Spam i phishing w II kwartale 2015 r.

Spam: cechy niechcianych wiadomo艣ci w badanym kwartale

Domeny "zaszumiaj膮ce"

Przeanalizowali艣my sytuacj臋 dotycz膮c膮 znacznego wzrostu liczby nowych stref domen jak r贸wnie偶 masowego generowania domen spamer贸w w tych strefach, w szczeg贸lno艣ci tych stworzonych w celu wysy艂ania nielegalnych masowych przesy艂ek. Dalsza analiza przesy艂ek spamowych pokazuje, 偶e spamerzy nie tylko wykorzystuj膮 ogromn膮 liczb臋 nowych domen, kt贸re mog膮 zmieni膰 nawet w ramach jednej tematycznej wysy艂ki masowej, ale r贸wnie偶 r贸偶ne sposoby ich implementacji w tek艣cie. W I kwartale zarejestrowali艣my na przyk艂ad r贸偶ne przypadki domen "zaszumiaj膮cych" w odsy艂aczach wykorzystywanych w celu przekierowywania do zasob贸w spamowych, jak r贸wnie偶 przypadki zaciemnienia kodu w strukturze HTML wiadomo艣ci w masowej wysy艂ce.   

q2_spam_eng_1_auto.jpg

W wielu masowych wysy艂kach spamerzy wykorzystali w odsy艂aczach prowadz膮cych do zasob贸w reklamowych nie nazwy domen a adresy IP stron. Podawali jednak zmodyfikowane adresy IP zamiast bezpo艣rednich, reprezentowane przy u偶yciu 贸semkowego lub szesnastkowego systemu liczbowego, dodaj膮c losow膮 liczb臋 zer na pocz膮tku adresu. Nie zmieni艂o to adresu IP, ale zwi臋kszy艂o liczb臋 mo偶liwych wariant贸w jego reprezentacji (wariant贸w w ramach jednej masowej wysy艂ki), co, jak mieli nadziej臋 spamerzy, pomog艂oby oszuka膰 filtr spamowy. Takie alternatywne metody reprezentacji adres贸w IP by艂y wykorzystywane przez spamer贸w zar贸wno w bezpo艣rednich odsy艂aczach jak i "zaszumionych" przekierowaniach. 

q2_spam_eng_2_auto.jpg

Spamerzy wykorzystywali r贸wnie偶 zaszumione domeny. Na przyk艂ad, przedstawiali nazw臋 domeny przy pomocy zar贸wno wielkich jak i ma艂ych liter (NEEDHosT.niNjA), jak r贸wnie偶 wykorzystywali kilka r贸偶nych kod贸w w strukturze HTML wiadomo艣ci. Pr贸bowali ukry膰 swoje domeny, zmieniaj膮c jeden ze znak贸w w nazwie strefy domeny na ten sam z innego kodu lub podobny. Przyk艂adowo, domena mog艂a wygl膮da膰 tak: domainname.com, domainname.c?     

 

q2_spam_eng_3_auto.jpg

Spamerzy cz臋sto stosowali kilka metod zaszumiania w jednym e-mailu: wykorzystywali zar贸wno alternatywn膮 reprezentacj臋 adresu IP lub zniekszta艂cenie domeny jak r贸wnie偶 tradycyjny bezsensowny tekst "艣mieciowy" w tre艣ci wiadomo艣ci w celu ca艂kowitego ukrycia tematu spamowego wiadomo艣ci. 

Globalne wydarzenia w spamie "nigeryjskim"

W drugim kwartale 2015 r. listy "nigeryjskie" wykorzystywa艂y temat trz臋sienia ziemi w Nepalu, wybor贸w prezydenckich w Nigerii oraz olimpiady w Rio de Janeiro. Tragiczne wydarzenia szeroko relacjonowane przez media na 艣wiecie s膮 zwykle wykorzystywane przez oszust贸w w celu zwabienia u偶ytkownik贸w, a przytaczane historie zmieniaj膮 si臋 w niewielkim stopniu.

W e-mailu napisanym w imieniu prawnika, kt贸rego klient zmar艂 w Nepalu, oszu艣ci poprosili odbiorc臋, aby odegra艂 rol臋 krewnego ofiary i pom贸g艂 w uzyskaniu spadku po zmar艂ym w zamian za wynagrodzenie finansowe. W innych masowych wysy艂kach oszu艣ci rozprzestrzeniali e-maile w imieniu r贸偶nych organizacji, prosz膮c o pomoc dla ofiar trz臋sienia ziemi. Na przyk艂ad, "przedstawiciel Czerwonego Krzy偶a" poprosi艂 odbiorc臋, aby pom贸g艂 zapewni膰 schronienie rodzinie uchod藕c贸w, kt贸ra postanowi艂a przeprowadzi膰 si臋 do innego kraju i zainwestowa膰 tam swoje pieni膮dze. 

q2_spam_eng_4_auto.png

Og贸lnie, adresy os贸b, kt贸re wysy艂aj膮 listy "nigeryjskie" zosta艂y zarejestrowane w darmowych serwisach e-mail, nawet je艣li autor e-maila by艂 przedstawicielem organizacji, jak w przypadku opisanym wy偶ej. Jednak niekt贸rzy oszu艣ci wykazali si臋 sprytem, staraj膮c si臋, aby nazwa i adres nadawcy wygl膮da艂y na bardziej legalne. Wysy艂ali fa艂szywe wiadomo艣ci prosz膮ce odbiorc贸w, aby ofiarowali dobrowolny datek w ramach pomocy ofiarom trz臋sienia ziemi w Nepalu.     

q2_spam_eng_5_auto.png

"Nigeryjczycy" nie przepu艣ciliby 偶adnych wa偶nych wydarze艅 politycznych. W jednej z masowych wysy艂ek oszu艣ci pr贸bowali skusi膰 odbiorc臋 e-maila sum膮 2 milion贸w dolar贸w, kt贸r膮 nowo wybrany prezydent Nigerii by艂 rzekomo sk艂onny przela膰 mu tytu艂em rekompensaty za oszustwo pope艂nione przez obywateli jego pa艅stwa. 

q2_spam_eng_6_auto.png

Kolejna olimpiada odb臋dzie si臋 dopiero w 2016 r., ale ju偶 teraz pojawiaj膮 si臋 oszuka艅cze powiadomienia dotycz膮ce wygranej na loterii zwi膮zanej z tym popularnym wydarzeniem sportowym. Co ciekawe, du偶a liczba tego typu e-maili zosta艂a wys艂ana przed mistrzostwami 艣wiata. Tre艣膰 wiadomo艣ci jest standardowa: loteria zosta艂a zorganizowana przez oficjaln膮 organizacj臋, adres odbiorcy zosta艂 losowo wybrany spo艣r贸d milion贸w adres贸w e-mail. W celu otrzymania wygranej trzeba by艂o odpowiedzie膰 na wiadomo艣膰 i poda膰 okre艣lone informacje osobowe. 

q2_spam_eng_7_auto.png

Popularno艣膰 w艣r贸d spamer贸w zdobywaj膮 e-maile, kt贸re zawieraj膮 w tre艣ci kr贸tki tekst ze szczeg贸艂owymi informacjami dostarczonymi w za艂膮czonym pliku PDF lub DOC. By膰 mo偶e wynika to z tego, 偶e e-mail z kr贸tkim tekstem ma wi臋ksze szanse przej艣膰 przez filtr spamowy i zosta膰 uznany za legalny. E-maile z za艂膮czonymi plikami s膮 szczeg贸lnie niebezpieczne, poniewa偶 u偶ytkownik prawdopodobnie otworzy za艂膮cznik, aby zapozna膰 si臋 z jego tre艣ci膮, co mo偶e doprowadzi膰 do infekcji szkodliwym oprogramowaniem.

Aktualizacja algorytmu wyszukiwarki Google

Kolejnym wydarzeniem wykorzystanym w spamie w drugim kwartale 2015 r. by艂o opublikowanie standardowej aktualizacji algorytmu wyszukiwania Google. Zmieni艂a ona wyniki wyszukiwania internetowego w wersji mobilnej, tak aby strony dostosowane do telefon贸w kom贸rkowych by艂y wy艣wietlane na najwy偶szych pozycjach. 

q2_spam_eng_8_auto.jpg

Wiadomo艣膰 ta spowodowa艂a znaczny wzrost ilo艣ci spamu zwi膮zanego z SEO oraz promocj膮 stron. Spamerzy wysy艂ali oferty reklamuj膮ce tworzenie stron o dowolnym stopniu z艂o偶ono艣ci oraz w dowolnym celu, jak r贸wnie偶 us艂ugi przyci膮gaj膮ce nowych klient贸w. Podkre艣lali konieczno艣膰 uaktualnienia strony poprzez wykorzystanie najnowszych funkcji popularnej wyszukiwarki. W艂a艣cicieli stron, kt贸rzy wci膮偶 mieli w膮tpliwo艣ci, straszono, 偶e znajd膮 si臋 na ostatnich stronach w wynikach wyszukiwania Google i strac膮 potencjalnych klient贸w.    

Dane statystyczne

Odsetek spamu w ruchu e-mail

q2_spam_eng_9_auto.png

Odsetek spamu w ruchu e-mail, stycze艅 - czerwiec 2015 r.

艢wiatowy spadek udzia艂u spamu w ruchu e-mail od pocz膮tku roku zosta艂 niemal zatrzymany. W drugim kwartale 2015 r. poziom spamu ustabilizowa艂 si臋, wahaj膮c si臋 pomi臋dzy 53,5% w kwietniu a 53,23% w czerwcu.

 

殴r贸d艂a spamu wed艂ug pa艅stwa

q2_spam_eng_11_auto.png

Pa艅stwa, kt贸re stanowi艂y 藕r贸d艂a spamu, II kwarta艂 2015 r.

W drugim kwartale 2015 r. Stany Zjednoczone (14,59%) oraz Rosja (7,82%) nadal stanowi艂y najwi臋ksze 藕r贸d艂a spamu. Na trzecim miejscu znalaz艂y si臋 Chiny, kt贸re odpowiada艂y za 7,14% globalnego spamu, w por贸wnaniu z 3,23% w poprzednim kwartale. Na kolejnym miejscu uplasowa艂 si臋 Wietnam (5,04% w por贸wnaniu z 4,82% w pierwszym kwartale), Niemcy (4,13% w por贸wnaniu z 4,39% w pierwszym kwartale) oraz Ukraina (3,90% w por贸wnaniu z 5,56% w pierwszym kwartale).  

Rozmiary wiadomo艣ci spamowych

q2_spam_eng_12_auto.png

Rozk艂ad rozmiar贸w wiadomo艣ci spamowych, I kwarta艂 2015 r. oraz II kwarta艂 2015 r.

Rozk艂ad wiadomo艣ci e-mail wed艂ug rozmiaru odnotowa艂 niewielkie zmiany w stosunku do poprzedniego kwarta艂u. Na pierwszym miejscu znalaz艂y si臋 bardzo niewielkie wiadomo艣ci o rozmiarze do 2 KB (65,38%), chocia偶 odsetek takich e-maili stopniowo zmniejsza艂 si臋 (w I kwartale wynosi艂 73,99%). Udzia艂 wiadomo艣ci e-mail o rozmiarze 20-50 KB zwi臋kszy艂 si臋 o 4,81 punktu procentowego i wynosi艂 8,80%, podczas gdy odsetek e-maili o rozmiarze 2 KB-5 KB (17,16%), 5-10 KB (3,32%) oraz 10-20 KB (2,94%) zwi臋kszy艂 si臋 nieznacznie - w ka偶dym przypadku o zaledwie 1 punkt procentowy.       

Szkodliwe za艂膮czniki e-mail

q2_spam_eng_13_auto.png

Top 10 szkodliwych program贸w wysy艂anych za po艣rednictwem poczty e-mail, II kwarta艂 2015 r.

Na pierwszym miejscu rankingu znalaz艂 si臋 Trojan-Spy.HTML.Fraud.gen. Jak pisali艣my wcze艣niej, program ten stanowi fa艂szyw膮 stron臋 HTML, kt贸ra jest wysy艂ana za po艣rednictwem poczty elektronicznej, imituj膮c wa偶ne powiadomienie z du偶ego banku komercyjnego, sklepu internetowego, od tw贸rcy oprogramowania itd. Zagro偶enie to ma posta膰 phishingowej strony HTML, na kt贸rej u偶ytkownik musi poda膰 swoje dane osobowe, kt贸re s膮 nast臋pnie przesy艂ane cyberprzest臋pcom.

Drugie i trzecie miejsce zajmuje Trojan-Downloader.HTML.Agent.aax oraz Trojan-Downloader.HTML.Meta.as. Oba szkodniki stanowi膮 strony HTML, kt贸re  po otworzeniu przez u偶ytkownika przekierowuj膮 go na fa艂szyw膮 witryn臋. Tam ofiara zwykle trafia na stron臋 phishingow膮 lub oferuje si臋 jej pobranie Binbota - bota s艂u偶膮cego do handlu opcjami binarnymi. Te dwa szkodliwe programy rozprzestrzeniaj膮 si臋 za po艣rednictwem za艂膮cznik贸w do wiadomo艣ci e-mail i jedyna r贸偶nica pomi臋dzy nimi dotyczy odsy艂acza, kt贸ry przekierowuje u偶ytkownik贸w na sfa艂szowane strony.    

Pierwsz膮 tr贸jk臋 zamyka Trojan.Win32.Fsysna.brtr. Jest to powszechny bot spamowy, kt贸ry przekierowuje spam z centrum kontroli do serwera pocztowego w imieniu zainfekowanej maszyny. 

Na czwartym miejscu znajduje si臋 Trojan-Banker.Win32.ChePro.ink. Downloader ten, kt贸ry w zesz艂orocznym rankingu uplasowa艂 si臋 dopiero na sz贸stej pozycji, jest apletem CPL (komponentem panelu sterowania) pobieraj膮cym trojany stworzone w celu kradzie偶y poufnych informacji finansowych. Celem wi臋kszo艣ci szkodliwych program贸w tego typu s膮 banki brazylijskie i portugalskie.    

Tu偶 za nim uplasowa艂 si臋 Trojan-PSW.Win32.Fareit.auqm. Trojany z rodziny Fareit kradn膮 ciasteczka przegl膮darek jak r贸wnie偶 has艂a z klient贸w FTP i program贸w pocztowych, a nast臋pnie wysy艂aj膮 te dane do zdalnego serwera utrzymywanego przez oszust贸w. 

Si贸dme i 贸sme miejsce zajmuj膮 downloadery z rodziny Upatre - odpowiednio Trojan-Downloader.Win32.Upatre.fbq oraz Trojan-Downloader.Win32.Upatre.fca, kt贸re zwykle ukrywaj膮 si臋 pod postaci膮 dokument贸w PDF lub RTF. Ich g艂贸wne zadanie polega na pobieraniu, rozpakowywaniu oraz uruchamianiu dodatkowych aplikacji.  

Na dziesi膮tym miejscu rankingu najpopularniejszych szkodliwych program贸w wysy艂anych za po艣rednictwem poczty e-mail w II kwartale znalaz艂 si臋 Exploit.MSWord.CVE-2014-1761.k. Jest to dokument Worda zawieraj膮cy exploita, kt贸ry wykorzystuje odpowiedni膮 luk臋 w celu pobrania na komputer ofiary innych szkodliwych program贸w stworzonych w celu kradzie偶y danych osobistych u偶ytkownik贸w.   

Rodziny szkodliwego oprogramowania

W rankingu, w kt贸rym zamiast indywidualnych szkodnik贸w wyst臋puj膮 najpopularniejsze rodziny szkodliwego oprogramowania, na prowadzeniu znajduje si臋 rodzina Upatre. Szkodniki z tej rodziny pobieraj膮 trojana bankowego Dyre (znanego r贸wnie偶 jako Dyreza, Dyzap). Lista organizacji finansowych zaatakowanych przez tego trojana zale偶y od pliku konfiguracyjnego, kt贸ry jest 艂adowany z centrum kontroli.   

Rodzina MSWord.Agent zyskuje coraz wi臋ksz膮 popularno艣膰, chocia偶 w I kwartale zajmowa艂a dopiero trzecie miejsce w rankingu. Te szkodliwe programy maj膮 posta膰 pliku DOC z osadzonym macro napisanym w j臋zyku Visual Basic for Applications (VBA), kt贸re uruchamia si臋 w momencie otwierania dokumentu. Pobiera i uruchamia inne szkodliwe oprogramowanie, takie jak szkodniki z rodziny Andromeda.    

W II kwartale 2015 r. do pierwszej tr贸jki powr贸ci艂 ZeuS/Zbot. Celem szkodnik贸w z tej rodziny jest przeprowadzanie atak贸w na serwery oraz komputery u偶ytkownik贸w, jak r贸wnie偶 przechwytywanie danych. Chocia偶 ZeuS/Zbot potrafi przeprowadza膰 r贸偶ne szkodliwe dzia艂ania, najcz臋艣ciej jest wykorzystywany do kradzie偶y informacji bankowych.

Potrafi r贸wnie偶 instalowa膰 CryptoLockera - szkodliwy program, kt贸ry wy艂udza pieni膮dze w zamian za odszyfrowanie zaszyfrowanych danych.

Pa艅stwa b臋d膮ce celem szkodliwych przesy艂ek reklamowych

q2_spam_eng_14_auto.png

Rozk艂ad werdykt贸w wykrycia szkodliwego oprogramowania w poczcie e-mail wed艂ug pa艅stwa, II kwarta艂 2015 r.

W drugim kwartale 2015 r. odnotowali艣my znacz膮ce zmiany w rankingu pa艅stw b臋d膮cych najcz臋stszym celem przesy艂ek reklamowych. Na szczycie rankingu w badanym okresie znalaz艂y si臋 Niemcy (19,59%), kt贸re w I kwartale uplasowa艂y si臋 dopiero na czwartej pozycji: co pi膮te wykrycie szkodliwego oprogramowania zosta艂o zarejestrowane na terytorium tego pa艅stwa. Wielka Brytania, kt贸ra znajdowa艂a si臋 na czele rankingu w pierwszym kwartale 2015 r., spad艂a na drugie miejsce (6,31%). Brazylia uplasowa艂a si臋 na trzeciej pozycji (6,04%).  

Na czwartym miejscu znalaz艂y si臋 Stany Zjednoczone (5,03%), kt贸re tradycyjnie stanowi艂y pa艅stwo b臋d膮ce najcz臋stszym celem szkodliwych przesy艂ek reklamowych.

Warto odnotowa膰 r贸wnie偶 fakt, 偶e Rosja (4,74%), kt贸ra w poprzednim kwartale uplasowa艂a si臋 dopiero na 10 miejscu, w II kwartale 2015 r. awansowa艂a na pi膮t膮 pozycj臋.

Cechy szczeg贸lne szkodliwego spamu

W II kwartale nadal obserwowali艣my w ruchu spamowym szkodliwe wiadomo艣ci e-mail z wirusami makr, chocia偶 najwi臋ksze nat臋偶enie w ich rozprzestrzenianiu przypad艂o na poprzedni kwarta艂. Mimo spadku ich liczby nadal stanowi艂y powa偶ne zagro偶enie: wykryte przez nas makra nale偶膮 do kategorii trojan贸w downloader贸w, a ich celem jest pobieranie innych szkodliwych program贸w. Oszu艣ci pr贸buj膮cy przekona膰 odbiorc臋 o legalno艣ci e-maili wysy艂ali swoje wiadomo艣ci pod pozorem korespondencji biznesowej, a szkodliwe za艂膮czniki kamuflowali jako dokumenty finansowe lub zam贸wienia.       

W niekt贸rych wiadomo艣ciach e-mail osoby atakuj膮ce podawa艂y dane kontaktowe nadawcy, umieszcza艂y logo, aby e-mail wygl膮da艂 na bardziej oficjalny, i pobiera艂y wskazany w wiadomo艣ci adres e-mail z pola "Od". Dzi臋ki temu oszuka艅czy e-mail wydawa艂 si臋 odbiorcy jeszcze bardziej wiarygodny.

W II kwartale 2015 r. trafili艣my r贸wnie偶 na e-maile imituj膮ce oficjalne powiadomienia z rzeczywistych firm, a osoby atakuj膮ce dopasowywa艂y tre艣膰 wiadomo艣ci do obszaru dzia艂alno艣ci firmy. Na przyk艂ad, e-maile w jednej z przesy艂ek masowych informowa艂y u偶ytkownika o rzekomej wiadomo艣ci tekstowej wys艂anej przez firm臋 艣wiadcz膮c膮 us艂ugi telekomunikacyjne. Odbiorc臋 poinformowano, 偶e mo偶e przeczyta膰 wiadomo艣膰, otwieraj膮c za艂膮cznik Microsoft Word, w rzeczywisto艣ci jednak wiadomo艣膰 ta zawiera艂a szkodnika Trojan-Downloader.VBS.Agent.amj.   

q2_spam_eng_15_auto.png

Kolejn膮 sztuczk膮, kt贸ra nadal jest popularna w艣r贸d cyberprzest臋pc贸w specjalizuj膮cych si臋 w wysy艂aniu szkodliwego spamu, jest maskowanie wiadomo艣ci pod postaci膮 powiadomie艅 o otrzymaniu faksu lub skanu r贸偶nych dokument贸w. Te fa艂szywe powiadomienia s膮 pisane g艂贸wnie w j臋zyku angielskim lub niemieckim, a za艂膮czniki imituj膮ce pliki z faksami lub skanami zawieraj膮 r贸偶ne rodzaje szkodliwego oprogramowania: Trojan.Upatre, Trojan.Downloader oraz HawkEyePHPLogger. Tekst w g艂贸wnej cz臋艣ci takich e-maili mo偶e by膰 kr贸tki lub, wprost przeciwnie, zawiera膰 szczeg贸艂owe informacje dotycz膮ce otrzymanego dokumentu.    

q2_spam_eng_16_auto.png

We wrze艣niu 2014 r. zarejestrowali艣my szkodliw膮 wysy艂k臋 masow膮 zawieraj膮c膮 za艂膮cznik, kt贸ry nie jest typowy dla spamu - archiwum w formacie ARJ. W 2015 r. oszu艣ci nadal stosowali niekonwencjonalne archiwa w celu rozprzestrzeniania szkodliwego oprogramowania: w kwietniowym i majowym ruchu spamowym rozprzestrzeniane by艂y za艂膮czniki do wiadomo艣ci w postaci archiw贸w o rozszerzeniu CAB i ACE, kt贸re nie s膮 powszechnie spotykane w dzisiejszym spamie. Archiwa zawiera艂y szkodniki: Trojan Trojan-Downloader.Win32.Cabby oraz HawkEye Keylogger. W przeciwie艅stwie do tak popularnych dla spamu rozszerze艅 jak ZIP czy RAR, za艂膮czniki CAB czy ACE nie zawsze s膮 rozpoznawane przez u偶ytkownik贸w, a tym samym wzbudzaj膮 mniej podejrze艅.       

q2_spam_eng_17_auto.png

W II kwartale 2015 r. oszu艣ci rozprzestrzeniali szkodliwe pliki ZIP oraz APK jako za艂膮czniki w ramach jednej masowej wysy艂ki. O ile pliki ZIP mo偶na znale藕膰 w wi臋kszo艣ci wiadomo艣ci spamowych, pliki APK mo偶na tam spotka膰 stosunkowo rzadko, poniewa偶 s膮 to zarchiwizowane pliki wykonywalne aplikacji dla Androida. Archiwa ZIP zawiera艂y trojana z rodziny Upatre, podczas gdy plik Check_Updatesj.apk by艂 wykrywany jako trojan szyfruj膮cy SLocker dla Androida: po uruchomieniu szkodnik ten szyfruje przechowywane na urz膮dzeniu obrazy, dokumenty oraz pliki wideo. Nast臋pnie u偶ytkownikowi wy艣wietlana jest wiadomo艣膰 prosz膮ca o zap艂acenie za odszyfrowanie plik贸w. Wysy艂aj膮c szkodliwe oprogramowanie w za艂膮czonych szkodliwych plikach ZIP oraz APK w ramach jednej wysy艂ki masowej, oszu艣ci by膰 mo偶e s膮dzili, 偶e mog膮 "z艂apa膰" nie tylko u偶ytkownik贸w komputer贸w PC, ale r贸wnie偶 w艂a艣cicieli smartfon贸w oraz tablet贸w opartych na Androidzie pracuj膮cych z wiadomo艣ciami e-mail z tych urz膮dze艅.   

q2_spam_eng_18_auto.png

Phishing

W II kwartale 2015 r. system antyphishingowy zosta艂 aktywowany 30 807 071 razy na komputerach u偶ytkownik贸w produkt贸w firmy Kaspersky Lab. W badanym okresie do baz danych Kaspersky Lab dodano 509 905 masek adres贸w URL stron phishingowych.

Przez kilka kwarta艂贸w z rz臋du najwi臋kszy odsetek u偶ytkownik贸w, kt贸rzy stali si臋 celem atak贸w phishingowych, znajdowa艂 si臋 w Brazylii, chocia偶 w II kwartale 2015 r. ich liczba zmniejszy艂a si臋 o po艂ow臋 w por贸wnaniu z poprzednim kwarta艂em. Ten sam trend dotycz膮cy liczby atak贸w phishingowych zosta艂 odnotowany w wielu innych pa艅stwach. 

q2_spam_eng_19_auto.png

Geografia atak贸w phishingowych*, II kwarta艂 2015 r.

* Liczba u偶ytkownik贸w, na kt贸rych komputerach zosta艂 aktywowany system antyphishingowy jako odsetek 艂膮cznej liczby u偶ytkownik贸w produkt贸w firmy Kaspersky Lab w danym pa艅stwie

Top 10 pa艅stw wed艂ug odsetka zaatakowanych u偶ytkownik贸w:

 

Pa艅stwo

% u偶ytkownik贸w

1

Brazylia

9,74%

2

Indie

8,3%

3

Chiny

7,23%

4

Rosja

6,78%

5

Francja

6,54%

6

Japonia

5,93%

7

Malezja

5,92%

8

Polska

5,81%

9

Kazachstan

5,79%

10

Zjednoczone Emiraty Arabskie

5,75%

Atakowane organizacje

Statystyki dotycz膮ce cel贸w atak贸w phishingowych opieraj膮 si臋 na aktywacji heurystycznego komponentu systemu antyphishingowego. Komponent heurystyczny systemu antyphishingowego jest aktywowany, gdy u偶ytkownik klika odsy艂acz do strony phishingowej, je艣li informacje o niej nie znajduj膮 si臋 w bazach danych firmy Kaspersky Lab, niezale偶nie od tego, w jaki spos贸b strona ta zosta艂a odwiedzona - w wyniku klikni臋cia odsy艂acza w wiadomo艣ci phishingowej, wiadomo艣ci na portalu spo艂eczno艣ciowym lub, na przyk艂ad, w wyniku dzia艂ania szkodliwego programu. W momencie aktywowania komponent ten wy艣wietla baner w przegl膮darce, ostrzegaj膮c u偶ytkownika przed mo偶liwym zagro偶eniem. 

W drugim kwartale 2015 r. kategoria "globalne portale internetowe" znalaz艂a si臋 na szczycie rankingu organizacji najcz臋艣ciej atakowanych przez phisher贸w - jej udzia艂 zwi臋kszy艂 si臋 o 2,78 punktu procentowego w stosunku do poprzedniego kwarta艂u i wynosi艂 42,35%. Udzia艂 kategorii "komunikatory internetowe" (4,05%) r贸wnie偶 odnotowa艂 niewielki wzrost (+0,13 punktu procentowego), podczas gdy inne kategorie wykaza艂y spadek: "portale spo艂eczno艣ciowe" straci艂y 2,6 punktu procentowego, "banki" - 5,56 punktu procentowego, "sklepy internetowe" - 1,56 punktu procentowego, "systemy e-p艂atno艣ci" - 2,84 punktu procentowego, "dostawcy us艂ug telefonicznych i internetowych" - 1,33 punktu procentowego, natomiast "gry online" - 0,78 punktu procentowego.         

q2_spam_eng_20_auto.png

Rozk艂ad organizacji b臋d膮cych celem atak贸w phishingowych wed艂ug kategorii, II kwarta艂 2015 r. 

Komunikatory internetowe ciesz膮 si臋 popularno艣ci膮 w艣r贸d oszust贸w z wielu powod贸w. Na przyk艂ad, cyberprzest臋pcy cz臋sto wykorzystuj膮 skradzione konta w celu wysy艂ania wiadomo艣ci phishingowych lub odsy艂aczy do szkodliwych program贸w na adresy e-mail widniej膮ce na li艣cie kontakt贸w ofiary, rozprzestrzeniania spamu, wy艂udzania pieni臋dzy i stosowania innych oszuka艅czych metod. 

q2_spam_eng_21_auto.png

Rozk艂ad atak贸w phishingowych na komunikatory internetowe, II kwarta艂 2015 r.

Wi臋kszo艣膰 aktywacji systemu antyphishingowego w tej kategorii dotyczy popularnego chi艅skiego komunikatora internetowego QQ, obs艂ugiwanego przez firm臋 telekomunikacyjn膮 Tencent.

q2_spam_eng_22_auto.png

Strony phishingowe imituj膮ce strony logowania si臋 do osobistych kont QQ

Na drugim miejscu znalaz艂 si臋 Skype (8,88%), kt贸rego w艂a艣cicielem jest Microsoft. Jego udzia艂 jest niepor贸wnywalnie mniejszy ni偶 udzia艂 lidera tej kategorii.  

q2_spam_eng_23_auto.png

Strona phishingowa zach臋caj膮ca u偶ytkownik贸w Skype'a do zweryfikowania swojego konta osobistego   

Top 3 organizacji, kt贸rych wizerunek wykorzystano do atak贸w

Jak pisali艣my ju偶 w naszych poprzednich raportach, najwi臋ksza cz臋艣膰 atak贸w nienale偶膮cych do kategorii spear-phishing uderza w u偶ytkownik贸w niewielkiej grupy popularnych firm posiadaj膮cych wielu klient贸w na ca艂ym 艣wiecie. W ten spos贸b oszu艣ci pr贸buj膮 zwi臋kszy膰 swoje szanse zaatakowania celu, organizuj膮c kolejny atak phishingowy. 

Ataki wykorzystuj膮ce wizerunek 3 organizacji odpowiadaj膮 za 45,14% wszystkich wykrytych odsy艂aczy do stron phishingowych.

 

Organizacja

% wszystkich wykrytych odsy艂aczy do stron phishingowych

1

Yahoo!

29,03%

2

Facebook

10,44%

3

Google

5,67%


Ranking ten nie zmieni艂 si臋 w stosunku do poprzedniego kwarta艂u. Mamy zatem Yahoo! (+23,82 punktu procentowego), Facebook (-0,53 punktu procentowego) oraz Google (-2,44 punktu procentowego). Znaczny wzrost odsetka wykry膰 fa艂szywych stron Yahoo! spowodowany by艂 og贸lnym spadkiem liczby wykry膰; pod wzgl臋dem liczb, liczba wykry膰 fa艂szywych stron Yahoo! zwi臋kszy艂a si臋 tylko nieznacznie.    

W II kwartale 2015 r. trafili艣my na ogromn膮 liczb臋 stron phishingowych imituj膮cych publikacj臋 strony Facebooka zawieraj膮cej film z intymnymi scenami, dost臋pny w serwisie YouTube. Podczas pr贸by odtworzenia filmu na komputer ofiary pobierany by艂 szkodliwy program.

q2_spam_eng_24_auto.png

q2_spam_eng_25_auto.png
Fa艂szywe strony Facebooka, za po艣rednictwem kt贸rych rozprzestrzeniane by艂y szkodliwe pliki 

Podsumowanie

W II kwartale 2015 r. odsetek spamu w ruchu e-mail wynosi艂 53,4%, co stanowi spadek o 5,8 punktu procentowego w stosunku do poprzedniego kwarta艂u.

W drugim kwartale historie opisane w listach "nigeryjskich" opiera艂y si臋 na rzeczywistych wydarzeniach takich jak: nadchodz膮ce Igrzyska Olimpijskie w Rio de Janeiro, wybory prezydenckie w Nigerii, jak r贸wnie偶 trz臋sienie ziemi w Nepalu. Oszu艣ci wabili odbiorc贸w nie tylko obietnicami wynagrodzenia czy rekompensaty ale r贸wnie偶 wygranymi na loterii i prosili o datki na rzecz ofiar trz臋sienia ziemi w Nepalu.  

Wzrost ilo艣ci spamu SEO by艂 spowodowany opublikowaniem aktualizacji algorytmu Google Search. Celem tej aktualizacji by艂a poprawa pozycji stron dostosowanych do telefon贸w kom贸rkowych w wynikach wyszukiwania na urz膮dzeniach mobilnych. 

W drugim kwartale 2015 r. trzy najwi臋ksze 藕r贸d艂a spamu stanowi艂y Stany Zjednoczone (14,59%), Rosja (7,82%) oraz Chiny (7,14%).

Trojan-Spy.HTML.Fraud.gen znalaz艂 si臋 na czele rankingu szkodliwych program贸w wysy艂anych za po艣rednictwem poczty e-mail. W rankingu zawieraj膮cym nie poszczeg贸lne szkodniki ale najpopularniejsze rodziny szkodliwego oprogramowania na pierwszym miejscu w II kwartale znalaz艂a si臋 rodzina Upatre. Liderem rankingu w badanym okresie, czyli pa艅stwem stanowi膮cym najcz臋stszy cel przesy艂ek reklamowych, by艂y Niemcy (19,59%).        

Oszu艣ci nadal maskowali za艂膮czone szkodliwe pliki pod postaci膮 faks贸w oraz skan贸w, aktualizacji Flash Playera oraz korespondencji biznesowej. Opr贸cz tego nadal wysy艂ali wirusy makr w dokumentach Worda i Excela i wykorzystywali archiwa CAB oraz ACE jak r贸wnie偶 pliki APK, kt贸re nie s膮 typowe dla spamu. 

W II kwartale 2015 r. system antyphishingowy zosta艂 aktywowany ponad 30 milion贸w razy na komputerach u偶ytkownik贸w produkt贸w Kaspersky Lab. Najwi臋kszy odsetek u偶ytkownik贸w dotkni臋tych atakami phishingowymi znajdowa艂 si臋 w Brazylii, chocia偶 liczba ta zmniejszy艂a si臋 o po艂ow臋 w stosunku do poprzedniego kwarta艂u.

殴ród艂o: Kaspersky Lab