Ewolucja spamu: styczeń - czerwiec 2009

Ewolucja spamu: styczeń - czerwiec 2009

Elena Bondarenko
Daria Gudkowa

Podsumowanie półrocza

  • Kryzys gospodarczy nie wpłynął na ilość spamu: spam stanowił średnio 85,5% ruchu pocztowego.
  • Zainfekowane załączniki zostały wykryte w 0,3% wiadomości.
  • 0,6% wszystkich wiadomości zawierało odsyłacze do stron phishingowych.
  • Głównym źródłem spamu były kraje azjatyckie i Ameryki Łacińskiej, które zastąpiły dominujące wcześniej państwa Europy Zachodniej, Stany Zjednoczone i Rosję.
  • W czasie kryzysu zmniejszyła się ilość spamu reklamującego małe i średnie przedsiębiorstwa.
  • Spam reklamujący usługi spamerskie częściowo zastąpił wiadomości zawierające oferty konkretnych towarów i usług.

Spam w ruchu pocztowym


Spam w ruchu pocztowym, I półrocze 2009

W pierwszej połowie 2009 roku spam stanowił średnio 85,5% ruchu pocztowego. Najmniejsza ilość spamu (72,8%) została odnotowana 26 kwietnia, największa natomiast (93%) 22 lutego. 0,3% wiadomości spamowych zawierało zainfekowane załączniki.

Kryzys finansowy, który rozpoczął się jesienią zeszłego roku, nie wpłynął na ogólną ilość spamu w ruchu pocztowym: odsetek spamu w pierwszej połowie 2009 roku nie różni się znacznie w porównaniu z pierwszą połową 2008 roku.

Phishing

Spam phishingowy charakteryzował się ogólnym spadkiem.


Wiadomości phishingowe, I połowa 2009 r.

W pierwszej połowie 2009 roku wiadomości phishingowe stanowiły 0,6% ruchu pocztowego. Ich liczba spadała z miesiąca na miesiąc (z wyjątkiem maja). W pierwszym kwartale 2009 roku phishingowe e-maile stanowiły 0,78% ruchu pocztowego, a w drugim kwartale 2009 roku ich liczba spadła do 0,49%.

Systemy chroniące przed phishingiem oferują teraz użytkownikom lepszą ochronę przed tym rodzajem oszustwa. W rezultacie, cyberprzestępcy uważają teraz phishing za mniej dochodową i atrakcyjną taktykę.

Główne cele ataków phishingowych


Organizacje, które stanowiły cel ataków phishingowych, I połowa 2009 r.

Głównym celem phisherów nadal jest system PayPal, na drugim miejscu znajduje się natomiast eBay. Ponad 60% wiadomości phishingowych zostało rzekomo wysłanych z tych dwóch organizacji. PayPal, eBay oraz największe banki prowadziły aktywną kampanię uświadamiającą użytkowników o zagrożeniach związanych z phishingiem. W rezultacie, użytkownicy takich systemów stali się ostrożniejsi, a ataki phishingowe mniej skuteczne. Jednocześnie ataki phishingowe na mniej rozpowszechnione serwisy nie były szczególnie lukratywne. Czynniki te mogą przyczyniać się do stopniowego spadku ilości spamu phishingowego.

Źródła spamu w rosyjskim Internecie: przesunięcie ze Wschodu na Zachód

Państwa

W ciągu ostatnich sześciu miesięcy nastąpiły duże zmiany na liście dziesięciu państw stanowiących główne źródło spamu. Coraz mniej spamu pochodzi z Hiszpanii i Włoch, które wcześniej znajdowały się na trzecim i czwartym miejscu. Państwa te są obecnie poza pierwszą dziesiątką, podobnie jak Ukraina i Niemcy. Więcej spamu pochodzi teraz z Indii, Tajlandii, Rumunii i Polski – wszystkie z tych państw znalazły się w pierwszej dziesiątce.


Dziesięć głównych źródeł spamu (II połowa 2008 r.; I połowa 2009 r.)

Rosja i Stany Zjednoczone nadal stanowią główne źródła spamu, jednak w drugiej połowie 2009 roku mogą stracić swoją pozycję, ponieważ ilość spamu wysyłanego z tych państw spada. W drugim półroczu 2008 roku z Rosji pochodziło 22% spamu, ale w pierwszym półroczu 2009 roku wysłano stamtąd tylko 11%. Odsetek spamu pochodzącego ze Stanów Zjednoczonych również spadł z 16% do 10%.

Do czerwca tylko 8% spamu zostało wysłane z Rosji. Mimo sukcesów w walce ze spamem w Rosji, ostateczne zwycięstwo nie zostało jeszcze osiągnięte i istnieje prawdopodobieństwo, że spam wysyłany z Rosji będzie kształtował się na stabilnym poziomie 8-10%.

Biznes spamowy zaczął rozkwitać w Indiach. W 2008 roku z państwa tego pochodziło 2% spamu, natomiast w pierwszym kwartale 2009 roku odsetek ten zwiększył się do 4%. W czerwcu odnotowaliśmy rekordową ilość spamu (10%) w rosyjskim Internecie pochodzącą z Indii, natomiast w pierwszej połowie 2009 roku średnia ilość wiadomości spamowych z Indii wynosiła 7%. Spamerzy skoncentrowali się na Indiach z kilku powodów: z jednej strony, jako kraj rozwijający się Indie zaczynają wykorzystywać najnowsze technologie internetowe, łącznie z rozpowszechnionym dostępem do Internetu. Z drugiej strony, użytkownicy z tego kraju są słabo zabezpieczeni, co skutkuje masowymi infekcjami szkodliwym oprogramowaniem, których celem jest stworzenie botnetów wykorzystywanych do wysyłania spamu.

Zwiększyła się również ilość spamu pochodzącego z Turcji: w drugiej połowie 2008 roku spam pochodzący z Turcji stanowił jedynie 3%, jednak w pierwszej połowie 2009 roku jego ilość zwiększyła się ponad dwukrotnie, do 6,6%.

Zmieniła się też lista państw europejskich, które stanowią główne źródła spamu. W 2008 roku największymi źródłami spamu w Europie była Hiszpania, Włochy i Ukraina. Obecnie na szczycie tej listy znajdują się Polska, Rumunia oraz Włochy.

Tabela 1. 10 największych europejskich źródeł spamu

Polska 4,30% 2,30%
Rumunia 3,00% 2,00%
Włochy 2,60% -2,40%
Ukraina 2,00% -1,00%
Hiszpania 1,90% -3,30%
Niemcy 1,90% -1,30%
Wielka Brytania 1,60% -0,40%
Republika Czeska 1,10% 0,70%
Francja 1,00% -1,60%
Węgry 0,90% 0,50%

Ogólnie, ilość spamu pochodzącego z państw zachodnioeuropejskich znacznie spadła, wzrosła natomiast ilość spamu wysyłanego z państw Europy Wschodniej.

Regiony

Jeżeli chodzi o główne regionalne źródła spamu, nastąpiło ogólne przesunięcie z Zachodu na Wschód. Z państw azjatyckich wysyłanych jest teraz prawie dwukrotnie więcej spamu. W drugiej połowie 2008 roku wzrost spamu pochodzącego z Azji wynosił 18%, natomiast w pierwszej połowie 2009 roku 35%. Zwiększyła się również ilość spamu z państw Ameryki Łacińskiej i Europy Wschodniej (z wyłączeniem Rosji). Ilość spamu wysyłanego z państw Europy Zachodniej spadła w porównaniu z drugą połową 2008 roku o prawie połowę. W drugiej połowie 2008 roku z państw Europy Zachodniej wysłano około 20% spamu, podczas gdy w pierwszej połowie 2009 roku zaledwie 12%.


Źródła spamu: II połowa 2008, I połowa 2009

Przesunięcie źródeł spamu z Zachodu na Wschód spowodowane jest kilkoma czynnikami: z jednej strony Stany Zjednoczone oraz kraje Europy Zachodniej stały się bardziej proaktywne w zwalczaniu spamu. Państwa te zamykały strony hostingowe spamerów, usprawniły prawo, a nawet doprowadziły do postawienia przed sądem kilku spamerów. Z tego powodu wysyłanie spamu z Europy Zachodniej i Stanów Zjednoczonych stało się ryzykowne dla spamerów. Jednocześnie, państwa azjatyckie i Ameryki Łacińskiej, jak również Europy Wschodniej (z wyjątkiem Rosji) zaczynają być bardziej atrakcyjne dla spamerów; liczba użytkowników Internetu w tych regionach znacznie wzrasta, a dostęp do Internetu staje się coraz bardziej powszechny. Co więcej, internauci z tych państw zwykle są słabiej zabezpieczeni przed szkodliwym oprogramowaniem i mniej świadomi cyberzagrożeń.

Główne źródła spamu w mniejszym lub większym stopniu przesunęły się z państw Europy Zachodniej, Stanów Zjednoczonych oraz Rosji do Azji i Ameryki Łacińskiej. Są to prawdopodobnie dobre wiadomości dla użytkowników końcowych, tzn. ci, którzy nie mają żadnych partnerów w tych regionach, mogą po prostu nie otwierać wiadomości pochodzących z Ameryki Łacińskiej lub krajów azjatyckich. W przypadku takich osób, prosta modyfikacja konfiguracji filtra spamu mogłaby zmniejszyć ilość przychodzącego spamu o połowę.

Spam według kategorii


Spam według kategorii

Najpopularniejsze kategorie spamu, I połowa 2009 r.

  1. Leki oraz towary i usługi związane ze zdrowiem – 22,1% (+2,4%)
  2. Usługi reklamy internetowej – 16,6% (+10,9%)
  3. Spam dla dorosłych – 11% (-8,8%)
  4. Edukacja – 10,4% (+0,8%)
  5. Podrabiane towary luksusowe – 7,4% (+1,2%).

Czwarty rok z rzędu najpopularniejszym rodzajem spamu są Leki oraz towary i usługi związane ze zdrowiem. Większość wiadomości z tej kategorii reklamuje takie specyfiki jak Viagra czy Cialis, jak również pigułki odchudzające i suplementy diety.

Drugie miejsce zajmują usługi reklamy internetowej, które zastąpiły kategorie będące zwykle na prowadzeniu. W 2008 roku usługi reklamy internetowej znajdowały się na siódmym miejscu.

Spam dla dorosłych, mimo znacznego spadku liczby wiadomości z tej kategorii, nadal zajmuje trzecie miejsce. W porównaniu z zeszłym rokiem, liczba takich wiadomości zmniejszyła się o prawie połowę. Wynika to prawdopodobnie z tego, że ten rodzaj spamu stanowią w większości wiadomości e-mail, których celem jest zwabienie użytkowników na fałszywe strony internetowe, gdzie cyberprzestępcy próbują wyłudzić od nich pieniądze, nakłaniając do wysłania SMS-ów na krótkie numery o podwyższonej opłacie. Taka sztuczka jest skuteczna do czasu, gdy zostanie wykryta; w rezultacie cykl życia tego rodzaju oszustwa jest dość krótki i ilość spamu dla dorosłych spada.

Kryzys gospodarczy i jego wpływ na spam

Kryzys gospodarczy nie wpłynął na główne kategorie spamu, zmienił się jednak ich rozkład.

Kategorie wzrostowe

Przede wszystkim kryzys spowodował wzrost liczby reklam usług spamerskich. Wygląda na to, że z powodu kryzysu spamerzy stracili część swoich stałych klientów i przeznaczyli swoje nowo nabyte zasoby na reklamowanie własnych usług w nadziei zyskania nowych klientów.


Spam reklamujący usługi spamerów, I połowa 2008/I połowa 2009

W pierwszej połowie 2008 roku, zanim kryzys gospodarczy dotknął Rosję, spam z kategorii usługi reklamy internetowej stanowił około 4,3%. Natomiast w pierwszej połowie 2009 roku odsetek ten wzrósł do 16,6%.

W porównaniu z zeszłym rokiem znacznie wzrosła również ilość spamu z kategorii nieruchomości. W większości przypadków ten rodzaj spamu reklamuje lokale na wynajem. W kwietniu tego typu oferty stanowiły 69% spamu z kategorii nieruchomości.


Spam z kategorii nieruchomości, I połowa 2008/ I połowa 2009

Po utracie lokatorów na skutek recesji najmujący zaczęli aktywnie reklamować swoje lokale. Niektóre znane agencje nieruchomości mogą teraz wykorzystywać spam jako stosunkowo niedrogi sposób reklamowania swoich usług.

Kategorie spadkowe

Wygląda na to, że małe i średnie przedsiębiorstwa (podgrupa kategorii inne towary i usługi) zmniejszyła wydatki na reklamę spamową.


Spam z kategorii inne towary i usługi, I połowa 2008/ I połowa 2009

W porównaniu z tym samym okresem w 2008 roku ilość spamu z kategorii inne towary i usługi spadła średnio o 4%.

Przed kryzysem sporo klientów zamawiało wysyłki spamu z kategorii podróże i turystyka. W 2008 roku wiadomości z tej kategorii stanowiły 8% spamu. W pierwszej połowie 2009 roku ilość tego rodzaju spamu zmniejszyła się o połowę i stanowi teraz zaledwie 4%. Spadek ten ma wyraźny związek z globalnym kryzysem. Wiele osób znajduje się teraz w gorszej sytuacji finansowej niż w 2008 roku, dlatego ogranicza wydatki na podróże i wakacje.

Spam z kategorii podróże i turystyka zwykle podlega sezonowym zmianom; jednak biorąc pod uwagę sytuację gospodarczą, w tym roku zmiany te były mniej wyraźne.


Spam z kategorii podróże i turystyka, I połowa 2008/I połowa 2009

W pierwszych pięciu miesiącach 2009 roku ilość spamu edukacyjnego spadła o średnio 25%. Jednak w czerwcu, w związku z egzaminami w szkołach i na uniwersytetach, ilość spamu z tej kategorii powróciła do poziomu sprzed kryzysu.


Spam edukacyjny, I połowa 2008/ I połowa 2009

Kryzys gospodarczy wywarł wyraźny wpływ na spam reklamujący towary i usługi oferowane przez firmy prowadzące legalny biznes. Kategoria ta stanowi około 35% spamu. Dla porównania, w pierwszej połowie 2008 roku (tj. przed recesją) ten rodzaj spamu stanowił około 45%. Mimo wzrastającej ilości spamu związanego z nieruchomościami ogólna liczba wiadomości reklamujących towary i usługi legalnie działających firm spadła o prawie jedną czwartą.

Sytuacja gospodarcza miała wpływ na pozostałe 65% spamu, które obejmują reklamy towarów i usług na czarnym rynku oraz, w mniejszym stopniu, oszukańczy spam. Powody są oczywiste: po pierwsze, anonimowość sprawia, że cyberprzestępcy mniej ryzykują, znajdując sobie klientów przy użyciu spamu niż przy pomocy innych metod; ponadto, rodzi to mniej rozterek moralnych. Po drugie, niektóre rodzaje oszustwa (takie jak phishing) po prostu nie mogłyby istnieć bez spamu, który stanowi ich integralny składnik. Wreszcie, wiele grup cyberprzestępczych posiada własne botnety, a tym samym możliwość przeprowadzania masowych wysyłek spamu przy minimalnych kosztach.

Rozmiar i rodzaj wiadomości spamowych


Rozkład spamu według rozmiaru

Większość wiadomości spamowych ma rozmiar 10 KB lub mniejszy. Zwiększyła się ilość najmniejszych wiadomości spamowych (do 5 KB): w pierwszej połowie 2009 roku wiadomości tego rozmiaru stanowiły 58% spamu (dla porównania, w 2006 roku ich odsetek wynosił 46%). Przeważająca większość takich wiadomości zawiera odsyłacze do stron internetowych. Tekst takich e-maili oraz strony, do których prowadzą takie odsyłacze, różnią się w zależności od wiadomości, nawet jeżeli wszystkie wiadomości są wysyłane w tej samej wysyłce spamowej. Strony reklamujące zlokalizowane są w tanich domenach (takich jak .cn) lub w domenach wykorzystujących darmowe usługi hostingowe. Spamerzy stosują takie taktyki w celu obejścia filtrów spamowych.

Podobnie jak wcześniej, większość wiadomości spamowych (45%) jest wysyłanych w formacie czystego tekstu.


Rozkład wiadomości spamowych według rodzaju

Spam graficzny

Spam zawierający obrazy stanowi obecnie prawie 15%. Odsetek ten spowodowany jest wzrostem liczby spamerów reklamujących swoje usługi; większość takich reklam jest wysyłanych w formie obrazu. Spamerzy mają dwa cele: obejście filtrów spamowych oraz uatrakcyjnienie swoich reklam. Należy podkreślić, że nie tylko programiści, ale również profesjonalni graficy i eksperci ds. marketingu pracują nad wysyłkami spamowymi.


Obrazy często oferują (fałszywą) możliwość wypisania się z list mailingowych.


Fragment wiadomości spamowej

Większość wiadomości zawierających obrazy zawiera również tekst. W niektórych przypadkach, komunikat reklamowy oraz informacje kontaktowe stanowią część obrazu, a tekst jest umieszczony tylko po to, żeby stworzyć “szum” zwiększający szanse na obejście filtrów spamowych. W innych przypadkach, tekst w wiadomości zawiera informacje kontaktowe (zwykle odsyłacz do strony internetowej), a obraz ma na celu przykucie uwagi czytelnika.

Wnioski

Kraje, które stanowią teraz główne źródła spamu, zlokalizowane są bardziej na Wschodzie niż na Zachodzie. Kraje azjatyckie i Ameryki Łacińskiej, jak również Europy Wschodniej (z wyłączeniem Rosji) stają się bardziej atrakcyjne dla spamerów, ponieważ użytkownicy z tych regionów są słabo zabezpieczeni przed cyberzagrożeniami.

Trudno powiedzieć, jak długo utrzyma się obecny trend. Możemy jednak przyjąć, że wraz ze wzrostem świadomości kwestii bezpieczeństwa wśród użytkowników ze wschodnich krajów rozkład zainfekowanych maszyn wysyłających spam wyrówna się. Ponieważ technologie komputerowe (dzięki jawności i dostępności informacji) rozwijają się szybciej niż gospodarka (z powodu większej przejrzystości i dostępu do informacji), możliwe, że obecny trend odwróci się, zanim jeszcze kraje rozwijające się staną się w pełni rozwinięte.

Wbrew naszym przewidywaniom udział wiadomości phishingowych odnotował spadek. Zakładaliśmy, że kryzys przyczyni się do wzrostu liczby tych oszukańczych wiadomości; phisherzy zwykle próbują wykorzystywać negatywne sytuacje do siania paniki wśród użytkowników i skłonienia ich do ujawnienia osobistych informacji. Jednak wygląda na to, że zastosowane przez największe systemy płatności i banki środki ochrony przed phishingiem, jak również zwiększona świadomość cyberzagrożeń zmniejszają skuteczność poczynań oszustów internetowych.

Kryzys, mimo że nie wpłynął na ogólną ilość spamu w ruchu pocztowym, spowodował znaczące zmiany w rozkładzie spamu według kategorii. W szczególności dotyczy to spamu reklamującego usługi spamerów, który teraz stanowi rekordowy odsetek – 16,6%. Jednocześnie całkowita ilość spamu oferującego towary i usługi w sektorze realnej gospodarki spadła o 10%. W rocznym raporcie dotyczącym spamu w 2008 r. zauważyliśmy, że ten rodzaj spamu świadczy o zdrowej kondycji małych i średnich firm w czasach kryzysu gospodarczego. W porównaniu z tym samym okresem w 2008 roku wysyłki spamowe zawierały mniej ofert firm turystycznych i edukacyjnych, jak również reklam różnych towarów i usług. (Jednak odsetek tych kategorii spamu zwiększył się nieznacznie w czerwcu). Jak długo utrzymają się te trendy – czas pokaże.

Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie