Spis treści

• Maj w liczbach
• Spam na świeczniku
  • Microsoft na celowniku spamerów
  • Majowy spam "świąteczny"
• Rozkład geograficzny źródeł spamu
• Szkodliwe załączniki w wiadomościach e-mail
  • Specjalne cechy szkodliwego spamu
• Phishing
• Podsumowanie 

Maj w liczbach  

• Odsetek spamu w ruchu pocztowym w maju zmniejszył się o 2,5 punktu procentowego i wynosił średnio 69,7%.  
• Odsetek wiadomości phishingowych zwiększył się nieznacznie w stosunku do kwietnia i wynosił średnio 0,0024%.
• Szkodliwe załączniki zostały zidentyfikowane w 2,8% wiadomości e-mail, co stanowi wzrost o 0,4% w porównaniu z poprzednim miesiącem.   

Spam na świeczniku

Maj okazał się dość zróżnicowany pod względem aktywności spamerów. W oszukańczych i reklamowych wiadomościach e-mail spamerzy aktywnie żerowali na znanych osobach i firmach. Zmniejszyła się ilość spamu związanego z wakacjami, nadal jednak trafialiśmy na niechciane wiadomości wykorzystujące Dzień Matki i amerykański Dzień Pamięci.   

Microsoft na celowniku spamerów

W maju spamerzy zorganizowali wysyłkę phishingową, w której imitowali wiadomości pochodzące z działu obsługi i wsparcia klientów Microsoftu. Wiadomości te, które na pierwszy rzut oka wyglądają, jakby pochodziły z domeny microsoft.com, informowały o mającym nastąpić zawieszeniu "Microsoft Window Records" ze względu na brak aktualizacji rzekomo zalecanych we wcześniejszych wiadomościach. Aby nie dopuścić do tego, odbiorcom polecano jak najszybciej kliknąć zawarty w e-mailu odsyłacz. Użytkownicy, którzy dali się złapać na to oszustwo, zostali przekierowani na stronę phishingową stworzoną w celu kradzieży pieniędzy.    

Spostrzegawczy czytelnik zauważyłby z pewnością, że nazwa systemu operacyjnego w e-mailu brzmi Microsoft Window, a więc brakuje litery "s" na końcu. Ponadto, w wiadomości użyto symboli "=" w celu złamania tekstu i zabrakło odsyłacza do oficjalnej strony firmy oraz danych kontaktowych działu obsługi i wsparcia klientów - coś takiego nie miałoby miejsca, gdyby wiadomość ta rzeczywiście pochodziła od tego nadawcy.

Trafiliśmy również na fałszywe powiadomienia o wygranych w nieistniejącej loterii, która została rzekomo zorganizowana przez firmę Microsoft. Zwycięzcą był oczywiście odbiorca. Każdy odbiorca :)

W niektórych wiadomościach oszuści wysyłali powiadomienie o wygranej na loterii i prosili odbiorców o skontaktowanie się z nimi w celu uzyskania dalszych informacji, w innych natomiast obiecywali ogromne pieniądze i prosili o wpłacenie niewielkiej kwoty na pokrycie kosztów operacyjnych. 

Majowy spam "świąteczny"

W maju spamerzy nadal wykorzystywali temat Dnia Matki - który w Stanach Zjednoczonych tradycyjnie obchodzony jest w drugą niedzielę maja - wysyłając reklamy kwiatów, czekoladek i podrabianych produktów znanych projektantów. Warto zauważyć, że Dzień Matki jest drugim pod względem popularności świętem, zaraz po walentynkach, jeżeli chodzi o wysyłki spamowe i ilość spamu wysyłanego za pośrednictwem "kwiatowych" programów partnerskich znacząco wzrasta w poprzedzających to święto dniach i tygodniach. W większości takich wysyłek wykorzystywany jest specjalny szablon, w którym zmienia się jedynie zdjęcie kwiatów i nazwa święta, do którego nawiązuje wiadomość spamowa.  

W ostatni poniedziałek maja w Stanach Zjednoczonych obchodzi się Dzień Pamięci - narodowe święto upamiętniające osoby, które poległy podczas służby wojskowej. W tym roku święto to było powiązane z wiadomościami spamowymi zawierającymi reklamy internetowych wyprzedaży samochodów. Należy zauważyć, że nawet te niewinnie wyglądające wiadomości spamowe mogą być wykorzystywane do przechwytywania danych osobistych, w tym szczegółów dotyczących płatności bankowych. Ponadto wykryliśmy wysyłkę z ofertą zakupu "Like'ów" na Facebooku, która również była związana z Dniem Pamięci.      

Rozkład geograficzny źródeł spamu

W maju trójka największych źródeł spamu na świecie nie odnotowała żadnych zmian. Na pierwszym miejscu utrzymały się Chiny, które odpowiadały za 21,4% całego rozprzestrzenianego spamu, co stanowi spadek o 2,5 punktu procentowego.    

Źródła spamu na świecie według państwa

Udział spamu wysyłanego ze Stanów Zjednoczonych to 16,3%, co pozwoliło temu państwu zachować drugie miejsce w rankingu. W maju wkład Korei Południowej do globalnego spamu nadal zwiększał się i wyniósł 12%. Łącznie, te trzy państwa wygenerowały prawie połowę globalnego spamu.    

W pierwszej piątce pozostały Tajwan (5,9%) oraz Wietnam (5%). Ukraina uplasowała się na 6 miejscu, odpowiadając za 4,8% całkowitej dystrybucji spamu. Kazachstan (4,3%) awansował o jedną pozycję w stosunku do ósmego miejsca w kwietniu, zwiększając swój udział w globalnym przepływie spamu o prawie jeden punkt procentowy. Rosja (2,2%) odnotowała spadek o 1,1 punktu procentowego i znalazła się na 10 miejscu.          

Największy wzrost w maju odnotowała Kanada, która awansowała z 20 miejsca w rankingu na 11, a jej wkład w całkowitym rozprzestrzenionym spamie wynosił 1,8%, o 1 punkt procentowy więcej niż w poprzednim miesiącu.

Źródła spamu w Europie według państwa

Korea Południowa pozostała głównym źródłem spamu wysyłanego do użytkowników europejskich w maju (45,7%): jej udział wzrósł o 2,3 punktu procentowego. Stany Zjednoczone utrzymały drugie miejsce (5,8%), chociaż ich udział zmniejszył się o 0,9 punktu procentowego. Podobnie jak w zeszłym miesiącu, na trzecim miejscu znalazł się Wietnam, z którego wysłano 5,8% niechcianych wiadomości do użytkowników europejskich, co stanowi wzrost o 0,6 punktu procentowego.           

Z kolei udział Chin zmniejszył się o 1,1 punktu procentowego, przez co państwo to spadło z 5 pozycji w rankingu na 8. Wkład Niemiec pozostał niezmieniony i wynosił 1,2%, jednak ze względu na wahania w przepływie spamu z innych państw kraj ten spadł z 13 miejsca na 16.    

Źródła spamu według regionu

Azja (56,1%) pozostała czołowym źródłem spamu według regionu: w maju jej udział zwiększył się o 0,4 punktu procentowego w porównaniu z poprzednimi miesiącami. Podobnie jak w kwietniu, w pierwszej trójce znalazła się również Ameryka Północna (18,1%) i Europa Wschodnia (14,6%).   

Szkodliwe załączniki w wiadomościach e-mail

W maju szkodliwe załączniki zostały wykryte w 2,8% wiadomości e-mail, co stanowi wzrost o 0,4 punktu procentowego w stosunku do kwietnia.  

10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem poczty e-mail w maju 2013

W maju najbardziej rozpowszechnionym szkodliwym programem pozostał Trojan-Spy.html.Fraud.gen. Szkodnik ten jest wykorzystywany na stronach HTML podszywających się pod formularze rejestracyjne znanych banków lub systemów e-płatności i kradnie dane uwierzytelniające użytkowników do systemów bankowości online. 

Przedstawiciele rodziny ZeuS/Zbot zajęli 2, 3, 8 i 9 pozycje w majowym rankingu. Trojan ten był bardzo popularny w latach 2009-2010, jednak w ostatnim czasie nie należy do najbardziej rozpowszechnionych szkodliwych programów. Celem tego szkodnika są poufne informacje użytkowników, w tym dane uwierzytelniające karty kredytowe. Udział tego trojana w majowym rankingu wynosił 26,2%.   

Co ciekawe, na piątym miejscu w majowym rankingu Top 10 pojawił się Exploit.MSWord.Agent.di. Exploity rzadko są rozprzestrzeniane za pośrednictwem złączników do wiadomości e-mail, ponieważ ich autorzy preferują odsyłacze w wiadomościach spamowych przekierowujących ofiary do szkodliwych stron, z których na ich komputery pobierane są bez ich wiedzy exploity. Exploit.MSWord.Agent.di stosuje inną taktykę: rozprzestrzenia dokument Microsoft Word ze szkodliwym kodem wykorzystując lukę CVE-2012-0158 w celu zainfekowania komputera.      

Nowość w rankingu Top10 stanowił backdoor Worm.Win32.Luder.anmw. Szkodnik ten ma na celu przejęcie ukradkiem kontroli nad komputerem. W pierwszej dziesiątce znalazł się również backdoor z rodziny Androm, który został zauważony w zeszłym miesiącu, oraz oprogramowanie szpiegujące z rodziny Tepfer.  

Rozkład wykryć szkodliwego oprogramowania w poczcie e-mail według państwa

Stany Zjednoczone pozostają państwem, które jest najczęstszym celem szkodliwych wiadomości e-mail. Ich udział zwiększył się o 1,8 punktu procentowego w porównaniu z kwietniem i wynosił 14,2%. Niemcy pozostały na 2 miejscu (9,5%), chociaż ich udział zmniejszył się o 1,2 punktu procentowego. Na trzeciej pozycji uplasowała się Wielka Brytania.       

W maju Chiny i Rosja zostały zamienione w pierwszej dziesiątce przez Hong Kong (2,9%) i Kanadę (2,5%).  

W badanym miesiącu udział Rosji wyniósł 2,2% wszystkich wykryć szkodliwego oprogramowania w spamie.  

Specjalne cechy szkodliwego spamu

W maju popularnością cieszyły się fałszywe wiadomości wysyłane w imieniu znanych sklepów internetowych. Przed wakacjami otrzymaliśmy masową wysyłkę imitującą oficjalne powiadomienia ze sklepu internetowego Amazon. Oszuści dziękowali odbiorcy za nieistniejące zamówienie i zachęcali do wprowadzenia zmian do zamówienia lub śledzenia jego statusu poprzez odwiedzenie firmowej strony internetowej lub kliknięcie zawartego w e-mailu odsyłacza. Odsyłacze te w rzeczywistości prowadziły do oficjalnego sklepu internetowego, a nie do stron phishingowych czy szkodliwych plików. Jednak w tej samej wiadomości napisano, że w załączniku można znaleźć dodatkowe informacje dotyczące zamówienia. Informacja ta została podkreślona na niebiesko, aby użytkownik mógł łatwo ją zauważyć. W przeciwieństwie do wielu podobnych wiadomości, spamerzy nie straszyli odbiorcy anulowaniem zamówienia, aby skłonić go do otwarcia załącznika. Zamiast tego załączyli informacje o warunkach związanych z anulowaniem zamówienia.        

Załączone archiwum Your Order Details with Amazon.zip zawierało plik wykonywalny Your Order Details with Amazon.PDF.exe wykrywany przez Kaspersky Lab jako Backdoor.Win32.Androm.qp. W maju jeden ze szkodliwych programów z tej rodziny znajdował się na siódmym miejscu listy najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem poczty e-mail, w kwietniu natomiast program należący do tej rodziny uplasował się w pierwszej trójce. Po przedostaniu się na komputer ofiary Backdoor.Win32.Androm potrafi między innymi pobierać inne szkodliwe pliki, wysyłać różne informacje z zainfekowanego komputera lub przyłączać go do botnetu bez wiedzy użytkownika.

W maju spamerzy nadal wysyłali szkodliwe fałszywe powiadomienia w imieniu znanych firm logistycznych: nasze pułapki przechwyciły wiadomości napisane rzekomo przez pracowników firmy UPS. Informowały one odbiorców, że kurierowi nie udało się dostarczyć paczki z powodu błędnego adresu dostawy i paczkę należy odebrać w siedzibie firmy. W tym celu należało wydrukować załączony do wiadomości dokument. 

Jednak zamiast obiecywanego dokumentu załączone archiwum UPS_Label_23052013.zip zawierało plik wykonywalny UPS_Label_23052013.exe, wykrywany przez Kaspersky Lab jako Trojan-PSW.Win32.Tepfer.kxdh. W kwietniu jeden ze szkodliwych programów z tej rodziny znalazł się na 4 miejscu listy najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail, w maju natomiast uplasował się na 10 pozycji. Trojan ten kradnie hasła z klientów FTP i programów pocztowych, jak również loginy i hasła wprowadzane do przeglądarki. Aby ofiara nie nabrała podejrzeń co do wiadomości, oszuści dodali informację, że wiadomość ta została wysłana z publicznego adresu i nie wymaga odpowiedzi. Treść zawierała również ostrzeżenie o poufności.      

Trojan Tepfer.kdkq został zidentyfikowany w jeszcze innej majowej wysyłce masowej. Szkodliwy plik o nazwie wupos_digital_cert_{ DIGIT [19]}.exe został spakowany w pliku zip dołączonym do wiadomości, która rzekomo została wysłana przez Western Union.

Odbiorców wiadomości informowano, że wydano dla nich nowe certyfikaty cyfrowe dla przelewów pieniężnych za pośrednictwem internetu i aby je zainstalować, muszą otworzyć załącznik. 

W wiadomości zaznaczono również, że wszelkie pytania można kierować do działu wsparcia Western Union. Spamerzy mieli nadzieję, że w ten sposób zmniejszą podejrzenia użytkownika odnośnie legalności tego e-maila. 

Phishing

Odsetek wiadomości phishingowych zwiększył się bardzo nieznacznie w porównaniu z kwietniem i wynosił 0,0024%.

Rozkład 100 organizacji najczęściej atakowanych przez phisherów według kategorii*

Ranking ten opiera się na wykryciach komponentu antyphishingowego firmy Kaspersky Lab, aktywowanego za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej. 

Portale społecznościowe nadal stanowiły najatrakcyjniejszy cel ataków phishingowych: ich udział wzrósł o 0,5 punktu procentowego i wynosił średnio 35,93%.

W pierwszej trójce znalazły się również Wyszukiwarki (14,95%) oraz Organizacje finansowe i płatności elektronicznych (14,93%), które uplasowały się odpowiednio na 2 i 3 miejscu.   

Producenci IT utrzymali się na 4 miejscu (9,93%). Za nimi znalazły się Sklepy internetowe (8,68%). Dostawcy usług telefonicznych i internetowych (8,39%) przesunęli się w dół o jedną pozycję, na 6 miejsce.    

Podsumowanie

Spamerzy nadal wykorzystywali nazwiska znanych osób i firm zarówno w celach oszustw jak i reklamowania produktów oraz usług. W maju aktywnie żerowali na nazwie Microsoft.    

W badanym miesiącu większość światowego spamu pochodziło z dwóch państw - Chin i Stanów Zjednoczonych. Zarazem zwiększał się udział w spamie znajdującej się na trzeciej pozycji Korei Południowej, która jeszcze bardziej zbliżyła się do drugiego miejsca. Jednocześnie prawie połowa spamu, który trafił do Europy, została wysłana z Korei Południowej, podczas gdy Stany Zjednoczone i Wietnam znalazły się dopiero na 2 i 3 miejscu.     

Zgodnie z przewidywaniami, najatrakcyjniejszym celem phisherów pozostały portale społecznościowe: ich udział zwiększył się nieznacznie, podobnie jak miało to miejsce w przypadku Sklepów internetowych. Zmniejszyła się natomiast liczba ataków wykorzystujących gry online. Spodziewamy się jednak jej wzrostu w czerwcu - pierwszym miesiącu letnich wakacji.  

W czasie letnich wakacji dzieci w wieku szkolnym i studenci często padają ofiarą oszustw. Obecnie oszuści bardzo lubią wykorzystywać fałszywe powiadomienia z różnych serwisów internetowych. Z tego względu zalecamy ostrożność w przypadku otrzymania powiadomienia z takiego serwisu. Warto pamiętać, że oficjalne serwisy nigdy nie proszą klientów o podanie lub potwierdzenie informacji osobistych lub bankowych za pośrednictwem odsyłaczy zawartych w e-mailach. Nie straszą również zablokowaniem kont klientów. Nigdy nie należy klikać odsyłaczy zablokowanych przez program antywirusowy lub przeglądarkę. Zawsze trzeba zwracać uwagę na odsyłacze zawarte w wiadomości. Jeżeli taki odsyłacz prowadzi do nieoficjalnej strony lub jeśli treść wiadomości zawiera adres oficjalnej strony, podczas gdy odsyłacz prowadzi do innej, może to oznaczać, że mamy do czynienia z wiadomością phishingową. W razie jakichkolwiek wątpliwości co do autentyczności e-maila, skontaktuj się z działem wsparcia klientów organizacji, która wysyłała tę wiadomość, i dowiedz się, czy taka masowa wysyłka rzeczywiście została rozesłana.

Źródło: Kaspersky Lab