Kaspersky Security Bulletin 2008: Ewolucja spamu

Daria Gudkowa
Tatiana Kulikowa
Katerina Kalimanowa
Daria Bronnikowa
  1. Ewolucja szkodliwego oprogramowania
  2. Statystyki
  3. Ewolucja spamu

Wprowadzenie

Rok 2008 by艂 szczeg贸lny z kilku powod贸w. Z jednej strony, podj臋to pierwsze powa偶ne kroki w celu zwalczania spamu na skal臋 mi臋dzynarodow膮. Rezultatem tych wysi艂k贸w by艂 spadek liczby g艂贸wnych platform, z kt贸rych rozsy艂ano spam, kt贸ry z kolei spowodowa艂 zmniejszenie si臋 ca艂kowitego udzia艂u procentowego spamu w ruchu pocztowym.

Z drugiej strony, na biznes spamowy wp艂yn膮艂 globalny kryzys gospodarczy, kt贸ry rozpocz膮艂 si臋 w 2008 roku, a do Rosji dotar艂 wczesn膮 jesieni膮. Kryzys ten znalaz艂 odzwierciedlenie w zmianach w strukturze spamu: obecnie pojawia si臋 mniej reklam rzeczywistych produkt贸w, za to wi臋cej spamu przest臋pczego.

Przegl膮d 2008 roku

  • Spam stanowi艂 82,1% wszystkich wiadomo艣ci e-mail, o 2,1% wi臋cej ni偶 w 2007 r.
  • Odsetek spamu w ruchu pocztowym zmniejszy艂 si臋 w okresie letnich wakacji
  • W okresie kilku dni po zamkni臋ciu McColo, serwisu hostingowego wykorzystywanego do kontrolowania kilku botnet贸w, w Rosji i Stanach Zjednoczonych zarejestrowano odpowiednio dwukrotnie i trzykrotnie mniej spamu
  • Wzros艂a ilo艣膰 spamu kierowanego do u偶ytkownik贸w portali spo艂eczno艣ciowych oraz ilo艣膰 spamu na takich portalach
  • Wzros艂a popularno艣膰 spamu zach臋caj膮cego u偶ytkownik贸w do wysy艂ania kosztownych wiadomo艣ci tekstowych na kr贸tkie numery
  • W drugim p贸艂roczu zmniejszy艂 si臋 odsetek spamu z kategorii "Inne towary i us艂ugi", co odzwierciedla艂o liczb臋 zam贸wie艅 otrzymywanych przez spamer贸w w realnej gospodarce
  • Liczba spamu przeznaczonego dla doros艂ych wzros艂a o 10%, co spowodowa艂o wzrost ruchu na stronach pornograficznych
  • W 2008 roku pojawi艂a si臋 nowa kategoria rosyjskoj臋zycznego spamu: podrabiane towary luksusowe
  • Globalny kryzys gospodarczy oraz nowy ameryka艅ski prezydent to dwa tematy najcz臋艣ciej wykorzystywane w celu zwr贸cenia uwagi na towary i us艂ugi reklamowane w spamie
  • W celu obej艣cia filtr贸w spamowych spamerzy wykorzystywali niekt贸re z w艂a艣ciwo艣ci HTML-a

Trendy w 2008 roku

Oszustwa spamowe wykorzystuj膮ce wiadomo艣ci tekstowe

W 2008 roku coraz wi臋cej u偶ytkownik贸w Internetu by艂o zach臋canych do wysy艂ania wiadomo艣ci tekstowych na kr贸tkie numery wydzier偶awione przez oszust贸w, kt贸rzy zarabiali na wysokich kosztach zwi膮zanych z wysy艂aniem takich wiadomo艣ci. Ten typ oszustwa sta艂 si臋 szczeg贸lnie rozpowszechniony w 2008 roku.

Spamerzy wykorzystywali r贸偶ne fa艂szywe obietnice i gro藕by, np.:

  • Obietnica wygranej w nieistniej膮cej loterii
  • Oferta odczytu rzekomo wys艂anej do u偶ytkownika wiadomo艣ci e-mail, kt贸ra mo偶e by膰 udost臋pniona dopiero po wys艂aniu wiadomo艣ci tekstowej
  • Ostrze偶enie o zamkni臋ciu konta pocztowego odbiorcy, je偶eli nie zostanie wys艂ana wiadomo艣膰 tekstowa

Poni偶szy e-mail ma wygl膮da膰 jak wiadomo艣膰 od operatora telefonii kom贸rkowej:

Wiadomo艣膰 informuje odbiorc臋 o nowej specjalnej ofercie: podpisz umow臋 z MegaFon i zdob膮d藕 iPhone'a z niewiarygodnie wysokim rabatem. Odbiorca musi tylko wys艂a膰 wiadomo艣膰 tekstow膮 na kr贸tki numer, po czym otrzyma specjalny kod promocyjny, kt贸ry b臋dzie m贸g艂 wykorzysta膰 do zakupu iPhone'a za jedyne 999 rubli (oko艂o $30). Opr贸cz tego, co pi膮ta osoba otrzyma iPhone'a oraz mo偶liwo艣膰 korzystania z us艂ug telefonii kom贸rkowej przez trzy miesi膮ce za darmo.

Rosja stanowi podatny grunt dla tego typu oszustw, poniewa偶, w przeciwie艅stwie do wi臋kszo艣ci innych pa艅stw, do wydzier偶awienia i wykorzystywania kr贸tkich numer贸w nie jest wymagana licencja. Trzeba tylko podpisa膰 umow臋 partnersk膮 z dostawc膮 rozwi膮za艅 opartych na wykorzystywaniu kr贸tkich numer贸w, kt贸ry posiada umow臋 z dostawc膮 us艂ug telefonii kom贸rkowej. Je偶eli ten sam numer jest wykorzystywany przez kilka firm (tak zwany "wsp贸艂dzielony" numer), ka偶da firma b臋dzie posiada艂a has艂o lub prefiks. Wydzier偶awiaj膮cy otrzymuj膮 cz臋艣膰 dochod贸w generowanych przez wys艂ane wiadomo艣ci tekstowe.

Rosyjscy u偶ytkownicy przywykli do p艂acenia za drobne us艂ugi przy u偶yciu wiadomo艣ci tekstowych i cz臋sto nie podejrzewaj膮 oszustwa. Kr贸tkie numery s膮 legalnie wykorzystywane do g艂osowania, w konkursach oraz quizach. Wysy艂aj膮c wiadomo艣膰 tekstow膮, u偶ytkownicy mog膮 p艂aci膰 za zawarto艣膰 swoich telefon贸w kom贸rkowych (dzwonki, tapety, gry oparte na Javie itd.), umieszcza膰 wiadomo艣ci na stronach internetowych, forach i blogach oraz uzyskiwa膰 dost臋p do stron WAP. Wiadomo艣ci tekstowe s膮 r贸wnie偶 wykorzystywane przez wiele r贸偶nych serwis贸w (serwisy randkowe, informacyjne itd.).

Wszystkie te czynniki wykorzystuj膮 oszu艣ci. Wydzier偶awiaj膮 kr贸tkie numery z prefiksami, a nast臋pnie rozsy艂aj膮 wiadomo艣ci spamowe, kt贸re maj膮 wygl膮da膰 jak oficjalne e-maile od administrator贸w r贸偶nych zasob贸w i us艂ug. Maile te zawieraj膮 specjalne oferty zach臋caj膮ce odbiorc贸w do wys艂ania wiadomo艣ci tekstowych na kr贸tki numer, nie podaj膮 jednak kosztu wys艂ania takiej wiadomo艣ci (150-300 rubli lub oko艂o 4-9 dolar贸w).

Dostawcy rozwi膮za艅 opartych na wykorzystywaniu kr贸tkich numer贸w pr贸buj膮 kontrolowa膰 dzia艂alno艣膰 swoich partner贸w poprzez blokowanie numer贸w wykorzystywanych do oszustw. Wydaje si臋 jednak, 偶e tego typu oszustwa b臋d膮 stosowane tak d艂ugo, jak d艂ugo oszu艣ci b臋d膮 mogli zarabia膰 na nich pieni膮dze. Aby unikn膮膰 nieoczekiwanych wydatk贸w, radzimy nie wierzy膰 w tre艣ci wiadomo艣ci spamowych. A przynajmniej, zawsze sprawdzi膰 informacje znajduj膮ce si臋 na stronie internetowej firmy, kt贸ra rzekomo wysy艂a tak膮 wiadomo艣膰.

Spam a portale spo艂eczno艣ciowe

Portale spo艂eczno艣ciowe sta艂y si臋 bardzo popularne w ostatnich latach (bez w膮tpienia stanowi膮 gotowe bazy informacji o u偶ytkownikach). Stanowi膮 r贸wnie偶 popularny cel spamer贸w.

Spamerzy wysy艂aj膮 fa艂szywe powiadomienia (pochodz膮ce rzekomo od administrator贸w portali spo艂eczno艣ciowych), aby sk艂oni膰 u偶ytkownik贸w do odwiedzenia strony zainfekowanej szkodliwym oprogramowaniem lub wys艂ania wiadomo艣ci tekstowej na kr贸tki numer, jak r贸wnie偶 pom贸c phisherom, kt贸rzy zbieraj膮 loginy i has艂a u偶ytkownik贸w.

W czerwcu pojawi艂a si臋 masowa wysy艂ka imituj膮ca wiadomo艣ci pochodz膮ce z dobrze znanego rosyjskiego portalu spo艂eczno艣ciowego, www.odnoklassniki.ru. Wiadomo艣膰 "udawa艂a" komunikat, jaki osoby odwiedzaj膮ce t臋 stron臋 cz臋sto mog艂y tam znale藕膰. Jednak uwa偶ny u偶ytkownik potrafi艂by dostrzec r贸偶nic臋: odsy艂acz nie prowadzi艂 do oficjalnej strony, ale do sfa艂szowanej (odnolassniks.info, odnoklass.ru lub odnoklassniks.ru). Adres URL, notabene zarejestrowany w Singapurze, by艂 艂udz膮co podobny do oryginalnego. Z t膮 r贸偶nic膮, 偶e u偶ytkownicy, kt贸rzy klikn臋li odsy艂acz, nie艣wiadomie pobierali trojana Trojan.Win32.Agent.qxk, po czym automatycznie byli przekierowywani na oryginaln膮 stron臋, www.odnoklassniki.ru.

Wiadomo艣ci te otrzymali nie tylko zarejestrowani u偶ytkownicy odnoklassniki.ru, ale r贸wnie偶 osoby, kt贸re nie odwiedza艂y tego portalu. Bez w膮tpienia g艂贸wnymi odbiorcami tej wysy艂ki mieli by膰 cz艂onkowie odnoklassniki.ru. Atak zosta艂 misternie zaplanowany, mimo to nie powi贸d艂 si臋: konfiguracja zainfekowanych stron umo偶liwia艂a odwiedzenie jej w tym samym czasie przez ograniczon膮 liczb臋 u偶ytkownik贸w; poza tym w wi臋kszo艣ci przypadk贸w u偶ytkownicy nie pobrali trojana na swoje maszyny.

W innym ataku spamerzy wykorzystali popularno艣膰 portali spo艂eczno艣ciowych do wy艂udzenia pieni臋dzy od u偶ytkownik贸w Internetu: wiadomo艣膰 pochodz膮ca rzekomo od administrator贸w innego rosyjskiego portalu spo艂eczno艣ciowego, VKontakte, zach臋ca艂a odbiorc贸w do wzi臋cia udzia艂u w loterii i wys艂ania "darmowej" wiadomo艣ci tekstowej na kr贸tki numer:

Wiadomo艣膰 informowa艂a odbiorc臋, 偶e Vkontakte.ru uruchomi艂 specjaln膮 pul臋 nagr贸d oraz gwarantowany bonus "+300%". Aby otrzyma膰 bonus i wzi膮膰 udzia艂 w loterii, u偶ytkownik musia艂 wys艂a膰 na kr贸tki numer darmow膮 wiadomo艣膰 tekstow膮 z okre艣lonym kodem.

W pa藕dzierniku spamerzy zrobili "kolejny" krok, organizuj膮c nast臋pn膮 masow膮 wysy艂k臋, kt贸ra rzekomo pochodzi艂a z portalu VKontakte. U偶ytkownicy zostali poproszeni o sprawdzenie nowego serwisu, kt贸ry mieli oferowa膰 administratorzy tego portalu. Ci, kt贸rzy klikn臋li odsy艂acz, byli przekierowywani na fa艂szyw膮 stron臋 internetow膮, na kt贸rej proszono ich o zarejestrowanie si臋 na VKontakte. Po wprowadzeniu swoich danych, u偶ytkownicy dowiadywali si臋, 偶e ich adres e-mail nie jest zarejestrowany lub 偶e 藕le podali swoje has艂o; w rezultacie phisherzy mieli dost臋p do wprowadzonych login贸w i hase艂.

Portale spo艂eczno艣ciowe sta艂y si臋 tak popularne, 偶e szkodliwi u偶ytkownicy stworzyli nawet specjalny program do automatycznego pobierania login贸w i hase艂 podczas odwiedzania prywatnej strony u偶ytkownika na portalu spo艂eczno艣ciowym. Program ten, reklamowany w wiadomo艣ciach spamowych, w rzeczywisto艣ci automatycznie wype艂nia艂 formularz rejestracyjny dla u偶ytkownik贸w portalu, a jednocze艣nie przesy艂a艂 wszystkie dane osobowe u偶ytkownik贸w na strony internetowe szkodliwych u偶ytkownik贸w.

Portale spo艂eczno艣ciowe wykorzystywane s膮 r贸wnie偶 do bezpo艣redniego rozprzestrzeniania spamu. W czerwcu 2008 roku u偶ytkownicy VKontakte zacz臋li znajdowa膰 wiadomo艣ci podobne do tej, jak膮 widzimy poni偶ej.

W wiadomo艣ci tej mo偶na przeczyta膰: “Hej, sprawd藕 t臋 wspania艂膮 stron臋! Wystarczy, 偶e usuniesz spacje po kropkach".

Powy偶sza wiadomo艣膰 ta ma nast臋puj膮c膮 tre艣膰: “Co s艂ycha膰, mi艂o艣nicy porno? Zajrzyjcie na stron臋 http:// {adres strony}".
Odsy艂acze te prowadzi艂y do stron pornograficznych.

Rozw贸j portali spo艂eczno艣ciowych w oraz ataki spamer贸w na u偶ytkownik贸w tych zasob贸w przyczyni艂y si臋 do powstania nowego typu spamu: spam zwi膮zany z portalami spo艂eczno艣ciowymi. Ten nowy rodzaj spamu jest rozprzestrzeniany za po艣rednictwem poczty elektronicznej oraz bezpo艣rednio na portalach spo艂eczno艣ciowych. Portale spo艂eczno艣ciowe sta艂y si臋 kolejn膮 nisz膮 dla bran偶y spamowej. Spamerzy wykorzystuj膮 je do infekowania komputer贸w u偶ytkownik贸w, zarabiania pieni臋dzy na kosztownych wiadomo艣ciach tekstowych oraz kradzie偶y danych u偶ytkownika (phishing).

Rozk艂ad kategorii spamu

Odsetek spamu w 2008 roku wynosi艂 艣rednio 82,1% (o 2,1% wi臋cej ni偶 w 2007 r.). Najni偶szy odsetek zosta艂 odnotowany 13 listopada (50,5%), najwy偶szy natomiast 1 marca (97,8%).


Odsetek spamu w rosyjskim Internecie w 2008 r.

Powy偶szy wykres pokazuje odsetek spamu w rosyjskim Internecie w 2008 roku. Wyra藕nie widoczny jest spadek udzia艂u procentowego spamu w ca艂ym ruchu pocztowym. Nieprawdziwe by艂oby jednak twierdzenie, 偶e trend ten jest wynikiem spadku aktywno艣ci spamer贸w.

W pierwszym kwartale 2008 roku udzia艂 procentowy spamu zwi臋kszy艂 si臋, natomiast w drugim kwartale zacz膮艂 spada膰 i latem utrzymywa艂 si臋 na stosunkowo niskim poziomie (80%). We wrze艣niu ilo艣膰 spamu w ruchu pocztowym zacz臋艂a wzrasta膰, po czym ju偶 w listopadzie nast膮pi艂 gwa艂towny spadek. Spadek ten spowodowany by艂 zamkni臋ciem McColo, serwisu hostingowego wykorzystywanego jako centrum kontroli kilku najwi臋kszych botnet贸w (Rustock, Srizbi, Dedler, Storm, Mega-D oraz Pushdo).

Pod koniec listopada ilo艣膰 spamu zacz臋艂a powraca膰 do poprzedniego poziomu, a w grudniu odsetek spamu w rosyjskim Internecie wynosi艂 82,5%.

W 2008 roku mia艂o miejsce bezprecedensowe zdarzenie: zamkni臋cie jednego z dostawc贸w us艂ug hostingowych mia艂o ogromny wp艂yw na odsetek spamu w ca艂kowitym ruchu pocztowym (kilka dni po zamkni臋ciu McColo w Rosji i Stanach Zjednoczonych odnotowano odpowiednio dwa i trzy razy mniej spamu). Mimo 偶e spam stopniowo powr贸ci艂 do poprzedniego poziomu, incydent ten pokazuje, 偶e spam mo偶e - i powinien - by膰 zwalczany nie tylko przy u偶yciu odpowiedniego oprogramowania, ale r贸wnie偶 poprzez podejmowanie dzia艂a艅 na szczeblu mi臋dzynarodowym, zar贸wno na obszarze technologicznym jak i prawnym.

G艂贸wne 藕r贸d艂a spamu


Pa艅stwa stanowi膮ce 藕r贸d艂a spamu

W艣r贸d pa艅stw b臋d膮cych 藕r贸d艂em spamu w rosyjskim Internecie w 2008 roku prowadzenie obj臋艂a Rosja (w 2007 roku najwi臋cej spamu pochodzi艂o z USA). Na drugim miejscu uplasowa艂y si臋 Stany Zjednoczone. Rozk艂ad 藕r贸de艂 spamu dla ca艂ego roku r贸偶ni si臋 od rozk艂adu dla poszczeg贸lnych miesi臋cy. Na przestrzeni roku Hiszpania stanowi艂a 藕r贸d艂o 5% spamu kr膮偶膮cego w rosyjskim Internecie, jednak w niekt贸rych miesi膮cach z pa艅stwa tego pochodzi艂o a偶 10% spamu.

Rodzaje i rozmiar wiadomo艣ci spamowych


Rozmiar wiadomo艣ci spamowych

Podobnie jak w poprzednich latach, rozmiar przewa偶aj膮cej wi臋kszo艣ci wiadomo艣ci spamowych nie przekracza艂 10 KB. W 2008 roku spamerzy nadal preferowali wykorzystywanie niewielkich wiadomo艣ci e-mail.


Rodzaje wiadomo艣ci spamowych

Rozk艂ad g艂贸wnych rodzaj贸w wiadomo艣ci spamowych nie uleg艂 wi臋kszym zmianom w 2008 roku. Wi臋kszo艣膰 wiadomo艣ci spamowych nadal opiera si臋 na tek艣cie, przez co takie wiadomo艣ci maj膮 niewielki rozmiar.

Najpopularniejszym j臋zykiem wykorzystywanym w spamie w rosyjskim Internecie by艂 (naturalnie) j臋zyk rosyjski, kt贸ry stanowi艂 77% wszystkich wiadomo艣ci spamowych. Drugim pod wzgl臋dem popularno艣ci j臋zykiem by艂 angielski (14%). Odsetek innych j臋zyk贸w wykorzystywanych w spamie w rosyjskim Internecie stanowi艂 艂膮cznie 9% i obejmowa艂 takie j臋zyki jak francuski, niemiecki, w艂oski i portugalski.

Phishing

Spam zawieraj膮cy odsy艂acze do stron internetowych wynosi艂 艣rednio 1,01%. W pierwszej po艂owie roku phisherzy byli o wiele bardziej aktywni ni偶 w drugiej po艂owie (odpowiednio 1,32% i 0,7%). Znaczny wzrost liczby atak贸w phishingowych zosta艂 r贸wnie偶 odnotowany w okresie maj-czerwiec 2008 roku.


E-maile zawieraj膮ce odsy艂acze do stron phishingowych w 2008 r.

Pod koniec roku spodziewali艣my si臋 o wiele wi臋kszej aktywno艣ci phisher贸w. By艂oby logiczne, gdyby w 艣wietle kryzysu finansowego dotykaj膮cego setki bank贸w, phisherzy zintensyfikowali swoje ataki na klient贸w bank贸w i wykorzystali do swoich cel贸w pog艂oski o bankructwie i inne. Co wi臋cej, w okresie 艢wi膮t Bo偶ego Narodzenia i Nowego Roku wiele os贸b dokonuje zakup贸w online, jak r贸wnie偶 wysy艂a i otrzymuje 艣wi膮teczne kartki okoliczno艣ciowe. Stwarza to cyberprzest臋pcom wiele mo偶liwo艣ci przeprowadzania atak贸w.

To, 偶e w okresie tym nie zwi臋kszy艂a si臋 drastycznie liczba atak贸w phishingowych, mo偶na wyt艂umaczy膰 zamkni臋ciem serwis贸w hostingowych McColo i Atrivo, wykorzystywanych przez oszust贸w do utrzymywania fa艂szywych stron internetowych oraz jako centra kontroli botnet贸w wykorzystywanych do przeprowadzania masowych atak贸w phishingowych i wysy艂ek spamowych.


G艂贸wne cele atak贸w phishingowych

W 2008 roku najpopularniejszym celem atak贸w phisher贸w by艂 systemem p艂atno艣ci PayPal. To wysokie miejsce na li艣cie phisher贸w wynika z faktu, 偶e coraz wi臋cej u偶ytkownik贸w Internetu dokonuje i otrzymuje p艂atno艣ci przy u偶yciu tego typu zasob贸w. Znacznie mniejszym zainteresowaniem phisher贸w cieszy艂y si臋 poufne dane klient贸w bankowych (w szczeg贸lno艣ci Bank of America and Wachovia). Chase Manhattan Bank sta艂 si臋 celem najwi臋kszego ataku, jaki mia艂 miejsce w listopadzie i grudniu 2008 r.; atak by艂 tak powa偶ny, 偶e Chase znalaz艂 si臋 wysoko na li艣cie g艂贸wnych cel贸w atak贸w phishingowych w 2008 roku.

W 2008 roku ka偶dego miesi膮ca przeprowadzane by艂y ataki na serwis pocztowy Mail.Ru oraz popularne w Rosji portale spo艂eczno艣ciowe. Poza tym cyberprzest臋pcy nadal podejmowali pr贸by kradzie偶y pieni臋dzy od u偶ytkownik贸w Internetu za po艣rednictwem atak贸w phishingowych na system p艂atno艣ci elektronicznych Yandex.

Powinni艣my spodziewa膰 si臋 wzrostu liczby pr贸b kradzie偶y danych u偶ytkownik贸w, gdy偶 botnety, kt贸re ucierpia艂y w wyniku wydarze艅, jakie mia艂y miejsce jesieni膮 2008 roku, zacz臋艂y odzyskiwa膰 swoj膮 "moc". Jest to szczeg贸lnie prawdopodobne w warunkach obecnego kryzysu, kt贸ry mo偶e sprzyja膰 oszustwom. Aby nie sta膰 si臋 ofiar膮 cyberprzest臋pc贸w, nale偶y pami臋ta膰, 偶e 偶aden wiarygodny zas贸b internetowy nie poprosi klient贸w o podanie poufnych informacji na stronie internetowej, do kt贸rej prowadzi艂 odsy艂acz zawarty w wiadomo艣ci e-mail.

Zainfekowane za艂膮czniki i odsy艂acze do zainfekowanych stron internetowych

Dane dotycz膮ce zainfekowanych za艂膮cznik贸w do wiadomo艣ci e-mail zosta艂y zebrane przy u偶yciu Kaspersky Hosted Security, us艂ugi firmy Kaspersky Lab oferowanej klientom w Europie 艢rodkowej, Wielkiej Brytanii, Stanach Zjednoczonych oraz Rosji.

E-maile z zainfekowanymi za艂膮cznikami

Obecnie poczta elektroniczna nie jest ju偶 g艂贸wnym sposobem dostarczania szkodliwego oprogramowania, przez co wi膮偶e si臋 ze znacznie mniejszym ryzykiem infekcji ni偶 w poprzednich latach. Wiadomo艣ci e-mail z zainfekowanymi za艂膮cznikami staj膮 si臋 coraz mniej rozpowszechnione, poniewa偶 spamerzy preferuj膮 wysy艂anie e-maili z odsy艂aczami do zainfekowanych stron.

Mimo znacznego wzrostu (1,81%), jaki mia艂 miejsce w marcu 2008 roku, oraz niewielkiego spadku, jaki nast膮pi艂 nied艂ugo po nim, pod koniec roku odsetek tego typu wiadomo艣ci nadal r贸s艂. W drugiej po艂owie 2008 roku wykryto znacznie wi臋cej wiadomo艣ci z zainfekowanymi za艂膮cznikami (1,12% ruchu pocztowego) ni偶 w pierwszej po艂owie (0,66%). 艢redni odsetek wiadomo艣ci e-mail zawieraj膮cych zainfekowane za艂膮czniki wynosi艂 w 2008 roku 0,89%.


Odsetek wiadomo艣ci e-mail z zainfekowanymi za艂膮cznikami

20 najcz臋艣ciej wykrywanych szkodnik贸w w wiadomo艣ciach e-mail w 2008 r.:

Trojan-Downloader.JS.Iframe.sh 31,07%
Backdoor.Win32.Hijack.e 8,98%
Trojan-Clicker.HTML.Agent.ag 7,73%
Backdoor.Win32.UltimateDefender.tt 4,42%
Trojan-Dropper.Win32.Agent.yzp 2,94%
Trojan-Dropper.Win32.Agent.xgg 2,72%
Worm.Win32.AutoRun.svl 2,02%
Trojan-Downloader.JS.Agent.cye 1,96%
Trojan-Downloader.Win32.Agent.algj 1,60%
Trojan-Downloader.Win32.Agent.afqa 1,52%
Trojan-Spy.Win32.Goldun.axt 1,46%
Trojan-PSW.Win32.Agent.lcc 1,37%
Trojan-Downloader.HTML.Agent.km 1,32%
Trojan-Dropper.Win32.Agent.xql 1,30%
Trojan-Downloader.JS.Agent.ckn 1,22%
Email-Worm.Win32.NetSky.q 1,12%
Trojan-Spy.Win32.Goldun.azl 1,11%
Trojan-Spy.Win32.Goldun.bbg 1,04%
Trojan.Win32.Buzus.hrp 0,98%
Trojan-Spy.Win32.Zbot.fql 0,92%

Po raz pierwszy od czasu opublikowania naszych raport贸w na pierwszym miejscu listy najcz臋艣ciej rozsy艂anych zainfekowanych za艂膮cznik贸w nie znalaz艂 si臋 robak pocztowy. Bezwzgl臋dnym liderem 2008 roku okaza艂 si臋 trojan downloader, lframe.sh, stworzony w j臋zyku programowania JavaScript w celu wykonywania specjalnego kodu potrafi膮cego pobiera膰 i uruchamia膰 inne trojany na komputerach odbiorc贸w wiadomo艣ci.

Poni偶ej przedstawiamy najcz臋艣ciej wykrywane szkodliwe programy pogrupowane ze wzgl臋du na zachowanie:

Trojan-Downloader 39,66%
Backdoor 13,39%
Trojan-PSW 9,09%
Trojan-Spy 8,49%
Trojan-Clicker 8,02%
Trojan-Dropper 7,72%
Worm 3,96%
Exploit 1,96%
Trojan 1,62%
Email-Worm 1,45%

Tabela ta pokazuje radykalne zmiany, jakie zasz艂y w krajobrazie szkodliwego oprogramowania na przestrzeni kilku ostatnich lat. Robak pocztowy, kt贸ry zosta艂 stworzony w taki spos贸b, aby m贸g艂 by膰 rozprzestrzeniany za po艣rednictwem poczty elektronicznej, i stanowi艂 dominuj膮ce zachowanie w latach 2000-2005, znajduje si臋 obecnie na ostatnim miejscu pod wzgl臋dem rozpowszechnienia. Robak ust膮pi艂 miejsca takim zachowaniom, jak trojan downloader, backdoor oraz innym trojanom.

Szkodliwi u偶ytkownicy uciekali si臋 do szeregu najr贸偶niejszych chwyt贸w, aby nak艂oni膰 u偶ytkownik贸w Internetu do odwiedzenia strony lub otwarcia za艂膮cznika zawieraj膮cego szkodliwe oprogramowanie. Jedn膮 z popularniejszych taktyk spamer贸w by艂o dostarczanie szkodliwych program贸w na osobiste konta pocztowe w formie zarchiwizowanego pliku. Niekt贸re z metod wykorzystywanych w celu sk艂onienia u偶ytkownik贸w Internetu do rozpakowania zarchiwizowanego pliku mog膮 by膰 szokuj膮ce.

Na przyk艂ad, angielskoj臋zyczna wiadomo艣膰 e-mail informowa艂a odbiorc臋, 偶e jego lub jej dziecko zosta艂o porwane, i zawiera艂a 偶膮danie wysokiego okupu. W celu obejrzenia zdj臋膰 uprowadzonych dzieci u偶ytkownicy mieli otworzy膰 za艂膮czony plik, kt贸ry w rzeczywisto艣ci zawiera艂 szkodnika: Trojan-Downloader.Win32.Delf.bfc.

We have hijacked your baby Hey We have hijacked your baby but you must pay once to us $50 000. The details we will send later...
We has attached photo of your fume

Rosyjskoj臋zyczny spam zawieraj膮cy zainfekowane za艂膮czniki nie wykorzystywa艂 tak bezlitosnych metod. Zamiast tego spamerzy pr贸bowali wzbudzi膰 zainteresowanie odbiorc贸w, zapraszaj膮c u偶ytkownik贸w do udzia艂u w spotkaniach absolwent贸w.

E-maile z odsy艂aczami do stron internetowych zawieraj膮cych zainfekowane pliki

Najpowszechniejszym sposobem rozprzestrzeniania szkodliwych program贸w w 2008 roku by艂o umieszczanie w wiadomo艣ciach e-mail odsy艂aczy do zainfekowanych stron internetowych. Spamerzy preferowali t臋 taktyk臋 w okresie letnim. Angielskoj臋zyczne wiadomo艣ci e-mail pr贸bowa艂y "oszuka膰" odbiorc贸w, imituj膮c e-maile pochodz膮ce od znanych agencji informacyjnych (takich jak MSNBC i CNN). Ka偶demu u偶ytkownikowi, kt贸ry pr贸bowa艂 przeczyta膰 takiego kontrowersyjnego newsa, ukazywa艂o si臋 okienko informuj膮ce o tym, 偶e jego flash player nie jest aktualny i nale偶y pobra膰 nowy program w postaci pliku .exe. Jednak zamiast uaktualnionej aplikacji w rzeczywisto艣ci pobierany by艂 trojan downloader. Szkodliwe oprogramowanie by艂o r贸wnie偶 umieszczane na zhakowanych stronach internetowych znajduj膮cych si臋 w r贸偶nych strefach domen.

msnbc.com: BREAKING NEWS: London named top literary destination

Find out more at http://breakingnews.msnbc.com
======================================================
See the top news of the day at MSNBC.com, and the latest from Today Show and NBC Nightly News.

=========================================
This e-mail is never sent unsolicited. You have received this MSNBC Breaking News Newsletter newsletter because you subscribed to it or, someone forwarded it to you.

To remove yourself from the list (or to add yourself to the list if this message was forwarded to you) simply go to

http://www.msnbc.msn.com/id/********, select unsubscribe, enter the email address receiving this message, and click the Go button.

Microsoft Corporation - One Microsoft Way - Redmond, WA 98052 MSN PRIVACY STATEMENT
http://privacy.msn.com

Rosyjskoj臋zyczni spamerzy wykazali si臋 du偶膮 pomys艂owo艣ci膮, utrzymuj膮c, 偶e nazwisko odbiorcy zosta艂o wymienione w pewnym dokumencie, rzekomo opublikowanym w Internecie. Nast臋pnie pr贸bowali zwabi膰 odbiorc臋 do zasobu znajduj膮cego si臋 w domenie .tk, w kt贸rym znajdowa艂 si臋 trojan downloader w postaci pliku .doc.

Inn膮 sztuczk膮 wykorzystywan膮 do zwabienia u偶ytkownik贸w na stron臋 internetow膮 by艂o zapraszanie do bezp艂atnego pobrania oprogramowania - 艂膮cznie z rozwi膮zaniami antywirusowymi. W rzeczywisto艣ci, na komputery ofiar pobiera艂 si臋 jeden z wariant贸w trojana Trojan-PSW.Win32. Zakres oferowanych "us艂ug" obejmowa艂 zar贸wno programy do automatycznego wype艂niania hase艂 i login贸w dla portali spo艂eczno艣ciowych, takich jak www.odnoklassniki.ru, jak r贸wnie偶 najnowszy program antywirusowy, kt贸ry dzia艂a艂 poprawnie tylko wtedy, gdy u偶ytkownik wy艂膮czy艂 aktualn膮 ochron臋 antywirusow膮.

Wiadomo艣ci o intryguj膮cych tematach w stylu nag艂贸wk贸w tabloid贸w zawiera艂y tylko odsy艂acze do stron internetowych. Odbiorcy nie musieli pobiera膰 偶adnych specjalnych program贸w w celu przegl膮dania "news贸w" - program pobiera艂 si臋 automatycznie, po klikni臋ciu przez odbiorc臋 odsy艂acza.

Techniki i taktyki spamer贸w

Spam HTML

Rok 2006 mo偶na nazwa膰 rokiem spamu graficznego, 2007 - rokiem eksperyment贸w z za艂膮cznikami, natomiast 2008 - rokiem spamu HTML. Spamerzy stosowali wiele starych sztuczek, jednak sama koncepcja zosta艂a zrewidowana, tak aby mo偶na by艂o wykorzysta膰 cechy charakterystyczne HTML-a.

Wykorzystywanie losowo wybranych symboli i znak贸w w celu stworzenia tzw. "szumu" jest jedn膮 z popularniejszych taktyk spamer贸w. Tym razem w znacznikach umieszczano losowo wybrane znaki, kt贸re nie s膮 widoczne dla czytelnik贸w. Metoda ta przypomina klasyczn膮 technik臋 "bia艂ego tekstu". Spamerzy dodaj膮 losowo wybrane sekwencje do tekstu przy u偶yciu znacznik贸w HTML, kt贸re wi臋kszo艣膰 klient贸w pocztowych postrzega jako pomocnicze, co oznacza, 偶e nie s膮 one widoczne dla odbiorcy wiadomo艣ci. S膮 to znaczniki komentarzy, znaczniki koloru itd. U偶ytkownikowi zostanie wy艣wietlony tylko tekst reklamowy, kt贸ry stanowi jedynie niewielk膮 cz臋艣膰 wiadomo艣ci e-mail.

E-mail napisany przy u偶yciu znacznik贸w HTML Ten sam e-mail w postaci, jak膮 widzi odbiorca
<html>
<!-- losowa sekwencja liter lub s艂贸w -->
<body>
Hi! <br>
<!-- kolejna losowa sekwencja liter lub s艂贸w -->
Come visit my awesome site <br> <a
href="http://www.spammersite.com">supersite.com</a>
<!-- jeszcze jedna losowa sekwencja liter lub s艂贸w -->
</html>
Hi!
Come visit my awesome site
{adres strony}.com

Spamerzy wykorzystywali r贸wnie偶 pseudo-tekst lub losowo wybrane sekwencje znak贸w w za艂膮cznikach HTML, kt贸re w rzeczywisto艣ci nie by艂y 偶adnymi znacznikami. Wi臋kszo艣膰 klient贸w pocztowych analizuje te "niepoprawne" znaczniki jako b艂膮d i nie wy艣wietla ich odbiorcy.

Zidentyfikowali艣my r贸wnie偶 metod臋, kt贸r膮 w pewnym momencie okre艣lali艣my jako metod臋 “Mona Lisy". Sztuczka ta polega na pokazywaniu u偶ytkownikowi informacji kontaktowych w formie obrazu sk艂adaj膮cego si臋 ze znak贸w i symboli. Wcze艣niej, spamerzy wykorzystywali g艂贸wnie litery i spacje, teraz jednak u偶ywaj膮 kombinacji czarnych i bia艂ych kom贸rek w tabelach HTML.

Poni偶szy przyk艂ad pokazuje adres URL wy艣wietlany w postaci tabeli HTML:

Wiadomo艣膰 ta proponuje odbiorcy, aby na dobry pocz膮tek dnia odwiedzi艂 stron臋 internetow膮 sprzedaj膮c膮 zegarki. Adres strony, 40777.ru, jest obrazem stworzonym z tabeli HTML.

Format tabeli zosta艂 u偶yty w celu rozbicia s艂贸w kluczowych w wiadomo艣ciach e-mail. W ten spos贸b spamerzy pr贸bowali obej艣膰 filtry spamowe:

E-mail wykorzystuj膮cy kod HTML Ten sam e-mail w postaci, jak膮 widzi odbiorca
<table>
<tr>
<td align=right>VI</td>
<td align=left>AGRA</td>
</tr>
<tr>
<td align=right>CIA</td>
<td align=left>LIS</td>
</tr>
</table>
VI AGRA
CIA LIS

Opr贸cz om贸wionych wy偶ej metod spamerzy wykorzystywali nast臋puj膮c膮 "luk臋" w przegl膮darce: symbole wykorzystywane w adresie URL mog膮 by膰 kodowane przy pomocy r贸偶nych metod (16-bit ASCII, 8-bit ASCII, ASCII for HTML itd.). Ponadto, przegl膮darka poprawnie otworzy stron臋, je偶eli zostanie wykorzystany odsy艂acz w e-mailu. Przegl膮darka otworzy w艂a艣ciw膮 stron臋, nawet je偶eli w odsy艂aczu u偶ywany jest inny kod lub odsy艂acz zawiera b艂臋dy.

Na przyk艂ad, narod.ru mo偶e zosta膰 zapisany jako:
%6e%61%72%6f%64%2e%72%75

Lub nawet jako:
narod.ru

Nawet przy dowolnej liczbie zer odsy艂acz “otworzy" stron臋.

Reklama na darmowych serwisach hostingowych

Kolejn膮 popularn膮 technik膮 rozprzestrzeniania spamu w 2008 roku by艂o wykorzystywanie darmowych, publicznych serwis贸w sieciowych. Spamerzy utrzymywali stron臋 internetow膮 (lub przekierowanie do swojej strony) na znanym serwisie hostingowym lub blogowym, do kt贸rych prowadzi艂y odsy艂acze zawarte w wiadomo艣ci spamowej.

Podej艣cie to ma na celu g艂贸wnie omini臋cie filtr贸w, kt贸re opieraj膮 si臋 na reputacji. Spamerzy wykorzystuj膮 r贸wnie偶 fakt, 偶e filtr nie zablokuje ich strony, poniewa偶 odsy艂acz prowadzi do znanego, legalnego serwisu. Spamerzy korzystali z du偶ych serwis贸w hostingowych, takich jak Google Docs, Microsoft SkyDrive, Microsoft Livefilestore i inne.

Wiele darmowych serwis贸w oferowanych przez dostawc贸w poczty elektronicznej oraz innych du偶ych zasob贸w internetowych nie monitoruje zawarto艣ci zbyt dok艂adnie. Nale偶y zauwa偶y膰, 偶e wiele starszych portali hostingowych i blog贸w, dla kt贸rych us艂uga ta jest jedyn膮 lub g艂贸wn膮 funkcj膮 (takich jak LiveJournal i LiveInternet), nie pad艂o ofiar膮 atak贸w spamowych. Najwyra藕niej bezpiecze艅stwo i ochrona przed spamem na takich serwisach s膮 znacznie lepsze ni偶 na nowych serwisach. To w艂a艣nie ze wzgl臋du na dost臋pno艣膰 i brak ochrony spamerzy korzystaj膮 z tych nowych serwis贸w.

Spam wed艂ug kategorii


Spam wed艂ug kategorii w rosyjskim Internecie w 2008 roku

W 2008 roku znacznie zmieni艂 si臋 rozk艂ad kategorii spamu. W ci膮gu roku pojawi艂y si臋 nowe kategorie, zmieni艂y si臋 r贸wnie偶 najbardziej dominuj膮ce kategorie. Wida膰 to wyra藕nie, je偶eli por贸wnamy zmiany, jakie nast膮pi艂y w kategoriach spamu w pierwszej po艂owie roku, ze zmianami, jakie mia艂y miejsce w drugim p贸艂roczu.


Spam wed艂ug kategorii w pierwszej i drugiej po艂owie 2008 r.

Warto zauwa偶y膰, 偶e w drugiej po艂owie 2008 roku ilo艣膰 spamu z kategorii “Inne towary i us艂ugi" zmniejszy艂a si臋 o 6,4%. Kategoria ta odzwierciedla liczb臋 zam贸wie艅 otrzymywanych przez spamer贸w z "realnego" rynku.

W marcu pojawi艂y si臋 rosyjskoj臋zyczne reklamy podrabianych d贸br luksusowych. Kategoria ta od razu znalaz艂a si臋 w艣r贸d trzech najpopularniejszych kategorii spamu. Po osi膮gni臋ciu najwy偶szego poziomu w maju udzia艂 spamu z tej kategorii zacz膮艂 stopniowo spada膰. Spodziewamy si臋 jednak, 偶e ten typ niechcianych wiadomo艣ci znajdzie nisz臋 w艣r贸d rosyjskoj臋zycznego spamu (podobnie jak w艣r贸d angielskoj臋zycznego spamu) i utrzyma si臋 na poziomie 5-6% ca艂ego spamu.


Podrabiane towary luksusowe

W lipcu zacz臋艂a wzrasta膰 liczba rosyjskoj臋zycznych wiadomo艣ci e-mail zawieraj膮cych odsy艂acze do stron pornograficznych. W drugiej po艂owie roku ilo艣膰 spamu z kategorii "tre艣ci dla doros艂ych" zwi臋kszy艂a si臋 o ponad 15%. Spamerzy zarabiaj膮 na takim spamie mi臋dzy innymi poprzez nap臋dzanie ruchu na takich stronach. Dzi臋ki temu gwa艂townemu wzrostowi kategoria ta uplasowa艂a si臋 na pierwszym miejscu, spychaj膮c ni偶ej kategori臋 "Leki oraz produkty i us艂ugi zwi膮zane ze zdrowiem", kt贸ra od d艂u偶szego czasu utrzymywa艂a si臋 na pierwszym miejscu. Spam z kategorii "Tre艣ci dla doros艂ych" utrzyma艂 najwy偶sz膮 pozycj臋 przez trzy miesi膮ce.


Kategorie spamu

W listopadzie zmniejszy艂a si臋 ilo艣膰 spamu z kategorii "Tre艣ci dla doros艂ych", prawdopodobnie w wyniku zamkni臋cia firmy hostingowej McColo oraz trudno艣ci spamer贸w w znalezieniu nowego "domu" dla swoich centr贸w kontroli botnet贸w. Warto zauwa偶y膰, 偶e w tej kategorii spamu dominuj膮 oszustwa. Strony pornograficzne, do kt贸rych s膮 przekierowywani u偶ytkownicy klikaj膮cy zawarte e-mailach odsy艂acze, cz臋sto prosz膮 o wys艂anie wiadomo艣ci tekstowej na kr贸tki numer w celu obejrzenia zawarto艣ci. Mimo 偶e oszu艣ci obiecuj膮, 偶e koszt wiadomo艣ci tekstowej b臋dzie minimalny (5 - 7 rubli), w rzeczywisto艣ci jest on znacznie wy偶szy (oko艂o 300 rubli). Spadek liczby tego typu wiadomo艣ci spamowych mo偶e wynika膰 z faktu, 偶e u偶ytkownicy Internetu zdali sobie spraw臋 z tego oszustwa i przestali chwyta膰 t臋 przyn臋t臋.

Pojawienie si臋 nowych kategorii spamu oraz przeprowadzane od d艂u偶szego czasu masowe wysy艂ki pokazuj膮, 偶e w rosyjskim przemy艣le spamowym dzia艂a kilka g艂贸wnych graczy, kt贸rzy posiadaj膮 zasoby niezb臋dne do przeprowadzania tego typu operacji na du偶膮 skal臋.

Spam a globalne wydarzenia

Wiadomo, 偶e odwo艂ywanie si臋 do globalnych wydarze艅 jest dobrym sposobem sk艂onienia u偶ytkownik贸w Internetu do przeczytania wiadomo艣ci spamowych. W 2008 roku do najwa偶niejszych wydarze艅 wykorzystywanych w spamie nale偶a艂y: Mistrzostwa 艢wiata, ameryka艅skie wybory prezydenckie i oczywi艣cie globalny kryzys finansowy. Interesuj膮ce jest to, 偶e wi臋kszo艣膰 wiadomo艣ci e-mail, kt贸re nawi膮zywa艂y do kryzysu, nie znalaz艂a si臋 w kategorii spamu "Osobiste finanse". Wiadomo艣ci te nie reklamowa艂y specjalnych ofert po偶yczek ani nie promowa艂y projekt贸w typu "wzboga膰 si臋 szybko". Wi臋kszo艣膰 wiadomo艣ci spamowych wykorzystuj膮cych kryzys reklamowa艂o r贸偶ne seminaria na temat tego, jak post臋powa膰 w okresie kryzysu. Ponadto, kryzys stanowi艂 stale powracaj膮cy temat w wielu reklamach r贸偶nych towar贸w i us艂ug.

Innym g艂贸wnym tematem spamu w 2008 roku by艂y wybory prezydenckie w Stanach Zjednoczonych. W czasie kampanii prezydenckiej (jak r贸wnie偶 przed i po niej) spamerzy nawi膮zywali do wybor贸w w celu reklamowania r贸偶nych towar贸w i us艂ug oraz rozprzestrzeniania szkodliwych program贸w. Niemal ka偶dy temat zawiera艂 nazwisko Prezydenta Baracka Obamy. Nawet reklamy Viagry zawiera艂y takie nag艂贸wki, jak "Zwyci臋ska mowa Baracka Obamy". Inny spam reklamowa艂 pami膮tki z wizerunkiem Obamy. Pisali艣my o spamie, kt贸ry w 2005 roku promowa艂 popiersia Putina. W 2008 roku spamerzy oferowali talerze pami膮tkowe z portretem nowego ameryka艅skiego prezydenta.

Wnioski

Globalny kryzys finansowy, kt贸ry dotkn膮艂 prawie wszystkie sektory gospodarki 艣wiatowej, odcisn膮艂 sw贸j 艣lad r贸wnie偶 na cyberprzest臋pczo艣ci. Spadek odnotowa艂y rodzaje spamu bezpo艣rednio zwi膮zane z realn膮 gospodark膮. Spamerzy zacz臋li wykorzystywa膰 technologie, kt贸re mog艂yby im pom贸c szybko zarobi膰 pieni膮dze, takie jak oszuka艅czy spam wykorzystuj膮cy wiadomo艣ci tekstowe oraz zwi臋kszaj膮cy ruch na stronach pornograficznych.

Spadek odsetka spamu reklamuj膮cego towary i us艂ugi 艣wiadczy o r贸wnoczesnym spadku zam贸wie艅 otrzymywanych przez spamer贸w od realnych firm. Jednocze艣nie wzrost liczby "przest臋pczych" atak贸w spamowych wyra藕nie 艣wiadczy o tym, 偶e cyberprzest臋pcy zaczynaj膮 odczuwa膰 spadek dochod贸w i szukaj膮 nowych sposob贸w zarobienia pieni臋dzy.

Trzeba pami臋ta膰, 偶e spam to zjawisko globalne, dlatego zmiany w jego strukturze - nawet przed dotarciem kryzysu do Rosji - mog膮 odzwierciedla膰 stan gospodarki. Je偶eli zwi膮zek mi臋dzy struktur膮 spamu a procesami makroekonomicznymi oka偶e si臋 silny, by膰 mo偶e b臋dziemy w stanie przewidzie膰 koniec kryzysu na podstawie obserwacji trend贸w w spamie.

U偶ytkownicy Internetu powinni pami臋ta膰, 偶e kryzys stworzy艂 odpowiednie warunki do rozwoju phishingu, zw艂aszcza phishingu skierowanego do klient贸w bank贸w i u偶ytkownik贸w system贸w p艂atno艣ci elektronicznej. Je偶eli chodzi o trendy przest臋pcze w spamie, mo偶emy spodziewa膰 si臋 kolejnej fali spamu z kategorii "Tre艣ci dla doros艂ych".

W 2009 roku nie spodziewamy si臋 spadku ilo艣ci spamu; wr臋cz przeciwnie, prawdopodobnie nast膮pi wzrost ilo艣ci spamu przest臋pczego. Co wi臋cej, w obecnych warunkach kryzysu dla wielu firm spam mo偶e stanowi膰 jedyn膮 dost臋pn膮 metod臋 reklamy.

Bior膮c pod uwag臋 niestabilno艣膰 globalnej sytuacji gospodarczej, prognozy te odnosz膮 si臋 do pierwszej po艂owy 2009 roku. Firma Kaspersky Lab nadal b臋dzie 艣ledzi艂a rozw贸j wydarze艅 dotycz膮cych ewolucji spamu.