• Daria Gudkowa
• Maria Namiestnikowa
• Jelena Bondarenko

Spam w ruchu pocztowym

W pierwszym kwartale 2010 roku odsetek spamu w ruchu pocztowym wynosił średnio 85,2%. Taki sam udział spamu odnotowaliśmy w całym 2009 roku. W pierwszej połowie marca nastąpił znaczny spadek liczby niechcianych wiadomości. Przyczyną mogło być zdjęcie pod koniec lutego 277 domen należących do botnetu spamerskiego Waledac. Nie należy jednak przeceniać wpływu tego zdarzenia na tak znaczący spadek ilości spamu, ponieważ w przeciwieństwie do McColo, Waledac nie jest najaktywniejszym graczem na rynku spamowym.

We wcześniejszych raportach wspominaliśmy już o powstaniu rynku spamowego. Teraz możemy już mówić o stabilizacji pod względem ilości spamu w ruchu pocztowym - odsetek niechcianych wiadomości praktycznie nie ulega zmianie, wahając się między 84 a 87 procent. Zeszłoroczna tendencja spadkowa w ilości spamu w ruchu pocztowym utrzymuje się również w tym roku, co oznacza, że udział tego typu spamu jest zbliżony do wartości maksymalnej. Najwyższa ilość spamu (90,8%) została zarejestrowana 21 lutego, natomiast najniższa 5 marca (78%).

Źródła spamu

Źródła spamu według regionu

Podobnie jak w zeszłym roku, największym źródłem spamu pozostaje Azja (31,7%). Tuż za nią znajduje się Europa - z regionu tego rozsyłane jest 30,6% spamu. Jeżeli połączymy Rosję z resztą Europy, region ten wyjdzie na prowadzenie (36,6%).

Ilość spamu wysyłanego z Ameryki Południowej zmniejszyła się. W pierwszej połowie 2009 roku wynosiła 15%, dzięki czemu region ten uplasował się na drugim miejscu. Obecnie Ameryka Południowa generuje 10,5% spamu, prawie tyle samo co w 2008 roku (11%).

Jednocześnie wzrosła ilość spamu rozprzestrzenianego z Europy Wschodniej (16,4%). Dynamikę wzrostu ilości spamu rozsyłanego z tego regionu w pierwszym kwartale 2010 roku można łatwo prześledzić:

Źródła spamu według państwa

W rankingu źródeł spamu nie odnotowaliśmy większych zmian - nie wyłonili się niespodziewani liderzy. Stany Zjednoczone utrzymały swoją pozycję na szczycie, podczas gdy Indie i Rosja znalazły się na drugim i trzecim miejscu. Dalsze pozycje zajęły w większości państwa Azji i Europy Wschodniej. Na obecnej liście największych spamerów można znaleźć prawie wszystkie państwa z poprzedniego zestawienia, zmieniły jedynie swoje pozycje.

Sytuacja w Brazylii nieznacznie poprawiła się: państwo to spadło z trzeciego miejsca na szóste. Z zestawienia Top 10 wypadła Turcja i Chiny. W przypadku Chin, przyczyną było wprowadzenie większych restrykcji odnośnie polityki rejestracji domen. Na listę powróciła z kolei Ukraina i Niemcy. W 2008 roku państwa te należały do dziesiątki wiodących dystrybutorów spamu, jednak w 2009 roku nie zdołały utrzymać swoich pozycji.

Należy zauważyć, że język spamu rozprzestrzenianego z danego państwa często nie pokrywa się z oficjalnym językiem tego kraju. Na przykład sporo rosyjskojęzycznego spamu pochodzi z Indii, podczas gdy Brazylia rozprzestrzenia wiele spamu w języku niemieckim, a Niemcy - spam hiszpańskojęzyczny. Dzieje się tak dlatego, że języka spamu nie określa geograficzna lokalizacja adresu IP, ale botnet, do którego należą komputery.

Rozmiar wiadomości spamowych

Spamerzy preferują wysyłanie niewielkich wiadomości e-mail, zwykle nieprzekraczających 1 KB. Wynika to z tego, że takie e-maile zawierają tylko jeden odsyłacz, co utrudnia ich wykrywanie przez filtry ukierunkowane na treść. Ponadto, rozsyłanie takich "lekkich" e-maili wymaga mniej zasobów. Poza tym większość współczesnych użytkowników natychmiast usuwa wiadomość, którą uzna za spam. Dlatego spamerzy próbują skrócić informacje reklamowe do jednej frazy. W ten sposób użytkownik zdąży przeczytać tekst, zanim kliknie przycisk "Usuń". W pierwszym kwartale 2010 roku udział niewielkich wiadomości spamowych wynosił średnio jedną trzecią całkowitej ilości spamu (31,3%). Wiadomości o rozmiarze przekraczającym 50 KB stanowiły zaledwie 2,9% spamu w badanym okresie.

Typy szkodliwych załączników w wiadomościach spamowych

W pierwszym kwartale 2010 roku większość wiadomości e-mail zawierało załączniki w HTML-u. Mniejsze e-maile z załącznikiem HTML-owym mogą zawierać tylko odsyłacz. Wiadomości z załącznikami w formacie JPG zostały znalezione w 8,7% wiadomości spamowych, natomiast wiadomości z załącznikami w formacie gif - w 6,4% wiadomości. Niektóre e-maile zawierały zarówno element jpega jak i gifa: treść wiadomości miała format jpega, podczas gdy formularz rezygnacji z subskrypcji był w formacie gif.

Całkowita ilość spamu graficznego (wiadomości z obrazkami) wynosiła średnio 11,7% wszystkich e-maili spamowych. Większość wiadomości zawierających obrazki została rozesłana w lutym.

Phishing

W pierwszym kwartale 2010 roku odsyłacze do stron phishingowych znaleziono w 0,57% ruchu pocztowego. W styczniu i lutym udział wiadomości phishingowych był prawie taki sam jak w zeszłym roku, natomiast w marcu drastycznie zmniejszył się i wynosił średnio jedynie 0,03% ruchu pocztowego. Spadek ten trudno wyjaśnić, będziemy jednak monitorowali rozwój sytuacji.

Po raz kolejny najpopularniejszym celem phisherów był system PayPal - ponad połowa wszystkich ataków phishingowych w pierwszym kwartale 2010 roku dotyczyła tego systemu płatności. Drugie miejsce, bez niespodzianek, przypadło portalowi eBay (13,3% ataków phishingowych).

Niespodziewanie na czwartym miejscu znalazł się Facebook. Po raz pierwszy, od czasu gdy zaczęliśmy monitorowanie, zaobserwowaliśmy tak ogromną liczbę ataków na portale społecznościowe. Obecnie Facebook jest jednym z najpopularniejszych portali społecznościowych: liczba jego użytkowników wynosi ponad 400 milionów i nieustannie wzrasta. Skradzione konta użytkowników przestępcy mogą wykorzystać do rozprzestrzeniania spamu, wysyłając masowe ilości wiadomości e-mail do właścicieli kont i ich przyjaciół z portalu. Taka metoda rozprzestrzeniania spamu pozwala dotrzeć do ogromnej liczby osób. Ponadto, umożliwia przestępcom wykorzystanie dodatkowych opcji oferowanych przez portale społecznościowe, takich jak możliwość wysyłania różnych zapytań, odsyłaczy do zdjęć i zaproszeń zawierających w załączniku reklamy, zarówno za pośrednictwem portalu jak i na skrzynki odbiorcze użytkowników. Ponadto podczas rejestrowania kont użytkownicy wprowadzają swoje dane (na przykład adresy e-mail), które spamerzy mogą dodać do baz danych.

Ciekawostką jest 25 miejsce, jakie w marcu zajął rosyjski portal społecznościowy VKontakte na liście organizacji najczęściej atakowanych przez phisherów. Portal ten przekroczył granice rosyjskiego Internetu, a jego zasięg nieustannie rozszerza się.

Wiadomości z zainfekowanymi załącznikami

W pierwszym kwartale 2010 roku szkodliwe załączniki zostały wykryte w 0,68% ruchu pocztowego, co oznacza spadek o 0,3% w porównaniu z ostatnim kwartałem 2009 roku.

Poniższy diagram przedstawia geograficzny rozkład prób zainfekowania komputerów użytkowników za pośrednictwem poczty elektronicznej:

Ponad 35% wiadomości otrzymanych przez użytkowników z Niemczech, Wielkiej Brytanii, we Włoszech, Francji i Hiszpanii (tj. w państwach strefy Unii Europejskiej) zawierało zainfekowane załączniki. 7,6% wszystkich zainfekowanych e-maili otrzymali użytkownicy z Japonii, a 13% takich wiadomości wysłano do innych państw azjatyckich, takich jak Tajwan, Indie i Chiny. Prawie 7% szkodliwych wiadomości trafiło do amerykańskich odbiorców.

W pierwszym kwartale 2010 roku lista 10 najpopularniejszych szkodliwych plików wykrytych w ruchu pocztowym wyglądała następująco:

Na pierwszym miejscu znajduje się Packed.Win32.Krap.x. W poprzednim kwartale szkodnik ten uplasował się na czwartym miejscu. Na początku 2010 roku Krap.x był wykrywany w wiadomościach e-mail dwukrotnie częściej niż pod koniec 2009 roku. Nie jest to jedyny paker w rankingu. Packed.Win32.Katusha.j (6 miejsce) jest w rzeczywistości przedstawicielem nowej generacji szkodnika Packed.Win32.Krap.ah, najbardziej rozpowszechnionego programu w zeszłym kwartale.

Krap.ah (Katusha.j) i Krap.x są przeważnie wykorzystywane do pakowania trojana szpiegującego Zbot oraz innych fałszywych programów antywirusowych. Oprócz tego, Krap.x jest programem pakującym dla Iksmasa, robaka pocztowego posiadającego zintegrowaną funkcję kradzieży danych i dystrybucji spamu.

Interesujące jest to, że ponad 55% wszystkich wiadomości e-mail z załącznikiem zawierającym program Packed.Win32.Krap.x zostało wysłanych do krajów rozwiniętych, w tym 16,7% do Japonii, 12,7% do Niemiec i prawie 8% do Stanów Zjednoczonych.

Szkodliwe programy spakowane przy pomocy Krap.x znajdowały się również w mailach oferujących użytkownikom możliwość zainstalowania aktualizacji programu Microsoft Outlook.

Drugie miejsce w rankingu 10 najpopularniejszych szkodliwych programów przypada trojanowi o nazwie Trojan-Spy.HTML.Fraud.gen. Celem tego szkodnika jest gromadzenie danych osobistych i rejestracyjnych użytkowników. W styczniu i marcu 2010 roku szkodnik ten prowadził pod względem szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem poczty elektronicznej.

Na trzecim miejscu znajduje się Trojan-Downloader.Win32.FraudLoad.gmx. Trojan ten pobiera inne szkodliwe programy na komputer użytkownika, łącznie z fałszywymi programami antywirusowymi wykorzystywanymi do wyłudzania pieniędzy. Szkodnik ten był najczęściej wysyłany użytkownikom w państwach, w których oficjalnym językiem jest angielski, takich jak Wielka Brytania, Stany Zjednoczone, Australia i Kanada. Ponad połowa wszystkich wykrytych próbek trojana Trojan-Downloader.Win32.FraudLoad.gmx pochodziła z tych krajów. W marcu Trojan-Downloader.Win32.FraudLoad.gmx był szczególnie rozpowszechniony w fałszywych masowych mailach rzekomo wysyłanych z Facebooka.

Przenoszenie domen spamowych do strefy .ru

W zeszłym roku spamerzy aktywnie wykorzystywali chińskie domeny w celu umieszczania stron reklamujących Viagrę lub zawierających inne rodzaje tradycyjnych ofert spamowych. Wykryliśmy ogromne ilości spamu zawierającego odsyłacze do takich domen. Pod koniec 2009 roku chiński rząd zaostrzył swoją politykę dotyczącą rejestracji domen w Chinach. Spowodowało to znaczny spadek ilości spamu zawierającego odsyłacze do chińskich domen. Niestety, spam nie zniknął, a jedynie domeny spamerów zostały przeniesione ze strefy .cn do .ru.

W wyniku działań władz chińskich w marcu zamknięto dwie największe chińskie firmy rejestrujące domeny: Go Daddy i Network Solutions. Przyczyną było wprowadzenie wymogów zobowiązujących niektórych dostawców adresów IP do przedłożenia władzom chińskim dokumentów i zdjęć potwierdzających ich tożsamość.

Wnioski

Z początkiem 2000 roku udział spamu podwajał się z każdym rokiem: w 2001 roku wynosił 15%, w 2002 roku - 30-40%, w połowie 2003 roku - 50%, a pod koniec 2003 roku 70-80%. Do końca 2004 roku branża spamowa została ukształtowana, od tego czasu udział spamu w ruchu pocztowym zwiększał się w wolniejszym tempie. Następnie w latach 2004-2009 udział spamu wzrósł z 75% do 85%. Przyczyną mogło być pojawienie się nowych platform internetowych wykorzystywanych przez spamerów, takich jak blogi oraz portale społecznościowe.

Chociaż całkowita ilość spamu utrzymuje się na stałym poziomie, liczba wiadomości spamowych różni się w zależności od regionu. Na przykład, w pierwszym kwartale 2010 roku ilość spamu pochodzącego z Ameryki Łacińskiej zmniejszyła się, wzrosła natomiast ilość spamu rozsyłanego z Europy Środkowej i Wschodniej.

Spamerzy nie rozwijają nowych technologii. Nadal wykorzystują małe wiadomości, które można rozsyłać szybko i w dużych ilościach

Oszuści i twórcy wirusów aktywnie wykorzystują technologie spamowe, przy czym ci ostatni korzystają z portali społecznościowych do rozprzestrzeniania swoich szkodliwych programów.

Gdy pod koniec 2009 roku chiński rząd zaostrzył politykę dotyczącą rejestracji nazw domen, zawartość spamowa została przeniesiona ze strefy .cn do .ru. Gdyby organy ścigania, zarówno na świecie jak i w Rosji, bardziej aktywnie zajmowały się zwalczaniem tego problemu, byłoby znacznie mniej negatywnych incydentów związanych ze spamem.

Źródło: Kaspersky Lab