Maria Namiestnikowa
Ekspert z Kaspersky Lab

• WrzesieÅ„ w liczbach
• Spam na Å›wieczniku
  • OszukaÅ„czy spam
  • ÅšwiÄ™ta... już nadchodzÄ…?
  • GorÄ…ce tematy spamowe
• Podsumowanie statystyczne
  • ŹródÅ‚a spamu wedÅ‚ug paÅ„stwa
  • Szkodliwe oprogramowanie w ruchu pocztowym
  • Phishing
  • Spam wedÅ‚ug kategorii
• Podsumowanie

Wrzesień w liczbach

• Odsetek spamu w ruchu pocztowym zwiÄ™kszyÅ‚ siÄ™ o 2,3 punktu procentowego w stosunku do sierpnia i wynosiÅ‚ Å›rednio 72,5%.
• Odsetek wiadomoÅ›ci phishingowych wzrósÅ‚ trzykrotnie w porównaniu z sierpniem i wynosiÅ‚ 0,03%.
• We wrzeÅ›niu szkodliwe pliki zostaÅ‚y wykryte w 3,4% wszystkich wiadomoÅ›ci e-mail, co stanowi spadek o 0,5 punktu procentowego w stosunku do poprzedniego miesiÄ…ca.

Spam na świeczniku

Oszukańczy spam

W porównaniu z sierpniowym spamem pojawiło się mniej szkodliwych i oszukańczych wysyłek, odnotowano jednak oszukańcze wiadomości, które wykorzystywały nowe metody socjotechniczne.

 

Oszustwa wykorzystujÄ…ce temat ropy i gazu

Tradycyjne oszukańcze e-maile obiecujące fałszywe wygrane na loterii zaczęły wykorzystywać nazwę rosyjskiego giganta gazowego Gazprom (przykład 1). W czystym tekście wiadomości znajdowały się gratulacje z okazji wygrania 920 000 dolarów oraz sugestia, aby zadzwonić pod określony numer w celu odebrania nagrody. Powszechną praktyką stosowaną przez oszustów jest domaganie się prowizji w celu pokrycia kosztów przelewu pieniędzy, który w rzeczywistości nigdy nie zostaje dokonany. Co ciekawe, mimo że wiadomość odnosi się do rosyjskiej firmy, jest w napisana w języku angielskim.

Gazprom nie był jedyną rosyjską firmą, która została bohaterem oszukańczego spamu we wrześniu. Również Lukoil został uznany przez oszustów za wystarczająco atrakcyjną firmę, aby wykorzystać ją jako przynętę, przy czym typowa wiadomość oferowała dobrze płatną pracę dla Lukoil. Bez wątpienia nazwa tej firmy została użyta po to, aby oferta brzmiała bardziej wiarygodnie. Jednak prawdziwym celem spamerów było wciągnięcie użytkowników, często bez ich wiedzy, w nielegalne programy zarabiania pieniędzy. "Praca" polegała głównie na przelewaniu pieniędzy od "pracodawców" na konta użytkowników, a dalej na konta osób trzecich. Użytkowników przekonywano, że są to transakcje dokonywane w sklepach internetowych, w rzeczywistości jednak pomagali w przelewie gotówki ze skradzionych lub złamanych kart bankowych.

Co ciekawe, obie wiadomości e-mail posiadały domenę mail.com w polu "Od", co sugeruje, że źródło wysyłek mogło być to samo. Świadczy to również o tym, że spamer pochodzi z byłego Związku Socjalistycznych Republik Radzieckich, ponieważ w obu wiadomościach wykorzystał nazwy rosyjskich firm.

Spamerzy lubią maskować swoje wiadomości e-mail za pomocą znanych marek lub nazw, aby uzyskać jak największy odzew na swoją wysyłkę. Jednak tego rodzaju praktyka nie czyni wiadomości spamowej mniej niebezpieczną.

Michelle Obama a Asma al-Assad

Rysunek 4 stanowi kolejne potwierdzenie, że spamerzy wykorzystują nazwiska i reputację znanych osób w celu osiągnięcia swoich oszukańczych celów. Wiadomość e-mail została rzekomo napisana w imieniu Michelle Obamy, żony prezydenta Stanów Zjednoczonych, która powiadamia odbiorcę o przyznaniu środków z funduszu Białego Domu.

Ten niczym niewyróżniający się e-mail przykuł naszą uwagę ze względu na osobę Michelle Obamy. Interesujące jest to, że spamerzy mierzą popularne opinie na temat różnych znanych osobistości. Na przykład, od kwietnia ruch spamowy zawierał wiadomości e-mail od Asmy al-Assad, żony syryjskiego przywódcy Bashara al-Assada. Jednak w tym przypadku, użytkownikom oferowano niewiarygodnie duże sumy pieniędzy, które należało pilnie ukryć za granicą. Spamerzy zdają sobie sprawę, jak dziwnie musiałoby to brzmieć, gdyby członek rodziny amerykańskiego prezydenta próbował szmuglować podejrzane pieniądze, jednak środki z funduszu zarządzanego przez pierwszą damę nie powinny nikogo zaskoczyć. Jeżeli chodzi o żonę syryjskiego prezydenta, użytkownicy mogliby podejrzewać pułapkę, gdyby zaoferowano im pomoc charytatywną od upadłego reżimu, nie zdziwiłyby ich natomiast próby ucieczki ze skradzionymi pieniędzmi.

Sam nadawca wiadomości robi wrażenie: World Wide Web Owner. Zgadza się, ta mityczna istota, właściciel całego Internetu, wysyła nam e-maile, i co więcej - z domeny pocztowej .ru. W wiadomości czytamy, że właściciel pisze w imieniu Michelle Obamy. Można również zauważyć skrzynkę pocztową "Michelle" w polu Nadawca: przede wszystkim rozpoczyna się nazwą "missnadia", którą można rozwinąć do Miss Nadia. Trudno wyobrazić sobie, żeby Michelle Obama wybrałaby tak dziwny przydomek dla swojej skrzynki pocztowej. Równie ciężko wyjaśnić, dlaczego ta skrzynka pocztowa jest zarejestrowana na Yahoo w Chinach. Poza tym z pewnością każdy uznałby za dziwne to, że pierwsza dama Ameryki wysyła oficjalne e-maile z tak nietypowego adresu e-mail.

Historii kuponowej część dalsza

Tak jak spodziewaliśmy się, kupony zyskują coraz większą popularność wśród cyberprzestępców. We wrześniu odnotowaliśmy masowe wysyłki zawierające odsyłacze do zainfekowanych stron oferujących kupony (przykład 5). Wiadomości stanowiły udaną imitację legalnych wysyłek z Groupona. Jedynym słabym punktem było pole "nadawca", które nie miało nic wspólnego z serwisem kuponowym.

Święta... już nadchodzą?

Wysyłki bożonarodzeniowe tradycyjnie rozpoczynają się w październiku. Pierwsze wiadomości zazwyczaj pisane są po angielsku, niemiecku i w innych europejskich językach. W tym roku jednak odnotowaliśmy wyjątek od tej reguły. We wrześniu otrzymaliśmy pierwszą wysyłkę noworoczną, która była w języku rosyjskim. Wiadomość, wysłana z adresu w Kijowie, zawierała zaproszenie na noworoczne przyjęcie dla dzieci w Moskwie.

GorÄ…ce tematy spamowe

We wrześniu umieszczony w serwisie YouTube film "The Innocence of Muslims" wywołał ogromną kontrowersję. Film ten doprowadził nawet do zablokowania YouTube'a w niektórych regionach Rosji.

Film ten był aktywnie rozprzestrzeniany, w tym również za pośrednictwem wiadomości spamowych. Przewidywaliśmy pojawienie się odsyłaczy do zainfekowanych stron pod przykrywką linku do filmu. Wbrew naszym oczekiwaniom, w zarejestrowanych masowych wysyłkach nie odkryliśmy żadnego szkodliwego kodu czy niebezpiecznego odsyłacza.

 

Trzeba również zauważyć, że wszystkie e-maile były w języku angielskim.

Podsumowanie statystyczne

Źródła spamu według państwa

Poniżej znajduje się ranking Top 20 państw, które we wrześniu wysłały najwięcej spamu do Europy.

 
Top 20 źródeł spamu wysyłanego do użytkowników europejskich we wrześniu 2012 r.

Państwa znajdujące się w sierpniu na drugim i trzecim miejscu listy największych dystrybutorów spamu do europejskich użytkowników zamieniły się miejscami we wrześniu - Stany Zjednoczone awansowały o jedną pozycję (+1,8 punktu procentowego), podczas gdy Indie spadły na trzecie miejsce (-1,1 punktu procentowego). Spadek odnotowały również Korea Południowa i Wietnam: miesiąc wcześniej znajdowały się w pierwszej szóstce spamerów; we wrześniu jednak spadły odpowiednio na 12 i 14 miejsce. Najbardziej znaczący wzrost dystrybucji spamu pochodził z Hiszpanii (+2,9 punktu procentowego) i Wielkiej Brytanii (+1,8 punktu procentowego).

Pod względem globalnej dystrybucji spamu Chiny utrzymały prowadzenie, odpowiadając za 26,4% całego dystrybuowanego spamu. Na drugim miejscu znalazły się Stany Zjednoczone (12,5%) oraz Indie (10,1%).

 
Top 20 źródeł spamu pod względem globalnej dystrybucji niechcianych wiadomości we wrześniu 2012 r.

W przeciwieństwie do Europy, globalna dziesiątka największych spamerów zawierała zarówno Wietnam jak i Koreę Południową. Ogólnie, rozkład źródeł spamowych charakteryzuje się bardziej równomiernym rozłożeniem w globalnej tabeli, jednak Chiny pozostają wyraźnym liderem w obu rankingach.

Szkodliwe oprogramowanie w ruchu pocztowym

We wrześniu szkodliwe pliki zostały znalezione w 3,4% wszystkich wiadomości e-mail, co stanowi spadek o 0,5 punktu procentowego w porównaniu z poprzednim miesiącem.

Rozkład szkodliwego oprogramowania wykrytego w poczcie e-mail według państwa

 
Rozkład szkodliwego oprogramowania wykrytego w poczcie e-mail według państwa, wrzesień 2012 r.

We wrześniu miały miejsce duże zmiany w rozkładzie szkodliwego oprogramowania wykrywanego w poczcie e-mail. Stany Zjednoczone, które prowadziły w rankingu przez osiem miesięcy z rzędu, niespodziewanie spadły na ósme miejsce: udział szkodliwych programów wykrytych przez moduł ochrony poczty rozwiązania firmy Kaspersky Lab w tym państwie zmniejszył się o 6,9 punktu procentowego w porównaniu z sierpniem. Jednocześnie Niemcy odnotowały 6% wzrost liczby szkodliwych programów wykrytych w poczcie e-mail, co zapewniło im prowadzenie. Hiszpania, która we wrześniowym rankingu uplasowała się na drugim miejscu, zwiększyła swój udział o ponad 4 punkty procentowe. Na trzecim miejscu znalazła się Rosja, która odnotowała znaczący wzrost (5,4 punktu procentowego) liczby szkodliwych programów wykrytych w poczcie e-mail. W Indiach udział szkodliwego oprogramowania wykrytego w poczcie e-mail zwiększył się o prawie 2 punkty procentowe, podczas gdy Wielka Brytania odnotowała spadek.

Udział pozostałych państw wahał się w granicach 1,5 punktu procentowego w porównaniu z sierpniem.

Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej we wrześniu 2012 r.

 
Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail we wrześniu 2012 r.

We wrześniu długotrwały lider Trojan-Spy.HTML.Fraud.gen w końcu opuścił piedestał, odnotowując tak drastyczny spadek, że nawet wypadł z pierwszej 10 najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail.

Pierwsze miejsce zajął Backdoor.Win32.Androm.kv. W ścisłej 10 znalazł się również inny program z tej rodziny - modyfikacja Androm.ib, która uplasowała się na szóstym miejscu. Szkodliwe programy z tej rodziny zaklasyfikowały się do pierwszej 10 również w czerwcu i pozostały popularne przez całe lato. Programy te, po zainstalowaniu na komputerze użytkownika, zaczynają pobierać inne szkodniki łącznie z botami spamowymi.

Na drugim, trzecim i czwartym miejscu pojawiły się odpowiednio Email-Worm.Win32.Bagle.gt, Email-Worm.Mydoom.m i Mydoom.l. Podsumowując, dwa ostatnie robaki pocztowe posiadają tylko dwie funkcje - przechwytywanie adresów e-mail i wysyłanie na nie swoich kopii. Tylko Bagle.gt posiada dodatkową funkcjonalność pozwalającą mu pobierać inne szkodliwe programy.

Cztery programy w rankingu należą do rodziny trojanów wyłudzających okup. Win32.PornoAsset to oprogramowanie ransomware, które blokuje system operacyjny i żąda zapłaty za odblokowanie go. Należy jednak pamiętać, że nawet po zapłaceniu "okupu" system nie zostanie odblokowany: dlatego ważne jest, aby użytkownik nie dał się nabrać spamerom. Lepiej poprosić o pomoc specjalistów, którzy wyjaśnią, jak naprawić system.

Phishing

Odsetek wiadomości phishingowych zwiększył się trzykrotnie w porównaniu z sierpniem i wynosił 0,03%.

 
Top 100 organizacji, według sfery aktywności, które stały się celem phisherów we wrześniu 2012
(na podstawie wykryć modułu antyphishingowego wbudowanego w produkty Kaspersky Lab*)

*Ranking ten jest oparty na statystykach wykrywania dostarczonych przez moduł antyphishingowy wbudowany w produkty Kaspersky Lab, aktywowany za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.

Wbrew naszym oczekiwaniom, we wrześniu nie zmniejszyła się liczba ataków na portale społecznościowe. Kategoria ta jest wciąż popularna wśród phisherów, a udział ataków na nie wzrósł, aczkolwiek o zaledwie 0,1 punktu procentowego. Z kolei rzadziej atakowane były organizacje finansowe (-3,6 punktu procentowego) - co również nie zgadzało się z naszymi prognozami. Spadek ten został najprawdopodobniej częściowo spowodowany działaniami banków i organizacji finansowych mającymi na celu ochronę swoich klientów oraz wprowadzenie dodatkowych technologii zabezpieczeń i autoryzacji.

Spam według kategorii

 
Spam według kategorii we wrześniu 2012 r.

We wrześniu kategoria "osobiste finanse" odnotowała spadek o dalsze 20 punktów procentowych, zajmując drugie miejsce w ogólnej klasyfikacji. Większość e-maili w tym sektorze zawiera oferty podejrzanych programów zarabiania pieniędzy.

Na pierwszym miejscu znalazły się we wrześniu oszukańcze wiadomości e-mail, których udział zwiększył się o 36 punktów procentowych. Jednocześnie udział spamu farmaceutycznego zmniejszył się o 14 punktów procentowych.

Wnioski

We wrześniu - tak jak przewidywaliśmy - liczba szkodliwych i oszukańczych wiadomości w ruchu spamowym uległa spadkowi wraz z końcem sezonu wakacyjnego. Jednocześnie miał miejsce wzrost aktywności biznesowej i spamerzy otrzymywali więcej zleceń od małych i średnich firm. Szkodliwe pliki zostały znalezione w 3,4% wszystkich wiadomości e-mail, co stanowi spadek o 0,5 punktu procentowego w porównaniu z poprzednim miesiącem. Jednocześnie ruch spamowy zawierał oszukańcze wysyłki wykorzystujące nowe metody socjotechniczne.

We wrześniu odnotowaliśmy pierwszą masową wysyłkę związaną z Nowym Rokiem. Zwykle pojawiają się one w październiku, jednak ten rok stanowił wyjątek. W nadchodzących miesiącach udział takich wiadomości e-mail wzrośnie, a oferty bożonarodzeniowe i noworoczne staną się bardziej zróżnicowane.

We wrześniu nastąpiły znaczne zmiany w rankingu państw z największym odsetkiem szkodliwego oprogramowania wykrywanego w poczcie e-mail. Stany Zjednoczone, które prowadziły w tym rankingu przez osiem miesięcy z rzędu, odnotowały niespodziewany i raczej gwałtowny spadek: udział szkodliwych programów wykrytych przez moduł ochrony poczty w tym państwie zmniejszył się o 6,9 punktów procentowych w porównaniu z sierpniem. Duże zmiany zostały również odnotowane w rankingu programów najczęściej wykrywanych przez moduł spamowy: długotrwały lider Trojan-Spy.HTML.Fraud.gen nie tylko utracił pierwsze miejsce, ale w ogóle całkowicie wypadł z pierwszej dziesiątki najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail.

We wrześniu rozkład ataków phishingowych według kategorii odnotował kilka niespodzianek: udział ataków na portale społecznościowe nie wykazał żadnych oznak spadku, a organizacje finansowe były atakowane rzadziej. Przynajmniej częściowo wynika to ze zwiększonych wysiłków banków i organizacji finansowych ukierunkowanych na wprowadzenie usprawnionych technologii ochrony i autoryzacji dla swoich klientów. Jednak spadek ten równie dobrze może być krótkotrwały, ponieważ skuteczne ataki phishingowe na konta bankowe stanowią najbardziej lukratywne źródło przychodów cyberprzestępców.

ŹródÅ‚o: Kaspersky Lab