• Sierpień w liczbach
• Spam na świeczniku
  • Spam dla zmotoryzowanych
  • Dzień Pracy
  • Powrót do szkoły!
  • Spam medyczny
• Rozkład geograficzny źródeł spamu 
• Szkodliwe załączniki w wiadomościach e-mail
  • Specjalne cechy szkodliwego spamu 
• Phishing
• Podsumowanie

Sierpień w liczbach

• W sierpniu odsetek spamu w ruchu pocztowym zmniejszył się o 3,6 punktu procentowego i wynosił średnio 67,6%.
• Udział phishingu zwiększył się dziesięciokrotnie w porównaniu z lipcem i wynosił średnio 0,013%. 
• Szkodliwe załączniki zostały wykryte w 5,6% wszystkich wiadomości e-mail, co stanowi wzrost o 3,4 punktu procentowego w stosunku do poprzedniego miesiąca.  

Spam na świeczniku

W sierpniu spam stał się znacznie bardziej niebezpieczny: liczba oszukańczych i szkodliwych wiadomości e-mail znacznie wzrosła na tle wyraźnego spadku łącznego odsetka niechcianych wiadomości. 

W okresie poprzedzającym nowy rok szkolny "powrót do szkoły" stanowił jeden z najpopularniejszych tematów wśród spamerów - w sierpniu wykrywaliśmy reklamy wszelkiego rodzaju artykułów szkolnych. Pojawiło się również mnóstwo spamu związanego ze sportem i zdrowym stylem życia. Handlarze samochodami korzystali również z usług spamerów podczas sprzedaży aut, jak również powiązanych usług i akcesoriów, które także były szeroko rozpowszechnione w masowych wysyłkach.

Spam dla zmotoryzowanych

Dla wielu osób samochód to nie tylko środek transportu - to niemal styl życia, pochłaniający sporo czasu i pieniędzy. Spamerzy są skorzy do wykorzystania naszego zainteresowania samochodami: w sierpniu odnotowaliśmy wiele promocyjnych masowych wysyłek, które oprócz standardowych ofert sprzedaży i naprawy obejmowały kilka bardzo oryginalnych ofert związanych z samochodami. Na przykład, autorzy jednej masowej wysyłki zachęcali odbiorców, aby wzięli udział w zajęciach dotyczących pieczenia ciast w kształcie samochodu.  

Jednak angielskojęzyczny spam najczęściej zawierał reklamy usług taniego wynajmu samochodów oraz sprzedaży samochodów czołowych marek.

Dzień Pracy

W pierwszy poniedziałek września Stany Zjednoczone świętują Dzień Pracy. Większość Amerykanów uważa ten dzień za symboliczny koniec lata i tradycyjny czas letnich wyprzedaży oraz obniżek. Naturalnie, spamerzy szybko wykorzystują okazję: w sierpniu aktywnie rozprzestrzeniali wiadomości e-mail reklamujące rabaty na samochody i lekarstwa. Aby przyciągnąć większą uwagę i przekonać użytkowników, aby nie odkładali decyzji o zakupie, spamerzy wysyłali wiadomości zawierające specjalny kod obiecujący dodatkowy rabat.

Powrót do szkoły!

Jak można było się spodziewać, sierpniowym mottem spamerów na całym świecie był "powrót do szkoły". Początek nowego roku szkolnego stanowił temat miesiąca, ponieważ przedmiotem promocji online były wszelkiego rodzaju artykuły szkolne.

Jednak w niektórych przypadkach reklamowane produkty nie miały nic wspólnego z edukacją - spamerzy po prostu wykorzystywali ten temat, aby zwrócić uwagę na reklamowane przez siebie towary. Odnotowaliśmy np. masową wysyłkę oferującą produkty do pielęgnacji ciała. Spamerzy proponowali błyskawicznie działające kosmetyki, które miały zdziałać cuda, zanim rozlegnie się pierwszy dzwonek szkolny. Wiadomości te zawierały długi odsyłacz, który przekierowywał użytkowników na stronę internetową, gdzie należało wybrać region dostawy. Wybór regionu aktywował z kolei stronę z danymi kontaktowymi sprzedawcy. Jednocześnie, domeny wykorzystywane w przekierowaniach nie działały dłużej niż tydzień od uruchomienia masowej wysyłki.      

 

Nagłówek innej wiadomości masowej zawierał tekst: "Are you still brown bagging school lunches"". Wysyłka ta wykorzystywała temat związany ze szkołą w celu reklamowania specjalnych pojemników utrzymujących świeżość żywności. Autorzy wiadomości obiecywali, że pojemnik pozwala zachować żywność w świeżym stanie do 10 godzin. Odsyłacze w e-mailach składały się z pojedynczych domen stworzonych w poprzednim miesiącu. 

W sierpniu nadal odnotowywaliśmy masowe wysyłki reklamujące edukację online. Jednak zamiast e-maili z poprzedniego miesiąca oferujących programy magisterskie oraz doktoranckie w okresie poprzedzającym nowy rok szkolny pojawiły się oferty dla uczniów, którym powinęła się noga, umożliwiające ukończenie nauki w szkole średniej online.   

Autorzy niechcianych e-maili jako główną zaletę nauki online podkreślali elastyczne programy i możliwość uczenia się z domu. Odbiorcy, którzy chcieli uzyskać więcej informacji, byli przekierowywani na obcą stronę, gdzie oprócz programów pozwalających uzyskać stopień naukowy, prezentowane były inne niezwiązane z edukacją usługi.

Spam medyczny

Znaczna część sierpniowego spamu zawierała wiadomości związane ze zdrowiem. Jednym z najpopularniejszych tematów pozostały tabletki na odchudzanie. W zeszłym miesiącu natrafiliśmy na związane z tym tematem masowe wysyłki zarówno w rosyjskiej (RuNet) jak i angielskojęzycznej części internetu.

Angielskojęzyczne masowe wysyłki reklamujące tabletki na odchudzanie zazwyczaj zawierały odsyłacz oparty na stworzonej niedawno domenie. Odsyłacz ten różnił się w zależności od e-maila. Po kliknięciu go użytkownik został przekierowywany na stronę zawierającą szczegółowe informacje na temat tabletek, warunki zakupu itd. Wraz z tekstem wysyłany był film promocyjny, który pokazywał cudowne właściwości pigułek i zawierał rekomendacje osób, które rzekomo wypróbowały je.  

Rosyjskojęzyczne wiadomości zwykle zawierały krótki odsyłacz przekierowujący użytkownika na stronę reklamową. Często zawierały dane kontaktowe niezbędne do zamówienia towarów. 

Rozkład geograficzny źródeł spamu

W sierpniu 2013 r. rozkład 3 największych globalnych źródeł spamu wyglądał następująco: na pierwszym miejscu pozostały Chiny (21% całego rozprzestrzenionego spamu), co stanowi spadek o 2,4 punktu procentowego w stosunku do zeszłego miesiąca; na drugim miejscu znalazły się Stany Zjednoczone (rozprzestrzeniając 19% światowego spamu) - o 1 punkt procentowy więcej niż w lipcu; natomiast na trzeciej pozycji uplasowała się Korea Południowa (ze średnim udziałem w spamie - 15,4%, co stanowi wzrost o 0,4 punktu procentowego). Łącznie, te trzy państwa odpowiadały za 55% globalnego spamu. 

Podobnie jak w lipcu, 4 miejsce zajął Tajwan, a jego udział w globalnym ruchu spamowym wynosił 5,5%, co stanowi wzrost o 0,1 punktu procentowego. Udział Rosji zwiększył się o 2 punkty procentowe i wynosił 4,3%, dzięki czemu państwo to awansowało z 10 miejsca na 5.      

Japonia (1,8%) odnotowała wzrost udziału w ruchu spamowym o 0,9 punktu procentowego, co zapewniło jej awans o 5 pozycji na 11 miejsce. Jeżeli ta tendencja wzrostowa utrzyma się w przyszłym miesiącu, państwo to może wejść do grupy 10 najaktywniejszych dystrybutorów globalnego spamu.   

Pozostałe państwa z listy Top 10 utrzymały swoje pozycje w rankingu przy niewielkich wahaniach w swoim udziale w spamie.

W sierpniu Korea Południowa pozostała czołowym źródłem spamu wysyłanego do użytkowników europejskich (60%): jej udział zwiększył się o 2,6 punktu procentowego. Na drugim miejscu znalazł się Tajwan (4%) i Stany Zjednoczone (3,9%). 

Na 4 miejscu w sierpniowym rankingu znalazła się Rosja (2,8%): jej udział zwiększył się o 1,8 punktu procentowego - wystarczająco dużo, aby awansować o 10 miejsc. Udział Wietnamu (2,7%) zmniejszył się o 0,7 punktu procentowego w porównaniu z poprzednim miesiącem, przez co państwo to spadło na 5 miejsce w rankingu.          

W pierwszej dziesiątce znalazła się również Indonezja (1,7%), która w sierpniu zajmowała 8 pozycję, podczas gdy ranking opuściła Rumunia (1,4%), odnotowując spadek z 6 miejsca na 11. Na 10 miejscu uplasowały się Niemcy (1,5%), które nie odnotowały niemal żadnej zmiany w stosunku do poprzedniego miesiąca.      

W sierpniu ruch spamowy z regionu Azji stał się nieco bardziej wzmożony, w wyniku czego Tajlandia (0,9%), Singapur (0,6%) i Japonia (0,6%) zaklasyfikowały się do rankingu 20 największych źródeł spamu wysyłanego do użytkowników europejskich.   

W sierpniu Azja (55,2%) pozostała czołowym regionalnym źródłem spamu. Podobnie jak w poprzednim miesiącu, w pierwszej trójce znalazła się również Ameryka Północna (21%) i Europa Wschodnia (14%): nie odnotowano żadnej poważniejszej zmiany pod względem ilości spamu pochodzącego z tych państw, z wyjątkiem Ameryki Północnej, której udział w spamie zwiększył się o niemal 1 punkt procentowy. Europa Zachodnia (4,6%) i Ameryka Łacińska (3%) znalazły się odpowiednio na 4 i 5 miejscu.  

Szkodliwe załączniki w wiadomościach e-mail

W sierpniu szkodliwe załączniki zostały wykryte w 5,6% wiadomości e-mail, co stanowi wzrost o 3,4 punktu procentowego w stosunku do lipca.

Najbardziej rozpowszechnionym szkodliwym oprogramowaniem pozostał Trojan-Spy.html.Fraud.gen (8,1%). Szkodnik ten występuje w postaci stron HTML imitujących formularze rejestracyjne znanych banków i systemów e-płatności, które są wykorzystywane przez phisherów do kradzieży danych uwierzytelniających dostęp do systemów bankowości online.    

Nasz sierpniowy ranking zawierał cztery modyfikacje programu Trojan-Ransom.Win32.Blocker. Trzy z nich - Trojan-Ransom.Win32.Blocker.byxx (3%), Trojan-Ransom.Win32.Blocker.bzbh (1,8%) i Trojan-Ransom.Win32.Blocker.bysg (1,4%) - zajęły odpowiednio 2, 5 i 7 miejsce. Celem tych szkodliwych programów jest szantażowanie i wyłudzanie pieniędzy od użytkowników. Blokują one działanie systemu operacyjnego i wyświetlają baner zawierający instrukcje dotyczące odblokowania komputera. Na przykład, użytkownik zostaje poinstruowany, że należy wysłać SMS-a z określonym tekstem na numer premium.       

Email-Worm.Win32.Bagle.gt (2,3%) zakończył miesiąc na trzecim miejscu. Ten robak pocztowy jest rozprzestrzeniany w postaci załącznika do wiadomości e-mail, który wysyła się na adresy z listy kontaktów ofiary. Potrafi również pobierać na komputer użytkownika inne szkodliwe programy.  

Na czwartym miejscu znalazł się Trojan-Spy.Win32.Zbot.nyis (2,2%), stanowiący modyfikację jednego z najpopularniejszych trojanów szpiegujących Zbot (ZeuS), których celem jest kradzież poufnych informacji, w tym danych dotyczących karty kredytowej.   

Worm.Win32.Mydoom.m (1,4%) utrzymał się na 8 miejscu w sierpniowym rankingu. Oprócz automatycznego rozprzestrzeniania się robak ten wysyła do wyszukiwarek ukryte żądania wyszukiwania, zwiększając tym samym ruch i ranking stron pobieranych z serwerów oszustów. 

Ranking Top 10 najbardziej rozpowszechnionych szkodliwych programów zamyka inna modyfikacja z rodziny Mydoom - Email-Worm.Win32.Mydoom.l (1,4%). Robak ten jest rozprzestrzeniany za pośrednictwem internetu w postaci załącznika do wiadomości e-mail. Jego główna funkcjonalność obejmuje przechwytywanie adresów e-mail z zainfekowanych komputerów, tak aby mogły zostać wykorzystane do dalszej dystrybucji masowych wysyłek. Posiada również możliwości backdoora.   

W sierpniu na pierwszym miejscu rankingu państw stanowiących najczęstszy cel szkodliwych wiadomości e-mail znalazły się Niemcy (12,3%), które zepchnęły na drugie miejsce lidera poprzedniego miesiąca, Stany Zjednoczone (10,1%). Na trzecim miejscu uplasowała się Wielka Brytania (której udział w wykrywaniu wykryciu szkodliwych programów wynosił 8,7%).     

Indie (6,08%) spadły z 3 pozycji na 5. Rosja (3,48%) zwiększyła swój udział o 1 punkt procentowy i ostatecznie uplasowała się na 9 miejscu. Udział Australii zmniejszył się i wynosił średnio 4%. Ranking Top 10 zamknęła Kanada (której udział w wykrywaniu szkodliwego oprogramowania wynosił 2,2%). 

W przypadku innych państw, udział w wykryciach szkodliwego oprogramowania nie różnił się znacząco. 

Specjalne cechy szkodliwego spamu

Mimo końca sezonu wakacyjnego, spamerzy nadal bombardowali użytkowników fałszywymi wiadomościami informującymi o nieistniejących rezerwacjach biletów lotniczych i hotelowych, wykorzystując nazwy popularne w tych branżach. Spamerzy nieustannie podszywają się pod znane firmy, takie jak booking.com czy Delta Air Lines. W sierpniu odnotowaliśmy więcej oszukańczych wysyłek zawierających fałszywe powiadomienia z tych firm. Adresy nadawców często wyglądają bardzo przekonująco, co może skłonić odbiorców do otwarcia tego rodzaju e-maili.    

E-mail, wysłany rzekomo w imieniu booking.com, stanowił potwierdzenie rezerwacji hotelowej użytkownika i zawierał szczegóły zamówienia, w tym datę zameldowania i wymeldowania się, jak również całkowitą cenę pokoju hotelowego. Oszukańczy e-mail został stworzony w stylu oficjalnej strony internetowej, co odróżniało go od podobnego e-maila imitującego powiadomienia od Delta Air Lines informujące odbiorcę, że jego płatność za pośrednictwem karty kredytowej została zaakceptowana, i zawierał również szczegóły dotyczące numeru, daty i ceny lotu. Odbiorcy zostali poproszeni o kliknięcie odsyłacza w celu wydrukowania biletu, gdy jednak to zrobili, na ich komputer został pobrany szkodliwy plik. Wiadomość ta, wysłana rzekomo z portalu booking.com, zawierała w załączniku szkodliwy plik. W obu przypadkach, był to trojan z rodziny Trojan-PSW.Win32.Tepfer służący do kradzieży nazw użytkowników i haseł.     

W sierpniu, po długim okresie bezczynności, spamerzy wznowili wysyłanie szkodliwych powiadomień pochodzących rzekomo od Royal Caribbean International. Oszukańczy e-mail informował użytkowników, że e-dokumenty dotyczące rzekomo zamówionego rejsu są już gotowe. Dokumenty te zawierają "istotne informacje", z którymi pasażer powinien się zapoznać, zanim wejdzie na statek. Nalezy je zachować i zabrać na pokład wraz z paszportem i innymi dokumentami pasażera. W rzeczywistości, wiadomość e-mail zawierała szkodliwy plik Backdoor.Win32.Androm.qt - modyfikację backdoora Androm wykorzystywaną do ukradkowego przejęcia kontroli nad komputerem użytkownika i dołączenia go do botnetu.   

Fałszywe powiadomienia często wykorzystują nazwy popularnych międzynarodowych serwisów dostawczych, takich jak FedEx, UPS i DHL. Informują one odbiorców, że kurier nie dostarczył paczki z powodu niepoprawnego adresu dostawy. Aby otrzymać przesyłkę, odbiorca powinien wydrukować załączony dokument i skontaktować się z siedzibą firmy lub potwierdzić określone dane, w tym adres dostawy. Szkodliwe pliki mogą również ukrywać się w fałszywych dokumentach zawierających rzekomo szczegółowe informacje o paczce, która w rzeczywistości nie istnieje. Spamerzy starają się, aby ich fałszywe powiadomienia wyglądały na legalne i zwykle wykorzystują nie tylko pozornie rzeczywisty adres nadawcy, ale również podają informacje o nieistniejącym zamówieniu, prawdziwe dane kontaktowe z oficjalnych stron oraz kopię informacji o prywatności.    

Załączone archiwa zawierają zwykle szkodliwe pliki z różnych rodzin. Na przykład, archiwum FedEx Invoice copy.zip dołączone do fałszywego powiadomienia z firmy FedEx zawierało plik wykonywalny FedEx Invoice copy.exe wraz z trojanem z rodziny ZeuS/Zbot. Szkodnik ten jest wykorzystywany do kradzieży informacji osobistych użytkowników oraz haseł do ich kont w systemach płatności i bankowości. Fałszywe powiadomienia wysyłane w imieniu UPS zawierały trojana Trojan-PSW.Win32.Tepfer.pnfu stworzonego w celu kradzieży loginów i haseł użytkownika. Inny szkodliwy program należący do rodziny Backdoor.Win32.Androm został wykryty w masowej wysyłce rozprzestrzenianej w imieniu DHL. Oszuści wykorzystywali go w celu uzyskania pełnego dostępu do komputera ofiary.    

Phishing

W sierpniu miał miejsce zastój w działalności biznesowej, dlatego spamerzy dostawali mniej zamówień na reklamy i entuzjastycznie przerzucili się na oszukańcze wiadomości. W efekcie, odsetek wiadomości phishingowych w globalnym ruchu spamowym zwiększył się dziesięciokrotnie w porównaniu z lipcem, stanowiąc 0,013%.    

Rozkład Top 100 organizacji najczęściej atakowanych przez phisherów, według kategorii*

Ranking ten opiera się na danych dotyczących wykryć przy użyciu komponentu antyphishingowego firmy Kaspersky Lab, aktywowanego za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej. 

Najatrakcyjniejsze cele ataków phishingowych nie różniły się znacząco w sierpniu. Na szczycie listy nadal znajdowały się portale społecznościowe, a udział tej kategorii nie zmienił się w stosunku do lipca i wynosił 29,6%.

Na drugiej pozycji utrzymała się kategoria "Komunikatory i poczta e-mail" (17,2%): udział ataków na cele z tej kategorii zmniejszył się o 0,4 punktu procentowego. Tymczasem udział kategorii "Wyszukiwarki" (16,1%) nieznacznie wzrósł, przez co kategoria ta zachowała 3 pozycję.   

Miejsca 4-8 zajęły odpowiednio "Serwisy finansowe i e-płatności" (13,8%), "Producenci IT" (8,4%), "Dostawcy usług telefonicznych i serwisowych" (7,8%), "Sklepy i aukcje internetowe" (5,4%) oraz "Gry online" (0,7%).

W sierpniu wśród głównych celów ataków phishingowych znalazła się firma Apple. Często natrafialiśmy na e-maile, które rzekomo pochodziły z oficjalnego adresu tej firmy, w rzeczywistości jednak były to wiadomości phishingowe, które miały oszukać użytkowników i ukraść ich loginy i hasła. Na przykład, niektóre wiadomości e-mail dawały użytkownikowi 48 godzin na potwierdzenie danych dotyczących konta w serwisie iTunes. W celu odblokowania konta odbiorca musiał kliknąć zawarty w e-mailu odsyłacz i zastosować się do przedstawionych na stronie instrukcji. Spamerzy próbowali wzbudzić w użytkowniku fałszywe poczucie bezpieczeństwa, sugerując, że wiadomość została stworzona automatycznie. Jednak zarówno prośba o potwierdzenie informacji dotyczących konta na stronach osób trzecich, jak również brak prywatnego adresu powinny zaalarmować użytkowników, że istnieje ryzyko oszustwa.  

Podsumowanie

W sierpniu odsetek globalnego spamu zmniejszył się do 67%, co mogło być wynikiem corocznego spadku aktywności biznesowej w okresie letnim oraz spadku ilości spamu reklamującego. Odnotowaliśmy jednak wiele masowych wysyłek związanych z wynajmem lub sprzedażą samochodów, jak również lekarstwami i zdrowym stylem życia. Ponadto, spamerzy wykorzystywali temat nowego roku szkolnego oraz amerykańskie święto pracy w celu reklamowania różnych towarów.

Latem wzrasta kryminalizacja spamu oraz liczba oszukańczych wiadomości zawierających szkodliwe pliki. W sierpniu w szkodliwym ruchu spamowym rozpowszechnione były trojany szpiegujące stworzone w celu kradzieży informacji finansowych. Jednak rodzina robaków Trojan-Ransom.Win32.Blocker również cieszyła się popularnością wśród oszustów i kilka modyfikacji tego szkodnika można było znaleźć wśród najczęściej wykrywanych szkodliwych programów.  

W czasie wakacji spamerzy nadal aktywnie rozprzestrzeniali fałszywe wiadomości w imieniu firm działających w branży rezerwacji hotelowych i biletów lotniczych. Uwagę oszustów przyciągnęły również firmy kurierskie, których nazwy były wykorzystywane zarówno w phishingu jak i rozprzestrzenianiu szkodliwego oprogramowania. 

Phisherzy wykorzystywali popularne produkty i usługi firmy Apple w celu kradzieży loginów i haseł użytkownika. W rosyjskiej części internetu (RuNet) oszuści wykorzystywali spam w celu stworzenia i promowania serwisów online imitujących oficjalne serwisy organizacji publicznych w celu wyłudzenia od użytkowników informacji osobistych oraz pieniędzy.

Sierpniowy ranking najatrakcyjniejszych celów ataków phishingowych nie uległ znaczącej zmianie. Tak jak spodziewaliśmy się, na czołowych pozycjach utrzymały się portale społecznościowe oraz usługi e-mail i komunikatory internetowe. W ostatnim miesiącu lata aktywność dzieci w wieku szkolnym i studentów na portalach społecznościowych i w serwisach e-mail pozostała wysoka i pozwoliła utrzymać zainteresowanie phisherów tym sektorem. Jednak we wrześniu, gdy działalność biznesowa zostaje wznowiona, phisherzy skupiają się na instytucjach finansowych i wzrasta liczba ataków na sektor bankowy. Jednocześnie prawdopodobnie zmniejszy się udział oszukańczych i szkodliwych wysyłek.