniejszy cel ataków phishingowych: prawie jedna czwarta ataków wykrytych przez nasz moduł antyphishingowy pochodziła ze stron stworzonych w celu kradzieży środków z kont bankowych i systemów płatności elektronicznych. Kategoria ta wydaje się dość stabilna – od stycznia jej udział pozostał praktycznie niezmieniony. Ogólnie rzecz biorąc, zainteresowania phisherów nie różnią się znacznie: najbardziej widoczną zmianą w stosunku do lutego był wzrost o 1 punkt procentowy udziału ataków phishingowych, których celem są sklepy internetowe.

Udziały innych kategorii zmieniły się nieznacznie – w granicach 1 punktu procentowego.

Spam według kategorii


Spam według kategorii w marcu 2012 r.

Mimo że kategorie „Oszustwa komputerowe” i „Osobiste finanse” utrzymują czołowe pozycje w rankingu już czwarty miesiąc z rzędu, ich udział na rynku zmniejszył się w marcu odpowiednio o 9,5 i 4,4 proc. Ilość spamu reklamującego usługi kasyn wzrosła o 4 punkty procentowe. Celem tego rodzaju niechcianych wiadomości, wraz ze spamem z kategorii „Osobiste finanse”, jest nakłonienie użytkowników, aby wpłacili pewną kwotę w nadziei na hojną nagrodę.

W marcu zwiększyła się liczba masowych wysyłek oferujących usługi edukacyjne (+3%) związane ze zbliżającymi się letnimi wakacjami.

Udział innych kategorii zmienił się nieznacznie – wahając się w przedziale 1,5 proc.

Podsumowanie

W marcu udział spamu w ruchu e-mail zmniejszył się o 3,5 punktu procentowego. Uważamy, że powodem tego spadku była zakończona sukcesem operacja rozbicia botnetu Hlux/Kelihos, która została przeprowadzona z pomocą ekspertów Kaspersky Lab.

W marcu spamerzy wzbogacili swój szkodliwy arsenał o kilka nowych sztuczek. Spam nadal jest niebezpieczny, nawet mimo nieznacznego spadku udziału szkodliwych załączników w ruchu pocztowym.

Najpopularniejszymi tematami wykorzystywanymi w marcowym spamie był Dzień Św. Patryka, Wielkanoc oraz iPad 3. Pierwsze dwa wykorzystywane były do reklamowania różnych towarów, podczas gdy nowe urządzenie Apple’a stało się najnowszą przynętą wykorzystywaną w różnych oszukańczych masowych wysyłkach.

Źródło:
Kaspersky Lab