Raport spamowy: marzec 2014 r.

Spam na 艣wieczniku

W marcu spamerzy nie ograniczali si臋 jedynie do tradycyjnych reklam zwi膮zanych ze 艣wi臋tami; wykorzystywali r贸wnie偶 wiadomo艣ci z tematami 艣wi膮tecznymi w celu wy艂udzenia prywatnych informacji od u偶ytkownik贸w portali spo艂eczno艣ciowych.

Marcowy ruch spamowy stanowi艂o kilka oddzielnych grup reklam - produkty przeznaczone dla w艂a艣cicieli samochod贸w, oferty nieruchomo艣ci na Krymie, szko艂y j臋zykowe oraz us艂ugi usprawnienia komunikacji telefonicznej w biurze. Wiele z takich wysy艂ek zidentyfikowano w Rosji oraz mi臋dzynarodowych segmentach internetu. 

Spam 艣wi膮teczny

W 2014 roku Wielkanoc jest obchodzona przez ko艣ci贸艂 katolicki i prawos艂awny w tym samym dniu - 20 kwietnia. Przed 艣wi臋tem angielskoj臋zyczny ruch spamowy zawiera艂 tradycyjne 艣wi膮teczne reklamy podrabianych produkt贸w znanych projektant贸w oraz konfekcj臋. 

 1403-spam-en-pic-01_auto.png

R贸wnie偶 rosyjskoj臋zyczny spam oferowa艂 s艂odycze i pami膮tki zwi膮zane ze 艣wi臋tem wielkanocnym.

1403-spam-en-pic-02.png 

Warto zauwa偶y膰, 偶e w marcu nie pojawi艂o si臋 a偶 tak wiele spamu wielkanocnego; znacznie wi臋kszej ilo艣ci spodziewamy si臋 w kwietniu.

Dzie艅 艣w. Patryka, obchodzony 17 marca, zosta艂 wykorzystany przez oszust贸w do kradzie偶y login贸w i hase艂 do kont na portalu LinkedIn. Nawi膮zuj膮ca do tego 艣wi臋ta masowa wysy艂ka oferowa艂a u偶ytkownikom darmowe konto premium na tym portalu. Aby uzyska膰 dost臋p do konta, u偶ytkownik musia艂 klikn膮膰 odsy艂acz znajduj膮cy si臋 na ko艅cu maila. Jednak zamiast do oficjalnego portalu LinkedIn odsy艂acz ten prowadzi艂 do strony phishingowej i wszystkie informacje podane przez u偶ytkownika by艂y przesy艂ane do oszust贸w. Aby e-mail wygl膮da艂 na prawdziwy, oszu艣ci wykorzystali logo oraz stopk臋 tego portalu spo艂eczno艣ciowego. R贸wnie偶 adres nadawcy nie wzbudza艂 w膮tpliwo艣ci z wyj膮tkiem tego, 偶e zamiast oficjalnej nazwy linkedin.com nazwa domeny brzmia艂a linke.com.           

1403-spam-en-pic-03_auto.png

 

Spamowanie "na j臋zykach"

W marcu znaczna cz臋艣膰 rosyjskoj臋zycznego spamu oferowa艂a r贸偶ne metody nauki j臋zyk贸w obcych. Odbiorcom proponowano nauczenie si臋 j臋zyka obcego w ci膮gu zaledwie 10 dni. W polu nadawcy wiadomo艣ci te cz臋sto zawiera艂y fraz臋 "Nauka j臋zyk贸w", natomiast nowo utworzone domeny e-mail w adresie nadawcy r贸偶ni艂y si臋 w zale偶no艣ci od e-maila. Wiadomo艣ci zawiera艂y d艂ugie odsy艂acze, kt贸re - po serii przekierowa艅 - prowadzi艂y do strony reklamowej oferuj膮cej rabat na zestaw p艂yt DVD do nauki j臋zyka obcego z wykorzystaniem unikatowej metody. Podczas sk艂adania zam贸wie艅 odbiorca m贸g艂 zap艂aci膰 z wykorzystaniem dogodnego systemu p艂atno艣ci.

1403-spam-en-pic-04_auto.jpg 

Temat lingwistyczny wykorzystywa艂a r贸wnie偶 inna masowa wysy艂ka, tym razem wys艂ana w imieniu agencji t艂umacze艅. E-maile zosta艂y stworzone w r贸偶nych j臋zykach - angielskim, niemieckim, francuskim, hiszpa艅skim i holenderskim. Niekiedy tekst wiadomo艣ci by艂 napisany w kilku j臋zykach. Wiadomo艣ci zawiera艂y list臋 j臋zyk贸w pracy agencji, g艂贸wne pary j臋zykowe t艂umacze艅 jak r贸wnie偶 wykaz us艂ug (przek艂ad, t艂umaczenie, najpopularniejsze tematy t艂umacze艅). Podano r贸wnie偶 bezpo艣rednie odsy艂acze do stron internetowych agencji lub numery kontaktowe, lub adresy e-mail menad偶er贸w.         

1403-spam-en-pic-05_auto.jpg

Spamowanie przez telefon

W marcu spamerzy aktywnie wysy艂ali reklamy oferuj膮ce r贸偶ne sposoby obni偶enia koszt贸w telefonicznych. Wi臋kszo艣膰 z tych wysy艂ek by艂a kierowana do du偶ych firm. Odbiorcom proponowano r贸偶ne sposoby poprawy jako艣ci komunikacji w biurze poprzez po艂膮czenie telefon贸w stacjonarnych z okre艣lonymi kodami lub wykonywanie nieograniczonej liczby po艂膮cze艅 mi臋dzynarodowych z dowolnego miasta po ni偶szych stawkach.   

1403-spam-en-pic-06_auto.jpg 

Masowe wysy艂ki reklamuj膮ce takie us艂ugi przychodzi艂y z adres贸w zarejestrowanych w specjalistycznych domenach i r贸偶ni艂y si臋 tre艣ci膮 w zale偶no艣ci od wiadomo艣ci e-mail. Zawarte w nich odsy艂acze prowadzi艂y do strony zawieraj膮cej kr贸tkie badanie, a po wype艂nieniu formularzy u偶ytkownik by艂 proszony o wybranie najkorzystniejszego rozwi膮zania. Ostatecznie wszystko sprowadza艂o si臋 do reklamy okre艣lonych us艂ug telefonicznych. 

Dane statystyczne

Odsetek spamu w ruchu e-mail

 1403-spam-en-pic-07.png

Odsetek spamu w ruchu e-mail

W marcu odsetek spamu w ruchu e-mail wynosi艂 艣rednio 63,5%. Najwy偶szy poziom niechcianych wiadomo艣ci (67,3%) odnotowano w pierwszym tygodniu marca, jednak pod koniec miesi膮ca mia艂 miejsce stopniowy spadek aktywno艣ci spamer贸w.  

Rozk艂ad geograficzny 藕r贸de艂 spamu

W badanym miesi膮cu lista 藕r贸de艂 spamu rozprzestrzenianego na ca艂ym 艣wiecie wygl膮da艂a nast臋puj膮co:

 1403-spam-en-pic-08.png

殴r贸d艂a spamu wed艂ug pa艅stwa

W marcu Chiny pozostawa艂y czo艂owym 藕r贸d艂em spamu (rozprzestrzeniaj膮c 24,6% wszystkich niechcianych wiadomo艣ci), co stanowi wzrost o 1,7 punktu procentowego w stosunku do poprzedniego miesi膮ca. Na drugim miejscu znalaz艂y si臋 Stany Zjednoczone, kt贸rych udzia艂 (17%) zmniejszy艂 si臋 w marcu o 2 punkty procentowe. Na trzeciej pozycji uplasowa艂a si臋 Korea Po艂udniowa, z kt贸rej pochodzi艂o 13,6% globalnego spamu - o 0,8 punktu procentowego wi臋cej ni偶 w lutym. W badanym miesi膮cu pa艅stwa te odpowiada艂y za ponad po艂ow臋 wszystkich niechcianych wiadomo艣ci wys艂anych na ca艂ym 艣wiecie.          

Czwarte miejsce zaj臋艂a Rosja (6,5%), z kt贸rej rozprzestrzeniono o 0,5 punktu procentowego mniej spamu ni偶 w poprzednim miesi膮cu.     

Ni偶ej uplasowa艂y si臋 Taiwan (6%), Indie (3,75), Wietnam (3,5%) oraz Ukraina (2%) - wszystkie utrzyma艂y swoje pozycje z lutego, a ich udzia艂 zmniejszy艂 si臋 nieznacznie.

Japonia (1,9%) awansowa艂a z dziesi膮tego miejsca na dziewi膮te, mimo 偶e jej wk艂ad zwi臋kszy艂 si臋 o zaledwie 0,15 punktu procentowego. Pierwsz膮 dziesi膮tk臋 marca zamkn臋艂a Rumunia (1,8%).    

Warto wspomnie膰 r贸wnie偶 o niewielkim wzro艣cie aktywno艣ci spamer贸w w Wielkiej Brytanii (1 punkt procentowy), dzi臋ki kt贸remu pa艅stwo to znalaz艂o si臋 na dwunastym miejscu, o osiem pozycji wy偶ej ni偶 w lutym.  

1403-spam-en-pic-09.png 

殴r贸d艂a spamu w Europie wed艂ug pa艅stwa

W marcu czo艂owym 藕r贸d艂em spamu wysy艂anego do u偶ytkownik贸w europejskich pozosta艂a Korea Po艂udniowa (50,8%): jej udzia艂 zwi臋kszy艂 si臋 o 1,2 punktu procentowego w stosunku do poprzedniego miesi膮ca. Na dalszym miejscu uplasowa艂y si臋 Stany Zjednoczone, kt贸rych udzia艂 zmniejszy艂 si臋 o 1,4 punktu procentowego. Taiwan (6%) znalaz艂 si臋 na trzecim miejscu, chocia偶 odsetek spamu pochodz膮cego z tego pa艅stwa zwi臋kszy艂 si臋 o 0,5 punktu procentowego.        

Na czwartym miejscu utrzyma艂a si臋 Rosja (4,2%), kt贸ra odnotowa艂a spadek o 0,8 punktu procentowego w stosunku do lutego.    

W marcu zmniejszy艂a si臋 ilo艣膰 spamu pochodz膮cego z Chin (2,9%), Ukrainy (1,8%) oraz Niemiec (0,7%) odpowiednio o 1, 0,5 i 0,7 punktu procentowego. Jednocze艣nie zwi臋kszy艂 si臋 udzia艂 Wietnamu (2,7%), Indii (2,6%) oraz Wielkiej Brytanii (1,8%).   

W badanym miesi膮cu zwi臋kszy艂 si臋 udzia艂 Francji i Tajlandii o 0,5 punktu procentowego, dzi臋ki czemu te dwa pa艅stwa wesz艂y do rankingu najaktywniejszych dystrybutor贸w spamu wysy艂anego do u偶ytkownik贸w europejskich.

1403-spam-en-pic-10.png 

殴r贸d艂a spamu wed艂ug regionu

Czo艂owym regionem pod wzgl臋dem dystrybucji spamu pozostaje Azja (58%) - jej udzia艂 zwi臋kszy艂 si臋 o 4 punkty procentowe w stosunku do poprzedniego miesi膮ca. Na drugim miejscu znalaz艂y si臋 Ameryka P贸艂nocna (17%) oraz Europa Wschodnia (5%), kt贸rych udzia艂 zmniejszy艂 si臋 odpowiednio o 2,6 i 1,4 punktu procentowego. Odsetek niechcianych wiadomo艣ci pochodz膮cych z innych region贸w nie odnotowa艂 niemal 偶adnych zmian.    

Szkodliwe za艂膮czniki w ruchu e-mail

W marcu ranking 10 szkodliwych program贸w najcz臋艣ciej rozprzestrzenianych za po艣rednictwem poczty e-mail wygl膮da艂 nast臋puj膮co:

1403-spam-en-pic-11_auto.png 

10 szkodliwych program贸w najcz臋艣ciej rozprzestrzenianych za po艣rednictwem poczty e-mail

Numerem jeden nadal jest Trojan-Spy.HTML.Fraud.gen. Jak ju偶 pisali艣my wcze艣niej, jest to szkodnik z rodziny Fraud.gen, kt贸ry stanowi fa艂szyw膮 stron臋 HTML wymagaj膮c膮 podania danych, wysy艂an膮 u偶ytkownikom za po艣rednictwem poczty e-mail jako wa偶na wiadomo艣膰 pochodz膮ca z du偶ych bank贸w komercyjnych, sklep贸w internetowych, firm z bran偶y oprogramowania itp.    

Drugie i dziesi膮te miejsca w marcowym rankingu zaj臋艂y przedstawiciele rodziny Aspxor. Aspxor to robak sieciowy rozsy艂aj膮cy spam. Szkodnik ten potrafi automatycznie infekowa膰 strony internetowe, pobiera膰 i wykonywa膰 inne oprogramowanie oraz zbiera膰 cenne dane przechowywane na komputerze, takie jak zapisane has艂a i dane uwierzytelniaj膮ce do kont e-mail i FTP.   

Na trzecim miejscu znalaz艂 si臋 nasz stary znajomy Email-Worm.Win32.Bagle.gt - robak pocztowy, kt贸ry wysy艂a swoje kopie na wszystkie adresy e-mail znalezione na zainfekowanym komputerze. Szkodnik ten pobiera r贸wnie偶 pliki z internetu bez wiedzy u偶ytkownika. Email-Worm.Win32.Bagle.gt wysy艂a zainfekowane wiadomo艣ci z wykorzystaniem w艂asnej biblioteki SMTP.

Na czwartym i dziewi膮tym miejscu znalaz艂y si臋 odpowiednio Trojan-Spy.Win32.Zbot.saps i Trojan-Spy.Win32.Zbot.sapp. Zbot to trojan stworzony w celu kradzie偶y poufnych informacji. Zbot.saps, opr贸cz swojej g艂贸wnej funkcjonalno艣ci, instaluje r贸wnie偶 szkodnika o nazwie Rootkit.Win32.Necurs (lub Rootkit.Win64.Necurs), kt贸ry, po zainstalowaniu na zainfekowanej maszynie, zak艂贸ca dzia艂anie program贸w antywirusowych oraz innych rozwi膮za艅 bezpiecze艅stwa.    

Pi膮te miejsce w rankingu zaj臋艂a nies艂awna rodzina szkodliwego oprogramowania o nazwie Bublik. Bublik to trojan downloader, kt贸ry pobiera szkodliwe pliki na maszyny u偶ytkownik贸w, a nast臋pnie uruchamia pobrane pliki.    

Na sz贸stym i si贸dmym miejscu w rankingu znalaz艂y si臋 odpowiednio Backdoor.Win32.Androm.dpqs oraz Backdoor.Win32.Androm.dqpi. Rodzina szkodliwego oprogramowania o nazwie Andromeda sk艂ada si臋 z backdoor贸w, kt贸re pozwalaj膮 cyberprzest臋pcom potajemnie kontrolowa膰 zainfekowany komputer. Zainfekowane przez te programy maszyny cz臋sto staj膮 si臋 cz臋艣ci膮 botnet贸w.

1403-spam-en-pic-12.png 

Rozk艂ad szkodliwych program贸w wykrytych w poczcie e-mail wed艂ug pa艅stwa

Na pierwszym miejscu rankingu pa艅stw z najwi臋ksz膮 liczb膮 szkodliwych program贸w wykrytych w poczcie e-mail znalaz艂y si臋 Stany Zjednoczone (-1,2 punktu procentowego). Na drugiej i trzeciej pozycji w rankingu utrzyma艂a si臋 Wielka Brytania i Niemcy. 

Rosja spad艂a z dwunastego na szesnaste miejsce, po tym jak jej udzia艂 w liczbie szkodliwych program贸w wykrytych w poczcie e-mail zmniejszy艂 si臋 o 0,82 punktu procentowego. Znaczny spadek odnotowa艂a r贸wnie偶 Australia (-0,75 punktu procentowego), kt贸ra spad艂a z si贸dmego miejsca na dziesi膮te.      

Cechy szczeg贸lne szkodliwego spamu

W marcu wiele szkodliwych za艂膮cznik贸w zosta艂o wys艂anych w imieniu r贸偶nych znanych organizacji finansowych zwi膮zanych z podatkami. Wiadomo艣ci te imitowa艂y powiadomienia z urz臋d贸w podatkowych dotycz膮ce p艂atno艣ci, 偶膮dania zap艂aty podatku lub powiadomienia o przychodach nieuwzgl臋dnionych w deklaracjach podatkowych p艂atnik贸w.  

Wiadomo艣ci te cz臋sto zawiera艂y takie dane, jak ID podatnika, rodzaj podatku (w przyk艂adzie powy偶ej by艂 to podatek dochodowy), numer referencyjny dokumentu lub powiadomienie informuj膮ce odbiorc臋, 偶e jego wcze艣niejsze zeznania podatkowe by艂y nieprawdziwe.  

 1403-spam-en-pic-13_auto.jpg

Aby dowiedzie膰 si臋 dalszych informacji, odbiorca mia艂 otworzy膰 za艂膮czone sprawozdanie, a niekiedy wype艂ni膰 za艂膮czony formularz. We wszystkich przypadkach, niezb臋dne dokumenty znajdowa艂y si臋 rzekomo w za艂膮czonym archiwum, kt贸re w rzeczywisto艣ci zawiera艂o szkodliwy plik wykonywalny.    

Archiwa te zawiera艂y trojany wykrywane przez Kaspersky Lab jako Trojan-PSW.Win32.Fareit.aoee i Trojan.Win32.Bublik.buya. Przedstawiciele pierwszej z tych rodzin szkodliwego oprogramowania kradn膮 ciasteczka przegl膮darki i has艂a z klient贸w FTP oraz program贸w pocztowych, a nast臋pnie wysy艂aj膮 te dane do zdalnego serwera prowadzonego przez oszust贸w. Druga rodzina szkodliwego oprogramowania pobiera na komputery u偶ytkownika szkodliwe pliki i uruchamia je.   

Phishing

Portale spo艂eczno艣ciowe po raz kolejny stanowi艂y organizacje najcz臋艣ciej wykorzystywane w atakach phishingowych, mimo 偶e ich udzia艂 zmniejszy艂 si臋 o 3,8 punktu procentowego w stosunku do zesz艂ego miesi膮ca i wynosi艂 23,5%. Na kolejnym miejscu uplasowa艂y si臋 serwisy e-mail (16,6%). Udzia艂 wyszukiwarek (14,4%) jak r贸wnie偶 organizacji finansowych i e-p艂atno艣ci zmniejszy艂 si臋 odpowiednio o 2 i 3,5 punktu procentowego, dzi臋ki czemu wyszukiwarki wskoczy艂y na trzeci膮 pozycj臋 w miejsce serwis贸w finansowych. Odsetek atak贸w phishingowych na sklepy internetowe zwi臋kszy艂 si臋 o 8,9 punktu procentowego, dzi臋ki czemu kategoria ta awansowa艂a o dwie pozycje na pi膮te miejsce. Udzia艂 dostawc贸w us艂ug internetowych i telefonicznych zwi臋kszy艂 si臋 nieznacznie, jednak kategoria ta spad艂a na sz贸ste miejsce.               

 

1403-spam-en-pic-14.png 

Rozk艂ad Top 100 organizacji najcz臋艣ciej atakowanych przez phisher贸w wed艂ug kategorii

Ranking opiera si臋 na wykryciach przy u偶yciu komponentu antyphishingowego firmy Kaspersky Lab aktywowanego za ka偶dym razem, gdy u偶ytkownik pr贸buje klikn膮膰 odsy艂acz phishingowy, niezale偶nie od tego, czy odsy艂acz ten znajduje si臋 w wiadomo艣ci spamowej czy na stronie internetowej.   

Celem phisher贸w cz臋sto staj膮 si臋 niemieckie banki. W marcu zarejestrowali艣my kolejn膮 oszuka艅cz膮 wysy艂k臋 masow膮, kt贸rej celem by艂a kradzie偶 informacji osobistych u偶ytkownik贸w bankowo艣ci internetowej. E-mail wys艂any w imieniu pracownika banku informowa艂 odbiorc贸w, 偶e wkr贸tce wyga艣nie ich dost臋p do kont online. Aby nadal korzysta膰 z us艂ug bankowo艣ci internetowej, u偶ytkownicy mieli klikn膮膰 odsy艂acz, kt贸ry w rzeczywisto艣ci prowadzi艂 do strony phishingowej, na kt贸rej nale偶a艂o poda膰 nie tylko loginy i has艂a do swoich kont bankowo艣ci online, ale r贸wnie偶 informacje osobiste.    

Fa艂szywa strona imitowa艂a oficjaln膮 stron臋 banku, jednak sama wiadomo艣膰 phishiongowa nie zawiera艂a 偶adnych element贸w (logo banku, stopka itd.) powszechnie wykorzystywanych przez oszust贸w w celu upodobnienia ich e-maili do legalnych wiadomo艣ci. Co istotne, nazwa domeny serwera znajduj膮ca si臋 po symbolu @ w adresie nadawcy nale偶a艂a do Narodowej Rady Badawczej Kanady, kt贸ra nie ma nic wsp贸lnego z organizacj膮 bankow膮.     

 1403-spam-en-pic-15_auto.png

Podsumowanie

Odsetek spamu w globalnym ruchu e-mail zmniejszy艂 si臋 w marcu o 6,4 punktu procentowego i wynosi艂 艣rednio 63,5%. 艁膮czna ilo艣膰 spamu 艣wi膮tecznego r贸wnie偶 odnotowa艂a spadek w stosunku do poprzedniego miesi膮ca. O ile zbli偶aj膮ce si臋 艣wi臋ta wielkanocne wykorzystywane by艂y do reklamowania r贸偶nych produkt贸w i upomink贸w 艣wi膮tecznych, Dzie艅 艣w. Patryka zosta艂 wykorzystany przez oszust贸w w celu uzyskania dost臋pu do kont znajduj膮cych si臋 na popularnych portalach spo艂eczno艣ciowych.       

Ponadto, ruch spamowy zala艂y ogromne ilo艣ci reklam szk贸艂 j臋zykowych oferuj膮cych wszelkie rodzaje metod nauczania. Wiele wysy艂ek zawiera艂o informacje dotycz膮ce sposob贸w optymalizacji komunikacji w du偶ych i 艣rednich przedsi臋biorstwach.

W marcu lista 藕r贸de艂 spamu na 艣wiecie wygl膮da艂a nast臋puj膮co: Chiny (24,6%), Stany Zjednoczone (17%) oraz Korea Po艂udniowa (13,6%). Liderem pod wzgl臋dem rozprzestrzeniania niechcianych wiadomo艣ci pozosta艂a Azja (58%).    

Aby rozprzestrzenia膰 wiadomo艣ci zawieraj膮ce szkodliwe za艂膮czniki, osoby atakuj膮ce wykorzystywa艂y fa艂szywe powiadomienia wys艂ane rzekomo nie tylko przez znane banki, ale r贸wnie偶 inne organizacje finansowe, np. zajmuj膮ce si臋 naliczaniem i poborem podatk贸w.     

W marcu portale spo艂eczno艣ciowe po raz kolejny stanowi艂y najpopularniejszy rodzaj serwis贸w imitowanych przez phisher贸w. Na kolejnym miejscu znalaz艂y si臋 serwisy e-mail, a dalej wyszukiwarki. Odsetek atak贸w phishingowych na sklepy internetowe zwi臋kszy艂 si臋 znacz膮co, dzi臋ki czemu kategoria ta awansowa艂a o dwie pozycje na pi膮te miejsce.  

殴ród艂o:
Kaspersky Lab