Spam we wrześniu 2011 wg Kaspersky Lab

Spam we wrześniu 2011 wg Kaspersky Lab

Maria Namiestnikowa
Ekspert z Kaspersky Lab

  • Wrzesień w liczbach
  • Spam na świeczniku
    • Spam a nowa fala kryzysu finansowego
      • E-maile nawiązujące do kryzysu
    • Oszukańczy spam: nowa broń w arsenale spamerów
  • Podsumowanie statystyk
    • Źródła spamu
    • Szkodliwe załączniki w ruchu pocztowym
    • Phishing
    • Spam według kategorii
  • Wnioski

Wrzesień w liczbach

  • W porównaniu z sierpniem ilość spamu w ruchu pocztowym zmniejszyła się o 1,5% i wynosiła średnio 78,5%.
  • Tak samo jak w sierpniu wiadomości phishingowe stanowiły 0,03% ogółu ruchu pocztowego.
  • Szkodliwe pliki zostały wykryte w 4,5% wszystkich wiadomości email, co stanowi spadek o 1,4 proc. w porównaniu z sierpniem.

Spam na świeczniku

Spam a nowa fala kryzysu finansowego

We wrześniu wzrosła liczba komentarzy ekspertów dotyczących zbliżającego się kryzysu finansowego. Na początku zeszłego roku, gdy poprzednia fala kryzysu zaczęła nieco słabnąć, wykazywaliśmy, że koniunktura gospodarcza znajduje odzwierciedlenie w spamie. Echa sytuacji finansowej widoczne były zarówno w treści wiadomości spamowych jak i w ogólnym działaniu branży spamowej. Nie minęło wiele czasu i odczuliśmy skutki kolejnej recesji - podobnie jak wcześniej, spamerzy szybko zareagowali na niestabilną sytuację gospodarczą.

E-maile nawiązujące do kryzysu

We wrześniu zidentyfikowaliśmy kilka wiadomości spamowych, które próbowały wykorzystać to, że uwagę całego świata zaprząta sytuacja gospodarcza. Naturalnie, podobnie jak w przypadku każdego gorącego newsa, wiele z takich wiadomości spamowych wykorzystywało recesję jedynie w celu przykucia uwagi użytkowników, a ich treść nie miała nic wspólnego z finansami.

Były jednak i takie, które nawiązywały do niepewnej sytuacji gospodarczej również w swojej treści. Wiadomości te oferowały udział w wątpliwych akcjach obiecujących szybkie wzbogacenie się, promowały usługi prawnicze lub doradcze oraz wykorzystywały taktyki typowe dla tzw. oszustwa nigeryjskiego.

 

Takie zmiany tematów wiadomości spamowych nie stanowiły niespodzianki: już wcześniej, podczas kryzysu we wrześniu 2008 roku spamerzy aktywnie wykorzystywali niepewną sytuację finansową.

Wpływ niestabilności finansowej na działalność spamerów wydaje się być logiczna: w trudnych czasach nie brakuje osób, które skuszą się na łatwe pieniądze, a na usługi prawne istnieje duży popyt. We wrześniowym spamie nawiązującym do recesji dominowały wiadomości z kategorii „oszustwa nigeryjskie” oferujące pożyczki na czas kryzysu.

Oszukańczy spam: nowa broń w arsenale spamerów

W naszym sierpniowym raporcie spamowym opisaliśmy kilka interesujących nowych sztuczek, przy pomocy których spamerzy próbowali wywieść użytkowników w pole. We wrześniu zidentyfikowaliśmy kilka wyrafinowanych metod socjotechnicznych.

Pierwsza stanowi nowy, bardzo zaawansowany typ phishingu. Użytkownik otrzymuje wiadomość, która rzekomo pochodzi od McDonald’s. Zostaje poinformowany, że wygrał możliwość udziału w ankiecie, za wypełnienie której dostanie 80 dolarów. Po kliknięciu odsyłacza użytkownik zostaje przeniesiony na stronę zawierającą formularz ankiety badającej zadowolenie klienta. Po jej wypełnieniu i wysłaniu zostaje przekierowany do dalszego formularza, z którego dowiaduje się, że aby zostały mu przyznane obiecane 80 dolarów, musi podać kompletne dane dotyczące swojej karty kredytowej. Naturalnie, informacje te zostaną prawdopodobnie wykorzystane nie po to, aby zasilić jego konto, ale żeby je wyczyścić.

Z kolei druga ze wspomnianych sztuczek socjotechnicznych ma na celu wzbudzenie ciekawości użytkownika, aby przekonać go do otwarcia zarchiwizowanego załącznika. Sam tekst sprawiał wrażenie krótkiej oficjalnej wiadomości, która została źle zakodowana.

Takie przykłady mogą sugerować, że oszuści wolą żerować na ludzkiej ciekawości niż uciekać się do gróźb. Trafiliśmy jednak na spam świadczący o tym, że pogróżki nadal cieszą się popularnością wśród spamerów.

Doskonałym przykładem jest wiadomość zamieszczona poniżej, zawierająca bezpośrednią groźbę wobec użytkownika.

 

Wiadomość pochodzi rzekomo od zawodowego mordercy, który dostał zlecenie zabicia jej odbiorcy. Jednak w zamian za 8 000 dolarów morderca gotowy jest darować mu życie, a nawet zdradzić swojego mocodawcę.

Trudno uwierzyć, że są osoby, które przejmą się taką groźbą: historyjka o litościwym płatnym zabójcy jest szyta grubymi nićmi (szczególnie fragment przestrzegający przed wychodzeniem z domu po godzinie 20). Ponadto fakt, że morderca zna tak wiele szczegółów dotyczących życia i przemieszczania się swojego celu, a nie zwraca się do niego po imieniu tylko potwierdza to, że mail jest fałszywy.

Efektywniejszy chwyt socjotechniczny został zastosowany w e-mailu zawierającym groźbę wytoczenia użytkownikowi sprawy sądowej za rozprzestrzenianie spamu kryjącego szkodliwe oprogramowanie.

 

Na czym polega sztuczka? Odbiorca jest zachęcany do otwarcia zarchiwizowanego załącznika, aby przekonać się, że jego adres e-mail jest wykorzystywany do dystrybucji spamu. Zawarty w archiwum plik wykonywalny był uszkodzony, dlatego nie można stwierdzić, jaki szkodliwy kod rozprzestrzeniał.

Warto podkreślić, że sztuczka ta może okazać się dość skuteczna. Mimo to odbiorcy tego typu wiadomości nie powinni wpadać w panikę. Takie wiadomości rzadko zawierają dane osobowe użytkownika czy jakiekolwiek informacje dotyczące rzekomego powoda. Są to wskazówki, które pozwalają zorientować się, że mamy do czynienia z fałszywą wiadomością email, której celem jest zainstalowanie szkodliwych plików wykonywalnych na komputerach osobistych.

Podsumowanie statystyk

Źródła spamu

 
Źródła spamu we wrześniu 2011 r.

Na liście 5 największych źródeł spamu odnotowaliśmy niewiele zmian, jednak niektóre państwa zamieniły się pozycjami. Na pierwszym miejscu uplasowały się Indie (14,1% ogółu spamu), a w dalszej kolejności Brazylia (10,1%), Indonezja (9%), Korea Południowa (7,3%) oraz Peru (4,9%). Polska może się pochwalić kolejnym niechlubnym awansem na 6 miejsce. Z naszego kraju pochodzi aż 4,7% wszystkich niechcianych wiadomości e-mail.

Łączna ilość spamu pochodzącego z tych państw zajmujących pierwsze pięć miejsc na liście stanowiła niewiele ponad 45% globalnego ruchu spamowego. Ponad 60% niechcianych wiadomości nadal pochodzi z 10 państw, które zajmują czołowe lokaty w rankingu i są zlokalizowane głównie w Azji, Europie Wschodniej oraz Ameryce Południowej. Jedynym zachodnioeuropejskim państwem na wrześniowej liście 10 największych spamerów były Włochy, z których pochodziło 2,7% całego spamu.

Największy spadek w udziale w ruchu spamowym odnotowała Indonezja – o 3 punkty procentowe. W przypadku pozostałych państw, zmiany nie przekraczały 1,5%.

We wcześniejszych raportach połączyliśmy pewne państwa w grupy, które nadal monitorujemy. Oto kilka trendów, jakie udało się wyróżnić:

  1. Spam pochodzący z grupy Indonezja-Ukraina-Tajlandia-Peru wydaje się być ściśle ze sobą powiązany. Jedynie Tajlandia nie jest zsynchronizowana z innymi państwami ze swojej grupy: ilość spamu rozprzestrzenianego z tego państwa w sierpniu i we wrześniu była tak nieznaczna, że lokalne najwyższe i najniższe wartości były znacznie mniej wyraźne niż w pozostałych państwach.

     
    Odsetek spamu pochodzącego z Indonezji, Ukrainy, Tajlandii oraz Peru
    w okresie od 22 sierpnia do 2 października

  2. Spam z pary Indie-Brazylia również cechuje pewna wzajemna zależność, mimo że na wskaźniki dla tych państw nadal duży wpływ mają czynniki lokalne.

     
    Odsetek spamu pochodzącego z Indii oraz Brazylii w okresie
    od 22 sierpnia do 2 października

  3. Statystyki dla grupy Wietnam-Rosja ujawniają interesującą zależność: linie określające ilość spamu pochodzącego z tych państw stanowią odbicie lustrzane. Jak na razie nie wiadomo dlaczego tak się dzieje.

     
    Odsetek spamu pochodzącego z Rosji i Wietnamu w okresie
    od 22 sierpnia do 2 października

Szkodliwe załączniki w ruchu pocztowym

We wrześniu szkodliwe pliki zostały wykryte w 4,5% wszystkich wiadomości e-mail – o 1,4 proc. mniej niż w sierpniu.

Na liście państw o najwyższych współczynnikach szkodliwego oprogramowania wykrytego w ruchu email nie wystąpiły znaczące zmiany. W pierwszej trójce znalazły się te same państwa co w poprzednim miesiącu (wahania w odsetkach wykrytego szkodliwego oprogramowania mieściły się w granicach jednego punku procentowego).

Znaczny wzrost ilości szkodliwego oprogramowania wykrytego w poczcie email (+1,5%) odnotowały Indie, dzięki czemu państwo to przesunęło się o 2 miejsca w górę, na 4 pozycję.

 
Odsetek szkodliwego oprogramowania wykrytego w ruchu pocztowym w 10 państwach: wrzesień 2011 r.

Po raz pierwszy od dłuższego czasu Trojan-Spy.HTML.Fraud.gen utracił miano najczęściej wykrywanego szkodliwego oprogramowania.

 
10 najczęściej wykrywanych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej we wrześniu 2011 r.

Tym razem głównym winowajcą okazał się Trojan.Win32.FraudST.at, bot spamowy specjalizujący się w rozprzestrzenianiu spamu farmaceutycznego.

Trzy z 10 najczęściej wykrywanych szkodliwych programów we wrześniu stanowiły modyfikacje trojana o nazwie Trojan.Win32.Yakes, o którym wspominaliśmy już w sierpniowym raporcie. Modyfikacje te uplasowały się na drugim, szóstym i ósmym miejscu. Podobnie jak Trojan-Downloader.Win32.Agent.gxtn, który zajął czwartą pozycję w rankingu, Yakes to klasyczny downloader, który po zainstalowaniu się na komputerze pobiera inne szkodliwe programy..

Podobnie jak w sierpniu, Email-Worm.Win32.Mydoom.m był jedynym robakiem pocztowym, który zaklasyfikował się do wrześniowego rankingu. Zagrożenie to posiada w rzeczywistości tylko dwie funkcje: przechwytywanie adresów elektronicznych na zainfekowanych maszynach oraz wysyłanie na nie swojej kopii.

Phishing

Odsetek wiadomości phishingowych w całym ruchu pocztowym pozostał na niezmienionym poziomie 0,03%.

 
10 organizacji najczęściej atakowanych przez phisherów

* Ranking ten został stworzony na podstawie liczby phishingowych adresów URL w Internecie, poprzez które cyberprzestępcy próbują uzyskać loginy oraz hasła użytkowników dla różnych serwisów online. Ranking nie obrazuje poziomu bezpieczeństwa wymienionych wyżej organizacji, a raczej popularności oferowanych przez nie usług wśród użytkowników, co z kolei przekłada się na ich popularność wśród phisherów.

Jedną z głównych zmian we wrześniu był awans portalu społecznościowego Facebook z czwartego miejsca na drugie. Liczba ataków na ten serwis zwiększyła się o 5,4 proc. i stanowiła 14,1% ogółu.

W porównaniu z sierpniem we wrześniu phisherzy zmniejszyli intensywność ataków na serwis eBay (-0,9%). Ostatecznie eBay uplasował się na 3 pozycji wśród najpopularniejszych celów phisherów.

Z kolei coraz większym zainteresowaniem phisherów cieszy się RuneScape: we wrześniu podwoiła się liczba ataków na tę grę online, ponieważ jej najwięksi fani – uczniowie i studenci – wrócili z wakacji.

Spam według kategorii

 
Spam według kategorii we wrześniu 2011

We wrześniu prawie połowę angielskojęzycznego spamu stanowiły oszustwa. Podobna sytuacja miała miejsce w 2008 roku, gdy odsetek szkodliwych załączników w wiadomościach email zwiększył się. W czasie kryzysu finansowego, gdy widoczny jest spadek siły nabywczej, spamerzy, aby utrzymać swoje dochody na dotychczasowym poziomie, uciekają się do wyłudzania pieniędzy od użytkowników.

Drugą pod względem popularności kategorią niechcianych wiadomości był spam finansowy, co też nie powinno dziwić w dobie zbliżającego się kryzysu.

Wnioski

W obliczu recesji gospodarczej spodziewamy się wzrostu ilości spamu z kategorii „oszustwa”. Celem tego rodzaju niechcianych wiadomości jest wyłudzenie lub kradzież pieniędzy użytkowników za pomocą szkodliwego oprogramowania lub przy użyciu socjotechniki. We wrześniu utrzymał się trend z miesięcy letnich: odnotowaliśmy dalszy wzrost ilości spamu angielskojęzycznego, który – zamiast próbować coś „sprzedać” – był wykorzystywany do gromadzenia danych znajdujących się na komputerze ofiary, wykorzystywanych następnie do oszustw.

Szczególną ostrożność należy zachować w przypadku otrzymania wiadomości e-mail zachęcających do pobrania aplikacji, kliknięcia odsyłaczy czy podania haseł. Oszuści aktywnie rozszerzają arsenał swoich sztuczek, wymyślając metody, które mogą wywieść w pole nawet doświadczonych użytkowników! Bądźcie ostrożni!

Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie