Katerina Kalimanova
Analityk spamu, Kaspersky Lab

• Spam wedÅ‚ug kategorii
• Spam typu pump-and-dump: techniki spamerskie
• WysyÅ‚ki bÅ‚yskawiczne
• NieustajÄ…ca kryminalizacja spamu
  • Ukierunkowane ataki scammerów 419
  • Phisherzy testujÄ… rosyjski Internet
• Wniosek
• Najnowsze trendy

Spam według kategorii

W trzecim kwartale 2007 roku udział spamu w rosyjskim Internecie stale przybliżał się do 80% całego ruchu pocztowego: średnia dla całego kwartału wyniosła 79%. Najniższą ilość spamu (68,1%) w trzecim kwartale odnotowaliśmy 6 września, natomiast najwyższą 2 września (89%). Wzrost aktywności spamerów jak zwykle miał miejsce na początku jesieni.

W trzecim kwartale 2007 r. największy udział miały następujące kategorie spamu:

1. Leki: produkty i usługi związane ze zdrowiem (28,5%).
2. Komputery i Internet (10,5%).
3. Edukacja (9,6%).
4. Podróże i turystyka (7,8%).
5. Usługi reklamy elektronicznej (6,6%).

Skład pierwszej piątki najpopularniejszych kategorii spamu pozostał taki sam z jednym wyjątkiem: miejscami zamieniły się kategorie "oszustwa komputerowe" oraz "usługi reklamy elektronicznej", które w trzecim kwartale 2007 r. znalazły się na piątym miejscu (6,6%).

Pierwsze miejsce przypadło kategorii Leki: produkty i usługi związane ze zdrowiem. Ilość tego rodzaju spamu wzrosła o 8% w porównaniu do drugiego kwartału 2007 r., natomiast w stosunku do pierwszego kwartału zwiększyła się dwukrotnie. Ten gwałtowny wzrost spowodowany był masowymi wysyłkami reklamującymi Viagrę, które stanowią obecnie przeważającą większość emaili w tej kategorii.

Z kolei kategoria Osobiste finanse odnotowała dalszy spadek i obecnie jej udział wynosi zaledwie 2,7 proc. wszystkich wiadomości spamowych. Spadek ten utrzymuje się od początku roku mimo podejmowanych przez spamerów prób stosowania nowych technik oraz wskrzeszania starych metod w celu obejścia filtrów spamowych.

Spam typu pump-and-dump: techniki spamerskie

Od ponad roku spamerzy próbują opanować nowe sposoby obchodzenia filtrów spamowych, aby móc dostarczać spam promujący akcje (tak zwany "spam giełdowy" lub spam typu "pump-and-dump"). Trzeci kwartał 2007 roku nie był wyjątkiem - spamerzy zastosowali całą gamę nowych technik w celu wysyłania tego typu spamu.

Czytelnicy być może przypominają sobie, że w czerwcu spamerzy wymyślili nowy sposób dostarczania obrazów spamowych - załączanie ich jako plików PDF. Tak jak przewidywali analitycy z firmy Kaspersky Lab, wykorzystywanie spamu w formacie PDF dość szybko zostało zarzucone; do końca czerwca wiadomości spamowe z załącznikami PDF stanowiły od 0,1% do 1% całego spamu.

W trzecim kwartale spamerzy nadal eksperymentowali z załącznikami w wiadomościach spamowych. W lipcu pojawił się spam inwestycyjny z załączonymi archiwami ZIP, a w sierpniu spamerzy zaczęli wysyłać wiadomości z załącznikami w formacie FDF. Wiadomości wysyłane z takimi załącznikami nie zawierały żadnego tekstu. Odbiorcy mogli przejrzeć zawartość pliku FDF, otwierając go przy pomocy programu Acrobat Reader (zawartość okazywała się typowym spamem graficznym, wykorzystującym losowo wybrane obrazy, różne kolory tła oraz czcionki w różnych kolorach i rozmiarach).

We wrześniu spamerzy po raz kolejny próbowali wskrzesić taktykę, która stała się popularna w 2003 roku: wysyłanie prostych wiadomości email z czystym tekstem, w których pewne litery zostały zastąpione symbolami innymi niż alfanumeryczne, a litery w słowach kluczowych przedzielone były symbolami innymi niż alfanumeryczne. Rezultatem tych eksperymentów były nieczytelne wiadomości, takie jak:

Wysyłki błyskawiczne

Tradycyjnie spamerzy wykazują większą aktywność na początku jesieni. W tym roku rezultatem ich wzmożonej aktywności była większa różnorodność spamu oraz aktywne wykorzystywanie technologii, które mimo że stosowane wcześniej, nie były szczególnie rozpowszechnione. Jedną z takich technologii są wysyłki błyskawiczne: podczas gdy standardowa masowa wysyłka trwa około 2 dni (a w niektórych przypadkach do dwóch tygodni), wysyłki błyskawiczne, przy tej samej liczbie wiadomości wysyłanych w jednej wysyłce, trwają 15 - 30 minut. Spamerzy liczą najwyraźniej, że filtry spamowe nie zdołają wykryć i zwalczyć zagrożeń w tak krótkim czasie.

Wysyłki błyskawiczne posiadają specyficzne cechy, które wynikają z konieczności szybkiego przeprowadzenia całej operacji:

• wiadomoÅ›ci w takich wysyÅ‚kach sÄ… z reguÅ‚y niewielkie i czÄ™sto napisane czystym tekstem; jeÅ›li wiadomość zawiera obraz, bÄ™dzie on niewielki i sÅ‚abej jakoÅ›ci;
• spamerzy wykorzystujÄ… taktyki, które nie powodujÄ… zwiÄ™kszenia rozmiaru wiadomoÅ›ci, np. mogÄ… zmieniać treść wiadomoÅ›ci oraz adres URL, nie dodadzÄ… natomiast losowych fragmentów tekstu ani nie zastosujÄ… technik majÄ…cych na celu stworzenie w wiadomoÅ›ci "szumu" w tle.

Spamerzy zaczęli stosować wysyłki flashowe w połowie września. Ilość tego typu wysyłek rośnie, aczkolwiek powoli. W niektóre dni wysyłki flashowe stanowiły do 10% całego spamu.

Dlaczego tak wielu spamerów stosuje obecnie tę technikę wysyłki? Prawdopodobnie ma to związek ze wzrostem liczby komputerów i ich użytkowników, co oznacza, że zwiększają się również rozmiary botnetów. Co więcej, dostęp do Internetu staje się coraz szybszy, a połączenia dial-up zastępowane są łączem dedykowanym oraz ADSL.

Większość wysyłek błyskawicznych to angielskojęzyczne reklamy różnych specyfików na zwiększenie potencji. Przy pomocy tej techniki wysyłany jest również rosyjskojęzyczny spam reklamujący inne towary i usługi, jest on jednak mniej rozpowszechniony. W przeciwieństwie do swych kolegów z innych państw, rosyjscy spamerzy próbują wysyłać w wysyłkach błyskawicznych stosunkowo duże wiadomości. Jak dotąd miało miejsce tylko kilka niepowiązanych ze sobą incydentów, jednak niewykluczone, że w przyszłości spamerzy wymyślą, w jaki sposób można wysyłać wiadomości dowolnego rozmiaru w wysyłkach błyskawicznych

NieustajÄ…ca kryminalizacja spamu

Mimo oficjalnego spadku udziału oszukańczych emaili we wszystkich wiadomościach spamowych (z 9% w drugim kwartale 2007 r. do 5,3% w trzecim kwartale 2007 t.), obserwujemy dalszą kryminalizację spamu. Taki spam reklamuje zazwyczaj podrobione i nielicencjonowane produkty. Spamerzy nie mają żadnych skrupułów odnośnie sprzedawania podrobionych produktów. Jednak podczas gdy opisy zegarków wyraźnie wskazują, że są to "kopie" wiodących marek, spamerzy nie wspominają o wątpliwym pochodzeniu większości oferowanych przez siebie leków. W najlepszym wypadku osoby kupujące takie lekarstwa otrzymują nieszkodliwe pigułki z cukru; w najgorszym - mogą paść ofiarą szkodliwych dla siebie leków.

Jeśli chodzi o spam z kategorii "oszustwa komputerowe", szwindel nigeryjski (znany również jako przekręt 419) nadal stanowi większość wiadomości email z tej kategorii. Mimo że ilość spamu z tej kategorii zmniejszyła się, ataki scammerów stają się ukierunkowane, a tym samym stanowią większe zagrożenie.

Ukierunkowane ataki scammerów 419

Spamerzy stosujący tak zwany przekręt 419 zwrócili się w kierunku rosyjskojęzycznych serwisów randkowych. Użytkownicy, którzy tworzą swój profil na takich stronach, ryzykują otrzymywanie wiadomości od rzekomych potencjalnych partnerów - w niektórych przypadkach, takie maile wysyłane są kilka minut po powstaniu nowego profilu.

Scam tego typu wygląda tak samo jak zawsze: nadawca wiadomości prosi odbiorcę o pomoc w "odblokowaniu" milionów dolarów, obiecując w zamian hojne wynagrodzenie. Nakłania naiwne ofiary do przekazania tysięcy dolarów na pokrycie wstępnych wydatków. Scammerzy zmienili jednak temat wysyłanych emaili. Internauci nie otrzymują już wiadomości od wdów po dyktatorach, sekretarzy skompromitowanych milionerów czy filantropijnych pracowników banków. Wypróbowują teraz inną taktykę: udają dziedziców lub dziedziczki mających wkrótce wejść w posiadanie milionów, którzy nagle zapałali miłością do odbiorcy wiadomości (który naturalnie jest potencjalną ofiarą oszustwa). Scammerzy działają dość subtelnie: prośba o pomoc w uratowaniu milionów, a do tego bezradnej egzotycznej piękności zazwyczaj nie pojawia się wcześniej niż w trzecim czy czwartym mailu, gdy potencjalna ofiara wyrazi sympatię do tej nowej znajomości.

Przykład typowego przekrętu 419 został pokazany poniżej. (Rosyjscy użytkownicy Internetu otrzymują tego typu wiadomości zarówno w języku angielskim jak i w rosyjskim. Rosyjskojęzyczne warianty tworzone są z wykorzystaniem translatorów.)

Phisherzy testujÄ… rosyjski Internet

Wcześniej phisherzy nie wykazywali dużego zainteresowania rosyjskimi internautami, ponieważ elektroniczne systemy płatności nie były tak powszechnie wykorzystywane w Rosji jak w zachodnich krajach. Jednak w trzecim kwartale 2007 r. rosyjskojęzyczni phisherzy stali się aktywniejsi.

Latem miały miejsce ataki na użytkowników Mail.ru email, WebMoney oraz Yandex.Dengi. W ostatnim przypadku scammerzy stosowali taktykę powszechnie wykorzystywaną przez swoich kolegów w innych państwach, tj. prosili użytkowników, aby kliknęli odsyłacz, który jest bardzo podobny do prawdziwego adresu URL firmy. Poniżej znajduje się kilka przykładów odsyłaczy otrzymywanych przez użytkowników serwisu Yandex.Dengi: http://www.passport-yandex.ru, http://yanclex.ru, http://yandcx.ru/.

Późnym latem i wczesną jesienią phisherzy przeprowadzili kilka ukierunkowanych ataków na użytkowników korporacyjnych rosyjskiego Internetu. Ich celami byli klienci Alfa Bank. Phisherzy mieli najwyraźniej nadzieję, że łatwiej będzie znaleźć potencjalne ofiary wśród pracowników największych firm. Był to pierwszy odnotowany przypadek takich ukierunkowanych wysyłek phishingowych.

W zależności od skuteczności tych ataków phisherzy zdecydują, czy przeprowadzić podobne wysyłki czy poczekać na lepszy moment. Z punktu widzenia bezpieczeństwa, problem polega na tym, że rosyjskojęzyczni użytkownicy, w przeciwieństwie do zachodnich, nie mieli tak dużo do czynienia z wiadomościami phishingowymi, dlatego istnieje duża szansa, że połkną przynętę. Im mniej odbiorcy takich wiadomości wiedzą o działaniach firm, z których rzekomo pochodzą wiadomości phishingowe, tym skuteczniejszy może być atak phishingowy. Z pewnością spora liczba internautów nie zdaje sobie sprawy, że duże firmy (łącznie z dostawcami poczty elektronicznej, elektronicznymi systemami płatności, systemami bankowości online oraz aukcjami internetowymi) nigdy nie wysyłają swoim użytkownikom wiadomości email z prośbą o podanie poufnych danych.

Istnieje prawdopodobieństwo, że phisherzy nadal będą atakowali rosyjskich internautów, a udział rosyjskojęzycznych wiadomości phishingowych w całym ruchu pocztowym będzie wzrastał.

Wnioski

Późnym latem i wczesną jesienią spamerzy tradycyjnie wykazują większą aktywność i testują nowe taktyki oraz technologie spamerskie. Z reguły jest to okres, w którym kształtują się trendy na kolejne 12 miesięcy.

Trzeci kwartał 2007 r. nie był wyjątkiem. Na podstawie wyników kwartalnych możemy spodziewać się wzrostu liczby wiadomości spamowych oraz tempa, w jakim rozsyłane są wysyłki spamu, nowych eksperymentów ze spamem graficznym oraz zwiększonej aktywności phisherów i scammerów w rosyjskim Internecie.

Najnowsze trendy

• W trzecim kwartale 2007 r. spam stanowiÅ‚ Å›rednio 79% caÅ‚ego ruchu pocztowego.
• Spammerzy wykorzystujÄ… nowe metody w poÅ‚Ä…czeniu ze starymi w celu promowania akcji.
• Spammerzy zwiÄ™kszajÄ… wykorzystywanie wysyÅ‚ek flaszowych.
• Phisherzy testujÄ… rosyjski Internet, przeprowadzajÄ…c ukierunkowane ataki.

Źródło: Kaspersky Lab