Maria Namiestnikowa
Ekspert z Kaspersky Lab

• Czerwiec w liczbach
• Spam na Å›wieczniku
• Podsumowanie statystyczne
  • ŹródÅ‚a spamu wg kraju
  • Szkodliwe oprogramowanie w ruchu pocztowym
  • Phishing
  • Spam wg kategorii
• Podsumowanie

 

Czerwiec w liczbach

• Ilość spamu w ruchu e-mail zmniejszyÅ‚a siÄ™ o 1,9 punktu procentowego w porównaniu z majem i wynosiÅ‚a Å›rednio 71,9%
• UdziaÅ‚ wiadomoÅ›ci phishingowych pozostaÅ‚ niezmieniony od maja i stanowiÅ‚ 0,01% caÅ‚ego ruchu pocztowego.
• Szkodliwe pliki zostaÅ‚y wykryte w 3% wszystkich wiadomoÅ›ci e-mail, co w porównaniu z poprzednim miesiÄ…cem stanowi wzrost o 0,2 punktu procentowego

Spam na świeczniku

Nowości w szkodliwym spamie

W naszych raportach spamowych często piszemy o nowych metodach wykorzystywanych przez spamerów w celu rozprzestrzeniania szkodliwego kodu. Już wcześniej wspominaliśmy, że szkodliwy kod jest najbardziej niebezpiecznym i dynamicznym typem spamu. Oszuści często stosują nowe metody socjotechniczne w swoich masowych wysyłkach. Również w czerwcu wzbogacili swój repertuar o nowe sztuczki i jak zwykle postaramy się podpowiedzieć wam, czego należy się wystrzegać.

Wyjazd na wakacje ze szkodliwym kodem

Wiosną przewidywaliśmy, że wraz z początkiem sezonu wakacyjnego wzrośnie ilość spamu z kategorii podróże i turystyka. Eksplozja aktywności związana z tym rodzajem masowych wysyłek zwykle przypada na początek lata. Ku naszemu zaskoczeniu, tym razem reguła nie potwierdziła się. Tego lata spamerzy postawili na dystrybucję szkodliwego kodu.

W marcu pisaliśmy o masowej wysyłce, która imitowała wiadomość wysłaną przez linie lotnicze, zachęcającą użytkowników do przejścia odprawy online na lot US Airways. Technika ta została częściowo zaadoptowana w czerwcu, gdy pojawiły się e-maile zawierające fałszywe potwierdzenia rezerwacji hotelowych. Szkodliwy element znajdował się w załączniku, który rzekomo zawierał szczegóły potwierdzenia.

 

Wydawałoby się, że spamerzy oferują teraz pełny szkodliwy "pakiet turystyczny". Jakość tej masowej wysyłki jest słaba, jednak w samym środku sezonu wakacyjnego wiele osób może paść ofiarą takich oszustów. Dlatego zalecamy wszystkim użytkownikom zachowanie szczególnej ostrożności podczas rezerwacji biletów online. Pamiętaj, że szanujące się firmy nie wysyłają potwierdzeń w archiwum skompresowanym przy użyciu ZIP-a. Ponadto, jeżeli masz wątpliwości co do autentyczności wiadomości e-mail, zawsze możesz skontaktować się z daną firmą, wykorzystując dane kontaktowe podane na jej oficjalnej stronie.

Szkodliwe zdjęcie

Nie tak dawno temu spamerzy aktywnie wykorzystywali następującą sztuczkę socjotechniczną: szkodliwy kod rozprzestrzeniany był w załączniku do wiadomości e-mail zawierającym zdjęcie dziewczyny, która rzekomo chciałaby poznać odbiorcę wiadomości. Dzisiaj sztuczka ta nie jest aż tak popularna, jednak technika maskowania szkodliwego programu przy użyciu zdjęcia nadal jest stosowana przez spamerów. W czerwcu, na przykład, odnotowaliśmy masową wysyłkę, w której odbiorcy grożono procesem sądowym za umieszczanie zdjęć w Internecie bez zgody właściciela. Zdjęcia, o których była mowa, zostały rzekomo załączone do wiadomości e-mail w formie archiwum ZIP.

 

Popularność portali społecznościowych doprowadziła do powstania nowego typu szkodliwego spamu zawierającego fałszywe zdjęcia: wiadomość informuje odbiorcę, że ktoś opublikował jego/jej zdjęcia na portalu społecznościowym. Użytkownik jest zachęcany do obejrzenia zdjęć, albo poprzez kliknięcie odsyłacza, albo pobranie załączonego archiwum.

Inna sztuczka wykorzystująca załączone zdjęcie polega na wysyłaniu fałszywego powiadomienia o mandacie za wykroczenie drogowe. Załącznik do wiadomości zawiera szkodliwe archiwum, jednak odbiorca ma być przekonany, że jest to zestaw zdjęć zrobionych przez kamery monitoringowe. Innym wariantem tego rodzaju spamu jest wiadomość e-mail, która rzekomo została wysłana przez znajomego odbiorcy, zarejestrowanego przez kamery podczas jazdy pod wpływem alkoholu.

GorÄ…ce tematy w czerwcu

Euro spam

Jednym z najgłośniejszych wydarzeń tego miesiąca były trwające przez cały czerwiec Mistrzostwa Europy w Piłce Nożnej. Spamerzy nie mogli nie wykorzystać zainteresowania, jakim cieszyło się Euro, i zaczęli rozprzestrzeniać masowe wysyłki nawiązujące do tego sportowego wydarzenia już na początku roku.

Warto przypomnieć, że "piłkarski" spam rozpoczął się od ofert biletów na Euro. Gdy bilety zostały wyprzedane, spamerzy oferowali mieszkania do wynajęcia lub pokoje hotelowe w miastach, w których rozgrywano mecze. W maju spamerzy zaczęli oferować bilety na transmisje meczy na żywo na dużych ekranach w różnych europejskich miastach. Wiosną w ruchu spamowym zwiększyła się liczba "listów nigeryjskich" obiecujących wygrane na loterii sportowej. W czerwcu spamerzy rozszerzyli zakres swoich ofert o reklamy stron związanych z Euro 2012, łącznie z tymi zawierającymi transmisje meczy online na żywo.

Dzień niepodległości Ameryki

4 lipca Amerykanie celebrują jedno z największych świąt narodowych - Dzień Niepodległości. Tak jak w przypadku każdego dużego święta obchodzonego na zachodniej półkuli, towarzyszy mu fala spamu oferującego podrabiane zegarki oraz inne akcesoria stanowiące propozycje prezentów z tej okazji.

W związku z Dniem Niepodległości pojawiły się również masowe wysyłki reklamujące flagi, które miały pomóc Amerykanom w wyrażeniu swoich uczuć patriotycznych.

 

Podsumowanie statystyczne

Źródła spamu według państwa

Poniżej znajduje się ranking 20 państw, które w maju wysłały najwięcej spamu do Europy i Stanów Zjednoczonych.

 
20 największych źródeł spamu wysyłanego do użytkowników europejskich w czerwcu 2012 r.

W czerwcu udział wszystkich wiadomości spamowych pochodzących z Chin, otrzymanych przez europejskich użytkowników zwiększył się o prawie 50% w porównaniu z poprzednim miesiącem.

Wielka Brytania była jedynym europejskim państwem z majowego rankingu, które nie zaklasyfikowało się do czerwcowej listy Top 20. Wśród czołowych dystrybutorów spamu w regionie europejskim znalazły się dwa inne państwa europejskie - Włochy (1,5%) oraz Niemcy (0,91%).

Ponad połowa całego spamu rozprzestrzenianego w Europie nadal pochodzi z Azji.

Na szczycie rankingu 20 państw, które w czerwcu rozprzestrzeniały spam na terytorium Stanów Zjednoczonych, znalazły się same Stany Zjednoczone. Już drugi miesiąc z rzędu ponad jedna trzecia całego amerykańskiego spamu to "produkt krajowy" i w porównaniu z poprzednim miesiącem państwo to odnotowało wzrost o 5 punktów procentowych.

Jedna czwarta spamu dystrybuowanego na terytorium Stanów Zjednoczonych pochodzi z Azji.

 
20 największych źródeł spamu wysłanego do amerykańskich użytkowników w czerwcu 2012.

Szkodliwe oprogramowanie w ruchu pocztowym

W czerwcu szkodliwe pliki zostały wykryte w 3% wszystkich wiadomości e-mail, co stanowi wzrost o 0,2 punktu procentowego w porównaniu z poprzednim miesiącem.

Rozkład szkodliwych programów wykrytych w poczcie e-mail według państwa

 
Rozkład szkodliwych programów wykrytych w poczcie e-mail według państwa, czerwiec 2012 r.

Przez pięć miesięcy z rzędu Stany Zjednoczone znajdowały się na pierwszym miejscu rankingu państw, w których wykryto najwięcej szkodliwych programów w poczcie e-mail. W czerwcu udział szkodliwych programów wykrytych przez ochronę poczty Kaspersky Lab zmniejszył się o 1,25 punktu procentowego w porównaniu z majem.

Wietnam, który w kwietniu znalazł się na 2 miejscu, a w maju na 4, w czerwcu spadł o kolejne dwa miejsca w rankingu, mimo że udział szkodliwych programów wykrytych w poczcie e-mail w tym kraju nie zmniejszył się znacząco (-0,8 punktu procentowego).

W maju Niemcy niespodziewanie znalazły się na drugim miejscu i utrzymały się na tej pozycji do czerwca - odsetek wszystkich szkodliwych programów wykrytych w tym kraju przez ochronę poczty Kaspersky Lab wynosił 7,2%.

Również Wielka Brytania nie zmieniła swojej pozycji w rankingu: państwo to odpowiadało za 6% wszystkich wykrytych szkodliwych programów.

Udział szkodliwych programów wykrytych przez ochronę poczty Kaspersky Lab w Niemczech i Wielkiej Brytanii zmniejszył się odpowiednio o 2,43 i 2,95 punktów procentowych, podczas gdy udział pozostałych państw wahał się w granicach 2 punktów procentowych w porównaniu z majem.

10 najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem poczty e-mail w czerwcu 2012 r.

 
10 najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem poczty e-mail w czerwcu 2012 r.

W czerwcu lider rankingu, Trojan-Spy.HTML.Fraud.gen, odpowiadał za ponad 10% wszystkich wykrytych szkodliwych programów, co oznacza, że co 10 szkodliwy e-mail zawierał tego trojana, który wykorzystuje technologię spoofingu i występuje w postaci strony HTML. Szkodnik ten jest rozsyłany wraz z wiadomością phishingową zawierającą odsyłacz do fałszywej strony przypominającej stronę znanego banku lub systemu e-płatności, na której użytkownik jest proszony o podanie loginu i hasła.

Na drugim miejscu rankingu uplasował się Packed.Win32.Katusha.o. Pakery z tej rodziny regularnie goszczą w tej liście. Programy te są wykorzystywane do pakowania innych szkodliwych programów (głównie fałszywych antywirusów) w celu uniknięcia wykrycia przez oprogramowanie antywirusowe.

Wśród najczęściej wykrywanych szkodliwych programów nadal dominują robaki pocztowe, co nie jest niespodzianką, biorąc pod uwagę ich niekontrolowany mechanizm samodzielnego rozprzestrzeniania się. Warto wspomnieć, że obecność takich "weteranów" w ruchu spamowym jak Mydoom czy NetSky oznacza, że wiele komputerów nie posiada ochrony w czasie rzeczywistym. Ponadto, wielu użytkowników nadal pobiera i uruchamia szkodliwe załączniki. Zważywszy że szkodniki te są w większości wykrywane w krajach rozwijających się, łatwo przyjąć, że użytkownicy w tych krajach posiadają mniejszą świadomość w zakresie bezpieczeństwa online. Podsumowując, te dwa robaki pocztowe posiadają tylko dwie funkcje - gromadzenie adresów e-mail oraz wysyłanie na nie swoich kopii. Bagle.gt, podobny program, który utrzymuje się w rankingu przez długi czas, oprócz zwykłej funkcjonalności pobiera również szkodliwe programy z internetu.

Trzy nowości na liście Top 10 szkodliwych programów rozprzestrzeniających się za pośrednictwem poczty e-mail w czerwcu należą do rodziny Trojan.Win32.Androm. Szkodniki te zajmowały odpowiednio 4, 5 i 8 miejsce. Po zainstalowaniu się na komputerze szkodniki te zaczynają pobierać inne szkodliwe oprogramowanie z internetu.

Phishing

Odsetek wiadomości phishingowych pozostał niezmieniony w stosunku do maja i wynosił 0,01% całego ruchu pocztowego.

 
Top 100 organizacji, według sfery aktywności, atakowanych przez phisherów w czerwcu 2012 r.
(na podstawie statystyk dotyczących wykrytych szkodliwych programów dostarczonych przez komponent antyphishingowy*)

*Ranking ten jest oparty na statystykach dotyczących wykrytych szkodliwych programów przez komponent antyphishingowy, aktywowany za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.

Wcześniej przewidywaliśmy wzrost udziału liczby ataków na portale społecznościowe oraz sklepy internetowe przy jednoczesnym spadku intensywności ataków na organizacje finansowe. Miało to związek z początkiem letnich wakacji dla szkół i uniwersytetów oraz ogólnie - początkiem sezonu wakacyjnego. W czerwcu obserwujemy zazwyczaj spadek aktywności biznesowej, a uczniowie i studenci spędzają więcej czasu, komunikując się za pośrednictwem portali społecznościowych, grając w gry online oraz dokonując zakupów online.

Zgodnie z przewidywaniami, w czerwcu portale społecznościowe powróciły na pierwsze miejsce w rankingu organizacji najczęściej atakowanych przez phisherów (25,2%). Facebook nadal pozostaje głównym celem takich ataków.

W maju liczba ataków na sklepy internetowe zwiększyła się o 2 punkty procentowe, a w czerwcu utrzymała się na niezmienionym poziomie.

Warto wspomnieć, że w czerwcu Kaspersky Lab znajdował się wśród najczęściej atakowanych producentów IT. Wygląda na to, że niektórzy cyberprzestępcy próbowali uzyskać dostęp do kont naszych użytkowników.

Spam według kategorii

 
Spam według kategorii w czerwcu 2012 r.

W czerwcu udział kategorii "Osobiste finanse" zwiększył się prawie trzykrotnie. Ten niespodziewany wzrost można przypisać dwóm czynnikom. Po pierwsze, mogło to mieć związek z utratą pracy przez wielu ludzi w dobie kryzysu gospodarczego oraz wykorzystywaniem tej sytuacji przez spamerów. Po drugie, w okresie wakacyjnym następuje zwykle spadek aktywności konsumenckiej, w wyniku czego reklama towarów staje się nieopłacalna. W tej sytuacji każdy bezrobotny użytkownik będzie aktywnie korzystał z internetu podczas sezonu wakacyjnego, szukając pracy lub innych możliwości zarobienia pieniędzy, a spamerzy chętnie zaoferują im "pomoc".

Na drugim miejscu znalazła się kategoria "Oszustwa komputerowe". Odbiorcami tego rodzaju spamu byli zarówno bezrobotni użytkownicy jak i studenci, którzy w okresie wakacji aktywnie korzystali z internetu.

Wnioski

Udział spamu w ruchu pocztowym nadal zmniejszał się w czerwcu, przy czym w porównaniu z majem spadek ten wynosił prawie 2 punkty procentowe.

Przyczyną mogą być wahania sezonowe. Należy tu uwzględnić fakt, że wiele "spamujących" komputerów podłączonych do botnetu zostało wyłączonych w czasie, gdy ich właściciele przebywali na wakacjach. Z drugiej strony, można tu również mówić o ogólnej tendencji spadkowej w ilości spamu.

Chcielibyśmy zwrócić uwagę na fakt, że podczas letnich wakacji spamerzy zwykle koncentrują się na dzieciach i uczniach oraz wykorzystywanych przez nich serwisach - portalach społecznościowych oraz sklepach internetowych. Nastolatkowie powinni mieć świadomość zagrożeń, jakie czyhają na nich w internecie. Rodzice powinni zadbać o to, aby ich dzieci posiadały wystarczającą wiedzę na temat bezpieczeństwa IT i nie przekazywali swoich danych dotyczących karty kredytowej podczas zakupów online.

ŹródÅ‚o: Kaspersky Lab