Ewolucja spamu: styczeń - czerwiec, 2007

Ewolucja spamu: styczeń - czerwiec, 2007

Anna Vlasova
Szef analityków spamu, Kaspersky Lab


Taktyki techniczne

W pierwszej połowie 2007 r. spamerzy po raz kolejny próbowali zmodernizować technologię wykorzystywaną w celu tworzenia graficznych załączników w wiadomościach spamowych ("spam obrazkowy"). W lutym na przykład ponowili próby wykorzystywania animowanej grafiki, z której zrezygnowali pod koniec listopada 2006 r. Ten nowy typ animacji różni się od poprzedniego tym, że obraz źródłowy rozbity jest na fragmenty, z których każdy znajduje się pod innym kątem. W rezultacie użytkownik widzi następujący tekst:

Poniżej znajdują się dwa oddzielne animowane fragmenty z tej samej wysyłki spamu:


Spamerzy wypróbowywali również inne podejścia, takie jak wykorzystywanie różnych rzadkich czcionek:

Jednak metody te nie były szczególnie skuteczne i udział spamu z graficznymi załącznikami (.gif, .jpeg itd.) zaczął spadać. W styczniu udział spamu graficznego wynosił 33 proc. wszystkich wiadomości spamowych, jednak w marcu spadł do 25,7 proc. Spadek miał miejsce również w kolejnych miesiącach - w czerwcu ten rodzaj spamu stanowił zaledwie 18,8 proc.

Głównym powodem spadku ilości spamu graficznego jest jego coraz mniejsza skuteczność. Wiele producentów oferuje teraz filtry spamu, które dość dobrze wykrywają graficzne załączniki i blokują spam graficzny. Mimo to spamerzy nie zamierzają całkowicie zrezygnować z tego rodzaju spamu. Dlatego też poszukują nowych sposobów - oprócz formatów .gif oraz .jpeg - dostarczania graficznych plików użytkownikom końcowym. W pierwszej połowie 2007 r. pojawiło się kilka nowych metod dostarczania i pokazywania użytkownikom końcowym grafiki spamowej:

  1. Umieszczanie plików graficznych na darmowych stronach hostingowych (takich jak imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com itd.). Tekst takich wiadomości spamowych zawiera odsyłacz do adresu, pod którym znajduje się obraz. Po otwarciu przez użytkownika emaila najpopularniejsze klienty pocztowe automatycznie pobiorą obraz z tego adresu.
  2. Wykorzystywanie grafiki jako obrazu w tle. Pliki graficzne nie są zawarte w mailu, ale publikowane na oddzielnej stronie internetowej. Tekst wiadomości zawiera jedynie adres URL wewnątrz znacznika "body" z atrybutem "background". W rezultacie obraz może zostać pobrany automatycznie przez niektóre klienty pocztowe, jak również przez interfejs sieciowy niektórych serwisów pocztowych.
  3. Spam w załącznikach PDF. Ten rodzaj załącznika nie otwiera się automatycznie. Aby zobaczyć zawartość spamu, użytkownik musi otworzyć załącznik ręcznie.
  4. Spam w załącznikach FDF (inny format wykorzystywany w dokumentach Adobe). Metoda ta jest podobna do wykorzystywania załączników PDF, zwłaszcza że użytkownicy mogą otworzyć i przejrzeć załącznik wyłącznie przy użyciu programu Adobe Acrobat Reader.

W pierwszych dwóch przypadkach spamerzy starają się, aby obraz spamowy nie był widoczny w treści wiadomości. Zastosowanie takich podejść powoduje, że filtry spamowe nie mają czego filtrować.

W trzecim przypadku obraz jest załączony, jednak wiele systemów filtrowania ignoruje zastosowany format załącznika. W rezultacie pełna analiza zawartości spamu nie jest przeprowadzana.

Metody te są dość skuteczne, gdy są stosowane po raz pierwszy. Jednak po kilku miesiącach (czasami zaledwie tygodniach) filtry spamowe zostaną przekonfigurowane, tak aby mogły zwalczać nowe taktyki spamerów. Jednak nawet nowe triki spamerów nie stanowią zazwyczaj problemu dla bardziej zaawansowanych filtrów. Przykładowo Kaspersky Anti-Spam potrafi wykrywać spam w załącznikach PDF i FDF oraz zwalczać nowe rodzaje spamu bez konieczności zmieniania oprogramowania.

Poniżej przedstawiamy przykład spamu w formacie PDF:

Oto spamowa wiadomość email (wiadomość jest pusta i nie zawiera żadnego tekstu) …

…, która zawiera następujący załącznik:

Spam według kategorii

W pierwszej połowie 2007 r. spam utrzymywał się na zwykłym poziomie 70 - 80 proc. całego ruchu pocztowego. Przyczyną tej dużej stabilności jest zmieniający się charakter spamu. Następuje coraz większa kryminalizacja spamu, który coraz bardziej odchodzi od tradycyjnej reklamy. "Przestępczy" spam nie podlega prawom rządzącym rynkiem reklamy i nie jest podatny na zmiany związane z okresową podażą i popytem.

Najmniejszą ilość spamu (62,9 proc.) w pierwszej połowie 2007 r. firma Kaspersky Lab odnotowała 27 kwietnia, największą 11 lutego oraz 28 maja (86 proc.).

W pierwszej połowie 2007 największy udział miały następujące kategorie spamu:

  1. Leki: produkty i usługi związane ze zdrowiem (17,3 proc. spamu).
  2. Edukacja (13,8 proc.)
  3. Komputery i Internet (9,2 proc.)
  4. Oszustwa komputerowe (8,9 proc.)
  5. Usługi reklamy elektronicznej (8,3 proc.)

Na pierwszym miejscu pozostaje kategoria Leki: produkty i usługi związane ze zdrowiem. Kategoria ta obejmuje w większości angielskojęzyczne reklamy niedrogich specyfików medycznych (Viagra, Cialis itd.). Oprócz typowych ofert Viagry i antydepresantów w języku angielskim, obecnie do tego typu spamu można zaliczyć rosyjskojęzyczne oferty produktów i usług związanych ze zdrowiem, takich jak okulary masujące czy książki pomagające rzucić palenie.

Kategoria ta odnotowuje stały wzrost od początku roku. W ciągu pierwszej połowy 2007 r. ilość tego rodzaju spamu wzrosła prawie dwukrotnie, z 11,5 proc. w styczniu do 21,4 proc. w czerwcu:

Na drugim miejscu znalazła się kategoria Edukacja. Tego rodzaju spam stanowią w głównej mierze rosyjskojęzyczne oferty szkoleń i seminariów, jak również angielskojęzyczne wiadomości oferujące szereg różnych stopni akademickich. Kategoria ta stanowi 13,8 proc. całego spamu.

Na trzecim miejscu znalazła się kategoria Komputery i Internet. Obejmuje ona w większości angielskojęzyczne oferty nielicencjonowanego oprogramowania.

Na kolejnym miejscu znajdują się dwie kategorie: Oszustwa komputerowe (8,6 proc.) oraz Usługi reklamy elektronicznej (8,3 proc.). Jak zwykle kategoria Usługi reklamy elektronicznej stanowiła stosunkowo spory udział we wszystkich wiadomości spamowych, co świadczy o tym, że spamerzy nadal poszukują nowych klientów.

W pierwszej połowie 2007 roku kategoria Osobiste finanse odnotowywała stały spadek. W styczniu spam finansowy znalazł się na pierwszym miejscu, stanowiąc 13,3 proc. wszystkich wiadomości spamowych, w lutym jednak został wyprzedzony przez kategorię Leki.

W czerwcu odsetek spamu z kategorii osobiste finanse spadł do 3,7 proc. Najniższa ilość spamu z tej kategorii została odnotowana w ciągu pierwszych dziesięciu dni czerwca (1,1 proc.).

Spadek ten spowodowany był kilkoma czynnikami:

  • skończyło się zapotrzebowanie - nawet naiwni internauci stracili zainteresowanie tego typu spamem i przestali na niego odpowiadać;
  • filtry spamowe zostały przekonfigurowane, tak aby mogły rozpoznawać spam finansowy;
  • w pierwszym kwartale 2007 r. amerykańskie i kanadyjskie władze wyraziły zaniepokojenie odnośnie spamu finansowego i obiecały chronić inwestorów przed tym zagrożeniem; bez wątpienia wywrze to pewną presję na spamerów.

Czy phisherzy przeprowadzają rozpoznanie rosyjskiego Internetu?

W pierwszej połowie 2007 roku miało miejsce kilka ataków phishingowych na serwisy przeznaczone głównie dla użytkowników rosyjskiego Internetu.

W pierwszym kwartale tego roku przeprowadzono atak phishingowy na rosyjski bank. Jest to dość rzadki incydent, ponieważ cel phisherów stanowią zwykle zachodnie banki posiadające rozwinięte systemy bankowości online oraz sporą liczbę korzystających z nich klientów. Atak ten miał miejsce 20 lutego 2007 r., a jego celem był Alfa Bank. Phisherzy zastosowali klasyczną taktykę: wysłany spam wyglądał jakby pochodził od administratorów banku i zawierał odsyłacz do strony phishingowej, która rzekomo miała być oficjalną stroną internetową tej instytucji. Fałszywa strona posiadała ten sam styl co prawdziwa strona internetowa Alfa Bank, zawierała informacje dotyczące banku oraz inne charakterystyczne cechy. Na fałszywej stronie użytkownicy proszeni byli o wprowadzenie do formularza loginu i hasła do ich konta. Następnie dane te wysyłane były phisherom.

W maju wykryto serię ataków na elektroniczny system płatności Yandex.Dengi. Były to typowe ataki: w celu uzyskania dostępu do kont w systemie płatności spamerzy próbowali nakłonić użytkowników, aby wprowadzili swoje dane osobowe na stronie phishingowej.

W obu przypadkach użytkownicy, którzy nie zauważyli niczego podejrzanego, narazili swoje oszczędności na poważne niebezpieczeństwo, a nawet stracili część z nich.

Próby atakowania rosyjskich firm nadal występują dość rzadko. Prawdopodobnie mieliśmy tu do czynienia z pewnego rodzaju rekonesansem, tj. phisherzy próbowali sprawdzić, czy użytkownicy rosyjskiego Internetu byliby łatwymi ofiarami oraz jak popularne są internetowe systemy płatności. Ataków tych nie kontynuowano, prawdopodobnie dlatego że phisherzy nie byli zadowoleni ze swojego połowu. Nie można jednak powiedzieć, że ataki phishingowe na rosyjskie serwisy internetowe nie będą już nigdy przeprowadzane. Gdy upłynie trochę czasu, phisherzy prawdopodobnie znów zarzucą sieci.

Spodziewamy się, że w drugiej połowie 2007 r. spamerzy będą w większym stopniu eksperymentowali z technologiami graficznymi. Naturalnie testują również inne technologie. Być może będziemy świadkami powrotu do "starych dobrych czasów" oraz prób tchnięcia nowego życia w stare taktyki i technologie.

Nie ma powodu obawiać się poważnego zagrożenia ze strony spamu z załącznikami PDF czy FDF, ponieważ już teraz obserwujemy spadek liczby tego typu wiadomości, który prawdopodobnie będzie występował również w przyszłości.

Spamerzy znaleźli już sposoby wysyłania masowych wysyłek do określonych odbiorców. W szczególności odnosi się to do wszystkich rodzajów ataków phishingowych (takich jak atak na Alfa Bank, którego ofiarą padli użytkownicy rosyjskiego Internetu) oraz oszustw komputerowych. Niektóre wysyłki spamu mogą zmienić się w sprecyzowane ataki (tj. wysyłki, których celem jest określona grupa społeczna, geograficzna, wiekowa lub językowa). Jednak ten etap ewolucji spamu wymaga czasu.

W ciągu następnych sześciu miesięcy udział spamu w całym ruchu pocztowym nie zmieni się radykalnie. Wyszczególnione wyżej kategorie spamu prawdopodobnie utrzymają się w pierwszej piątce.

Podsumowanie

  1. Nowe taktyki stosowane w celu wysyłania spamu: spam wysyłany jako obraz w tle w wiadomościach e-mail oraz spam wykorzystujący pliki PDF oraz FDF jako załączniki.
  2. Najmniejsza ilość spamu w pierwszej połowie 2007 r. została odnotowana 27 kwietnia (62 proc.), największa natomiast 11 lutego i 28 maja (86 proc.).
  3. Większość spamu zawiera reklamy Viagry oraz innych medykamentów (17,3 proc. wszystkich wiadomości spamowych).
  4. Phisherzy wykazują zainteresowanie rosyjskim Internetem (ataki na Alfa Bank oraz Yandex.Dengi).
Viruslist
Czytaj także
Polecane galerie