Raport spamowy: stycze艅 2014

Spam na 艣wieczniku

W styczniu spamerzy odpu艣cili sobie ju偶 艢wi臋ta Bo偶ego Narodzenia oraz Nowy Rok i skupili si臋 na walentynkach. Kolejnym popularnym trendem w tym miesi膮cu by艂y angielsko i rosyjskoj臋zyczne masowe wysy艂ki oferuj膮ce systemy kamer monitoringowych. 

Tzw. oszu艣ci nigeryjscy nadal 偶erowali na 艣mierci Nelsona Mandeli i Ariela Sharona, aby wy艂udzi膰 od u偶ytkownik贸w pieni膮dze. 

Spam 艣wi膮teczny

Gdy sko艅czy艂o si臋 najwi臋ksze 艣wi臋to zimowego okresu, spamerzy skierowali swoj膮 uwag臋 ku nadchodz膮cym wydarzeniom, w szczeg贸lno艣ci walentynkom. Opr贸cz tradycyjnych wysy艂ek "kwiatowych" i propozycji romantycznej kolacji lub wycieczki angielskoj臋zyczny spam zawiera艂 r贸wnie偶 reklamy oferuj膮ce raczej niekonwencjonalne prezenty, w tym prawdziw膮 gwiazdk臋 na niebie.    

spamreport_january_2014_01_auto.png

"Nigeryjskie" 偶ony Nelsona Mandeli 

Tragiczne wydarzenia z ostatnich miesi臋cy s膮 aktywnie wykorzystywane przez "nigeryjskich" scammer贸w w oszuka艅czych wiadomo艣ciach e-mail. Na pocz膮tku stycznia zmar艂 by艂y premier Izraela Ariel Sharon i ju偶 tydzie艅 p贸藕niej odnotowali艣my masow膮 wysy艂k臋 偶eruj膮c膮 na tej wiadomo艣ci. Jednak 艣mier膰 Nelsona Mandeli by艂a wykorzystywana w o wiele wi臋kszym stopniu. Pierwsze wysy艂ki ze wzmiank膮 o 艣mierci by艂ego prezydenta Afryki Po艂udniowej pojawi艂y si臋 w grudniu.    

W styczniu, tak jak spodziewali艣my si臋, pojawi艂y si臋 nowe wiadomo艣ci e-mail. Powszechnie wiadomo, 偶e Nelson Mandela by艂 trzykrotnie 偶onaty i w艂a艣nie na tym 偶erowali spamerzy, aktywnie wykorzystuj膮c imiona jego 偶on, aby przekona膰 odbiorc贸w do prawdziwo艣ci swoich historii.  

Jeden z list贸w "nigeryjskich", napisany rzekomo przez prawnika drugiej 偶ony zmar艂ego prezydenta, Winnie Madikizela, nie zawiera艂 偶adnych szczeg贸艂贸w dotycz膮cych wsp贸艂pracy. Informowa艂 jedynie, 偶e Winnie i jej prawnik potrzebuj膮 pomocy w przej臋ciu ogromnej sumy pieni臋dzy oraz sztabek z艂ota, a nast臋pnie zainwestowaniu tego bogactwa. Nadawcy twierdzili, 偶e szukaj膮 porz膮dnej osoby, kt贸ra koniecznie musi by膰 obywatelem obcego pa艅stwa. Wiadomo艣膰 zawiera艂a r贸wnie偶 numer telefonu kom贸rkowego, kt贸rego nale偶y u偶y膰, aby odpowiedzie膰 na wiadomo艣膰 i uzyska膰 wi臋cej informacji. Co ciekawe, oszu艣ci prosili odbiorc臋 o kontakt, nawet je艣li nie jest zainteresowany ofert膮, twierdz膮c, 偶e w takim razie b臋d膮 starali si臋 uzyska膰 pomoc od kogo艣 innego. Oszu艣ci naturalnie liczyli na to, 偶e chciwo艣膰 odbiorcy przewa偶y nad zdrowym rozs膮dkiem.  

spamreport_january_2014_02_auto.png      

Kolejna masowa wysy艂ka pochodzi艂a rzekomo od trzeciej 偶ony Mandeli - Gracy Machel. Tym razem oszu艣ci pr贸bowali zyska膰 przychylno艣膰 odbiorcy, serwuj膮c mu smutn膮 opowie艣膰 o bojach toczonych w rodzinie Mandeli o jego miliony oraz chciwych krewnych, kt贸rzy gotowi s膮 posun膮膰 si臋 do wszystkiego. Na potwierdzenie takich historii e-maile zawiera艂y odsy艂acz do artyku艂u prasowego, kt贸ry pojawi艂 si臋 w znanej gazecie. Oszu艣ci prosili o pomoc w przelewie pieni臋dzy "nieszcz臋snej prezydentowej" oraz bezpieczne przechowanie ich na koncie odbiorcy.     

spamreport_january_2014_03_auto.png

Systemy kamer monitoringowych

W styczniu mia艂 miejsce wzrost ilo艣ci masowych wysy艂ek zawieraj膮cych oferty zakupu i instalacji system贸w monitoringowych przy u偶yciu kamer wideo na terenach prywatnych i komercyjnych. Takie oferty s膮 do艣膰 typowe. Zasadniczo, mamy tu do czynienia z niechcianymi wiadomo艣ciami e-mail pisanymi w imieniu r贸偶nych firm specjalizuj膮cych si臋 w systemach monitoringu wideo. Z regu艂y wiadomo艣ci te nie podaj膮 nazwy firmy w adresie nadawcy. Zamiast tego adres nadawcy zawiera jego imi臋 lub nazwisko, kt贸re nie zawsze pokrywa si臋 z podanym w wiadomo艣ci nazwiskiem menad偶era.     

spamreport_january_2014_04_auto.jpg

Angielskoj臋zyczny spam na ten temat dotyczy艂 g艂贸wnie bezpiecze艅stwa osobistego i mo偶liwo艣ci kontrolowania 偶ony lub m臋偶a oraz piel臋gniarek 艣rodowiskowych w prywatnych domach. Wiadomo艣ci te cz臋sto zamiast kontaktowego numeru telefonu zawiera艂y odsy艂acz do strony dostawcy oraz sklepu internetowego sprzedaj膮cego kamery monitoringowe.

Rozk艂ad geograficzny 藕r贸de艂 spamu

Odsetek spamu w ruchu e-mail

spamreport_january_2014_05.png 
Odsetek spamu w ruchu e-mail

W pierwszym tygodniu 2014 r. mia艂 miejsce niewielki spadek odsetka spamu spowodowany zmniejszon膮 aktywno艣ci膮 spamer贸w podczas sezonu 艣wi膮tecznego. Spamerzy nadrobili jednak straty w drugim tygodniu stycznia - liczba wiadomo艣ci spamowych w tym okresie znacznie wzros艂a. W drugiej po艂owie miesi膮ca sytuacja uleg艂a normalizacji, a 艣redni odsetek spamu dla stycznia wynosi艂 65,7% ca艂ego ruchu e-mail.       

殴r贸d艂a spamu

W styczniu lista 藕r贸de艂 spamu na ca艂ym 艣wiecie odnotowa艂a powa偶ne zmiany.

spamreport_january_2014_06_auto.png
殴r贸d艂a spamu wed艂ug pa艅stwa

Stany Zjednoczone awansowa艂y z drugiego miejsca na pierwsze w rankingu, rozprzestrzeniaj膮c 21,9% ca艂ego spamu - co stanowi wzrost o 3 punkty procentowe. Z kolei udzia艂 Chin (16%) zmniejszy艂 si臋 o 7 punkt贸w procentowych, przez co pa艅stwo to spad艂o na drugie miejsce. Na trzecim miejscu uplasowa艂a si臋 Korea Po艂udniowa (12,5%), mimo 偶e udzia艂 tego pa艅stwa r贸wnie偶 zmniejszy艂 si臋 o 1,5 punktu procentowego.    

Podobnie jak w grudniu czwarte miejsce zaj膮艂 Tajwan (6,2%), za kt贸rym uplasowa艂a si臋 Rosja (6%). Ranking Top 10 zamkn臋艂a Rumunia, kt贸rej udzia艂 w og贸le wys艂anego spamu wynosi艂 2% .

Niewielki wzrost aktywno艣ci spamer贸w odnotowali艣my we W艂oszech, gdzie odsetek niechcianych wiadomo艣ci e-mail wynosi艂 1,5%, jak r贸wnie偶 w Hiszpanii (1%), w Hong Kongu (1%) oraz na Filipinach (1,1%). Wyniki pozosta艂ych pa艅stw nie uleg艂y zmianie, podobnie jak zajmowane przez nie miejsca w rankingu.   

spamreport_january_2014_07_auto.png
殴r贸d艂a spamu w Europie wed艂ug pa艅stwa

W styczniu Korea Po艂udniowa pozosta艂a czo艂owym 藕r贸d艂em spamu wysy艂anego do u偶ytkownik贸w europejskich (47,2%), mimo 偶e jej udzia艂 zmniejszy艂 si臋 o 5,9 punktu procentowego w stosunku do poprzedniego miesi膮ca. Na drugiej pozycji znalaz艂 si臋 Tajwan (5,8%), kt贸ry w grudniu uplasowa艂 si臋 na trzecim miejscu, a dalej Stany Zjednoczone (-2,1 punktu procentowego), kt贸rych udzia艂 wynosi艂 艣rednio  5,3%.    

Hong Kong uplasowa艂 si臋 na czwartym miejscu - z pa艅stwa tego pochodzi艂o 3% spamu w Europie. Na pi膮tej pozycji utrzyma艂a si臋 Rosja (3%), kt贸rej udzia艂 w spamie zwi臋kszy艂 si臋 o 0,3 punktu procentowego. Ni偶ej znalaz艂a si臋 Hiszpania (2,4%) i W艂ochy (2%): oba pa艅stwa wykaza艂y niewielki wzrost odsetka spamu wysy艂anego do u偶ytkownik贸w europejskich. Ranking Top 10 zamkn臋艂a Rumunia.           

Chiny (1,4%)  odnotowa艂y spadek o siedem pozycji (ich udzia艂 zmniejszy艂 si臋 o niemal 2 punkty procentowe), w efekcie kt贸rego ca艂kiem wypad艂y z rankingu Top 10.

Na uwag臋 zas艂uguje niewielki wzrost aktywno艣ci spamer贸w w Wielkiej Brytanii (1,4%), Niemczech (1,3%) i Francji (0,9%).

spamreport_january_2014_08_auto.png
殴r贸d艂a spamu wed艂ug regionu

W styczniu Azja (49%) pozosta艂a czo艂owym regionalnym 藕r贸d艂em spamu mimo znacznego spadku (-7,6 punktu procentowego) aktywno艣ci spamer贸w. Na drugim miejscu znalaz艂a si臋 Ameryka P贸艂nocna, z kt贸rej wys艂ano 15%  globalnego spamu, co stanowi wzrost o 2,8 punktu procentowego. Tymczasem udzia艂 Europy Wschodniej zwi臋kszy艂 si臋 o 1,3 punktu procentowego i wynosi艂 18%, przez co region ten znalaz艂 si臋 na trzecim miejscu w rankingu. Europa Zachodnia (5,8%) oraz Ameryka 艁aci艅ska (4%) uplasowa艂y si臋 odpowiednio na czwartym i pi膮tym miejscu.         

Szkodliwe za艂膮czniki w ruchu e-mail

W styczniu ranking Top 10 szkodliwych program贸w rozprzestrzeniaj膮cych si臋 za po艣rednictwem wiadomo艣ci e-mail wygl膮da艂 nast臋puj膮co:

spamreport_january_2014_09_auto.png
TOP 10 szkodliwych program贸w rozprzestrzenianych za po艣rednictwem poczty e-mail

Trojan-Spy.html.Fraud.gen pozosta艂 najszerzej rozprzestrzenionym szkodliwym programem. Fraud.gen nale偶y do rodziny trojan贸w wykorzystuj膮cych technologi臋 spoofingu: trojany te imituj膮 strony HTML i s膮 rozprzestrzeniane za po艣rednictwem poczty e-mail w postaci powiadomie艅 od du偶ych bank贸w komercyjnych, sklep贸w internetowych, tw贸rc贸w oprogramowania itd.    

Trojan-PSW.Win32.Fareit.amzb, Trojan-PSW.Win32.Fareit.anaq, Trojan-PSW.Win32.Fareit.annp, Trojan-PSW.Win32.Fareit.anai oraz Trojan-PSW.Win32.Fareit.amzs znalaz艂y si臋 odpowiednio na drugim, trzecim, czwartym, 贸smym i dziewi膮tym miejscu. Programy te nale偶膮 do rodziny szkodliwego oprogramowania, kt贸ra kradnie loginy i has艂a u偶ytkownik贸w i wysy艂a je do serwera kontroli cyberprzest臋pc贸w. Potrafi膮 r贸wnie偶 przeprowadza膰 ataki DDoS oraz pobiera膰 i uruchamia膰 losowo wybrane oprogramowanie. Wszystkie pi臋膰 program贸w pobiera i uruchamia trojany z rodziny Zbot, kt贸rych celem jest atakowanie serwer贸w i komputer贸w PC jak r贸wnie偶 przechwytywanie danych u偶ytkownika. Chocia偶 trojan ten jest zdolny do r贸偶nych szkodliwych dzia艂a艅, najcz臋艣ciej wykorzystywany jest do kradzie偶y informacji bankowych. Potrafi r贸wnie偶 zainstalowa膰 szkodliwy program o nazwie CryptoLocker, kt贸ry 偶膮da pieni臋dzy za odszyfrowanie danych u偶ytkownika. Trojan-PSW.Win32.Fareit.anai 艂aduje r贸wnie偶 trojana instaluj膮cego szkodliwe rozszerzenie dla przegl膮darki, kt贸re potrafi przegl膮da膰 偶膮dania wyszukiwania w najpopularniejszych wyszukiwarkach oraz podmienia膰 wyniki na korzy艣膰 przest臋pc贸w. Szkodliwe programy z rodziny Fareit kradn膮 portfele Bitcoina oraz oko艂o 30 innych walut wirtualnych.    

Na pi膮tym miejscu znalaz艂 si臋 robak sieciowy Asprox, kt贸rego celem jest rozprzestrzenianie spamu. Szkodnik ten automatycznie infekuje strony internetowe, 艂aduje i uruchamia inne programy oraz zbiera cenne informacje przechowywane na komputerze, takie jak has艂a i inne dane umo偶liwiaj膮ce dost臋p do kont e-mail i FTP.  

List臋 Top 10 zamyka Email-Worm.Win32.Bagle.gt., robak pocztowy, kt贸ry wysy艂a swoje kopie na wszystkie adresy e-mail znalezione na zainfekowanym komputerze. Robak pobiera r贸wnie偶 pliki z internetu bez wiedzy u偶ytkownika. Email-Worm.Win32.Bagle.gt wykorzystuje w艂asn膮 bibliotek臋 SMTP w celu wysy艂ania zainfekowanych wiadomo艣ci.    

spamreport_january_2014_10_auto.png
Rozk艂ad wykry膰 szkodliwego oprogramowania w poczcie e-mail wed艂ug pa艅stwa 

Na szczycie rankingu pa艅stw o najwi臋kszym odsetku wykry膰 szkodliwego oprogramowania w poczcie znalaz艂y si臋 Stany Zjednoczone (+3,5 punktu procentowego), kt贸re zepchn臋艂y Wielk膮 Brytani臋 na drugie miejsce (-3,41 punktu procentowego). Na trzecim miejscu utrzyma艂y si臋 Niemcy, kt贸rych udzia艂 w szkodliwym oprogramowaniu wykrytym w poczcie zmniejszy艂 si臋 o 0,39 punktu procentowego w por贸wnaniu z poprzednim miesi膮cem.  

Udzia艂 Rosji w ca艂kowitym odsetku wykry膰 szkodliwego oprogramowania w poczcie e-mail na ca艂ym 艣wiecie zwi臋kszy艂 si臋 o 2%. Znacznie wzr贸s艂 jednak udzia艂 Meksyku i Afryki Po艂udniowej, w efekcie czego pa艅stwa te uplasowa艂y si臋 w rankingu Top 20 odpowiednio na siedemnastym i osiemnastym miejscu.   

Cechy szczeg贸lne szkodliwego spamu

W zesz艂ym miesi膮cu oszu艣ci skoncentrowali si臋 na  u偶ytkownikach wieloplatformowego komunikatora WhatsApp, kt贸rego popularno艣膰 na ca艂ym 艣wiecie szybko ro艣nie. Komunikator ten pozwala u偶ytkownikom wysy艂a膰 wiadomo艣ci tekstowe oraz wymienia膰 si臋 grafik膮, plikami wideo oraz audio. Przed wysy艂aniem powiadomie艅 o spamie za po艣rednictwem poczty e-mail nie powstrzyma艂o cyberprzest臋pc贸w nawet to, 偶e WhatsApp jest obecnie dost臋pny jedynie na smartfonach, a stworzenie konta na WhatsApp nie wymaga posiadania konta e-mail.     

spamreport_january_2014_11_auto.jpg

W styczniu natrafili艣my na fa艂szywe powiadomienia od WhatsApp, kt贸re informowa艂y u偶ytkownika, 偶e jeden z jego znajomych lub po prostu "tw贸j znajomy" wys艂a艂 mu zdj臋cie lub obrazek. Za艂膮czone archiwum w rzeczywisto艣ci zawiera艂o szkodliwy program wykrywany przez Kaspersky Lab jako Backdoor.Win32.Androm.bjkd. By艂 to nies艂awny backdoor, kt贸rego g艂贸wn膮 funkcj膮 jest pobieranie innych szkodliwych program贸w na komputer ofiary.      

Phishing

W styczniu ranking organizacji najcz臋艣ciej atakowanych przez phisher贸w nie zmieni艂 si臋 znacz膮co.

spamreport_january_2014_12_auto.png
Rozk艂ad 100 organizacji najcz臋艣ciej atakowanych przez phisher贸w wed艂ug kategorii

Ranking ten opiera si臋 na wykryciach dokonanych przez komponent antyphishingowy firmy Kaspersky Lab, aktywowanych za ka偶dym razem, gdy u偶ytkownik pr贸buje klikn膮膰 odsy艂acz do strony phishingowej, niezale偶nie od tego, czy odsy艂acz ten znajduje si臋 w wiadomo艣ci spamowej czy na stronie internetowej.   

Pierwsze miejsce po raz kolejny zaj臋艂y portale spo艂eczno艣ciowe (27,3%), kt贸re zwi臋kszy艂y sw贸j udzia艂 o 0,9 punktu  procentowego. Udzia艂 serwis贸w pocztowych (19,7%) oraz wyszukiwarek (16,9%) zmniejszy艂 si臋 nieznacznie i kategorie te zachowa艂y odpowiednio drug膮 i trzeci膮 pozycj臋 w rankingu.        

Na czwartym miejscu utrzyma艂y si臋 organizacje finansowe i e-p艂atno艣ci (15,7%), mimo 偶e udzia艂 tej kategorii zmniejszy艂 si臋 o 0,2 punktu procentowego w por贸wnaniu z poprzednim miesi膮cem. 

Udzia艂 kategorii "Dostawcy us艂ug telefonii i internetu"  (8,29%) oraz "Producenci IT" (5,93%) nieznacznie spad艂, nie mia艂o to jednak wp艂ywu na ich miejsce w rankingu - utrzyma艂y si臋 odpowiednio na pi膮tym i sz贸stym miejscu.

W styczniu phisherzy wysy艂ali fa艂szywe powiadomienia, podszywaj膮c si臋 pod wiele popularnych sklep贸w internetowych. Odbiorcy oszuka艅czych e-maili podpisanych przez "menad偶era" ameryka艅skiej sieci detalicznej Walmart zostali poinformowani, 偶e ich zam贸wienie nie zosta艂o zrealizowane. W celu rozwi膮zania tego problemu zostali poproszeni o wype艂nienie formularza i odes艂anie go w ci膮gu tygodnia. Wiadomo艣膰 zosta艂a napisana w oficjalnym stylu korporacyjnym, zawiera艂a logo firmowe oraz automatyczny podpis na ko艅cu - wszystko to mia艂o przekona膰 u偶ytkownika, 偶e wiadomo艣膰 nie by艂a fa艂szywa. Jednak podejrzenia u偶ytkownika powinny wzbudzi膰 dwie rzeczy: nadawca nie zwraca si臋 do niego z imienia ani nazwiska oraz podaje wi臋cej ni偶 jeden pow贸d niezrealizowania dostawy.       

spamreport_january_2014_13_auto.png

W styczniu trafili艣my na niemieckoj臋zyczn膮 masow膮 wysy艂k臋 phishingow膮, w kt贸rej wykorzystano nazw臋 sklepu Amazon. Odbiorca zosta艂 poinformowany, 偶e w serwisie odnotowano pr贸b臋 uzyskania dost臋pu do jego konta z komputera innej osoby. Odbiorca zosta艂 poproszony o potwierdzenie informacji o koncie w ci膮gu 48 godzin, w przeciwnym razie konto zostanie zablokowane. W rzeczywisto艣ci, wiadomo艣膰 zawiera艂a odsy艂acz do strony phishingowej. Warto zauwa偶y膰, 偶e e-mail w najmniejszym stopniu nie przypomina艂 legalnej wiadomo艣ci. Wygl膮da na to, 偶e oszu艣ci liczyli na to, 偶e odbiorcy s膮 niedo艣wiadczeni lub nieuwa偶ni.

spamreport_january_2014_14_auto.png    

Podsumowanie

W styczniu udzia艂 spamu w globalnym ruchu e-mail zmniejszy艂 si臋 o 7,6 punktu procentowego i wynosi艂 艣rednio 65,7%. Tak jak przewidywali艣my, spadek odsetka spamu spowodowany by艂 okresem zastoju na pocz膮tku stycznia, gdy aktywno艣膰 biznesowa jest mniejsza i du偶a liczba botnet贸w jest wy艂膮czona.   

Wysy艂ki spamowe zawiera艂y reklamy upomink贸w jak r贸wnie偶 serwis贸w oferuj膮cych organizowanie r贸偶nych wydarze艅 i wycieczek. Walentynki by艂y wykorzystywane zar贸wno w angielsko jak i rosyjskoj臋zycznym spamie. Zarejestrowali艣my tradycyjne masowe wysy艂ki dystrybuowane za po艣rednictwem "kwiatowych" program贸w partnerskich reklamuj膮cych romantyczne kolacje jak r贸wnie偶 wiele innych ofert upomink贸w.

Tak jak spodziewali艣my si臋, spamerzy nadal wysy艂ali tzw. listy "nigeryjskie" 偶eruj膮ce na 艣mierci Nelsona Mandeli. Tym razem oszu艣ci podszywali si臋 pod 偶ony lub asystent贸w zmar艂ego prezydenta. W styczniu spamerzy wykorzystywali do swoich cel贸w r贸wnie偶 艣mier膰 Ariela Sharona.   

Innym wa偶nym wydarzeniem wykorzystywanym przez oszust贸w by艂y Igrzyska Olimpijskie w in Soczi. W styczniu wykryli艣my masowe wysy艂ki zawieraj膮ce reklamy podrabianych towar贸w znanych projektant贸w oraz akcesori贸w z logo Igrzysk.

W styczniowym rankingu najcz臋艣ciej atakowanych przez phisher贸w organizacji pojawi艂o si臋 niewiele zmian w stosunku do poprzedniego miesi膮ca. Na pierwszym miejscu utrzyma艂y si臋 portale spo艂eczno艣ciowe, kt贸re odnotowa艂y wzrost o 0,9 punktu procentowego. Tu偶 za nimi uplasowa艂y si臋 kategorie "Poczta elektroniczna i komunikator internetowy" oraz "Wyszukiwarka", kt贸rych udzia艂 r贸wnie偶 zwi臋kszy艂 si臋 nieznacznie.      

Popularne portale spo艂eczno艣ciowe oraz komunikatory internetowe pozosta艂y g艂贸wnym celem fa艂szywych powiadomie艅 zawieraj膮cych szkodliwe programy. W styczniu szkodliwe powiadomienia wygl膮da艂y, jakby zosta艂y wys艂ane z wieloplatformowego komunikatora dla smartfon贸w WhatsApp.   

殴ród艂o:
Kaspersky Lab