• Lipiec w liczbach
• Spam na świeczniku 
  • Gorące tematy w spamie
  • Ramadan
  • Nowe gwiazdy listów "nigeryjskich"
  • Rzadki rodzaj oszustwa 
  • Szkodliwy spam wakacyjny 
  • Towary i usługi dla zwierząt
• Rozkład geograficzny źródeł spamu
• Szkodliwe załączniki w wiadomościach e-mail 
• Phishing
• Podsumowanie

Lipiec w liczbach 

• W lipcu odsetek spamu w ruchu pocztowym zwiększył się tylko o 0,1 punktu procentowego i wynosił średnio 71,2%.

• Ilość phishingu zmniejszyła się o ponad połowę w porównaniu z czerwcem i wynosiła średnio 0,0012%
• Szkodliwe załączniki zostały wykryte w 2,2% wszystkich e-maili, co stanowi wzrost o 0,4 punktu procentowego w stosunku do poprzedniego miesiąca

Spam na świeczniku

Gorące tematy w spamie

W lipcu nadal rejestrowaliśmy masowe wysyłki, w których spamerzy żerowali na zainteresowaniu ważnymi wydarzeniami, jakie miały miejsce w tym miesiącu. Uwadze spamerów nie umknęły długo oczekiwane narodziny królewskiego potomka w Wielkiej Brytanii oraz skandal szpiegowski z udziałem Edwarda Snowdena. Atakujący tradycyjnie wysyłali e-maile zawierające szkodliwe odsyłacze imitujące wiadomości z odnośnikiem do gorącego newsa.   

Ponadto, wykorzystano zainteresowanie takimi wydarzeniami w celu przyciągnięcia uwagi do reklam spamowych. Przykładem może być wykorzystanie ekscytacji wokół narodzin królewskiego potomka do reklamowania usług drukarskich i sprzętu reklamowego. Na cześć tego wydarzenia firma oferowała zniżki na standy. 

Skandal z udziałem byłego oficera wywiadu amerykańskiego Edwarda Snowdena został wykorzystany przez spamerów do reklamowania produktów odchudzających. Co ciekawe, towary te nie zostały nawet wymienione w temacie e-maila, a tekst wiadomości, zamiast metod na zrzucenie zbędnych kilogramów, proponował poznanie szczegółów dotyczących historii Snowdena. Jednak zawarty w e-mailu odsyłacz do "szczegółowych informacji" prowadził do strony reklamowej.   

Przykładem bardziej trafnego wykorzystania nazwiska Edwarda Snowdena jest niemieckojęzyczna masowa wysyłka reklamująca rozwiązania bezpieczeństwa IT. Użytkowników zachęcano do zakupu reklamowanego produktu tym, że według rewelacji Snowdena szpiegostwo w internecie jest szeroko rozpowszechnione.  

Ramadan

W 2013 roku święty miesiąc Muzułmanów Ramadan rozpoczął się na początku lipca. Każdego roku odnotowujemy masowe wysyłki wykorzystujące ten temat. Obecny rok nie był wyjątkiem - wykryliśmy kilka angielskojęzycznych masowych wysyłek obejmujących nie tylko tradycyjne reklamy z okazji Ramadanu dotyczące nocnych restauracji i jedzenia, ale również oferty samochodów i letnich wakacji dla dzieci.

Nowe gwiazdy listów "nigeryjskich"

Tradycyjnie, najpopularniejszymi autorami listów "nigeryjskich" są krewni lub współpracownicy sławnych bogatych osób, które zmarły lub przechodzą burzliwy okres. W lipcu obalono egipskiego prezydenta Mohammeda Morsiego. W ciągu kilku dni zarejestrowaliśmy oszukańczą masową wysyłkę wykorzystującą tę historię. 

E-mail, rzekomo napisany przez sekretarza byłego prezydenta, informował, że wszystkie konta Morsiego zostały zamrożone, były prezydent i jego sekretarz przebywają w areszcie domowym i Morsi szuka Muzułmanina, który mógłby przelać jego środki z europejskiego banku na jego własne konto. W ramach wynagrodzenia oferowana jest oczywiście kusząco wysoka sumka. Jednak jak pokazują wcześniejsze przypadki listów "nigeryjskich", nie dość, że ofiary spotka przykra niespodzianka, gdy okaże się, że z obiecanego bogactwa będą nici, to oszuści wyłudzą jeszcze od nich pieniądze pod jakimś podejrzanym pretekstem.     

Rzadki rodzaj oszustwa

W lipcu otrzymaliśmy wiadomość e-mail, która stanowiła element rzadko spotykanego rodzaju oszustwa. Do użytkowników docierały powiadomienia rzekomo wysłane z Australia & New Zealand Banking Group informujące o ograniczeniu dostępu do ich kont. W celu przywrócenia dostępu odbiorcy wiadomości musieli zadzwonić pod podany w mailu numer. Zagrożenia są tu oczywiste: mógł to być numer objęty wysoką taryfą opłat, który wyczyści ze środków konto dzwoniącego, lub próba wyłudzenia informacji bankowych przez telefon.   

Szkodliwy spam wakacyjny

Latem spam turystyczny jest niezwykle popularny i nadal rejestrujemy szkodliwe wysyłki docierające rzekomo od różnych linii lotniczych. W lipcu wykryliśmy fałszywe powiadomienie od "United Airlines". Użytkownicy byli informowani, że numery miejsc w najbliższym locie zostały zmienione i w załączonym archiwum "flight document upgrade.doc.zip" znajdują się uaktualnione informacje dotyczące lotu. Archiwum, które zawierało plik wykonywalny pod tą nazwą, jest wykrywane przez Kaspersky Lab jako Backdoor.Win32.Vawtrak.a.   

Backdoor ten jest wykorzystywany przez oszustów do kradzieży haseł przechowywanych w przeglądarkach jak również haseł do klientów FTP i pocztowych. Szkodnik ten wysyła także zrzuty ekranu pokazujące pulpit komputera użytkownika i daje cyberprzestępcom pełny dostęp do zainfekowanego komputera, umożliwiając osobom atakującym pobieranie i uruchamianie różnych plików na komputerze.  

Towary i usługi dla zwierząt

W lipcu odnotowaliśmy również masowe wysyłki reklamujące usługi i towary dla zwierząt. Ludzie na całym świecie traktują swoje zwierzęta domowe jak członków rodziny, dlatego popyt na przeznaczone dla nich towary i usługi jest wysoki. Popyt ten generuje oferty, które często są promowane za pośrednictwem wysyłek spamowych zarówno w języku rosyjskim jak i angielskim. 

Angielskojęzyczny spam reklamował głównie produkty dla zwierząt domowych i tanią karmę. 

Rozkład geograficzny źródeł spamu 

W lipcu nie nastąpiła znacząca zmiana wśród czołowych źródeł spamu na świecie.

Źródła spamu na świecie według państwa

Na pierwszym miejscu utrzymały się Chiny, których udział w rozprzestrzenianym spamie wynosił 23,4% ogółu, co stanowi niewielki spadek w stosunku do poprzedniego miesiąca (23,9%). Na drugim miejscu znalazły się Stany Zjednoczone z odsetkiem 18% - o 0,8 punktu procentowego wyższym w porównaniu z czerwcem. Korea Południowa uplasowała się na trzecim miejscu, odnotowując niewielki wzrost (+0,4 punktu procentowego), dzięki któremu jej ostateczny udział wynosił w lipcu średnio 14,9%. Łącznie cała trójka liderów wygenerowała ponad jedną trzecią globalnego spamu.         

W lipcu Indie awansowały z 10 miejsca na 7 (3%), po tym jak ich udział zwiększył się o 0,4 punktu procentowego. Udział Japonii zmniejszył się niemal trzykrotnie - z 2,7% do 0,96% (-1,74 punktu procentowego), przez co państwo to spadło z 16 miejsca na 9. Rosja wróciła do pierwszej dziesiątki (z państwa tego pochodziło 2,3% spamu).  

Udział Rumunii zwiększył się o 0,6 punktu procentowego i wynosił średnio 1,9% (dzięki temu państwo to awansowało z 14 miejsca na 11 w rankingu).

W lipcu ranking 20 największych źródeł spamu wysyłanego do użytkowników europejskich wyglądał następująco: 

Źródła spamu w Europie według państwa

W lipcu niewiele zmieniło się w rankingu liderów pod względem spamu. Czołowym źródłem spamu wysyłanego do użytkowników europejskich pozostała Korea Południowa (57,4%): jej udział wzrósł o 2,1 punktu procentowego. Trend rosnący może utrzymać się w następnym miesiącu. Na 2 i 3 miejscu znalazł się odpowiednio Tajwan (4,3%) i Stany Zjednoczone (4%).       

Włochy (1,9%) spadły z 2 miejsca na 8: w lipcu udział tego państwa w ruchu spamowym wynosił o 4,8 punktu procentowego mniej niż w poprzednim miesiącu. 

Do rankingu wróciły Niemcy: 1,6% udział w spamie wysyłanym do użytkowników europejskich pozwolił temu państwu przesunąć się w górę na 10 pozycję. 

Źródła spamu według regionu

Azja (55,2%) pozostała czołowym źródłem spamu według regionu, mimo że jej udział zmniejszył się o 2,1 punktu procentowego w stosunku do czerwca. Podobnie jak w poprzednim miesiącu, w pierwszej trójce znalazła się również Ameryka Północna (19,4%) i Europa Wschodnia (14%): ilość spamu pochodzącego z tych państw zwiększyła się odpowiednio o 0,7 i 1,1 punktu procentowego.   

Szkodliwe załączniki w wiadomościach e-mail

W lipcu szkodliwe załączniki były wykrywane w 2,2% e-maili, co stanowi wzrost o 0,4 punktu procentowego w stosunku do czerwca. 

Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem wiadomości e-mail w lipcu 2013 r.

W lipcu Trojan-Spy.html.Fraud.gen pozostał najczęściej rozprzestrzenianym szkodliwym programem (+2,9 punktu procentowego). Szkodnik ten występuje w formie stron HTML, które podszywają się pod formularze rejestracyjne znanych banków lub systemów e-płatności i są wykorzystywane przez phisherów do kradzieży danych uwierzytelniających użytkowników podczas korzystania z systemów bankowości online.  

Sześć na dziesięć miejsc w rankingu zajmują przedstawiciele rodziny ZeuS/Zbot. Jest to jeden z najpopularniejszych trojanów szpiegujących, a jego modyfikacje były rozprzestrzeniane w dużych ilościach za pośrednictwem poczty e-mail przez ostatnie pięć lat. Celem tego trojana była kradzież poufnych informacji, w tym danych uwierzytelniających karty kredytowe.    

Oszuści najczęściej wykorzystują szkodniki z rodziny Zbot w fałszywych powiadomieniach wysyłanych rzekomo przez banki, sklepy internetowe, portale społecznościowe lub popularne serwisy dostawcze. Powiadomienia te mają skłonić odbiorcę do otwarcia szkodliwego załącznika.   

Modyfikacje z rodziny Zbot stanowiły 23,4% wszystkich szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej w lipcu 2013 r.

Email-Worm.Win32.Bagle.gt. uplasował się na trzecim miejscu, o jedną pozycję niżej niż w poprzednim miesiącu (-0,1 punktu procentowego). Podobnie jak większość robaków pocztowych, szkodnik ten rozprzestrzenia się samodzielnie na adresy zawarte w książce adresów ofiary. Potrafi również kontaktować się z centrum kontroli i pobierać na komputer użytkownika inne szkodliwe programy. 

Na 8 miejscu znalazł się Email-Worm.Win32.Mydoom.m (+0,14 punktu procentowego). Oprócz możliwości samodzielnego rozprzestrzeniania się szkodnik ten wysyła również ukryte żądania wyszukiwania do takich wyszukiwarek jak Google, Yahoo, Altavista oraz Lycos. Robak ten porównuje adresy stron wyświetlanych na pierwszej stronie wyników wyszukiwania z adresami, które pobrał z serwerów oszustów. Po znalezieniu pasujących adresów otwiera odsyłacz na stronie wyszukiwarki, a tym samym zwiększa ruch na stronie i jej pozycję w wynikach wyszukiwania.      

Pierwszą dziesiątkę zamyka Trojan-Dropper.Win32.Dorifel.afpu. Jego główną funkcją jest wykonywanie poleceń ze zdalnego serwera oraz pobieranie i uruchamianie innych szkodliwych programów.  

Co ciekawe, 15 miejsce zajął SMS-Flooder.AndroidOS.Didat.a. Po raz pierwszy szkodliwy program dla Androida uplasował się tak wysoko w rankingu. Funkcjonalność programu SMS-Flooder.AndroidOS.Didat.a umożliwia rozprzestrzenianie masowych wysyłek SMS-ów. Zwiększone ilości szkodliwego oprogramowania dla Androida są zgodne z trendem przewidującym przyszły wzrost tego rodzaju szkodliwych programów.      

Rozkład wykryć przy użyciu komponentu ochrony przed szkodliwym oprogramowaniem według państwa

Po czerwcowych anomaliach swoje pozycje odzyskali tradycyjni liderzy: na pierwszym miejscu znalazły się Stany Zjednoczone (+4,1 punktu procentowego), a za nimi Niemcy (+1,7 punktu procentowego) oraz Indie (+0,8 punktu procentowego).   

Wielka Brytania awansowała z 8 miejsca na 4, spychając Australię na 5 miejsce.

Udział wykryć przy użyciu komponentu ochrony przed szkodliwym oprogramowaniem dla innych państw nie różnił się znacząco.

Phishing

Odsetek wiadomości phishingowych w globalnym ruchu spamowym zmniejszył się o ponad połowę w porównaniu z czerwcem i wynosił 0,0012%.

Rozkład Top 100 organizacji atakowanych przez phisherów, według kategorii *

Ranking ten opiera się na werdyktach komponentów antyphishingowych wbudowanych w produkty Kaspersky Lab, które są aktywowane za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej. 

W lipcu portale społecznościowe nadal stanowiły najatrakcyjniejszy cel ataków phishingowych, mimo że ich udział zmniejszył się o 1,7 punktu procentowego i wynosił średnio 29,6%.   

Udział ataków na usługi e-mail i komunikatory internetowe zwiększył się o 4,4 punktu procentowego, spychając tę kategorię z 4 miejsca na 2. Wyszukiwarki (15,5%) oraz serwisy finansowe i e-płatności (13,3%) spadły o jedną pozycję, odpowiednio na 3 i 4 miejsce.   

Lista organizacji zajmujących miejsca od 5 do 8 pozostała niezmieniona: udział producentów z branży IT (8,5%) i dostawców usług internetowych (7,1%) zmniejszył się o 1 punkt procentowy w stosunku do czerwca, podczas gdy udział kategorii sklepy internetowe (6,4%) oraz gry online (0,83%) odnotował niewielki wzrost. 

W lipcu brytyjski system kredytowy Wonga został wykorzystany do przeprowadzenia typowego ataku phishingowego. Fałszywe powiadomienie wysyłane w imieniu tej firmy informowało odbiorców o problemie z bazą danych konta. Konta użytkowników, którzy nie uaktualnili ich, miały zostać zablokowane. Takie aktualizacje można było przeprowadzić w dowolnej siedzibie firmy lub poprzez pobranie i wypełnienie załączonego formularza, a następnie wysłanie go pocztą. Wiadomość zawierała załączony dokument html, w którym użytkownicy mieli podać swoje adresy e-mail oraz hasła do swoich kont. Informacje te zapewniają oszustom pełny dostęp do kont - i znajdujących się na nim pieniędzy.       

W lipcu nowym celem phisherów stała się grupa firm internetowych Alibaba. Oszuści wysyłali fałszywe powiadomienia w imieniu tej firmy do dostawców towarów oferowanych przez sklep internetowy Alibaba Showroom. W wiadomościach informowano, że klienci byli zainteresowani towarami prezentowanymi na tej stronie. Aby zobaczyć ważny dokument, odbiorca e-maila musiał zalogować się przy użyciu zawartego w wiadomości odsyłacza. W rzeczywistości, odsyłacz ten prowadził do fałszywej strony phishingowej zawierającej pola na adres e-mail i hasło ofiary.       

Podsumowanie

W lipcu udział spamu w ruchu pocztowym nadal przekraczał 70%.

Lato to sezon wakacyjny charakteryzujący się spadkiem aktywności internetowej zarówno reklamodawców, jak i użytkowników. W okresie tym spamerzy zwykle mają mniej zamówień. W związku z tym chętnie uciekają się do dystrybucji spamu partnerskiego, w tym szkodliwych wysyłek. W lipcu udział szkodliwych załączników w ruchu e-mail przekroczył 2%. Jednocześnie, najpopularniejszymi szkodliwymi programami rozprzestrzenianymi za pośrednictwem poczty elektronicznej były trojany szpiegujące stworzone w celu kradzieży informacji finansowych: np. modyfikacje szkodników z rodziny Zbot stanowiły 23,4% wszystkich szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w lipcu 2013 r.     

W lipcowym rankingu Top 20 na 15 miejscu znalazł się szkodliwy program dla Androida. Jest to pierwszy raz, gdy szkodnik dla tej platformy wspiął się tak wysoko. Liczba smartfonów i tabletów opartych na Androidzie stale się zwiększa. Spodziewamy się dalszego wzrostu w odniesieniu do szkodliwych programów dla Androida w poczcie e-mail - zarówno pod względem ich liczby jak i różnorodności. Do programów rozprzestrzeniających wiadomości tekstowe wkrótce najprawdopodobniej dołączą również trojany tworzone w celu kradzieży poufnych danych. Zalecamy użytkownikom, aby już teraz podjęli działania w celu zapewnienia ochrony swoim komputerom stacjonarnym i urządzeniom mobilnym.

Lipiec obfitował w gorące doniesienia informacyjne. Jak zwykle, spamerzy wykorzystywali zainteresowanie nimi poprzez rozprzestrzenianie wiadomości e-mail zawierających szkodliwe odsyłacze zamaskowane pod postacią doniesień informacyjnych. Oszuści nie pominęli również najważniejszych wydarzeń na świecie: w ruchu pocztowym krążyły klasyczne "listy nigeryjskie" napisane w imieniu zwolenników obalonego prezydenta Egiptu - Mohammeda Mursiego.  

Spadek aktywności internetowej w okresie letnim prawdopodobnie przyczynił się do zmniejszenia odsetka wiadomości phishingowych w ruchu pocztowym. Odnotowaliśmy wzrost zainteresowania phisherów serwisami pocztowymi i komunikatorami internetowymi, jednak wzrost ten nie był tak znaczny jak w czerwcu. Prawdopodobnie jest to zjawisko okresowe i można je przypisać sezonowi letniemu. W sierpniu odsetek ataków z wykorzystaniem serwisów pocztowych i komunikatorów internetowych może pozostać wysoki, jednak we wrześniu sytuacja prawdopodobnie zmieni się.     

Źródło: Kaspersky Lab