Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam we wrześniu 2013 r.


Spam na świeczniku

Po wrześniowym okresie zmniejszonej aktywności odnotowaliśmy mnóstwo masowych wysyłek dotyczących ofert obniżenia rachunków za ogrzewanie. Tego rodzaju wiadomości często pojawiały się zarówno w rosyjsko jak i angielskojęzycznym spamie. Spora część wrześniowych masowych wysyłek oferowała usługi ubezpieczenia pojazdów oraz reklamy usług drukarskich, w szczególności kalendarze na 2014 rok. We wrześniu spam świąteczny pojawiał się głównie w języku angielskim i nawiązywał do Halloween.   

Spam halloweenowy

Co roku przed Halloween odnotowujemy sporą liczbę wysyłek spamowych związanych z tym popularnym świętem. Jak zawsze, angielskojęzyczny spam reklamuje kostiumy karnawałowe, a dobrze znane masowe wysyłki oferujące podrabiane markowe torebki wabią odbiorców dyniami halloweenowymi i obietnicami nieprzeciętnych rabatów. Małe i średnie firmy z entuzjazmem przyłączyły się do kampanii świątecznej, reklamując swoje towary za pośrednictwem wiadomości spamowych, których tematy nawiązywały do Halloween. Naturalnie, w celu przyciągnięcia uwagi użytkowników w polu tematu wiadomości została umieszczona nazwa święta.     

spamreport_sep2013_pic01_auto.png

 

We wrześniu odnotowaliśmy francuskojęzyczną masową wysyłkę wykorzystującą Halloween. Spamerzy rozsyłali wiadomości reklamujące świąteczne kostiumy i różne akcesoria związane z Halloween.

spamreport_sep2013_pic02_auto.png

 

Spamerzy a oszczędzanie

Jesień przynosi pierwsze mrozy, przez co wzrastają koszty ogrzewania i prądu. Te sezonowe podwyżki wykorzystywali aktywnie spamerzy. Wiele wrześniowych wysyłek oferowało różne sposoby ogrzania domu i obniżenia rachunków za media.    

Zgodnie z tym trendem angielskojęzyczne masowe wysyłki reklamowały głównie instalację specjalnych paneli słonecznych. Wiadomości te przychodziły w różnych formatach: niektóre zawierały krótki tekst, inne kolorowy baner.

spamreport_sep2013_pic03_auto.jpg

 

Wszystkie wiadomości zawierały długi odsyłacz prowadzący do nowo zarejestrowanej domeny, która różniła się w zależności od e-maila. Po serii przekierowań odsyłacze te prowadziły użytkownika na stronę opisującą program amerykańskiego rządu dotyczący dotacji na instalowanie paneli słonecznych lub na czystą stronę zawierającą odsyłacze do firm, które mogą zainstalować panele lub sprzedać powiązany z nimi sprzęt. 

spamreport_sep2013_pic04_auto.jpg 

We wrześniu pojawiło się również kilka masowych wysyłek dotyczących instalacji ocieplonych okien, które miały zatrzymać ciepło i obniżyć koszty energii. Wiadomości te zawierały długie odsyłacze, które – po serii przekierowań – prowadziły użytkownika na stronę internetową sklepu, na której mógł przeczytać więcej szczegółów i złożyć zamówienie.

spamreport_sep2013_pic06_auto.jpg 

 

Pojawiły się również masowe wysyłki od producentów lamp LED, którzy żerowali na temacie obniżenia kosztów. Takie wiadomości zwykle były wysyłane w imieniu menedżera firmy i zawierały jego dane kontaktowe. Produkty tej firmy zostały szczegółowo opisane w tekście wiadomości, w której zawarto również odsyłacz do strony internetowej. E-maile te przypominały korespondencję biznesową, jednak były adresowane do ogólnego odbiorcy a nie konkretnej osoby. Adres nadawcy miał postać losowego zestawu znaków, który naturalnie różnił się od kontaktowych adresów e-mail wskazanych w wiadomości.

spamreport_sep2013_pic06_auto.jpg

 

Usługi ubezpieczenia pojazdu

W celu skłonienia użytkowników do podania swoich informacji osobistych angielskojęzyczni spamerzy wykorzystywali oferty ubezpieczeń pojazdów. Nagłówki wiadomości obiecywały proste sposoby pozwalające znacznie obniżyć koszty ubezpieczenia pojazdów. Zawarte w wiadomościach odsyłacze prowadziły do nowo stworzonej strony, która przekierowywała ofiary do innego zasobu, zupełnie niezwiązanego z usługami ubezpieczenia. Strona ta zachęcała użytkowników do odpowiedzenia na trzy pytania i wygrania MacBooka Air, iPhone’a lub iPada. Po udzieleniu odpowiedzi na pytania i wskazaniu preferowanej nagrody użytkownicy musieli podać swoje informacje osobowe – nazwisko, adres, kod pocztowy, numer telefonu i adres e-mail. Innymi słowy, pod pretekstem cennej nagrody oszuści próbowali wyłudzić od swoich ofiar dane kontaktowe.    

spamreport_sep2013_pic07_auto.jpg    

 

Rozkład geograficzny źródeł spamu

We wrześniu 2013 r. odsetek spamu w ruchu pocztowym zmniejszył się o 1,4 punktu procentowego i wynosił średnio 66,2%. Trójka największych źródeł spamu na świecie pozostała niezmieniona: na pierwszym miejscu utrzymały się Chiny, które odpowiadały za 22% ogółu dystrybuowanego spamu - co stanowi wzrost o 1 punkt procentowy w stosunku do wcześniejszego miesiąca; na drugim miejscu znalazły się Stany Zjednoczone, z których pochodziło 18% światowego spamu - o 1 punkt procentowy mniej w porównaniu z sierpniem; na trzeciej pozycji uplasowała się Korea Południowa, rozprzestrzeniając 14% wszystkich niechcianych wiadomości (+1,4 punktu procentowego). Łącznie, te trzy państwa odpowiadały za 54% globalnego spamu.

spamreport_sep2013_pic08_auto.png

 

 
Źródła spamu na świecie według państwa

Podobnie jak w sierpniu, na czwartym miejscu znalazł się Tajwan, którego wkład do światowego ruchu spamowego wynosił 6% - co stanowi wzrost o 0,8 punktu procentowego. Udział Indii zwiększył się o 2 punkty procentowe i wynosił 5%, dzięki czemu państwo to awansowało z 8 miejsca na 5.   

Tak jak przewidywaliśmy, do rankingu 10 najbardziej aktywnych dystrybutorów niechcianych wiadomości zaklasyfikowała się Japonia: jej udział w globalnym spamie wynosił 2,4% i zapewnił jej awans na 9 miejsce. Zestawienie Top 10 zamknęła Kanada, której udział w spamie wynosił 2% i pozwolił jej wspiąć się o dwa miejsca. 

Zmniejszył się udział Białorusi i Niemiec: Białoruś (0,8%) odnotowała spadek o sześć miejsc, a Niemcy (0,7%) wypadły z pierwszej dziesiątki.  

Pozostałe państwa z pierwszej 10 utrzymały swoje pozycje w rankingu, wykazując bardzo nieznaczne wahania w odsetku rozprzestrzenionego spamu.  

spamreport_sep2013_pic09_auto.png

 
Źródła spamu w Europie według państwa

We wrześniu Korea Południowa pozostała czołowym źródłem spamu wysyłanego do użytkowników europejskich (54%), mimo że jej udział zmniejszył się o 6 punktów procentowych. Tuż za nią uplasował się Tajwan (5,6%) oraz Indie (4,8%). Udział Indii zwiększył się o 2,7 punktu procentowego, dzięki czemu państwo to awansowało z szóstego miejsca na trzecie.     

We wrześniu na trzeciej pozycji znalazły się Stany Zjednoczone (3,6%). W miesiącu tym państwo to spadło na 6 miejsce, mimo że jego udział odnotował tylko nieznaczny spadek – jedynie 0,3 punktu procentowego.   

Rosja (4,3%) i Wietnam (4,1%) utrzymały się odpowiednio na 4 i 5 miejscu. Jednak całkowity odsetek niechcianych wiadomości pochodzących z tych dwóch państw zwiększył się o 1,5 punktu procentowego.

We wrześniu w rankingu Top 10 znalazła się Malezja (1,2%). Dwa inne państwa azjatyckie, Japonia i Hong Kong, również odnotowały większy udział w spamie w porównaniu z poprzednim miesiącem – ich odsetek zwiększył się odpowiednio o 0,6 i 0,9 punktu procentowego i stanowił 1,2% i 1% spamu wysyłanego do użytkowników europejskich.   

Tymczasem, wrześniowy ruch spamowy pochodzący z Niemiec zmniejszył się o 0,8 punktu procentowego, przez co państwo to spadło na 17 miejsce w rankingu.

spamreport_sep2013_pic10_auto.png

 
Źródła spamu według regionu

We wrześniu Azja (59%) pozostała czołowym w regionie źródłem spamu, po tym jak jej wkład zwiększył się o 4 punkty procentowe w stosunku do poprzedniego miesiąca. Ameryka Północna (20%) i Europa Wschodnia (12%) także utrzymały zajmowane wcześniej 2 i 3 miejsca, mimo że ich wkład do ruchu spamowego zmienił się w porównaniu z sierpniem: udział Ameryki Północnej zwiększył się o 2 punkty procentowe, podczas gdy Europy Wschodniej – spadł o 2 punkty procentowe. Europa Zachodnia (4%) i Ameryka Łacińska (2,4%) znalazły się odpowiednio na 4 i 5 miejscu.     

Szkodliwe załączniki w poczcie e-mail

We wrześniu zestawienie Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej odnotowało poważne zmiany i zawierało pięć nowości.

spamreport_sep2013_pic11_auto.png

 
Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej w III kwartale 2013 r.

Trojan-Spy.html.Fraud.gen pozostał najszerzej rozprzestrzenionym szkodliwym programem, utrzymując się na tej pozycji przez kilka miesięcy z rzędu. Podsumowując, Fraud.gen należy do rodziny trojanów, które wykorzystują technologię spoofingu: trojany te imitują strony HTML i są rozprzestrzeniane za pośrednictwem poczty e-mail w formie powiadomień od największych banków komercyjnych, sklepów internetowych, firm z branży oprogramowania itd.     

Cztery na pięć nowości we wrześniowym rankingu – na 2, 3, 6 i 9 miejscu – to szkodliwe programy z rodziny Bublik. Ich główną funkcją jest nieautoryzowane pobieranie i instalowanie nowych wersji szkodliwego oprogramowania na komputerach ofiar. Po wykonaniu tego zadania program nie pozostaje aktywny: kopiuje się do pliku %temp% podszywającego się pod aplikację lub dokument Adobe. 

Na czwartym miejscu znalazł się Email-Worm.Win32.Bagle.gt. Ten robak pocztowy jest plikiem wykonywalnym rozprzestrzenianym jako załącznik do wiadomości e-mail. Jak większość robaków pocztowych rozprzestrzenia się na adresy w książce adresowej ofiary. Potrafi również pobierać na komputer inne szkodliwe programy bez wiedzy użytkownika. W celu rozprzestrzeniania szkodliwych wiadomości Email-Worm.Win32.Bagle.gt wykorzystuje własną bibliotekę SMTP.   

Kolejna nowość we wrześniowym rankingu, Trojan-PSW.Win32.Fareit.xvf, uplasowała się na 5 miejscu. Szkodnik ten został stworzony w celu kradzieży loginów i haseł z zainfekowanych komputerów. Pobiera własne aktualizacje bez zagnieżdżenia się w systemie i podszywa się pod aplikację lub dokument Adobe.

Na 7 miejscu znalazł się Trojan.Win32.Llac.dleq. Głównym zadaniem tego programu jest szpiegowanie użytkownika: program ten gromadzi informacje dotyczące zainstalowanego na komputerze oprogramowania (głównie o programach antywirusowych i zaporach sieciowych) oraz samego komputera PC (procesora, systemu operacyjnego, dysków). Przechwytuje obrazy kamery internetowej oraz uderzenia klawiszy (keylogger) jak również zbiera poufne dane z różnych aplikacji.

Na 8 miejscu znalazł się we wrześniu Email-Worm.Win32.Mydoom.l. Ten robak sieciowy z funkcjonalnością backdoora rozprzestrzenia się jako załącznik do poczty e-mail za pośrednictwem serwisów współdzielenia plików i zapisywalnych zasobów sieciowych. Przechwytuje adresy e-mail z zainfekowanych komputerów, aby wykorzystać je w dalszych masowych wysyłkach. Ponadto, robak łączy się bezpośrednio z serwerem SMTP odbiorcy.     

Wrześniową listę Top 10 najbardziej rozpowszechnionych szkodliwych programów zamknął inny robak - Email-Worm.Win32.Mydoom.m. Szkodnik ten skanuje książki adresowe MS Windows oraz pamięć podręczną przeglądarki Internet Explorer w celu znalezienia adresów nowych ofiar. Oprócz samodzielnego rozprzestrzeniania się robak ten wysyła do wyszukiwarki ukryte żądania wyszukiwania, zwiększając tym samym ruch oraz ratingi stron pobieranych z serwerów przestępców.

spamreport_sep2013_pic12_auto.png

Rozkład wykryć szkodliwego oprogramowania w poczcie e-mail według państwa

Ranking Top 3 państw będących najczęstszym celem szkodliwych e-maili nie uległy zmianie: na pierwszym miejscu ponownie znalazły się Niemcy (12,67%), a za nimi uplasowały się Stany Zjednoczone (11,33%) i Wielka Brytania, której udział zwiększył się w analizowanym miesiącu do 9,98%.   

Rosja utrzymała się na 9 pozycji, mimo że odsetek wykryć przez oprogramowanie antywirusowe w tym państwie zmniejszył się do 2,6%.

Warto również wspomnieć, że do wrześniowego rankingu Top 10 weszła Arabia Saudyjska (2,41%).  

Cechy szczególne szkodliwego spamu

Oszuści niezbyt często atakują dostawców usług internetowych i telekomunikacyjnych. Jednak we wrześniu 2013 r. odnotowaliśmy kilka szkodliwych masowych wysyłek, które wykorzystywały nazwy międzynarodowych firm działających w tej branży.

Brytyjska firma telekomunikacyjna BT Group została wykorzystana do rozprzestrzeniania szkodnika o nazwie Trojan-Downloader.Win32.Dofoil, który pobiera i wykonuje na komputerach szkodliwe oprogramowanie. Autor fałszywej wiadomości informował, że odbiorca podał niedawno nowy adres e-mail, na który będą w przyszłości dostarczane powiadomienia i aktualizacje. W celu uzyskania bardziej szczegółowych informacji odbiorca został poproszony o otwarcie załącznika, który w rzeczywistości krył trojana. Aby przekonać odbiorcę o legalności e-maila, osoby atakujące wykorzystały adres nadawcy, który na pierwszy rzut oka wydawał się legalny, oraz odsyłacz do oficjalnej strony internetowej firmy. Jednak brak adresu oraz załączony plik wykonywalny BT.Email Address Details.pdf.exe powinien był ostrzec użytkowników przed ryzykiem oszustwa.     

spamreport_sep2013_pic13_auto.png

 

Fałszywe powiadomienia z banków nie są rzadkim zjawiskiem. We wrześniu odnotowaliśmy szkodliwą masową wysyłkę, wysłaną rzekomo w imieniu banku Webster. Tym razem, wiadomość informowała, że firma monitoruje wszystkie transakcje klienta w celu zidentyfikowania podejrzanej aktywności w systemie płatności. Do e-maila dołączony był Trojan-Downloader.Win32.Angent podszywający się pod sprawozdanie z banku. Aby ich wiadomości bardziej przypominały legalne, oszuści wysłali je z fałszywego adresu, który był podobny do oficjalnego, a treść e-maila zawierała odsyłacz do oficjalnej strony firmy. 

spamreport_sep2013_pic14_auto.png

 

Phishing

We wrześniu najatrakcyjniejsze cele ataków phishingowych nie różniły się znacząco od zeszłego miesiąca. Na pierwszym miejscu nadal znajdowały się portale społecznościowe (28,1%).

spamreport_sep2013_pic15_auto.png

 
Rozkład Top 100 organizacji najczęściej atakowanych przez phisherów, według kategorii*

Ranking ten opiera się na statystykach dotyczących wykryć przez komponent antyphishingowy firmy Kaspersky Lab, aktywowany za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz znajduje się w wiadomości spamowej czy na stronie internetowej.   

Udział kategorii „Poczta e-mail i komunikatory internetowe” (18,1%) zwiększył się o 0,8 punktu procentowego, co oznacza, że kategoria ta zachowała 2 miejsce. Na trzeciej pozycji znalazły się „Wyszukiwarki” (16%), które odnotowały niewielki spadek o 0,1 punktu procentowego. 

Udział kategorii „Usługi finansowe i e-płatności” (14,9%) zwiększył się o 1 punkt procentowy i pozwolił jej zachować 4 miejsce sprzed miesiąca.

Kategoria „Dostawcy IT” utraciła 0,5 punktu procentowego i zamieniła się miejscami z kategorią „Dostawcy usług telefonicznych i internetowych”, której udział odnotował wzrost (+0,6 punktu procentowego): te dwie kategorie znalazły się odpowiednio na 5 i 6 miejscu.

We wrześniu uwaga phisherów po raz kolejny została skierowana na największe banki w Australii i Nowej Zelandii. W lipcu 2013 r. zarejestrowaliśmy masową wysyłkę zawierającą fałszywe powiadomienia wysyłane w imieniu Bank of Australia oraz New Zealand Banking Group. Tym razem phisherzy próbowali oszukać klientów Westpack, jednego z czołowych banków Australii.  

Osoby atakujące nie zadały sobie nawet trudu wymyślenia nowej sztuczki w celu oszukania swoich ofiar – zastosowali po prostu stary wypróbowany trik. Fałszywy e-mail informował odbiorcę, że system bezpieczeństwa serwisu bankowości online odnotował trzy nieautoryzowane próby uzyskania dostępu do konta i – zgodnie z regułami bezpieczeństwa – zablokował dostęp. W celu odblokowania konta użytkownik musiał otworzyć załączony plik. Archiwum Westpac_form- 413- 217 -9908.zip zawierało stronę HTML żądającą informacji osobistych użytkownika. Po wypełnieniu przez użytkownika wszystkich pól podane dane zostały przekazane oszustom.    

Na stronie phishingowej wykorzystano kolory i logo oficjalnej strony internetowej banku, nie była to jednak dokładna kopia. Gdy użytkownik kliknął odsyłacz na stronie phishingowej w celu wejścia na jedną z podstron strony, w oddzielnym oknie pojawiła się oficjalna strona banku. W celu oszukania użytkowników phisherzy dostarczyli również szczegółowe informacje dotyczące konta, takie jak adresy IP, które zostały prawdopodobnie wykorzystane podczas nieautoryzowanych prób podania hasła.

spamreport_sep2013_pic16_auto.png

 

Zakończenie

We wrześniu odsetek globalnego spamu w ruchu pocztowym odnotowywał dalszy spadek i osiągnął ostatecznie 66%.Jak zawsze, spamerzy skoncentrowali się na reklamowaniu sezonowych towarów i usług. Znacznie wzrosła np. liczba ofert związanych z oszczędzaniem energii i ocieplaniem budynków. Wrześniowe masowe wysyłki wykorzystywały temat popularnych świąt – tym razem Halloween i Nowego Roku. W następnym miesiącu udział bożonarodzeniowego spamu z pewnością wzrośnie.

Tak jak spodziewaliśmy się, zmniejszył się udział ataków na portale społecznościowe, wzrósł natomiast odsetek ataków na serwisy finansowe i e-płatności. Jednak zmiany te były niewielkie, a ranking organizacji najczęściej atakowanych przez phisherów nie odnotował znacznych odchyleń. Oba te trendy najprawdopodobniej utrzymają się również w październiku. Ponadto we wrześniu spamerzy raczej odchodzili od atakowania banków i serwisów dostawczych na rzecz różnych firm telekomunikacyjnych.